Consola de Recuperacion y Configuracion de Seguridad PDF

Consola de recuperacion y configuracion de seguridad
Este documento se proporciona "tal cual". La informacin y los puntos de vista expresados en este documento, incluyendo las referencias a sitios web de Internet y direcciones URL, est sujeta a cambios sin aviso. Este documento no implica ningn derecho legal respecto a ninguna propiedad intelectual de ningn nombre de producto o producto de Microsoft. Puede copiar y utilizar este documento con fines internos y de referencia. Se permite que modifique este documento para sus fines internos y de referencia. 2012 Microsoft. Reservados todos los derechos. Trminos de uso (http://technet.microsoft.com/cc300389.aspx) | Marcas comerciales (http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)
Table Of Contents
Captulo 1
Requisitos de RIS y PXE Iniciar el equipo y utilizar la Consola de recuperacin Comandos de la Consola de recuperacin Prcticas recomendadas de seguridad Ejecutar un programa con credenciales administrativas Runas Control de acceso Prcticas recomendadas de control de acceso Prcticas recomendadas para permisos y derechos de usuario Plantillas de seguridad Privilegios Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad Modificar la configuracin de seguridad en un objeto de directiva de grupo Auditar el acceso a objetos Prcticas recomendadas para asignar permisos de objetos de Active Directory Proteger Active Directory Informacin de seguridad para Active Directory Prcticas recomendadas de Active Directory Por qu no debe trabajar en el equipo como administrador Utilizar Ejecutar como Crear un acceso directo mediante el comando runas Cuentas de usuarios y equipos Control de acceso en Active Directory Configuracin de la auditora en objetos Cmo afecta la herencia a la auditora de archivos y carpetas Auditar sucesos de seguridad Lista de comprobacin: configurar la auditora de acceso a objetos Introduccin a la auditora Directiva de auditora Auditar sucesos de inicio de sesin de cuenta Definir o modificar la configuracin de directiva de auditora para una categora de sucesos Auditar sucesos de inicio de sesin Prcticas recomendadas para auditar sucesos de seguridad Auditar sucesos del sistema Auditar el cambio de directivas Auditar la administracin de cuentas Auditora basada en operaciones en archivos o carpetas Aplicar o modificar la configuracin de directiva de auditora de un archivo o carpeta local Aplicar o modificar la configuracin de directiva de auditora para un objeto mediante Directiva de grupo Visor de sucesos Prcticas recomendadas para el visor de sucesos Visor de sucesos: cmo... Solucionar problemas del Visor de sucesos Auditar el acceso del servicio de directorio Auditar el uso de privilegios Auditar el seguimiento de procesos Ver registros de seguridad Ver el registro de seguridad Seleccionar dnde aplicar entradas de auditora Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory Grupos locales predeterminados Agregar un miembro a un grupo local Asignar derechos de usuario para el equipo local Asignacin de derechos de usuario Permitir que los usuarios se conecten de forma remota al servidor Configuracin de seguridad predeterminada para grupos Network access: deja que los permisos de Todos se apliquen a los usuarios annimos Grupos predeterminados Tener acceso a este equipo desde la red Actuar como parte del sistema operativo Agregar estaciones de trabajo al dominio Ajustar cuotas de memoria para un proceso Permitir el inicio de sesin local Permitir inicio de sesin a travs de Servicios de Terminal Server Hacer copias de seguridad de archivos y directorios Omitir la comprobacin de recorrido Cambiar la hora del sistema Crear un archivo de paginacin Crear un objeto testigo Crear objetos globales Crear objetos compartidos permanentes Depurar programas Denegar el acceso desde la red a este equipo Denegar el inicio de sesin como trabajo por lotes Denegar el inicio de sesin como servicio Denegar el inicio de sesin localmente Denegar inicio de sesin a travs de Servicios de Terminal Server Habilitar la confianza para la delegacin de las cuentas de usuario y de equipo Forzar el apagado desde un sistema remoto Generar auditoras de seguridad Suplantar a un cliente despus de la autenticacin Incrementar prioridades de planificacin de procesos Cargar y descargar controladores de dispositivo Bloquear pginas en memoria Iniciar sesin como proceso por lotes Iniciar sesin como servicio Administrar los registros de auditora y seguridad Modificar valores de entorno del firmware Realizar las tareas de mantenimiento del volumen Perfilar un proceso individual Perfilar el rendimiento del sistema
Quitar el equipo de la estacin de acoplamiento Reemplazar un smbolo de proceso Restaurar archivos y directorios Apagar el sistema Sincronizar los datos de Directory Service Tomar posesin de archivos y otros objetos Crear una relacin de confianza de bosque Utilidad de clave del sistema Crear o actualizar una clave del sistema
Captulo 1
Requisitos de RIS y PXE

Requisitos de RIS y PXE
LosServiciosdeinstalacinremota(RIS,Remote Installation Services) son compatibles con las instalaciones remotas de sistemas operativos Windows Server2003.Graciasaello,sepuedeniniciarinstalacionesbasadasenRISdeformaremotaenunequiposinestarfsicamentedelantedelequipo.RIS eliminalanecesidaddeusarelCDdelsistemaoperativooundisquetequecontengaunarchivoWinnt.sif.Paraobtenermsinformacin,veaHabilitar los Serviciosdeadministracindeemergenciaduranteunainstalacinnueva1. RISescompatibleyestdisponibleensistemasbasadosenItaniumyx86. Parapoderrealizarunainstalacinremota,losequiposclientetienenquetenerunadaptadorderedcompatibleconelEntornodeejecucindeinicio previo(PXE).Graciasaello,puederealizarinstalacionesmedianteunaconexinderedensistemassinunidaddeCDROMyensistemasquetienen discos duros no formateados o sin particiones. ElfirmwaredebereconocereladaptadorderedcompatibleconelPXEcomodispositivodeiniciovlidoycomopartedelaseleccindeordendeinicio. Asimismo,elfirmwaredebeproporcionarlaopcindeusarlateclaF12paracomenzaruninicioremotopresionandounatecla,conloquesehacecaso omisodelordendeinicio.Puedeusarestacapacidadparacambiarelordendeinicioconelfindeimplementarprocedimientosderecuperacinde emergencia si es necesario.
Startrom.com
El archivo Startrom.com es el primer archivo que un cliente RIS basado en x86 descarga para empezar el proceso de inicio. Hay varias versiones de este archivo.BasndoseenlacompatibilidadconelPXEdesufirmware,puedeusarversionesdeStartrom.comespecficasdelosServiciosdeadministracin deemergenciaparausarlaredireccindelaconsolaconclientesRISbasadosenx86.ElservicioNiveldenegociacindelainformacindeinicio (BINLSVC)creaunarchivoderespuestaquepermitequeelrestodelainstalacintranscurrasinintervencindelusuario.Noobstante,losclientesRIS basadosenItaniumnousanStartrom.com.Envezdeeso,puedeconfigurarlaInterfazdefirmwareextensible(EFI)pararedirigirlainformacindesalida y,despus,usareladaptadorderedcompatibleconelPXEparainiciarelequipo. AunquepuedeusarlosarchivosStartrom.comconsistemasquenoestndiseadosparatrabajarconlosServiciosdeadministracindeemergencia,es mejorrecurriralfirmwarepararedirigirsuinformacindesalidadelaconsolaalpuertodeadministracinfueradebandayusarunarchivoStartrom.com estndar.Graciasaello,Startrom.compuedesermsflexibleensuusodevelocidadesenbaudios. Hdlscom1.com y Hdlscom2.com.Parasistemasquenosoncompatiblesconlaredireccindelaconsoladefirmware,estosarchivosmuestran unainstruccinqueindicaalusuarioquepresionelateclaF12parainiciarlared,utilizandolaredireccindelaconsolaalpuertoserie1o2.Los usuariospuedenpresionarF12paraquecontineelprocesodeinicio,opuedenponerlefinnopresionandoF12.SiunusuariopresionalateclaF12 alrecibirestainstruccin,Hdlscom1.comyHdlscom2.comhacenqueelclientePXEseinicieenelAsistenteparainstalacindeclientesslocuando elsistemabsicodeentrada/salida(BIOS)intentauniniciodered.EstosarchivosseinstalandemanerapredeterminadaconRIS. Hdlscom1.n12 y Hdlscom2.n12.Ensistemascompatiblesconlaredireccindelaconsoladefirmware,estosarchivosnomuestranlaopcinque indica que se presione la tecla F12 para iniciar la red y no esperan a que intervenga el usuario. Cuando use uno de estos archivos, el cliente PXE se iniciarsiempreenelAsistenteparainstalacindeclientescuandoelBIOSintenteuniniciodered. TodaslasversionesdeStartrom.comespecficasdelosServiciosdeadministracindeemergenciacuentanconelBIOSpararedirigirsuinformacinde salidaalpuertodeadministracinfueradebandayalatarjetadevdeo,sihayunaconectada.LosServiciosdeadministracindeemergenciaestn disponiblesconunatarjetadevdeoosinella. Para usar un archivo Hdlscomx.com o Hdlscomxn12,tienequecambiarprimerosunombreporStartrom.comy,despus,copiarloenelservidorBINLSVC. Demanerapredeterminada,estosarchivosestnubicadosenlacarpetanombreDeServidor\reminst\oschooser\i386, donde nombreDeServidor es el nombredelservidorRISenelqueseestejecutandoelBINLSVC.
Asistente para instalacin de clientes

ElAsistenteparainstalacindeclientesdirigeautomticamentetodasuinterfazdeusuarioatravsdelpuertofueradebandayunaconsolalocalsihay unaconectadaalequipo.ElAsistenteparainstalacindeclientesdeterminaqupuertofueradebandausarparaello,leelatabladeredireccinde puertosseriedelaconsola(SPCR)(siestdisponible)ousaelmismopuertoqueStartrom.com.Paraobtenermsinformacin,veaHabilitar la tabla SPCR2. ParaobtenermsinformacinacercadeRIS,veaServiciosdeinstalacinremota3.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785783(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc779921(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc786442(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
IniciarelequipoyutilizarlaConsoladerecuperacin
Para iniciar el equipo y utilizar la Consola de recuperacin
1. 2. 3. 4. 5. IntroduzcaeldiscocompactodeinstalacinyreinicieelequipodesdelaunidaddeCD. Cuandoseinicielapartedetextodelprogramadeinstalacin,sigalasindicacionesparaelegirlaopcinderepararorecuperar,presioneR. Sitieneunsistemadeiniciodualomltiple,elijalainstalacinalaquenecesiteteneraccesodesdelaConsoladerecuperacin. Cuandoselesolicite,escribalacontraseadelacuentadeadministradorlocal. Enelsmbolodelsistema,escribaloscomandospertinentesdelaConsoladerecuperacinescribahelp para obtener una lista de comandos o helpnombreDeComando para obtener ayuda acerca de un comando determinado. 6. ParasalirdelaConsoladerecuperacinyreiniciarelequipo,escribaexit. Importante ComolaConsoladerecuperacinesbastanteeficaz,serecomiendaqueslolautilicenusuariosavanzadosoadministradoresdesistemas. LamayorpartedelasvecesnecesitarlacontraseadelacuentadeadministradorintegradaparautilizarlaConsoladerecuperacin. PuededefinirlaopcinConsoladerecuperacin:permitireliniciodesesinadministrativoautomticodelaseccinOpcionesdeseguridad deConfiguracindeseguridadlocal.CambiarestaopcinlepermitiriniciarlaConsoladerecuperacinsintenerqueproporcionarlacontraseade administrador.Paraobtenermsinformacin,consulte"Consoladerecuperacin:permitireliniciodesesinadministrativoautomtico"y"Modificar laconfiguracindeseguridadlocal"enTemasrelacionados,alfinaldeestapgina. Seaprecavidoalhabilitarestaopcin.PermitirquecualquierpersonaconaccesofsicoaunequipoinicielaConsoladerecuperacinytenga acceso a sus comandos.
Informacin acerca de diferencias funcionales

Esposiblequeelservidorfuncionedeformadistintasegnlaversinylaedicindelsistemaoperativoinstalado,delospermisosdelacuentayde laconfiguracindelosmens.Paraobtenermsinformacin,consulteVer Ayuda en el Web1.
Vea tambin
ComandosdelaConsoladerecuperacin2 IntroduccinalaConsoladerecuperacin3 Introduccinalareparacin4 Modificarlaconfiguracindeseguridadlocal5 Consoladerecuperacin:permitireliniciodesesinadministrativoautomtico6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc736833(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc737733(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc727913(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc758168(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc776592(v=ws.10).aspx
ComandosdelaConsoladerecuperacin
Comandos de la Consola de recuperacin
ConlaConsoladerecuperacinpuedenutilizarseloscomandossiguientes.Paraobtenermsinformacinacercadecadacomando,escribaelnombredel comando seguido de /?enlaConsoladerecuperacin. ParaobtenermsinformacinacercadelaConsoladerecuperacin,consultelaseccinrelativaalasherramientasparasolucionarproblemasenelsitio Web de Kits de recursos de Microsoft Windows1. Attrib Cambia los atributos de un archivo o un directorio. Batch Ejecuta los comandos especificados en el archivo de texto. Bootcfg Configuracinyrecuperacindelarchivodeinicio(boot.ini). ChDir (Cd) Muestra el nombre del directorio actual o cambia el directorio actual. Chkdsk Comprueba el estado de un disco y muestra un informe de estado. Cls Borra el contenido de la pantalla. Copy Copiaunarchivoaotraubicacin. Delete (Del) Eliminaunoomsarchivos. Dir Muestra una lista de los archivos y subdirectorios de un directorio. Disable Deshabilita un servicio del sistema o un controlador de dispositivo. Diskpart Administra las particiones de los discos duros. Enable Inicia o habilita un servicio del sistema o un controlador de dispositivo. Exit SaledelaConsoladerecuperacinyreiniciaelequipo. Expand Extrae un archivo de un archivo comprimido. Fixboot Escribeunnuevosectordeiniciodeparticinenlaparticindelsistema. Fixmbr Reparaelsectordeinicioprincipaldelsectordeiniciodelaparticin. Format Formatea un disco. Help MuestraunalistadeloscomandosquepuedeutilizarenlaConsoladerecuperacin. Listsvc Enumera los servicios y los controladores disponibles en el equipo. Logon IniciaunasesindeinstalacindelsistemaoperativoWindows. Map Muestra las asignaciones de letras de unidad. Mkdir (Md) Crea un directorio. Ms(Tipo) Muestra un archivo de texto. Rename (Ren) Cambia el nombre de un archivo. Rmdir (Rd) Elimina un directorio. Set Muestra y establece variables de entorno. Systemroot Estableceeldirectorioactualcomoeldirectoriorazdelsistemaenelquehainiciadolasesin.
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=4652
Prcticasrecomendadasdeseguridad
Prcticas recomendadas Restringir el acceso fsico a los equipos, especialmente si son controladores de dominio, a personal de confianza
Elaccesofsicoaunservidorconstituyeunelevadoriesgodeseguridad.Elaccesofsicodeunusuarionoautorizadoaunservidorpodradarcomo resultadoelaccesoadatosnoautorizadosolamodificacineinstalacindehardwareosoftwarediseadoparasaltarselaseguridad.Para mantenerunentornoseguro,debelimitarelaccesofsicoatodoslosservidoresyalhardwaredered.
Para tareas administrativas, utilice el principio de concesin de privilegios mnimos

Alutilizarelprincipiodeconcesindeprivilegiosmnimos,losadministradoresdebenutilizarunacuentaconpermisosrestrictivospararealizar tareasrutinariasynoadministrativas,yotraconpermisosmenosrestrictivossloparallevaracabotareasadministrativasespecficas. Paraconseguirlosintenerquecerrareiniciarunasesin,iniciesesinconunacuentadeusuarionormalyutiliceelcomandoRunasparaejecutar las herramientas que requieran los permisos menos restrictivos. Sideseaobtenermsinformacin,veaEjecutar un programa con credenciales administrativas1 y Runas2.
Definir grupos y sus miembros

Al decidir el grado predeterminado de acceso a los equipos que los usuarios van a tener, el factor determinante son las aplicaciones instaladas que hayqueejecutar.SienlaorganizacinsloseutilizanaplicacionesquepertenecenalprogramadellogotipodeWindowsparasoftware,puede convertir a todos sus usuarios finales en miembros del grupo Usuarios. En caso contrario, puede que tenga que hacer que sus usuarios finales formen parte del grupo Usuarios avanzados o que la seguridad de los permisos del grupo Usuarios sea menos restrictiva . Ambas opciones son menos seguras. EjecutarprogramasantiguosenWindows2000oWindowsXPProfessionalsuelerequerirlamodificacindelaccesoaciertasopcionesdelsistema. LosmismospermisospredeterminadosquepermitenalosmiembrosdelgrupoUsuariosavanzadosejecutarprogramasantiguostambinpueden posibilitar que un usuario avanzado obtenga privilegios adicionales sobre el sistema, incluso el control administrativo completo. Por tanto, es importante implementar los programas para Windows 2000 o Windows XP Professional dentro del programa del logotipo de Windows para software conelobjetodeconseguirlamximaseguridadsinsacrificarsufuncionalidad. Paraobtenermsinformacin,vealapginadelprogramadellogotipodeWindowsparasoftwareenelsitio Web de Microsoft3. Todos los administradores de dominio (incluso los de dominios secundarios) que puedan modificar el software del sistema en los controladores de dominio de un bosque deben tener el mismo grado de confianza. Losadministradoresdedominioyadministradoresdeempresadebenserlosnicosusuariosconpermisoparavincularunobjetodedirectivade grupoaunaunidadorganizativa.staeslaconfiguracinpredeterminada. LosusuariosautenticadosslonecesitanlospermisosLeeryAplicarobjetodedirectivadegrupo.
Proteger los datos de los equipos

AsegresedequelosarchivosdelsistemayelRegistroestnprotegidosmediantelistasdecontroldeaccesoestrictas. Paraobtenermsinformacin,veaControl de acceso4. UtiliceSyskeyparaproporcionarproteccinadicionaldeladministradordecuentasdeseguridad(SAM),especialmenteensuscontroladoresde dominio. Paraobtenermsinformacin,veaUtilidad de clave del sistema5.
Utilizar contraseas seguras en toda la organizacin

Lamayorpartedelosmtodosdeautenticacinrequierenqueelusuarioproporcioneunacontraseaparaprobarsuidentidad.Estascontraseas sueleelegirlaselusuario,quepuedequedeseeusarunacontraseasencillapararecordarlafcilmente.Enlamayoradeloscasos,estas contraseassonvulnerablesyotrosusuariospuedenadivinarlasodeterminarlasconfacilidad.Lascontraseasvulnerablespuedenhacerquese omitaesteelementodeseguridadyconvertirseenelpuntodbildeunentornoquedeotromodoseraseguro.Lascontraseassegurassuelenser msdifcilesdeadivinarparaotrosusuariosy,comoresultado,ayudanaproporcionarunadefensaeficazparalosrecursosdeunaorganizacin. Paraobtenermsinformacin,veaContraseasseguras6.
No descargar ni ejecutar programas procedentes de orgenes que no sean de confianza

Losprogramaspuedencontenerinstruccionesparainfringirlaseguridaddediversasmaneras,comosonelrobodedatos,ladenegacindeservicio yladestruccindeinformacin.Estosprogramasdainossuelenenmascararsecomosoftwarelegtimoypuedenserdifcilesdeidentificar.Para evitarsuuso,slodebedescargaryejecutarsoftwareautnticogarantizadoyobtenidodeunorigendeconfianza.Tambindebeasegurarsede tener instalado y funcionando un detector de virus actual por si este tipo de software se introduce en el equipo de forma inadvertida.
Mantener los detectores de virus actualizados

Losdetectoresdevirussuelenidentificarlosarchivosinfectadosmediantelabsquedadeunafirma,queesuncomponenteconocidodeunvirus identificado previamente. Los detectores guardan estas firmas de virus en un archivo de firmas que suele estar almacenado en el disco duro local. Puestoquesedescubrenvirusnuevosconfrecuencia,estearchivotambindebeactualizarseconfrecuenciaparaqueeldetectordevirus identifiquefcilmentetodoslosvirusactuales.
Mantener actualizadas todas las revisiones de software

Lasactualizacionesdesoftwareproporcionansolucionesparaproblemasdeseguridadconocidos.CompruebeperidicamentelossitiosWebdel proveedordesoftwareparaversihayrevisionesdisponiblesparaelsoftwarequeseusaensuorganizacin. Paraobtenerinformacinylasrecomendacionesmsrecientesacercadelaseguridad,veaelapartadodeseguridad7. Parasuscribirsealserviciodenotificacindeseguridaddelosproductos,vealanotificacindeseguridaddeproductosenelsitio Web de Microsoft8. Paraobtenermsinformacin,consulte: Prcticasrecomendadasparapermisosyderechosdeusuario9
Prcticasrecomendadasparaauditarsucesosdeseguridad10 PrcticasrecomendadasparaelSistemadecifradodearchivos11 Prcticasrecomendadasparadirectivasderestriccindesoftware12 PrcticasrecomendadasdeServiciosdeCertificateServer13 PrcticasrecomendadasparaPlantillasdecertificado14 Paraobtenermsinformacinacercadecmocrearymantenerdirectivasdeseguridad,consulte: PrcticasrecomendadasparaConfiguracinyanlisisdeseguridad15 Prcticasrecomendadasparaplantillasdeseguridad16 PrcticasrecomendadasparaConfiguracindeseguridad17
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc781763(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkID=3688 4http://technet.microsoft.com/es-es/library/cc780807(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc783856(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 7http://go.microsoft.com/fwlink/?LinkId=102 8http://go.microsoft.com/fwlink/?LinkID=6037 9http://technet.microsoft.com/es-es/library/cc779601(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc785804(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc739214(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc738786(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc779411(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc757894(v=ws.10).aspx 16http://technet.microsoft.com/es-es/library/cc757576(v=ws.10).aspx 17http://technet.microsoft.com/es-es/library/cc739377(v=ws.10).aspx
Ejecutar un programa con credenciales administrativas

Para ejecutar un programa con credenciales administrativas
Mediante la interfaz de Windows Mediantelalneadecomandos
Mediante la interfaz de Windows

1. EnelExploradordeWindowsoenelmenInicio,hagaclicconelbotnsecundariodelmouse(ratn)enelprogramaejecutableoenel iconoquedeseeabriry,acontinuacin,hagaclicenEjecutar como. 2. Haga clic en El siguiente usuario. 3. En Nombre de usuario y Contrasea,escribaelnombreylacontraseadelacuentadeadministrador. Notas El uso de Ejecutar como no se limita a las cuentas de administrador. Puedeutilizarestaopcinparainiciarunprogramaenelcontextodeunacuentadeadministrador.Elcontextodeadministradorsloseutilizapara eseprogramaespecficoysloestdisponiblehastaqueelprogramasecierre. TambinpuedeutilizarEjecutarcomoparainiciardosinstanciasindependientesdeunaaplicacinadministrativa,comoDominiosyconfianzasde ActiveDirectory.Cadainstanciasepuededirigiraundominioobosquediferenteparaejecutarlastareasdeadministracinentredominiosoentre bosquesdeformamseficaz. PuedeabrirlamayoradeloselementosdelPaneldecontrolconlaopcinEjecutarcomosimantienepresionadalateclaMAYSCULAS mientrashaceclicenelelementoconelbotnsecundariodelmouse. Algunos programas no permiten utilizar Ejecutar como. Siintentainiciarunprograma,comounelementodeMicrosoftManagementConsole(MMC)odelPaneldecontrol,desdeunaubicacindered medianteEjecutarcomo,podraproducirseunerrorsilascredencialesutilizadasparaconectarconelrecursocompartidosondiferentesdelas utilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido.Paraobtenermsinformacinacercadecmosolucionarproblemasrelacionadosconelcomandorunas, vea Temas relacionados. SiseproduceunerrorenEjecutarcomo,esposiblequenoseestejecutandoelservicioIniciodesesinsecundario.Paraobtenerms informacinacercadecmoiniciarunservicio,veaTemasrelacionados.
Mediante la lnea de comandos

1. Abralaventanadelsmbolodelsistema. 2. Para ejecutar un programa, escriba: runas/user:nombreDeUsuario"nombreDeProgramarutaAArchivoDePrograma"
Valor nombreDeUsuario
Descripcin Especificalascredencialesdeusuarioqueseutilizarnalejecutarelprogramaespecificado.Puedeutilizarel formato usuario@ dominio o dominio\usuario. Especifica el nombre de programa y la ruta de acceso al mismo que desea abrir con las credenciales de usuario especificadas. Por ejemplo, para abrir Usuarios y equipos de Active Directory, utilice el siguiente comando:
" nombreDePrograma rutaAArchivoDePrograma "
"mmc %windir%\system32\dsa.msc" Para abrir un determinado archivo con el Bloc de notas, utilice el siguiente comando: "notepad c:\miArchivo.txt\"
Notas Paraabrirelsmbolodelsistema,hagaclicenInicio, seleccione Todos los programas, Accesoriosy,acontinuacin,hagaclicenSmbolodel sistema. El uso del comando runas no se limita a las cuentas de administrador. Puede utilizar el comando runasparainiciarunprogramaenelcontextodeunacuentadeadministrador.Elcontextodeadministradorslose utilizaparaeseprogramaespecficoysloestdisponiblehastaqueelprogramasecierre. Tambinpuedeutilizarelcomandorunasparainiciardosinstanciasindependientesdeunaaplicacinadministrativa,comoDominiosyconfianzas deActiveDirectory.Cadainstanciasepuededirigiraundominioobosquediferenteparaejecutarlastareasdeadministracinentredominioso entrebosquesdeformamseficaz. Algunos programas no admiten el comando runas. Siintentainiciarunprograma,comounelementodeMicrosoftManagementConsole(MMC)odelPaneldecontrol,desdeunaubicacindered medianteelcomandorunas,podraproducirseunerrorsilascredencialesutilizadasparaconectarconelrecursocompartidosondiferentesdelas utilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido.Paraobtenermsinformacinacercadecmosolucionarproblemasrelacionadosconelcomandorunas, vea Temas relacionados. Si se produce un error en el comando runas,esposiblequenoseestejecutandoelservicioIniciodesesinsecundario.Paraobtenerms informacinacercadecmoiniciarunservicio,veaTemasrelacionados.

Vea tambin
Solucionar problemas de Usuarios y grupos locales2 Porqunodebetrabajarenelequipocomoadministrador3
Runas4 Utilizar Ejecutar como5 Porqunodebetrabajarenelequipocomoadministrador3 Diferenciasenlaconfiguracindeseguridadpredeterminada6 Configuracindeseguridadpredeterminadaparagrupos7 Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8 Crear un acceso directo mediante el comando runas9
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc738764(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc773320(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc781769(v=ws.10).aspx
Runas
Runas
Permiteaunusuarioejecutarherramientasyprogramasespecficosconpermisosdiferentesdelosqueproporcionaeliniciodesesinactualdelusuario.
Sintaxis
runas [{/profile | /noprofile}] [/env] [/netonly] [/savedcreds] [/smartcard] [/showtrustlevels] [/trustlevel] /user:nombreDeCuentaDeUsuario"nombreDePrograma rutaDeAccesoAlArchivoDelPrograma"
Parmetros
/profile Carga el perfil del usuario. /profileeslaopcinpredeterminada. /no profile Especifica que no se va a cargar el perfil del usuario. Permitequelaaplicacinsecargaconmsrapidez,perotambinpuedehacerquealgunas aplicaciones no funcionen correctamente. /env Especificaqueseutilizarelentornoderedactualenlugardelentornolocaldelusuario. /netonly Indicaquelainformacindeusuarioespecificadasloesparaaccesoremoto. /savedcreds Indica si este usuario ha guardado anteriormente las credenciales. /smartcard Indica si las credenciales las va a proporcionar una tarjeta inteligente. /showtrustlevels Muestra las opciones de /trustlevel. /trustlevel Especificaelniveldeautorizacinenelquesevaaejecutarlaaplicacin.Paraverlosnivelesdeconfianzadisponibles,utilice/showtrustlevels. /user: nombreDeCuentaDeUsuario " nombreDePrograma rutaDeAccesoAlArchivoDelPrograma " Especificaelnombredelacuentadeusuarioenlaqueseejecutarelprograma,elnombredelprogramaylarutadeaccesoalarchivodel programa. El formato de la cuenta de usuario debe ser usuario@ dominio o dominio\nombreDeUsuario. /? MuestraAyudaenelsmbolodelsistema.
Notas
Serecomiendaalosadministradoresutilizarunacuentaconpermisosrestrictivospararealizartareasrutinariasynoadministrativas,ascomo utilizarunacuentaconpermisosmenosrestrictivosslopararealizartareasadministrativasespecficas.Paraconseguirlosintenerquecerrare iniciarsesin,concteseconunacuentadeusuariohabitualyutiliceelcomandorunas para ejecutar las herramientas que requieran los permisos menos restrictivos. Para obtener ejemplos del uso del comando runas, vea Temas relacionados. Aunque el comando runassesueleutilizarconcuentasdeadministrador,suusonoestrestringidonicamenteaestetipodecuentas.Cualquier usuario con varias cuentas puede utilizar este comando para ejecutar un programa, una consola MMC o un elemento del Panel de control con credenciales alternativas. SideseautilizarlacuentaAdministradorensuequipo,paraelparmetro/user: , escriba una de las siguientes opciones: /user:nombreDeCuentaDeAdministrador@ nombreDeEquipo /user:nombreDeEquipo\nombreDeCuentaDeAdministrador SI desea utilizar este comando como administrador de dominio, escriba una de las opciones siguientes: /user:nombreDeCuentaDeAdministrador@ nombreDeEquipo /user:nombreDeDominio\nombreDeCuentaDeAdministrador Con el comando runas, puede ejecutar programas (*.exe), consolas MMC guardadas (*.msc), accesos directos a programas y a consolas MMC guardadas,yelementosdelPaneldecontrol.Puedeejecutarestosprogramascomoadministradormientrasinicialasesinenelequipocomo miembro de otro grupo, por ejemplo, el grupo Usuarios o Usuarios avanzados. Puede utilizar el comando runasparainiciarcualquierprograma,unaconsolaMMCounelementodelPaneldecontrol.Siproporcionalainformacin decuentadeusuarioydecontraseacorrectas,lacuentadeusuariotienelacapacidaddeiniciarsesinenelequipo,yelprograma,consolaMMC oelementodelPaneldecontrolestardisponibleenelsistemayparalacuentadeusuario. Con el comando runas, puede administrar un servidor en otro bosque (el equipo desde el que ejecuta una herramienta y el servidor que administra estnendominiosdiferentes). Siintentainiciarunprograma,unaconsolaMMCounelementodelPaneldecontroldesdeunaubicacinderedmedianterunas, es posible que se produzcan errores, ya que las credenciales utilizadas para conectar con el recurso compartido de red son diferentes de las utilizadas para iniciar el programa.Esposiblequestasnopuedanteneraccesoalmismorecursocompartidodered. Algunos elementos, como la carpeta Impresoras y los elementos del escritorio, se abren indirectamente y no se pueden iniciar con el comando runas. Si se producen errores en el comando runas, es posible que el servicio Iniciodesesinsecundarionoseestejecutandooquelacuentade usuarioqueutilizanoseavlida.ParacomprobarelestadodelservicioIniciodesesinsecundario,enAdministracindeequipos,hagaclicen Servicios y aplicacionesy,acontinuacin,enServicios.Paraprobarlacuentadeusuario,intenteiniciarlasesineneldominioapropiadocon dicha cuenta.
Ejemplos
Parainiciarunainstanciadelsmbolodelsistemacomoadministradorenelequipolocal,escriba: runas /user: nombreDeEquipoLocal \administrator cmd Escribalacontraseadeladministradorcuandolasolicite. ParainiciarunainstanciadelcomplementoAdministracindeequiposmedianteunacuentadeadministradordedominiodenominada dominioCompaa\adminDominio,escriba: runas/user:dominioCompaa\adminDominio"mmc%windir%\system32\compmgmt.msc"
Escribalacontraseadelacuentacuandoselesolicite. Para iniciar una instancia del Bloc de notas mediante una cuenta de administrador de dominio denominada usuario en el dominio dominio.microsoft.com, escriba: runas /user:usuario@dominio.microsoft.com "notepad mi_archivo.txt" Escribalacontraseadelacuentacuandoselesolicite. Parainiciarunainstanciadeunaventanadelsmbolodelsistema,unaconsolaMMCguardada,unelementodelPaneldecontrolounprogramaque administrarunservidordeotrobosque,escriba: runas /netonly /user: dominio \ nombreDeUsuario " comando " dominio \ nombreDeUsuariodebeserunusuarioconsuficientespermisosparaadministrarelservidor.Escribalacontraseadelacuentacuandosele solicite.
Leyenda de formato
Formato Cursiva
Significado Informacinquedebesuministrarelusuario Elementos que debe escribir el usuario exactamente como se muestran Parmetroquesepuederepetirvariasvecesenunalneade comandos Elementos opcionales
Negrita
Puntos suspensivos (...)
Entre corchetes ([]) Entre llaves ({}); opciones separadas por barras verticales (|). Ejemplo: {par|impar}
Conjuntodeopcionesdelasqueelusuariodebeelegirslouna
Courier font
Cdigooresultadodelprograma
Vea tambin
Cmd1 ReferenciaAZdelalneadecomandos2 Introduccinalshelldecomandos3 Crear un acceso directo mediante el comando runas4
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756086(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc778084(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc737438(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc781769(v=ws.10).aspx
Control de acceso
Control de acceso
Paraprotegerunequipoysusrecursos,debetenerencuentalosderechosquetendrnlosusuarios.Puedeprotegerunequipoovariossiconcede derechosdeusuarioespecficosausuariosogrupos.Para proteger un objeto, por ejemplo un archivo o una carpeta, asigne permisos con los que los usuarios o grupos puedan realizar acciones determinadas en ese objeto. Para obtener sugerencias acerca del control de acceso, vea Prcticasrecomendadasdecontroldeacceso1. Paraobtenerayudacontareasespecficas,veaProcedimientos de control de acceso2. Paraobtenerinformacinbsicageneral,veaConceptos de control de acceso3.
Tabla de vnculos
Prcticasrecomendadasdecontroldeacceso
Prcticas recomendadas
Prcticasrecomendadasparapermisosyderechosdeusuario1 PrcticasrecomendadasparaasignarpermisosdeobjetosdeActiveDirectory2
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779601(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx
Prcticasrecomendadasparapermisosyderechosdeusuario
Prcticas recomendadas para permisos y derechos de usuario Asignar permisos a grupos en vez de a usuarios
Comonoesmuyeficazmantenercuentasdeusuariodirectamente,laasignacindepermisosporusuariodeberealizarseexcepcionalmente.
Los permisos Denegar deben utilizarse en determinados casos especiales

Utilice Denegar permisos para excluir un subconjunto de un grupo que tiene permisos permitidos. Utilice Denegar para excluir un permiso especial cuando ya haya concedido control total a un usuario o un grupo.
Utilizar plantillas de seguridad

En vez de definir permisos individuales, utilice plantillas de seguridad siempre que sea posible. Paraobtenerinformacinacercadelasplantillasde seguridad, vea Plantillas de seguridad1.
Si es posible, se debe evitar cambiar las entradas de permiso predeterminadas de objetos del sistema de archivos, en especial de las carpetas del sistema y las carpetas raz
Cambiarlospermisospredeterminadospodraprovocarproblemasdeaccesoinesperadosoreducirlaseguridad.
No denegar nunca al grupo Todos el acceso a un objeto

Sideniegaatodoselpermisoaunobjeto,estoincluiralosadministradores.UnasolucinmejorseraquitarelgrupoTodos,acondicindequese proporcionen permisos para dicho objeto a a otros usuarios, grupos o equipos.
Asignar permisos a un objeto en el nivel ms alto posible del rbol y, luego, aplicar herencia para propagar la configuracin de seguridad por el rbol
Puedeaplicarrpidayeficazmentelaconfiguracindecontroldeaccesoatodoslosobjetossecundariosoaunsubrboldeunobjetoprincipal.De estamanera,selogranlosmejoresresultadosconelmenoresfuerzo.Laconfiguracindepermisosqueestablezcadebeseradecuadaparala mayoradelosusuarios,gruposyequipos.
Los privilegios pueden suplantar algunas veces a los permisos

Losprivilegiosylospermisospuedenserdistintos,ydebesaberloquepuedepasarenesecaso.Paraobtenermsinformacin,veaPrivilegios2.
Para los permisos en objetos de Active Directory, hay que asegurase de haber comprendido las prcticas recomendadas especficas para objetos de Active Directory
ActiveDirectorytienesupropioconjuntodeprcticasrecomendadasrelativasalospermisos.Paraobtenermsinformacin,veaPrcticas recomendadas para asignar permisos de objetos de Active Directory3 Paraobtenermsinformacin,veaAsignar derechos de usuario para el equipo local4 y Definir, ver, cambiar o quitar permisos de archivos y carpetas5. Notas LospermisosDenegarheredadosnoimpidenelaccesoaunobjetosistecuentaconunaentradadepermisoexplcitoPermitir. Lospermisosexplcitostienenprioridadsobrelospermisosheredados,incluidoslospermisosDenegarheredados.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc772881(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc740217(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc780121(v=ws.10).aspx
Plantillas de seguridad
Plantillas de seguridad
Unaplantilladeseguridadesunarchivoquerepresentaunaconfiguracindeseguridad.Lasplantillasdeseguridadsepuedenaplicaraunequipolocal, importar a un objeto de directiva de grupo o utilizar para analizar la seguridad. Antes de continuar, vea Listadecomprobacin:protegerlosequiposmedianteelAdministradordeconfiguracindeseguridad1. Si desea obtener sugerencias sobre el uso de las plantillas de seguridad, vea Prcticasrecomendadasparaplantillasdeseguridad2. Paraobtenerayudaacercadetareasespecficas,veaSecurity Templates How To ...3. Paraobtenerinformacingeneral,veaSecurity Templates Concepts4. Paraobtenerinstruccionessobrecmosolucionarproblemas,veaSecuring Data Troubleshooting5. Otras herramientas de directivas de seguridad:
Herramienta del Administrador de configuracindeseguridad Configuracinyanlisisdeseguridad6
Descripcin Puede utilizar esta herramienta para analizar o configurar la seguridad de los equipos, utilizando una plantilla de seguridad. Puedeutilizarestaherramientaparamodificarlaconfiguracindeseguridadindividualdeundominio,sitio o unidad organizativa de Active Directory.
Security Settings extension to Group Policy7
Directiva de seguridad local8 Secedit9
Puedeutilizarestaherramientaparamodificarlaconfiguracindeseguridadindividualdelequipolocal.
Puedeutilizarestaherramientaparaautomatizartareasdeconfiguracindeseguridad.
Paraobtenermsinformacinacercadecadaopcindeseguridad,veaDescripcindelaconfiguracindeseguridad10.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756995(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc757576(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd996705(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd996691(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349322(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc742482(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/dd349323(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc755686(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc742472(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc739828(v=ws.10).aspx
Privilegios
Privilegios
Parafacilitarlatareadeadministrarcuentasdeusuario,deberaasignarprivilegiosprincipalmenteacuentasdegrupo,enlugardeacuentasdeusuario individuales.Alasignarprivilegiosaunacuentadegrupo,alosusuariosselesasignarnautomticamenteesosprivilegioscuandopasenaformarparte delgrupo.Estemtododeadministrarprivilegiosesmsfcilqueasignarprivilegiosindividualesacadacuentadeusuariocuandosecree. En la tabla siguiente se muestran y describen los privilegios que se pueden conceder a un usuario.
Privilegio
Descripcin Estederechodeusuariopermitequeunprocesosuplanteacualquierusuariosinautenticacin.De esta forma, el proceso puede obtener acceso a los mismos recursos locales que el usuario.
Actuar como parte del sistema operativo
LosprocesosquerequierenesteprivilegiodeberanutilizarlacuentasistemaLocal, que ya incluye este privilegio, en lugar de una cuenta deusuarioindependientealaquesehaasignadoesteprivilegioespecficamente.Silaorganizacinutilizanicamenteservidoresqueson miembros de la familia de servidores de Windows Server 2003, no es necesario asignar este privilegio a los usuarios. Sin embargo, si la organizacinutilizaservidoresqueejecutanWindows2000oWindowsNT4.0,esposiblequetengaqueasignaresteprivilegiopara utilizaraplicacionesqueintercambiancontraseasdetextosimple. Valor predeterminado: Sistema local. Estaconfiguracindeseguridaddeterminalosgruposousuariosquepuedenagregarestacionesdetrabajoaundominio.
Sloesvlidaencontroladoresdedominio.Demanerapredeterminada,cualquierusuarioautenticadotienederechoacrearhasta10 Agregar cuentas de equipo en el dominio. estaciones de Al agregar una cuenta de equipo al dominio, al equipo se le permite participar en redes basadas en Active Directory. Por ejemplo, al trabajo a un agregarunaestacindetrabajoaundominio,sehabilitaalaestacinparaquereconozcacuentasygruposqueexistanenActive dominio Directory. Valor predeterminado: Usuarios autenticados en controladores de dominio. Esteprivilegiodeterminaquinpuedecambiarlamemoriamximaqueunprocesopuedeconsumir. Ajustar las cuotas de EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla memoria de un directiva de seguridad local de estaciones de trabajo y servidores. proceso Valor predeterminado: Administradores. Realizar copias Este derecho de usuario determina los usuarios que pueden omitir los permisos de archivos y directorios, del Registro y de otros objetos de seguridad persistentes con el fin de realizar copias de seguridad del sistema. de archivos y Valor predeterminado: Administradores y Operadores de copia de seguridad. directorios Estederechodeusuariodeterminalosusuariosquepuedenrecorrerlosrbolesdedirectoriosaunquenotenganpermisosparael directoriorecorrido.Esteprivilegionopermitealusuariomostrarelcontenidodeundirectorio,sloledaelderechoarecorrerlos directorios. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Saltarse la comprobacin de recorrido Valor predeterminado: En estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos En controladores de dominio: Administradores Usuarios autenticados Este derecho de usuario determina los usuarios y grupos que pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios que tengan asignado este derecho pueden modificar la apariencia de los registros de sucesos. Si se cambia la hora del sistema, los sucesos registradosreflejarnestanuevahoraynolahorarealenlaqueseprodujeron. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Cambiar la hora del sistema Valor predeterminado: En estaciones de trabajo y servidores: Administradores Usuarios avanzados En controladores de dominio: Administradores Operadores de servidores Permitealusuariocrearycambiareltamaodeunarchivodepaginacin.Paraello,seespecificauntamaodearchivodepaginacin para una unidad determinada en Opciones de rendimiento, en la ficha Avanzadas de Propiedades del sistema. Valor predeterminado: Administradores
Crear un archivo de paginacin
Permiteaunprocesocrearunsmboloquesepuedeutilizarparateneraccesoacualquierrecursolocalcuandoelprocesoutilice NtCreateToken()uotraAPIdecreacindesmbolos. Crear un Se recomienda que los procesos que requieren este privilegio utilicen la cuenta LocalSystem, que ya incluye este privilegio, en lugar de objetosmbolo utilizar una cuenta de usuario independiente a la que se ha asignado este privilegio. Valor predeterminado: ninguno Crear objetos EstaopcindeseguridaddeterminaqucuentaspuedencrearobjetosglobalesenunasesindeServiciosdeTerminalServer. globales Valor predeterminado: Administradores y Sistema local. Permite que un proceso cree un objeto de directorio en el administrador de objetos de la familia de servidores de Windows Server 2003 y Crear objetos eladministradordeobjetosdeWindowsXPProfessional.Esteprivilegioestilparacomponentesenmododencleoqueextiendenel espaciodenombresdelosobjetos.Loscomponentesqueseejecutanenelmododencleoyatienenesteprivilegioasignado,noes compartidos permanentes necesario asignarlo. Valor predeterminado: ninguno Estederechodeusuariodeterminalosusuariosquepuedenasignarundepuradoracualquierprocesooalncleo.Noesnecesarioasignar este derecho de usuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevos componentesdelsistemanecesitarnestederechodeusuarioparapoderhacerlo.Estederechodeusuarioproporcionaaccesocompleto a componentes confidenciales y esenciales del sistema operativo. Valor predeterminado: Administradores Sistema local EstaconfiguracindeseguridaddeterminalosusuariosquepuedenestablecerlaconfiguracinSeconfaparadelegacin en un objeto de usuario o equipo. Habilitar la confianza para ladelegacin de las cuentas de usuario y de equipo El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objeto deusuariooequipo.Unprocesodeservidorqueseejecutaenunequipo(oenuncontextodeusuario)enelqueseconfaparala delegacinpuedeteneraccesoarecursosenotroequipomediantelascredencialesdelegadasdelcliente,siemprequelacuentadel cliente no tenga activado el indicador de control de cuenta La cuenta es importante y no se puede delegar. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado: En controladores de dominio: Administradores Estaconfiguracindeseguridaddeterminalosusuariosalosquesepermiteapagarunequipodesdeunaubicacinremotadelared.El usoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Forzar el apagado desde un sistema remoto EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidor Estaconfiguracindeseguridaddeterminalascuentasquepuedeutilizarunprocesoparaagregarentradasalregistrodeseguridad.El registro de seguridad se utiliza para realizar un seguimiento del acceso no autorizado al sistema. El uso incorrecto de este derecho de usuariopuededarlugaralageneracindemuchossucesosdeauditora,quepodranocultarlaexistenciadeunataqueuocasionarla denegacindeserviciosilaconfiguracindeladirectivadeseguridadAuditora:apagarelsistemadeinmediatosinopuede registrarauditorasdeseguridadesthabilitada.Paraobtenermsinformacin,veaAuditora:apagarelsistemadeinmediatosino puederegistrarauditorasdeseguridad1. Valor predeterminado: Sistema local. Suplantar a un Estaopcindeseguridaddeterminaqucuentaspuedensuplantaraotrascuentas. cliente despusdela Valor predeterminado: Administradores y Servicio. autenticacin EstaconfiguracindeseguridaddeterminalascuentasquepuedenutilizarunprocesoconelaccesoPropiedaddeescrituraaotro procesoparaaumentarlaprioridaddeejecucinasignadaalotroproceso.Unusuarioconesteprivilegiopuedecambiarlaprioridadde programacindeunprocesoatravsdelainterfazdeusuariodelAdministradordetareas. Valor predeterminado: Administradores.
Depurar programas
Generar auditorasde seguridad
Aumentar la prioridad de una programacin
Estederechodeusuariodeterminalosusuariosquepuedencargarydescargardeformadinmicacontroladoresdedispositivosuotro Cargar y cdigoenmododencleo.EstederechodeusuarionoseaplicaacontroladoresdedispositivosPlugandPlay.Serecomiendanoasignar descargar este privilegio a otros usuarios. Utilice en su lugar la API StartService(). controladores de dispositivo Valor predeterminado: Administradores. Se recomienda no asignar este privilegio a otro usuario. Los controladores de dispositivos se ejecutan como programas de confianza (o con privilegios altos). Estaconfiguracindeseguridaddeterminalascuentasquepuedenutilizarunprocesoparamantenerdatosenlamemoriafsica,conlo que se evita que el sistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativa al rendimiento del sistema, al disminuir la cantidad de memoria de acceso aleatorio (RAM) disponible. Valor predeterminado: ninguno. Ciertos procesos del sistema tienen el privilegio de forma inherente.
Bloquear pginasenla memoria
Estaconfiguracindeseguridaddeterminalosusuariosquepuedenespecificarlasopcionesdeauditoradeaccesoaobjetospara recursos individuales como archivos, objetos de Active Directory y claves del Registro. Estaconfiguracindeseguridadnopermitealusuariohabilitarlaauditoradeaccesoaarchivosyobjetosengeneral.Parahabilitarla,la Administrar los opcinAuditar el acceso a objetos2debeestarconfiguradaenConfiguracindelequipo\ConfiguracindeWindows\Configuracinde registros de seguridad\Directivaslocales\Directivasdeauditora. auditoray seguridad LossucesosauditadossemuestranenelregistrodeseguridaddelVisordesucesos.Unusuarioconesteprivilegiotambinpodrvery borrar el registro de seguridad. Valor predeterminado: Administradores. Estaconfiguracindeseguridaddeterminaquinpuedemodificarvaloresdeentornodefirmware.Lasvariablesdeentornodefirmware sonopcionesalmacenadasenlamemoriaRAMnovoltildelosequiposnobasadosenx86.Elefectodeestaconfiguracindependedel procesador. Enequiposbasadosenx86,elnicovalordeentornodefirmwarequepuedemodificarsemediantelaasignacindeestederechode usuarioeslaopcinLaltimaconfiguracinbuenaconocida,queslodebesermodificadaporelsistema. EnequiposbasadosenItanium,lainformacindeiniciosealmacenaenmemoriaRAMnovoltil.Losusuariosdebentenerasignado este derecho de usuario para ejecutar bootcfg.exeymodificarlaopcinSistemaoperativopredeterminadoenInicio y recuperacin, en Propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows. Valor predeterminado: Administradores Sistema local Hacer perfil de Estaconfiguracindeseguridaddeterminalosusuariosquepuedenutilizarlasherramientasdesupervisindelrendimientoconesefinen procesos que no son del sistema. un solo proceso Valor predeterminado: Administradores, Usuarios avanzados, Sistema local. Hacer perfil del rendimiento del sistema
Modificar valores de entorno del firmware
Estaconfiguracindeseguridaddeterminalosusuariosquepuedenutilizarlasherramientasdesupervisindelrendimientoconesefinen procesos del sistema. Valor predeterminado: Administradores, Sistema local.
Quitar el equipo de la estacinde acoplamiento
Estaconfiguracindeseguridaddeterminasiunusuariopuededesacoplarunequipoporttildesuestacindeacoplamientosininiciarla sesin. Sisehabilitaestadirectiva,elusuariodebeiniciarlasesinantesdequitarelequipoporttildesuestacindeacoplamiento.Sise deshabilita,elusuariopuedequitarelequipoporttildesuestacindeacoplamientosininiciarlasesin. Valor predeterminado: Deshabilitado. Determinaqucuentasdeusuariopuedeniniciarunprocesoparareemplazarelsmbolopredeterminadoasociadoconunsubproceso iniciado.
Reemplazar un smbolode EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupopredeterminadodelcontroladordedominioyenladirectivade proceso seguridad local de las estaciones de trabajo y servidores. Valor predeterminado: Servicio local y Servicio de red. Estaconfiguracindeseguridaddeterminalosusuariosquepuedenomitirlospermisosdearchivos,dedirectorios,delRegistroydeotros objetos persistentes al restaurar copias de seguridad de archivos y directorios, y los usuarios que pueden establecer un principal de seguridadvlidocomopropietariodeunobjeto. Enconcreto,estederechodeusuarioesequivalenteaconcederlossiguientespermisosalusuarioogrupoencuestinparatodoslos archivos y carpetas del sistema: Recorrer carpeta o ejecutar archivo Escritura Valor predeterminado: Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad. Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor. Estaconfiguracindeseguridaddeterminalosusuariosquehaniniciadounasesinlocalmenteenelequipoypuedencerrarelsistema operativo mediante el comando Apagar. Elusoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Apagar el sistema Valor predeterminado: Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios. Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados. Controladoresdedominio:Opers.decuentas,Administradores,Operadoresdecopia,Opers.deservidoresyOpers.deimpresin. Sincronizar datos del servicio de directorio Tomar posesinde archivos y otros objetos
Restaurar archivos y directorios
Estaconfiguracindeseguridaddeterminalosusuariosygruposquetienenautoridadparasincronizartodoslosdatosdelserviciode directorio.TambinseconocecomosincronizacindeActiveDirectory. Valores predeterminados: ninguno.
Estaconfiguracindeseguridaddeterminalosusuariosquepuedentomarposesindecualquierobjetoquesepuedaprotegerenel sistema, como objetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. Valor predeterminado: Administradores
Algunosdeestosprivilegiospuedensuplantaralospermisosestablecidosparaunobjeto.Porejemplo,unusuarioquehayainiciadounasesinenuna cuenta de dominio que pertenezca al grupo Operadores de copia tiene derecho a realizar tareas de copia de seguridad en todos los servidores del dominio. Sin embargo, esto requiere la capacidad de leer todos los archivos en estos servidores, incluso los archivos para los que sus propietarios han establecidopermisosquedenieganexplcitamenteelaccesoatodoslosusuarios(incluidoslosmiembrosdelgrupoOperadoresdecopia).Underechode usuario, en este caso el derecho a realizar copias de seguridad, tiene prioridad sobre todos los permisos de archivos y directorios. Paraobtenermsinformacin,veaDerechosdeiniciodesesin3, Derechos de usuario4 y HerramientasdelAdministradordeconfiguracindeseguridad5. Nota Enunsmbolodelsistema,puedeescribirwhoami /priv para ver sus privilegios. Paraobtenermsinformacinacercadelcomandowhoami, vea Whoami6.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc739010(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc728212(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778337(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc773267(v=ws.10).aspx
Auditora:apagarelsistemadeinmediatosinopuederegistrar auditorasdeseguridad
Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad Descripcin
Estaconfiguracindeseguridaddeterminasielsistemaseapagacuandonopuederegistrarsucesosdeseguridad. Sisehabilitaestaopcindeconfiguracindeseguridad,elsistemasedetendrcuandonopuedaregistrarunaauditoradeseguridadporalgnmotivo. Generalmente,unsucesonosepuederegistrarcuandoelregistrodeauditoradeseguridadestllenoyelmtododeretencinespecificadoparael archivo de registro es No sobrescribir sucesos o Sobrescribirsucesospordas. Sielregistrodeseguridadestlleno,nosepuedesobrescribirunaentradaexistenteyestaopcindeseguridadesthabilitada,aparecerelerrorgrave siguiente: ERRORGRAVE:C0000244{Errordeauditora} Erroralintentargenerarunaauditoradeseguridad. Paraprocederalarecuperacin,unadministradordebeiniciarsesin,archivarelregistro(opcional),borrarelregistroyrestablecerestaopcincomose desee.Hastaquenoserestablezcaestaconfiguracindeseguridad,ningnusuario,exceptolosmiembrosdelgrupoAdministradores,podriniciaruna sesinenelsistema,aunqueelregistrodeseguridadnoestlleno. Nota Cuandoseestableceestaconfiguracindeseguridad,loscambiosnosurtenefectohastaquesereiniciaWindows. Valor predeterminado: Deshabilitado.
Establecer esta configuracin de seguridad

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Opcionesdeseguridad\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Auditar sucesos de seguridad2 HerramientasdelAdministradordeconfiguracindeseguridad3
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Modificarlaconfiguracindeseguridadenunobjetodedirectivade grupo
Para modificar una opcin de configuracin de seguridad en un objeto de directiva de grupo
Elijaelentornoadecuadoenelquedeseamodificarunaopcindeconfiguracindeseguridad: Para el equipo local Paraunobjetodedirectivadegrupo,siestenunaestacindetrabajoounservidorquesehaunidoaundominio. Paraunobjetodedirectivadegrupo,siestenuncontroladordedominiooenunaestacindetrabajoquetengainstaladoelPaquetede herramientasdeadministracindeWindowsServer2003. Sloparacontroladoresdedominio,siestenuncontroladordedominio.
Para el equipo local

1. AbraConfiguracindeseguridadlocal. 2. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. 3. Realice una de estas acciones: Para modificar la Directivadecontraseas o la Directiva de bloqueo de cuentas, haga clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad, haga clic en Directivas locales. 4. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracinquedeseemodificar. 5. Modifiquelaopciny,despus,hagaclicenAceptar. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento. Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuracin, haga clic en Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad local.
Para un objeto de directiva de grupo, si est en una estacin de trabajo o un servidor que se ha unido a un dominio.
1. En la barra de tareas, haga clic en Inicio, seleccione Ejecutar, escriba mmc y haga clic en Aceptar. 2. Enlaconsola,enelmenArchivo, haga clic en Agregar o quitar complemento. 3. En Agregar o quitar complemento, haga clic en Agregar y,acontinuacin,enAgregar un complemento independiente, haga doble clic en Editor de objetos de directiva de grupo. 4. En Seleccionar un objeto de directiva de grupo, haga clic en Examinar, busque el objeto de directiva que desee modificar y haga clic en Finalizar. 5. Haga clic en Cerrary,despus,hagaclicenAceptar. 6. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. Dnde? DirectivaObjetodedirectivadegrupo[nombreDeEquipo]\Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad 7. Realice una de estas acciones: Para modificar la Directivadecontraseas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, en el panel de detalles, haga doble clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad, en el panel de detalles, haga doble clic en Directivas locales. Paramodificarlaconfiguracindelregistrodesucesos,enelrboldelaconsola,hagaclicenRegistro de sucesos. 8. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracindeseguridadquedeseemodificar. 9. (Opcional)Siestaopcinnosehadefinidotodava,activelacasilladeverificacinDefinirestaconfiguracindedirectiva. 10. Modifiquelaopciny,despus,hagaclicenAceptar. Nota Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.
Para un objeto de directiva de grupo, si est en un controlador de dominio o en una estacin de trabajo que tenga instalado el Paquete de herramientas de administracin de Windows Server 2003.
1. Abra Usuarios y equipos de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundariodelmouse(ratn)enelobjetodedirectivadegrupocuyaconfiguracinde seguridad desee modificar. 3. Haga clic en Propiedadesy,acontinuacin,enlafichaDirectiva de grupo. 4. Realice una de estas acciones: Para modificar un objeto de directiva de grupo existente, haga clic en Modificar. Para crear un objeto de directiva de grupo nuevo, haga clic en Nuevoy,acontinuacin,hagaclicenModificar. 5. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. Dnde? DirectivaObjetodedirectivadegrupo[nombreDeEquipo]\Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad 6. Realice una de estas acciones: Para modificar la Directivadecontraseas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, haga clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad, haga clic en Directivas locales. Paramodificarlaconfiguracindelregistrodesucesos,hagaclicenRegistro de sucesos. 7. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracinquedeseemodificar. 8. (Opcional)Siestaopcinnosehadefinidotodava,activelacasilladeverificacinDefinirestaconfiguracindedirectiva. 9. Modifiquelaopciny,despus,hagaclicenAceptar. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos
predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuacin,hagadobleclicenUsuarios y equipos de Active Directory.
Slo para controladores de dominio, si est en un controlador de dominio.

1. Abra Directiva de seguridad del controlador de dominio. 2. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. Dnde? DirectivaObjetodedirectivadegrupo[nombreDeEquipo]\Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad 3. Realice una de estas acciones: Para modificar la Directivadecontraseas, la Directiva de bloqueo de cuentas o la Directiva Kerberos,enelrboldelaconsola,haga doble clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad,enelrboldelaconsola, haga clic en Directivas locales. Paramodificarlaconfiguracindelregistrodesucesos,hagaclicenRegistro de sucesosenelrboldelaconsola. 4. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracindeseguridadquedeseemodificar. 5. (Opcional)Siestaopcinnosehadefinidotodava,activelacasilladeverificacinDefinirestaconfiguracindedirectiva. 6. Modifiquelaopciny,despus,hagaclicenAceptar. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Directiva de seguridad del controlador de dominio, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad del controlador de dominio. Notas Cuando cree una directiva nueva haga siempre una prueba en una unidad organizativa experimental antes de aplicarla a la red. AlcambiarunaopcindeconfiguracindeseguridadyhacerclicenAceptar,elcambiotendrefectolaprximavezqueseactualicela configuracin. Laconfiguracindeseguridadseactualizacada90minutosenunaestacindetrabajoounservidor,ycada5minutosenuncontroladorde dominio.Laconfiguracinseactualizatambincada16horas,conindependenciadequeseproduzcancambiosono.

Vea tambin
Trabajar con archivos de consola de MMC5 Aplicarunaconfiguracindeseguridad6 PrcticasrecomendadasparaConfiguracindeseguridad7
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc772621(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc778512(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc739377(v=ws.10).aspx
Auditar el acceso a objetos

Actualizado: enero de 2005 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Auditar el acceso a objetos Descripcin

Estaconfiguracindeseguridaddeterminasisedebeauditarelsucesodeunusuarioqueobtieneaccesoaunobjeto(porejemplo,unarchivo,carpeta, clave del Registro, impresora, etc.) que tiene especificada su propia lista de control de acceso al sistema (SACL). Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandounusuarioobtieneaccesoaunobjetoquetieneespecificadaunaSACLapropiada.Lasauditoras deerroresgeneranunaentradadeauditoracuandounusuariointentaobteneracceso,sinlograrlo,aunobjetoquetieneespecificadaunaSACL. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Observe que puede establecer SACL en un objeto sistema de archivos mediante la ficha SeguridadenelcuadrodedilogoPropiedades del objeto. Valor predeterminado:Sinauditora.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivadeauditora\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeauditora,veaDefiniromodificarlaconfiguracindedirectivade auditoraparaunacategoradesucesos1.
Sucesos de acceso a objetos 560 562
Descripcin Se ha concedido acceso a un objeto ya existente. Se ha cerrado un identificador de objeto. Seintentabrirunobjetoconlaintencindeeliminarlo.
563
Nota los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile().
564 565
Se ha eliminado un objeto protegido. Se ha concedido acceso a un tipo de objeto ya existente. Se ha utilizado un permiso asociado a un identificador. Nota
567 un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador, segenerahastaunaauditoraparacadaunodelospermisosutilizados.
568 569
Seintentcrearunvnculofsicoaunarchivoqueseestauditando. EladministradorderecursosdelAdministradordeautorizacinintentcrearuncontextodecliente. Un cliente ha intentado tener acceso a un objeto.
570
Nota segenerarunsucesoparacadaoperacinquesehayaintentadoenelobjeto.
571 572 772 773
ElcontextodeclientefueeliminadoporlaaplicacinAdministradordeautorizacin. Eladministradordeadministradoreshainicializadolaaplicacin. Eladministradordecertificadosdenegunasolicituddecertificadopendiente. ServiciosdeCertificateServerrecibiunasolicituddecertificadoreenviada.
774 775 776 777 778 779 780 781 782 783 784 785 786 787 788 789 790 791 792 793 794 795 796 797 798 799 800 801
ServiciosdeCertificateServerrevocuncertificado. ServiciosdeCertificateServerrecibiunasolicitudparapublicarlalistaderevocacindecertificados(CRL). ServiciosdeCertificateServerpubliclalistaderevocacindecertificados(CRL). Seharealizadounaextensindesolicituddecertificados. Semodificaronunoomsatributosdesolicituddecertificados. ServiciosdeCertificateServerrecibiunasolicitudparacerrar. La copia de seguridad de Servicios de Certificate Server se ha iniciado. La copia de seguridad de Servicios de Certificate Server ha finalizado. LarestauracindeServiciosdeCertificateServerhacomenzado. LarestauracindeServiciosdeCertificateServerhafinalizado. Servicios de Certificate Server iniciados. Servicios de Certificate Server detenidos. Los permisos de seguridad para Servicios de Certificate Server han cambiado. Servicios de Certificate Server ha recuperado una clave archivada. Servicios de Certificate Server ha importado un certificado en su base de datos. ElfiltrodeauditoraparaServiciosdeCertificateServerhacambiado. Servicios de Certificate Server ha recibido una solicitud de certificado. Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. ServiciosdeCertificateServerhadenegadounapeticindecertificado. ServiciosdeCertificateServerestablecielestadodeunasolicituddecertificadocomopendiente. LaconfiguracindeladministradordecertificadosparaServiciosdeCertificateServerhacambiado. UnaentradadeconfiguracinenServiciosdeCertificateServerhacambiado. Una propiedad de Servicios de Certificate Server ha cambiado. ServiciosdeCertificateServerarchivunaclave. ServiciosdeCertificateServerimportyarchivunaclave. ServiciosdeCertificateServerpublicuncertificado. Unaomsfilassehaneliminadodelabasededatosdecertificados. Separacindefuncioneshabilitada.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaSucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Auditar el acceso del servicio de directorio3 Directivadeauditora4 Prcticasrecomendadasparaauditarsucesosdeseguridad5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc728087(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
PrcticasrecomendadasparaasignarpermisosdeobjetosdeActive Directory
Prcticas recomendadas para asignar permisos de objetos de Active Directory
ParaobtenerinformacinacercadelaseguridadyelcontroldeaccesoenActiveDirectory,veaProteger Active Directory1 y Control de acceso en Active Directory2.
Si es posible, evitar cambiar los permisos predeterminados de objetos de Active Directory

Cambiarlospermisospredeterminadospodraocasionarproblemasdeaccesoinesperadosoreducirlaseguridad.
Evitar conceder permisos de Control total sobre un objeto o una unidad organizativa
ConcederpermisosdeControltotallespermitetomarposesindeunobjetoymodificarsuspermisos.Sialguientienecontroltotalenun contenedor,puedetomarposesindetodoslosobjetosdeesecontenedorytenercontroltotalsobreellos.Mientrasseaposible,enlugarde permitircontroltotal,proporcioneslolospermisosqueelusuarionecesita.
Minimizar el nmero de entradas de control de acceso que se aplican a objetos secundarios

SiutilizalaopcinAplicarenparacontrolarlaherencia,tengaencuentaquenoslolosobjetosespecificadosheredarnesaentradadecontrolde acceso(ACE),sinoquetambintodoslosobjetossecundariosrecibirnunacopiadelamisma.Si existen muchos objetos que reciben copias de esa ACE, esa gran cantidad de datos puede ocasionar problemas de rendimiento en la red.
Cuando sea posible, asignar el mismo grupo de permisos a varios objetos

Laslistasdecontroldeacceso(ACL)delafamiliadeservidoresWindowsServer2003presentanlacaractersticadecreacindeinstanciasnicas: sivariosobjetostienenlistasdecontroldeaccesoidnticas(ACL),ActiveDirectorysloalmacenarunainstanciadelaACL.Paraobtenerms informacinacercadecmofuncionalaherenciaenlosobjetosdeActiveDirectory,veaCambiar los permisos heredados3.
Cuando sea posible, asignar derechos de acceso en un nivel ms amplio en lugar de asignar derechos de usuario individuales
Alreducirelnmerodeentradasdecontroldeaccesoaumentarelrendimiento. Permita "Leer todas las propiedades" o "Escribir todas las propiedades" en lugar de propiedades individuales. Permita acceso de lectura y escritura a conjuntos de propiedades en lugar de a propiedades individuales. Unconjuntodepropiedadesesunacoleccindeatributos.Porejemplo,elconjuntodepropiedadesInformacinpersonalincluyelosatributos direccin,ttulopersonal,etc.Aldefinirelaccesoparaelconjuntodepropiedades,setieneaccesoautomticamenteatodoslosatributos contenidos en dicho conjunto de propiedades. Permita "Crear todos los objetos secundarios" o "Eliminar todos los objetos secundarios", en lugar de especificar objetos secundarios individuales. Permita "Todos los derechos extendidos" en lugar de permitir derechos extendidos individuales. Permita "Todas las escrituras validadas" en lugar de permitir derechos validados individuales. Nota Hay veces que asignar permisos individuales es adecuado. Por ejemplo, si un operador de asistencia al cliente necesita acceso de escritura a dos propiedades de un objeto de usuario, tiene sentido utilizar una entrada de control de acceso (ACE) para cada una de ellas, en lugar de intentar usarslounaACEconcediendoaccesodeescrituraatodoelobjetodeusuario.
Siempre que sea posible, asignar permisos a grupos en vez de a usuarios

Utilice grupos para delegar autoridad sobre el directorio. Si un grupo de usuarios necesita permisos de lectura y otro permisos de cambio, agrupe los usuariosenfuncindeltipodepermisoyasignelospermisosalgrupo.Sivariosgruposglobalesnecesitanelmismoacceso,creeungrupolocalque contenga los grupos globales y asigne los permisos al grupo local. Paraobtenermsinformacin,veaPermisos de objeto de Active Directory4. Precaucin ElfuncionamientodeldominiopuedevolverseinestablesieltamaototaldetodoslospermisosdeActiveDirectoryseaproximaala capacidaddealmacenamientoeneldiscoodevelocidaddeprocesamientodelcontroladordedominio.Minimiceelnmerodepermisos individuales que se propagan a objetos secundarios. Notas LospermisosDenegarheredadosnoimpidenelaccesoaunobjetosistecuentaconunaentradadepermisoexplcitaPermitir. Lospermisosexplcitostienenprioridadsobrelospermisosheredados,inclusosobrelospermisosheredadosDenegar.
Tabla de vnculos
Proteger Active Directory

Proteger Active Directory
ActiveDirectoryofreceunentornodedirectorioseguroparalaorganizacingraciasalaautenticacindeiniciodesesinylaautorizacindeusuarios integradas.ParaprotegertodavamsActiveDirectoryunavezimplementado,considerelassiguientesprecaucionesyrecomendaciones. ParaobtenerinformacingeneraldeseguridadacercadeActiveDirectory,veaInformacindeseguridadparaActiveDirectory1. Paraobtenermsinformacinsobrelaautenticacin,veaeldocumentoacercadeliniciodesesinylaautenticacinenelsitio Web de kits de recursos de Microsoft Windows2(eningls).Paraobtenermsinformacinsobrelaautorizacin,veaeldocumentoacercadelaautorizacinyelcontrolde acceso en el sitio Web de kits de recursos de Microsoft Windows3(eningls). Importante Elaccesofsicoauncontroladordedominiopuedepermitirelaccesonoautorizadodeunusuariomalintencionadoalascontraseascifradas.Porlo tanto,serecomiendaguardartodosloscontroladoresdedominiobajollaveenunlugarseguroconaccesopblicolimitado.Adems,deberlimitar lapertenenciaalosgruposAdministradoresdeorganizacin,Administradoresdeldominio,Operadoresdecuentas,Operadoresdeservidores, OperadoresdeimpresinyOperadoresdecopiadeseguridadalpersonaldeconfianzadesuorganizacin.Paraobtenermsinformacinacercade los controladores de dominio y los grupos, vea Controladores de dominio4 y Grupos predeterminados5.
Para Administrarlarelacindeseguridadentredosbosquesysimplificarla administracindeseguridadylaautenticacinentrebosques.
Use Confianzas de bosque Vea Confianzas de bosque6. Directiva de grupo
Forzarquelosusuariosdeldominioutilicencontraseasseguras.
Vea Contraseasseguras7. Directiva de grupo Vea Directivadeauditora8. Directiva de grupo Vea Tipos de grupos9.
Habilitarladirectivadeauditora.Laauditoradelosregistrosdesucesos puede avisarle de acciones que pueden suponer un riesgo de seguridad.
Asignar derechos de usuario a los nuevos grupos de seguridad, de forma quepuedadefinirespecficamentelafuncinadministrativadeunusuario en el dominio.
Aplicar los bloqueos de cuentas en las cuentas de usuario para reducir la Directiva de grupo posibilidad de que un intruso ponga en peligro el dominio mediante repetidos intentosdeiniciodesesin. Vea Cuentas de usuarios y equipos10. Directiva de grupo Vea Forzarelhistorialdecontraseas11. Directiva de grupo Vea Duracinmnimadelacontrasea12, Duracinmximadela contrasea13. Infraestructuradeclavespblicas Vea Implementarunainfraestructuradeclavespblicas14. Ejecutar como Vea Utilizar Ejecutar como15. Grupos de seguridad Vea Tipos de grupos9. Filtrado de SID Evitarataquesdeusuariosmalintencionadosquepodranintentarconceder Veaeldocumentoacercadecmoutilizarelfiltradodeidentificadoresde derechos de usuario elevados a otra cuenta de usuario. seguridad(SID)paraimpedirataquesdeelevacindeprivilegios(eningls) en el sitio Web de Microsoft16. Tarjetas inteligentes Vea Introduccinalastarjetasinteligentes17. Syskey Vea Utilidad de clave del sistema18.
Aplicarelhistorialdecontraseasenlascuentasdeusuarioparareducirla posibilidad de que un intruso ponga en peligro el dominio.
Aplicarladuracinmximaymnimadelacontraseaenlascuentasde usuario para reducir la posibilidad de que un intruso ponga en peligro el dominio.
Comprobar y autenticar la validez de cada usuario mediante el uso de criptografadeclavespblicas.
Promoverunentornooperativoseguromediantelaejecucindelequiposin credenciales administrativas, excepto cuando sea necesario.
Limitar el acceso de usuarios, grupos y equipos a los recursos compartidos yfiltrarlaconfiguracindeDirectivadegrupo.
Proporcionarautenticacindeusuariodifcildemanipularyseguridadde correoelectrnico.
Utilizartcnicasdecifradosegurasparaprotegerlainformacinde contraseasdecuentasenequiposlocales,servidoresmiembroo controladores de dominio.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=4564 3http://go.microsoft.com/fwlink/?LinkId=4565 4http://technet.microsoft.com/es-es/library/cc759623(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc755700(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc759279(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc758950(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc779758(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc736566(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc776679(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 16http://go.microsoft.com/fwlink/?LinkID=7582 17http://technet.microsoft.com/es-es/library/cc778536(v=ws.10).aspx 18http://technet.microsoft.com/es-es/library/cc783856(v=ws.10).aspx
InformacindeseguridadparaActiveDirectory
Informacin de seguridad para Active Directory
ActiveDirectoryproporcionaunentornodedirectorioseguroparasuorganizacinpormediodedosdelascaractersticasprincipalesdelaAutoridadde seguridadlocal(LSA):laautenticacindeiniciodesesinylaautorizacindeusuariosintegradas.Laautenticacindeliniciodesesinylaautorizacin delusuarioestndisponiblesdeformapredeterminadayproporcionanproteccininmediataparaelaccesoalaredyparalosrecursosdered. ParaobtenerinformacinacercadeotrasherramientasdeseguridadquepuedeemplearparaunamayorproteccindeActiveDirectory,veaProteger Active Directory1 y PrcticasrecomendadasdeActiveDirectory2.
Proteger el acceso a la red

ActiveDirectoryrequierelaconfirmacindelaidentidaddeunusuarioantesdepermitirelaccesoalared,enunprocesoconocidoconelnombrede autenticacin.Deestemodo,losusuariosslotendrnqueproporcionaruniniciodesesinnicoaldominio(odominiosdeconfianza)paraobtener acceso a la red. Una vez que Active Directory haya confirmado la identidad del usuario, la Autoridad de seguridad local del dominio que realiza la autenticacincrearuntestigodeaccesoqueestableceelniveldeaccesoqueelusuarioposeeenlosrecursosdered.Paraobtenermsinformacin acercadelprocesodeautenticacin,veaControl de acceso en Active Directory3 y Certificadosyautenticacin4. ActiveDirectoryadmiteunaseriedeprotocolosestndardeseguridaddeInternetymecanismosdeautenticacinqueseusanparacomprobarla identidadenelprocesodeiniciodesesin,entrelosqueseincluyenKerberosV5,certificadosX.509v3,tarjetasinteligentes,infraestructuradeclaves pblicas(PKI,publickeyinfrastructure)yProtocololigerodeaccesoadirectorios(LDAP)atravsdeNiveldesocketsseguros(SSL,SecureSockets Layer). Laautenticacinentredominiostienelugaratravsdelasdenominadasconfianzas,quesonrelacionesestablecidasentredosomsdominiosque permiten al controlador de un dominio autenticar a los usuarios de otro dominio. Las relaciones de confianza pueden ser transitivas o intransitivas, si bien siempre deben estar presentes para que los usuarios de un dominio puedan teneraccesoalosrecursoscompartidosdeotrodominio.Paraobtenermsinformacin,veaConfianzas5. Ademsdeprotegerelaccesoderedatravsdelaautenticacin,ActiveDirectoryprotegelosrecursoscompartidospormediodelaautorizacindel usuario.UnavezqueActiveDirectoryhayaautenticadoeliniciodesesindeunusuario,losderechosdeusuarioasignadosasteatravsdelosgrupos deseguridad,ascomolospermisosasignadosenelrecursocompartido,determinarnsielusuariopuedeteneraccesoaeserecursoenparticular.Este procesodeautenticacinprotegelosrecursoscompartidosdeposiblesaccesosnoautorizadosy,almismotiempo,permiteelaccesonicamentea usuarios o grupos autorizados. Paraobtenermsinformacinacercadelosderechosdeusuarioylosgruposdeseguridad,veaTipos de grupos6.Paraobtenermsinformacinacerca de los derechos de usuario asignados a grupos predeterminados, vea Grupos predeterminados7.Paraobtenermsinformacinacercadelaautorizacin, vea"Diseodeunaestrategiadeautorizacin"enelsitio Web de Kits de recursos de Microsoft Windows8. Paraobtenermsinformacinacercadelaautenticacin,vea"Iniciodesesinyautenticacin"enelsitio Web de Kits de recursos de Microsoft Windows9. Paraobtenermsinformacinacercadelaautorizacinyelcontroldeacceso,vea"Autorizacinycontroldeacceso"enelsitio Web de Kits de recursos de Microsoft Windows10.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc785913(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc728278(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc786873(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 8http://go.microsoft.com/fwlink/?LinkId=4734 9http://go.microsoft.com/fwlink/?LinkId=4564 10http://go.microsoft.com/fwlink/?LinkId=4565
PrcticasrecomendadasdeActiveDirectory
Prcticas recomendadas
Comoprcticarecomendadadeseguridad,serecomiendaquenoinicieunasesinenelequipoconcredencialesadministrativas. Sihainiciadounasesinenelequiposincredencialesadministrativas,puedeutilizarEjecutarcomoparallevaracabolastareasadministrativas. Paraobtenermsinformacin,veaPorqunodebetrabajarenelequipocomoadministrador1 y Utilizar Ejecutar como2. ParaofrecerproteccinadicionalenActiveDirectory,serecomiendaqueimplementelassiguientesnormasdeseguridad: Cambie el nombre o deshabilite la cuenta Administrador (y la cuenta de invitado) en todos los dominios para evitar intrusiones en los dominios.Paraobtenermsinformacin,veaCuentas de usuarios y equipos3. Protejafsicamentetodosloscontroladoresdedominioenunasalacerrada.Paraobtenermsinformacin,veaControladores de dominio4 y Proteger Active Directory5. Administrarlarelacindeseguridadentredosbosquesysimplificarlaadministracindeseguridadylaautenticacinentrebosques.Para obtenermsinformacin,veaConfianzas de bosque6. ParaproporcionarproteccinadicionalparaelesquemadeActiveDirectory,quitetodoslosusuariosdelgrupoAdministradoresdeesquemay agregueunusuarioalgruposlocuandoseanecesariorealizarcambiosenelesquema.Unavezrealizadoelcambio,quiteelusuariodel grupo. Restrinjaelaccesodeusuarios,gruposyequiposalosrecursoscompartidosyalaconfiguracindeDirectivadegrupodefiltros.Para obtenermsinformacin,veaTipos de grupos7. ProcurenodeshabilitarelusodetrficoLDAPcifradoofirmadoparalasherramientasadministrativasdeActiveDirectory.Paraobtenerms informacin,veaConectar con controladores de dominio que ejecutan Windows 20008. Algunosderechosdeusuariopredeterminadosasignadosagrupospredeterminadosespecficospuedenpermitiralosmiembrosdeesosgrupos obtenerderechosadicionaleseneldominio,incluidosderechosadministrativos.Portanto,suorganizacindebeconfiardeigualmodoen todaslaspersonasqueseanmiembrosdelosgruposAdministradoresdeorganizacin,Administradoresdedominio,Operadoresdecuentas, Operadoresdeservidores,OperadoresdeimpresinyOperadoresdecopiadeseguridad.Paraobtenermsinformacinacercadeestos grupos, vea Grupos predeterminados9. Utilice grupos globales o universales en lugar de grupos locales de dominio al especificar permisos en los objetos del directorio de dominio replicadosenelcatlogoglobal.Sideseaobtenermsinformacin,veaReplicacindelcatlogoglobal10. ParaobtenerinformacindeseguridadgeneralacercadeActiveDirectory,veaInformacindeseguridadparaActiveDirectory11 y Proteger Active Directory5. Establezcacomounsitiotodaslasreasgeogrficasquerequieranaccesorpidoalainformacindedirectoriomsreciente. AlestablecercomositiosindependienteslaszonasquerequierenteneraccesoinmediatoainformacinactualizadadeActiveDirectory,lesest dotando de los recursos necesarios. Paraobtenermsinformacin,veaCrear un sitio12. Coloquealmenosuncontroladordedominioencadasitioyhagaqueunodeloscontroladoresdedominiodelsitio,comomnimo,sea uncatlogoglobal. Lossitiosquenodisponendesuspropioscontroladoresdedominioyde,almenos,uncatlogoglobaldependendeotrossitiosparaobtenerla informacindedirectorioyson,portanto,menoseficaces. Paraobtenermsinformacin,veaHabilitarodeshabilitaruncatlogoglobal13. Realicecopiasdeseguridadperidicasdeloscontroladoresdedominioparaconservartodaslasrelacionesdeconfianzadeldominio. Paraobtenermsinformacin,veaControladores de dominio4.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc759279(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc759623(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc755700(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc778458(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc759007(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc728152(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc758330(v=ws.10).aspx
Porqunodebetrabajarenelequipocomoadministrador
Por qu no debe trabajar en el equipo como administrador
Si utiliza el equipo como miembro del grupo Administradores, hace que el sistema sea vulnerable a los caballos de Troya y a otros riesgos para la seguridad.ElsimplehechodevisitarunsitioInternetoabrirunarchivoadjuntoalcorreoelectrnicopuedeserperjudicialparaelsistema.Unsitio InternetdesconocidoounarchivoadjuntoalcorreoelectrnicopuedenincluirelcdigodeuncaballodeTroya,quepodradescargarseenelsistemay ejecutarse. Siiniciasesincomoadministradordeunequipolocal,elcaballodeTroyapodraformateareldiscoduro,eliminarelarchivoycrearunanuevacuentade usuarioconaccesoadministrativo.SiiniciasesincomomiembrodelosgruposAdministradoresdeldominio,Administradorescorporativoso AdministradoresdelesquemadeActiveDirectory,uncaballodeTroyapodracrearunanuevacuentadeusuariodedominioconaccesoadministrativoy ponerasenpeligroelesquema,laconfiguracinolosdatosdeldominio. En un equipo local se recomienda agregar la cuenta de usuario de dominio nicamente al grupo Usuarios (y nunca al grupo Administradores) para realizar lastareashabituales,comolaejecucindeprogramasylaexploracinenInternet.Sinecesitarealizartareasadministrativasenelequipolocaloen Active Directory, use Ejecutar como para iniciar un programa con credenciales administrativas. Ejecutar como permite realizar tareas administrativas sin poner en peligro el equipo ni los datos almacenados en Active Directory. Para obtener msinformacin,veaUtilizar Ejecutar como1.ParaobtenermsinformacinacercadecmoutilizarEjecutarcomo,veaEjecutar un programa con credenciales administrativas2. Sinecesitarealizartareasadministrativas,comoactualizarelsistemaoperativooconfigurarparmetrosdelsistema,cierrelasesinyvuelvaainiciarla como administrador.
Tabla de vnculos
Utilizar Ejecutar como

Utilizar Ejecutar como
Eliniciodesesinconcredencialesadministrativaspuedesuponerunriesgoparalaseguridaddesuequipoydelared.Portanto,comoprctica recomendadadeseguridad,serecomiendaquenoinicielasesinenelequipoconcredencialesadministrativas.Ensulugar,puedeutilizarEjecutarcomo pararealizartareasadministrativassintenerqueiniciarlasesinconcredencialesadministrativas.Paraobtenermsinformacinsobrelosriesgosparala seguridadasociadosconeliniciodesesincomoadministrador,veaPorqunodebetrabajarenelequipocomoadministrador1. AlutilizarEjecutarcomo,puedeabriryejecutarunprogramautilizandouncontextodeseguridadyunacuentadiferentesalosutilizadoscuandoinicila sesin.Porello,puedeiniciarlasesinconunacuentadeusuariohabitualy,luego,medianteEjecutarcomo,abrirunprogramaadministrativoenel contextodeunacuentaadministrativa.Elcontextoadministrativosloseutilizaparaeseprogramaespecficoysloestdisponiblehastaqueel programa se cierre. Es especialmente importante que los administradores de dominio utilicen Ejecutar como para realizar tareas administrativas. Si ejecuta su equipo como un administradordedominioenActiveDirectory,sudominio(ybosque)sermsvulnerablealoscaballosdeTroyayotrosriesgosdeseguridadquetienen comoobjetivolasecuenciadeiniciodesesin. PuedeutilizarEjecutarcomoatravsdelainterfazdeusuarioocomounaherramientadelneadecomandos. Interfaz de usuario LacaractersticaEjecutarcomointegradaenlainterfazdeusuarioesunaccesodirectodisponibleenelmenqueaparecealhacerclicconel botnsecundariodelmouse(ratn)enalgunosprogramas(.exe),enalgunoselementosdelPaneldecontrol(.cpl)yenconsolasMicrosoft ManagementConsole(MMC)(.msc).Ejecutarcomolepedirunacuentadeusuarioycontraseaantesdeiniciarunprograma,elementodelPanel decontroloconsolaMMC.Algunosprogramasytareasadministrativas,comolaactualizacindelsistemaoperativoolaconfiguracinde parmetrosdelsistema,noadmitenEjecutarcomo.Estastareasrequierenuniniciodesesininteractivo.Paraobtenermsinformacinacercade cmoutilizarlacaractersticaEjecutarcomo,veaEjecutar un programa con credenciales administrativas2. Herramientadelneadecomandos AdemsdelacaractersticaincorporadaEjecutarcomo,elcomandorunasproporcionalasmismascapacidades.Paraobtenermsinformacin acerca del comando runas, vea Runas3.Tambinpuedecrearunaccesodirectopersonalizadoconelcomandorunas.Paraobtenerms informacin,veaCrear un acceso directo mediante el comando runas4.
Tabla de vnculos
Crear un acceso directo mediante el comando runas

Para crear un acceso directo mediante el comando runas
1. Hagaclicconelbotnsecundariodelmouse(ratn)enelescritorio,seleccioneNuevoy,despus,hagaclicenAcceso directo. 2. En Escribalaubicacindelelemento, escriba runasylosparmetrosdecomandoquedeseeutilizar.Enlasiguientetablapuedevervarios ejemplos para crear accesos directos. 3. Haga clic en Siguiente,escribaunnombreparaelaccesodirectoy,acontinuacin,hagaclicenFinalizar. Ejemplos
Para crear un acceso directo a Unsmbolodelsistemaconcredencialesadministrativas
Escriba runas /user: nombreDeEquipo \administrator cmd runas /user: nombreDeEquipo \administrator "mmc %windir%\system32\compmgmt.msc" runas /user: nombreDeDominio \administrator "mmc %windir%\system32\dsa.msc" runas /netonly /user: nombreDeDominio \ nombreDeUsuario "mmc %windir%\system32\dsa.msc"
Administracindeequiposconcredencialesadministrativas
Usuarios y equipos de Active Directory con credenciales administrativas en el dominio
Usuarios y equipos de Active Directory en un bosque distinto
Notas Para llevar a cabo esta tarea no es necesario contar con credenciales administrativas. Por lo tanto, para garantizar la mayor seguridad, se recomienda realizar esta tarea como usuario sin credenciales administrativas. Utiliceesteprocedimientosidesearealizartareasadministrativascuandoinicialasesincomomiembrodeotrogrupo.Elusodelcomandorunas no estlimitadoalascuentasdeadministrador. EnMicrosoftManagementConsole(MMC)nosemuestranlascredencialesconlasqueseejecuta.Tngaloencuentaalutilizarelcomandorunas. Algunos programas no admiten el comando runas. Siintentainiciarunprograma,porejemplounaconsolaMMCounelementodelPaneldecontrol,desdeunaubicacinderedmedianteelcomando runas, puede producirse un error si las credenciales utilizadas para conectar con el recurso compartido son diferentes de las utilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido. Para obtenermsinformacinacercadecmosolucionarproblemasrelacionadosconelcomandorunas, vea los Temas relacionados. Si se produce un error en el comando runas,esposiblequenoseestejecutandoelservicioIniciodesesinsecundario.Paraobtenerms informacinacercadecmoiniciarunservicio,vealostemasrelacionados.

Vea tambin
Solucionar problemas de Usuarios y grupos locales2 Porqunodebetrabajarenelequipocomoadministrador3 Porqunodebetrabajarenelequipocomoadministrador3 Diferenciasenlaconfiguracindeseguridadpredeterminada4 Configuracindeseguridadpredeterminadaparagrupos5 Runas6 Utilizar Ejecutar como7 Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc738764(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc773320(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx
Cuentas de usuarios y equipos

Cuentas de usuarios y equipos
LascuentasdeusuarioylascuentasdeequipodeActiveDirectoryrepresentanunaentidadfsicacomounapersonaounequipo.Lascuentasde usuariotambinsepuedeutilizarcomocuentasdeserviciodedicadasparaalgunasaplicaciones. Lascuentasdeusuarioydeequipo(ascomolosgrupos)sedenominantambinprincipalesdeseguridad.Losprincipalesdeseguridadsonobjetosde directorioalosqueseasignaautomticamenteidentificadoresdeseguridad(SID),queseutilizanparateneraccesoalosrecursosdeldominio.Una cuenta de usuario o de equipo se utiliza para: Autenticar la identidad de un usuario o equipo. Unacuentadeusuariopermitequeunusuarioinicieunasesinenequiposydominiosconunaidentidadquepuedeserautenticadaporeldominio. Paraobtenerinformacinacercadelaautenticacin,veaControl de acceso en Active Directory1. Cada usuario que se conecta a la red debe tener supropiacuentadeusuarioysupropiacontraseanica.Paraaumentarlaseguridad,debeevitarquevariosusuarioscompartanunamisma cuenta. Autorizar o denegar el acceso a los recursos del dominio. Despusdequeelusuariohayasidoautenticado,seleautorizaodeniegaelaccesoalosrecursosdeldominiosegnlospermisosexplcitos asignadosadichousuarioenelrecurso.Paraobtenermsinformacin,veaInformacindeseguridadparaActiveDirectory2. Administrar otros principales de seguridad. Active Directory crea un objeto de principal de seguridad externo en el dominio local para representar cada principal de seguridad de un dominio de confianzaexterno.Paraobtenermsinformacinacercadelosprincipalesdeseguridadexternos,veaCundosedebecrearunaconfianza externa3. Auditar las acciones realizadas con la cuenta de usuario o de equipo. Laauditorapuedeayudarleasupervisarlaseguridaddelascuentas.Paraobtenermsinformacinacercadela,veaIntroduccinalaauditora4.
Cuentas de usuario
El contenedor Usuarios ubicado en Usuarios y equipos de Active Directory incluye tres cuentas de usuario integradas: Administrador, Invitado y Asistente deayuda.Estascuentasdeusuariointegradassecreanautomticamentealcreareldominio. Cadacuentaintegradatieneunacombinacindiferentedederechosypermisos.LacuentaAdministradortienelosderechosypermisosmsamplios sobre el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la siguiente tabla se describe cada una de las cuentas de usuario predeterminadas en los controladores de dominio que ejecutan Windows Server 2003.
Cuenta de usuario Descripcin predeterminada La cuenta Administrador tiene control total sobre el dominio y puede asignar derechos de usuario y permisos de control de acceso a los usuariossegnseanecesario.Slodebeutilizarestacuentaparaaquellastareasquerequierancredencialesadministrativas.Se recomiendaconfigurarlaconunacontraseasegura.Paraobtenermsinformacin,consulteContraseasseguras5. Para conocer otras consideraciones acerca de la seguridad de las cuentas con credenciales administrativas, vea PrcticasrecomendadasdeActive Directory6. La cuenta Administrador es un miembro predeterminado de los grupos Administradores, Administradores de dominio, Administradores de organizacin,PropietariosdelcreadordedirectivasdegrupoyAdministradoresdeesquemaenActiveDirectory.Lacuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como essabidoquelacuentaAdministradorexisteenmuchasversionesdeWindows,silecambiaelnombreoladeshabilitadificultarel accesoaellaausuariosmalintencionados.Paraobtenermsinformacinacercadecmocambiarelnombredeunacuentadeusuario o deshabilitarla, vea Cambiar el nombre de una cuenta de usuario local7 o Deshabilitar o habilitar una cuenta de usuario8. LacuentaAdministradoreslaprimeracuentaquesecreacuandoseinstalaunnuevodominioconelAsistenteparainstalacinde Active Directory. ImportanteAunquelacuentaAdministradorestdeshabilitada,puedeseguirusndoseparaobteneraccesoauncontrolador de dominio con el modo a prueba de errores. LacuentaInvitadoslolautilizanlosusuariosquenoposeenunacuentarealeneldominio.Unusuarioconsucuentadeshabilitada (peronoeliminada)tambinpuedeutilizarlacuentaInvitado.LacuentaInvitadonorequiereningunacontrasea. Cuenta Invitado Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De forma predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a un usuarioiniciarunasesinenundominio.LacuentaInvitadoestdeshabilitadadeformapredeterminada,yserecomiendaque permanezcaas.
Cuenta Administrador
Cuenta Asistente de ayuda (se instala con una sesinde Asistencia remota)
SetratadelacuentaprincipalqueseutilizaparaestablecerunasesindeAsistenciaremota.Lacuentasecreaautomticamenteal solicitarunasesindeAsistenciaremota,ytienelimitadoelaccesoalequipo.ElservicioAdministradordesesindeAyudade escritorioremotoadministralacuentaAsistentedeayuda,queseeliminarautomticamentesinohaysolicitudesdeAsistencia remotapendientes.ParaobtenermsinformacinacercadeAsistenciaremota,veaAdministrar Asistencia remota9.
Proteger cuentas de usuarios

Si un administrador de red no modifica ni deshabilita los derechos y permisos de las cuentas integradas, cualquier usuario o servicio malintencionado podrausarlosparainiciarunasesin,demanerailegal,enundominiomediantelaidentidadAdministradoroInvitado.Unaprcticarecomendablede seguridad para proteger estas cuentas consiste en cambiar sus nombres o deshabilitarlas. Dado que una cuenta de usuario con el nombre cambiado conservasuidentificadordeseguridad(SID),conservatambintodaslasdemspropiedades,comosudescripcin,lacontrasea,lapertenenciaal grupo,elperfildeusuario,lainformacindecuentaytodoslospermisosyderechosdeusuarioasignados. Paraobtenerlaseguridadqueproporcionalaautenticacinyautorizacindeusuarios,creeunacuentadeusuarioindividualparacadausuarioque
participe en la red, mediante Usuarios y equipos de Active Directory. Cada cuenta de usuario, incluidas las cuentas Administrador y Invitado, puede agregarse a un grupo para controlar los derechos y permisos asignados a la cuenta. Al usar las cuentas y grupos apropiados para la red se garantiza que losusuariosqueseconectanaunaredsepuedanidentificaryslopuedanteneraccesoalosrecursospermitidos. Puedecontribuiradefendersudominiocontraposiblesintrusosexigiendocontraseasseguraseimplementandounadirectivadebloqueodecuentas.Las contraseassegurasreducenelriesgodesuposicionesinteligentesyataquesdediccionariocontralascontraseas.Paraobtenermsinformacin,vea Contraseasseguras5 y Practicasrecomendadasdecontraseas10paracontraseas. Unadirectivadebloqueodecuentasreducelaposibilidaddequeunintrusopongaenpeligroeldominiomedianterepetidosintentosdeiniciodesesin. Paraello,ladirectivadebloqueodecuentasdeterminacuntosintentosdeiniciodesesinincorrectospuedetenerunacuentadeusuarioantesdeser deshabilitada.Paraobtenermsinformacin,veaAplicar o modificar la directiva de bloqueo de cuentas11. Paraobtenermsinformacinacercadecmoprotegerlascuentasdeusuario,veaProteger Active Directory12.
Opciones de cuentas
CadacuentadeusuariodeActiveDirectorytienevariasopcionesdecuentaquedeterminancmoseautenticaenlaredaunusuarioquehainiciadouna sesinconesacuentadeusuarioenparticular.Puedeusarlassiguientesopcionesparaconfigurarlosvaloresdecontraseaeinformacinespecficade la seguridad para cuentas de usuario:
Opcinde cuenta
Descripcin
El usuario debe cambiar lacontrasea Obligaaunusuarioamodificarsucontrasealaprximavezqueinicieunasesinenlared.Utiliceestaopcincuandodeseeasegurarse en el dequeelusuariovaaserlanicapersonaquevaasabersucontrasea. siguiente inicio de sesin El usuario no puede Impidealusuariocambiarsucontrasea.Utiliceestaopcincuandodeseecontrolarunacuentadeusuario,comounacuentatemporalo cambiar la una cuenta de invitado. contrasea La contrasea nunca caduca
Impidequecaduqueunacontraseadeusuario.Serecomiendaquelascuentasdeserviciotenganhabilitadaestaopcinyqueseutilicen contraseasseguras.Paraobtenermsinformacinacercadecontraseasseguras,veaContraseasseguras5.
Almacenar contraseas PermitealusuarioiniciarunasesinenunareddeWindowsdesdeequiposApple.Siunusuarionovaainiciarunasesindesdeunequipo utilizando Apple,nodebeutilizarestaopcin.Paraobtenermsinformacin,veaAlmacenarcontraseasusandocifradoreversible13. cifrado reversible Impidequelosusuariosinicienunasesinconlacuentaseleccionada.Muchosadministradoresusancuentasdeshabilitadascomoplantillas Cuenta deshabilitada paracuentasdeusuariocomunes.Paraobtenermsinformacin,veaDeshabilitar o habilitar una cuenta de usuario8. La tarjeta inteligente es necesaria para un inicio desesin interactivo
Esnecesarioqueunusuarioposeaunatarjetainteligenteparainiciarunasesinenlareddemanerainteractiva.Elusuariotambindebe tenerunlectordetarjetasinteligentesconectadaalequipoyunnmerodeidentificacinpersonal(PIN)paralatarjetainteligente.Siesta opcinestseleccionada,lacontraseadelacuentadeusuarioseestableceautomticamenteenunvaloraleatorioycomplejo,yse establecelaopcindecuentaLacontraseanuncacaduca.Paraobtenermsinformacinsobretarjetasinteligentes,veaIniciar una sesinenunequipoconunatarjetainteligente14 y Procesodeautenticacin15.
Estaopcinpermiteaunservicioqueseejecuteconestacuentarealizaroperacionesennombredeotrascuentasdeusuariodelared. Unservicioqueseejecuteconunacuentadeusuario(denominadatambincuentadeservicio)queseadeconfianzaparaladelegacin puede suplantar a un cliente para tener acceso a los recursos del equipo donde se ejecuta el servicio o de otros equipos. En un bosque establecidoenelnivelfuncionaldeWindowsServer2003,estaopcinseencuentraenlafichaDelegacinysloestdisponiblepara cuentas a las que se han asignado nombres principales de servicio (SPN), establecidos mediante el comando setspn de las herramientas Seconfaen desoportedeWindows.Setratadeunfuncinimportanteparalaseguridadydebeasignarseconprecaucin.Paraobtenerms la cuenta informacin,veaPermitirqueseconsidereaunusuariodeconfianzaparaladelegacin16 y Delegarlaautenticacin17. para su EstaopcinsloestdisponibleencontroladoresdedominioqueejecutenWindowsServer2003enlosquelasfuncionesdedominioestn delegacin establecidas en modo mixto o nativo de Windows 2000. En los controladores de dominio que ejecuten Windows Server 2003 donde el nivel funcionaldedominioestestablecidoenWindowsServer2003,seutilizalafichaDelegacinparaconfigurarlosvaloresdedelegacin.La ficha DelegacinsloapareceparalascuentasquetienenunSPNasignado.Paraobtenermsinformacinacercadelasfuncionesde dominios, vea Funcionalidad de dominios y bosques18.Paraobtenermsinformacinsobrecmoseconfiguraladelegacinenundominio de Windows Server 2003, vea Permitirqueseconsidereaunusuariodeconfianzaparaladelegacin16. La cuenta es importante y Permiteelcontrolsobreunacuentadeusuario,comounacuentaInvitadootemporal.Estaopcinsepuedeutilizarsiestacuentano no se puede puedeserasignadaparadelegacinporotracuenta. delegar Usar tipos de ProporcionacompatibilidadconelEstndardecifradodedatos(DES,Data Encryption Standard). DES admite varios niveles de cifrado, cifrado DES entrelosqueseincluyenMPPEestndar(40bits),MPPEestndar(56bits),MPPEdealtonivel(128bits),IPSecDES(40bits),IPSecDES para esta de56bitseIPSecDESTriple(3DES).ParaobtenermsinformacinacercadelcifradoDES,veaCifrado de datos19. cuenta
Proporciona compatibilidad con implementaciones alternativas del protocolo Kerberos. Los controladores de dominio que ejecuten Windows No pedir la autenticacin 2000oWindowsServer2003puedenutilizarotrosmecanismosparasincronizarlahora.Puestoquelaautenticacinpreviaproporciona seguridadadicional,tengaprecaucinalhabilitarestaopcin.ParaobtenermsinformacinacercadeKerberos,veaAutenticacin Kerberos previa Kerberos V520.
Cuentas InetOrgPerson
Active Directory admite la clase de objeto InetOrgPerson y sus atributos asociados definidos en RFC 2798. La clase de objetos InetOrgPerson se utiliza envariosserviciosdedirectorioLDAPyX.500quenosondeMicrosoftpararepresentaralaspersonasdeunaorganizacin. La compatibilidad con InetOrgPerson permite realizar migraciones desde otros directorios LDAP a Active Directory con mayor eficacia. El objeto InetOrgPerson se deriva de la clase de usuario y se puede utilizar como un principal de seguridad al igual que la clase de usuario. Para obtener informacinacercadecmocrearunacuentadeusuarioInetOrgPerson,veaCrear una cuenta de usuario nueva21. Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, puede establecer el atributo userPassword de InetOrgPerson y los objetosdeusuarioenlacontraseavigente,comoocurreconelatributounicodePwd.
Cuentas de equipo
Todos los equipos que ejecutan Windows NT, Windows 2000, Windows XP o un servidor que ejecute Windows Server 2003 que se unen a un dominio tienen una cuenta de equipo. Las cuentas de equipo son similares a las cuentas de usuario y ofrecen un medio para autenticar y auditar el acceso a la reddelosequiposyelaccesoalosrecursosdeldominio.Cadacuentadeequipodebesernica. NotaLosequiposqueejecutanWindows95yWindows98notienencaractersticasdeseguridadavanzadasynotienencuentasdeequipoasignadas. Lascuentasdeusuarioydeequiposepuedenagregar,deshabilitar,restableceryeliminarconUsuariosyequiposdeActiveDirectory.Tambinsepuede crearunacuentadeequipocuandoseuneunequipoyundominio.Paraobtenermsinformacinacercadelascuentasdeequipoyusuario,veaUso de nombres en Active Directory22 y Nombres de objeto23. Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, se utiliza un nuevo atributo lastLogonTimestamp para realizar un seguimientodelltimoiniciodesesindeunacuentadeusuariooequipo.Esteatributosereplicaeneldominioypuedeproporcionarinformacin importante sobre el historial de un usuario o equipo.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785913(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc755427(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776489(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc738626(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc781527(v=ws.10).aspx 9http://go.microsoft.com/fwlink/?LinkId=38573 10http://technet.microsoft.com/es-es/library/cc784090(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc781491(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc784581(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc759323(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc778707(v=ws.10).aspx 16http://technet.microsoft.com/es-es/library/cc739474(v=ws.10).aspx 17http://technet.microsoft.com/es-es/library/cc739740(v=ws.10).aspx 18http://technet.microsoft.com/es-es/library/cc738670(v=ws.10).aspx 19http://technet.microsoft.com/es-es/library/cc785633(v=ws.10).aspx 20http://technet.microsoft.com/es-es/library/cc783708(v=ws.10).aspx 21http://technet.microsoft.com/es-es/library/cc784390(v=ws.10).aspx 22http://technet.microsoft.com/es-es/library/cc739093(v=ws.10).aspx 23http://technet.microsoft.com/es-es/library/cc776019(v=ws.10).aspx
Control de acceso en Active Directory

Control de acceso en Active Directory
Los administradores pueden utilizar el control de acceso para administrar el acceso de usuarios a recursos compartidos por motivos de seguridad. En ActiveDirectory,elcontroldeaccesoseadministraenelniveldeobjetos,pormediodelaconfiguracindedistintosnivelesdeacceso,odepermisosa losobjetos,comoControltotal,Escribir,LeeroSinacceso.ElcontroldeaccesoenActiveDirectorydefinecmopuedenutilizarlosobjetosdeActive Directorylosdistintosusuarios.LospermisosdeobjetosenActiveDirectoryestnestablecidosdeformapredeterminadaenlaconfiguracinmssegura. Entre los elementos que definen los permisos de control de acceso de los objetos de Active Directory, figuran los descriptores de seguridad, la herencia deobjetosylaautenticacindeusuarios.
Descriptores de seguridad
Los permisos de control de acceso se asignan a objetos compartidos y a objetos de Active Directory para controlar el uso que pueden hacer los distintos usuarios de cada objeto. Un objeto compartido, o recurso compartido, es un objeto destinado a ser usado en una red por uno o varios usuarios, como archivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como los objetos de Active Directory almacenan los permisos de control de acceso en descriptores de seguridad. Undescriptordeseguridadcontienedoslistasdecontroldeacceso(ACL)quesirvenparaasignaryrealizarunseguimientodeinformacindeseguridad para cada objeto: la lista de control de acceso discrecional (DACL) y la lista de control de acceso al sistema (SACL). Listas de control de acceso discrecional (DACL). Las DACL identifican los usuarios y grupos que tienen asignados o denegados permisos de accesoaunobjeto.SiunaDACLnoespecificaunusuariodeformaexplcita,olosgruposalosqueperteneceelusuario,sedenegarelaccesoa eseobjetoalusuario.Deformapredeterminada,unaDACLlacontrolaelpropietariodeunobjetoolapersonaquecreelobjetoycontiene entradas de control de acceso (ACE) que determinan el acceso del usuario al objeto. Listas de control de acceso al sistema (SACL). Las SACL identifican los usuarios y los grupos que desea auditar cuando consiguen o no consiguenobteneraccesoaunobjeto.Laauditorasirveparasupervisarsucesosrelacionadosconlaseguridaddelsistemaodelared,para identificarinfraccionesdeseguridadyparadeterminarelalcanceylaubicacindelosdaos.Deformapredeterminada,unaSACLlacontrolael propietariodeunobjetoolapersonaquecreelobjeto.UnaSACLcontieneentradasdecontroldeacceso(ACE)quedeterminansisedeben registrar intentos satisfactorios o insatisfactorios de acceso a un objeto por parte de un usuario con un permiso determinado, como por ejemplo, Control total y Leer. Paraobtenermsinformacinacercadelaauditora,veaConfiguracindelaauditoraenobjetos1. ParaverlasDACLylasSACLdeobjetosdeActiveDirectorymedianteUsuariosyequiposdeActiveDirectory,enelmenVer, haga clic en Caractersticasavanzadas para obtener acceso a la ficha Seguridaddecadaobjeto.Paraobtenermsinformacin,veaAsignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory2.TambinpuedeutilizarlaherramientadesoporteDSACLSparaadministrarlistasdecontrolde accesoenActiveDirectory.Paraobtenermsinformacin,veaHerramientas de soporte de Active Directory3. LasDACLylasSACLestnasociadasdeformapredeterminadacontodoslosobjetosdeActiveDirectory,loquereducelosataquesenlaredporparte de usuarios malintencionados o cualquier error accidental de usuarios del dominio. No obstante, si un usuario malintencionado obtiene un nombre de usuarioyunacontraseadeunacuentaconcredencialesadministrativasenActiveDirectory,subosqueservulnerableaataques.Porestarazn, deberconsiderarlaposibilidaddecambiarelnombreodeshabilitarlacuentadeadministradorpredeterminadayseguirlasprcticasrecomendadas descritas en PrcticasrecomendadasdeActiveDirectory4.
Herencia de objetos
Los objetos de Active Directory heredan ACE de forma predeterminada del descriptor de seguridad que se encuentra ubicado en su objeto de contenedor principal.LaherenciapermiteaplicarlainformacindecontroldeaccesodefinidaenunobjetodecontenedordeActiveDirectoryalosdescriptoresde seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus objetos. Esto elimina la necesidad de aplicar permisos cada vez que se creaunobjetosecundario.Puedemodificarlospermisosheredadosencasonecesario.Noobstante,laprcticarecomendadaesevitarcambiarlos permisospredeterminadosolaconfiguracindeherenciadeobjetosdeActiveDirectory.Paraobtenermsinformacin,veaPrcticasrecomendadaspara asignar permisos de objetos de Active Directory5 y Cambiar los permisos heredados6.
Autenticacin de usuarios
ActiveDirectorytambinautenticayautorizausuarios,gruposyequiposparaquetenganaccesoaobjetosdelared.LaAutoridaddeseguridadlocal (LSA)eselsubsistemadeseguridadresponsabledetodalaautenticacininteractivadeusuariosydelosserviciosdeautenticacindeunequipolocal. LaLSAsirvetambinparaprocesarsolicitudesdeautenticacinrealizadaspormediodelprotocoloKerberosV5oelprotocoloNTLMenActiveDirectory. ParaobtenermsinformacinacercadelaautenticacinKerberos,veaAutenticacinKerberosV57.Paraobtenermsinformacinacercadela autenticacinNTLM,veaAutenticacinNTLM8. UnavezconfirmadaenActiveDirectorylaidentidaddeunusuario,laLSAdelcontroladordedominiodeautenticacingenerauntestigodeaccesode usuario y asocia un Id. de seguridad (SID) al usuario. Testigo de acceso. Cuando se autentica un usuario, la LSA crea un testigo de acceso de seguridad para el usuario. El testigo de acceso contiene el nombre del usuario, los grupos a los que pertenece el usuario, un SID para el usuario y todos los SID de los grupos a los que pertenece el usuario.Siagregaunusuarioaungrupotraslaemisindeltestigodeaccesodeusuario,elusuariodebercerrarlasesinyvolverainiciarlapara que se actualice el testigo de acceso. Id. de seguridad (SID).ActiveDirectoryasignaSIDdeformaautomticaaobjetosdelaentidadprincipaldeseguridadenelmomentodesu creacin.LasentidadesprincipalesdeseguridadsoncuentasdeActiveDirectoryalasquesepuedenasignarpermisos,comoporejemplo,las cuentas de equipo, grupo o usuario. Una vez emitido un SID para el usuario autenticado, se adjunta al testigo de acceso del usuario. Lainformacindeltestigodeaccesosirveparadeterminarelniveldeaccesoaobjetosdelusuariocuandoelusuariointentaobteneraccesoaellos.Los SID del testigo de acceso se comparan con la lista de SID que conforman la DACL del objeto para garantizar que el usuario tenga permisos suficientes para obtener acceso al objeto. Esto se debe a que el proceso de control de acceso identifica las cuentas de usuario por SID en lugar de por nombre. Importante Cuandouncontroladordedominioproporcionauntestigodeaccesoaunusuario,eltestigodeaccesocontienesolamenteinformacinacercadela pertenencia a grupos locales de dominio si los grupos locales de dominio pertenecen al dominio del controlador de dominio. En el caso de objetos de directorioreplicadosenelcatlogoglobal,serequeriranentoncesciertasconsideracionesdeseguridad.Sideseaobtenermsinformacin,vea Replicacindelcatlogoglobal9. Paraobtenermsinformacinacercadelaautenticacin,vea"Iniciodesesinyautenticacin"("LogonandAuthentication")enelsitio Web de kits de recursos de Microsoft Windows10.
Paraobtenermsinformacinacercadelospermisosyelcontroldeacceso,veaIntroduccinalcontroldeacceso11.Paraobtenermsinformacin acercadelaautorizacinyelcontroldeacceso,vea"Autorizacinycontroldeacceso"enelsitio Web de Kits de recursos de Microsoft Windows12. ParaobtenerinformacinacercadelasmedidasdeseguridadadicionalesquesepuedenimplementarparaprotegerActiveDirectory,veaProteger Active Directory13 e InformacindeseguridadparaActiveDirectory14.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780909(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc757520(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc782713(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc758122(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc783708(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc783005(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc759007(v=ws.10).aspx 10http://go.microsoft.com/fwlink/?LinkId=4564 11http://technet.microsoft.com/es-es/library/cc785144(v=ws.10).aspx 12http://go.microsoft.com/fwlink/?LinkId=4565 13http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx
Configuracindelaauditoraenobjetos
Configuracin de la auditora en objetos
Cadaobjetodisponedeunconjuntodeinformacindeseguridadoundescriptordeseguridadadjunto.Unapartedeldescriptordeseguridadespecifica losgruposousuariosquepuedenteneraccesoaunobjeto,ascomolostiposdeacceso(permisos)concedidosadichosgruposousuarios.Estaparte del descriptor de seguridad se conoce como lista de control de acceso discrecional (DACL, Discretionary Access Control List). Undescriptordeseguridadparaunobjetotambincontieneinformacindeauditora.Aestainformacindeauditoraselaconocecomolistadecontrol de acceso de sistema (SACL). En concreto, una lista SACL especifica lo siguiente: Las cuentas de grupo o de usuario que se van a auditar al tener acceso al objeto. Lasoperacionesqueseauditarnporcadagrupoousuario,porejemplo,lamodificacindeunarchivo. UnatributoAciertooErrorparacadasucesodeacceso,enfuncindelospermisosconcedidosacadagrupoyusuariodelalistaDACLdelobjeto. Puedeaplicarlaauditoraaunobjetoy,atravsdelaherencia,laauditorasepuedeaplicaracualquierobjetosecundario.Porejemplo,sideseaauditar elaccesoincorrectoaunacarpeta,todoslosarchivosdeesacarpetapuedenheredarestesucesodeauditora.Paraobtenermsinformacin,consulte Cmoafectalaherenciaalaauditoradearchivosycarpetas1. Paraauditararchivosycarpetas,debehaberiniciadounasesincomomiembrodelgrupoAdministradores. Paraobtenermsinformacinacercadelaauditora,consulteAuditar sucesos de seguridad2.
Tabla de vnculos
Cmoafectalaherenciaalaauditoradearchivosycarpetas
Cmo afecta la herencia a la auditora de archivos y carpetas
Despusdeconfigurarlaauditoraenunacarpetaprincipal,losarchivosysubcarpetasnuevosquesecreenendichacarpetaheredanlaauditora.Sino deseaqueheredenlaauditora,enelcuadroAplicar enenelcuadrodedilogoEntradadeauditoraparaarchivo o carpeta, haga clic en Sloen esta carpetacuandoconfigurelaauditoraparalacarpetaprincipal.Enloscasosenquedeseeevitarquesloalgunosarchivososubcarpetashereden laauditora,hagaclicconelbotnsecundariodelmouse(ratn)enelarchivoosubcarpetaencuestin,hagaclicenPropiedades, en la ficha Seguridad, en Avanzada, en la ficha Auditoray,acontinuacin,desactivelacasilladeverificacinHeredar del objeto principal las entradas de auditorarelativasalosobjetossecundarios.Incluirlasjuntoconlasentradasindicadasaqudeformaexplcita. SilascasillasdeverificacinEntradadeauditoraparaarchivo o carpetanoestndisponiblesosi,enConfiguracindecontroldeacceso,elbotn Quitarnoestdisponible,seheredalaauditoradelacarpetaprincipal. Pararealizarcambiosenlaauditoraheredada: Realiceloscambiosenlacarpetaprincipalyelarchivoolacarpetaheredarnlaauditora. En la ficha AuditoradelcuadrodedilogoConfiguracindeseguridadavanzadaparaarchivo o carpeta,desactivelacasilladeverificacin Heredardelobjetoprincipallasentradasdeauditorarelativasalosobjetossecundarios.Incluirlasjuntoconlasentradasindicadas aqudeformaexplcita. Puede hacer clic en Modificar o en Quitarpararealizarcambiosoquitarlaauditora.Sinembargo,elarchivoola carpetanoheredarnloscambiosdeauditoradelacarpetaprincipal. Paraobtenermsinformacin,consulteAuditar sucesos de seguridad1.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
Auditar sucesos de seguridad
Auditar sucesos de seguridad

Puedeconfigurarunadirectivadeauditorademodoqueseregistrelaactividaddelosusuariosodelsistemaenlascategorasdesucesosespecificadas. Puedesupervisarlaactividadrelacionadaconlaseguridad,comoquintieneaccesoaunobjeto,siunusuarioiniciaocierralasesinenunequipoosi serealizancambiosenunaconfiguracindedirectivadeauditora. Antesdedefinirlaconfiguracindedirectivadeauditoraenlacategoradesucesosdeaccesoaobjetos,veaListadecomprobacin:configurarla auditoradeaccesoaobjetos1. Paraobtenersugerenciasacercadelaauditora,veaPrcticasrecomendadasparaauditarsucesosdeseguridad2. Paraobtenerayudaacercadetareasespecficas,veaCmoauditarsucesosdeseguridad3. Paraobtenerinformacingeneral,veaConceptos de auditar sucesos de seguridad4.
Tabla de vnculos
Listadecomprobacin:configurarlaauditoradeaccesoaobjetos
Lista de comprobacin: configurar la auditora de acceso a objetos
Paso
Referencia
Consultarlaintroduccinalaauditora. Introduccinalaauditora1 Habilitarlaauditoradelacategorade Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos2 sucesos de acceso a objetos. Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal3; Aplicar o modificar la configuracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4
Aplicarladirectivadeauditoraaun objetoespecfico.
Tabla de vnculos
Introduccinalaauditora
Introduccin a la auditora
Establecerunadirectivadeauditoraesunaspectoimportanteenlaseguridad.Supervisarlacreacinolamodificacindeobjetospermitehacerun seguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso de producirse una infraccinenlaseguridad. Lostiposdesucesosmscomunesqueseauditanson: Acceso a objetos, como archivos y carpetas. Administracindecuentasdeusuariosydegrupos. Usuariosqueinicianycierranlasesindelsistema. Cuandoimplementeunadirectivadeauditora: Especifiquelascategorasdesucesosquedeseaauditar.Entrelosejemplosdecategorasdesucesosestnelinicioycierredesesindelusuario ylaadministracindecuentas.Lascategorasdesucesosqueseleccioneconstituyensudirectivadeauditora.Paraobtenermsinformacin acercadecadacategoradesucesos,veaDirectivadeauditora1. Configureeltamaoyelcomportamientodelregistrodeseguridad.ElregistrodeseguridadsepuedeverconelVisordesucesos.Paraobtenerms informacinacercadelregistrodeseguridad,veaVer registros de seguridad2. Sideseaauditarelaccesoaserviciosdedirectoriooelaccesoaobjetos,determinelosobjetoscuyoaccesodeseasupervisarascomoeltipode acceso. Por ejemplo, si desea auditar los intentos que realizan los usuarios para abrir un determinado archivo, puede configurar la directiva de auditoraenlacategoradesucesosdeaccesoaobjetos,demodoqueseregistrenlosintentoscorrectosyerrneosparaleerunarchivo. Paraobtenermsinformacinacercadecmoconfigurarlaauditoradeaccesoaobjetos,consulte: Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal3 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4 Paraobtenermsinformacinacercadelaauditora,veaAuditar sucesos de seguridad5.
Tabla de vnculos
Directivadeauditora
Directiva de auditora
Antesdeimplementarunadirectivaauditora,debedecidirqucategorasdesucesosdeseaauditar.Laconfiguracindelaauditoraqueelijaparalas categorasdesucesosdefinirladirectivadeauditora.Enlosservidoresyestacionesdetrabajomiembroqueseunenaundominio,laconfiguracinde laauditoraparalascategorasdesucesosnoestdefinidademanerapredeterminada.Enloscontroladoresdedominio,laauditoraestactivadade manerapredeterminada.Aldefinirlaconfiguracindeauditoraparacategorasdesucesosespecficas,puedecrearunadirectivadeauditoraapropiada paralasnecesidadesdeseguridaddesuorganizacin. Lascategorasdesucesosquepuedeelegirparaauditarson: Auditarsucesosdeiniciodesesindecuenta1 Auditarlaadministracindecuentas2 Auditar el acceso del servicio de directorio3 Auditarsucesosdeiniciodesesin4 Auditar el acceso a objetos5 Auditar el cambio de directivas6 Auditar el uso de privilegios7 Auditar el seguimiento de procesos8 Auditar sucesos del sistema9 Paraobtenermsinformacinacercadelaauditora,veaAuditar sucesos de seguridad10.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc737542(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc728087(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc787567(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc781549(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc784501(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc775520(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc782518(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
Auditarsucesosdeiniciodesesindecuenta
Auditar sucesos de inicio de sesin de cuenta Descripcin

Estaconfiguracindeseguridaddeterminasihayqueauditarcadainstanciadeinicioocierredesesindeusuarioenotroequipodistintodelquese utilizaparavalidarlacuenta.Lossucesosdeiniciodesesindecuentasegenerancuandounacuentadeusuariodedominioseautenticaenun controladordedominio.Elsucesoseregistraenelregistrodeseguridaddelcontroladordedominio.Lossucesosdeiniciodesesinsegenerancuando unusuariolocalseautenticaenunequipolocal.Elsucesosegrabaenelregistrodeseguridadlocal.Lossucesosdecierredesesindecuentanose generan. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandounintentodeiniciodesesinenunacuentatienexito.Lasauditorasdeerroresgeneranuna entradadeauditoracuandounintentodeiniciodesesinenlacuentafalla. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Sisehabilitalaauditoriadeaciertosparalossucesosdeiniciodesesinencuentasenuncontroladordedominio,seregistrarunaentradaparacada usuarioquesevalidaconelcontroladordedominio,inclusosielusuariohainiciadosesinenunaestacindetrabajoqueestunidaaldominio. Valor predeterminado: Correcto.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivadeauditora\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeauditora,veaDefiniromodificarlaconfiguracindeladirectivade auditoraparaunacategoradesucesos1.
Sucesos de inicio de sesindecuenta 672 673 674
Descripcin Sehaemitidoyvalidadosatisfactoriamenteunvaledelserviciodeautenticacin(AS). Sehaconcedidounvaledelserviciodeconcesindevales(TGS,Ticket Granting Service). Una entidad principal de seguridad ha renovado un vale de AS o de TGS. Laautenticacinpreviahadadoerror.EstesucesosegeneraenunCentrodedistribucindeclaves(KDC,Key Distribution Center)cuandounusuarioescribeunacontraseaincorrecta. Errorenlasolicituddevaledeautenticacin.EstesucesonosegeneraenWindowsXPnienlafamiliaWindows Server 2003. No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio. Errordeiniciodesesin.Sehaintentadouniniciodesesindecuentadedominio.EstesucesonosegeneraenWindowsXP ni en la familia Windows Server 2003. UnusuariosehavueltoaconectaraunasesindeTerminalServerdesconectada. UnusuariosehadesconectadodeunasesindeTerminalServersincerrarla.
675
676
677 678
681
682 683
Paraobtenermsinformacinacercadelossucesosdeseguridad,vealaseccinrelativaasucesos de seguridad2 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Auditarsucesosdeiniciodesesin3 Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc787567(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Definiromodificarlaconfiguracindedirectivadeauditoraparauna categoradesucesos
Para definir o modificar la configuracin de directiva de auditora para una categora de sucesos
Para el equipo local Paraloscontroladoresdedominionicamente,siestenuncontroladordedominioounaestacindetrabajoquetieneinstaladoelpaquetede herramientasdeadministracindeWindowsServer2003 Paraundominioounaunidadorganizativa,siestenuncontroladordedominioounaestacindetrabajoquetieneinstaladoelpaquetede herramientasdeadministracin Paraundominioounidadorganizativa,siestenunservidormiembroounaestacindetrabajoquesehaunidoaundominio
Para el equipo local

1. AbraConfiguracindeseguridadlocal. 2. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindeseguridad/Directivaslocales/Directivadeauditora 3. Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. 4. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento. Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuracin, haga clic en Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad local.
Para los controladores de dominio nicamente, si est en un controlador de dominio o una estacin de trabajo que tiene instalado el paquete de herramientas de administracin de Windows Server 2003
1. Abra Directiva de seguridad del controlador de dominio. 2. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora 3. Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. 4. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. 5. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Directiva de seguridad del controlador de dominio, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad del controlador de dominio.
Para un dominio o una unidad organizativa, si est en un controlador de dominio o una estacin de trabajo que tiene instalado el paquete de herramientas de administracin
1. Abra Usuarios y equipos de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundariodelmouse(ratn)eneldominioounidadorganizativaparalosquedesee establecer la Directiva de grupo. 3. Haga clic en Propiedadesy,acontinuacin,enlafichaDirectiva de grupo. 4. Haga clic en Modificar para abrir el objeto de directiva de grupo (GPO, Group Policy Object)quedeseamodificar.Tambinpuedehacerclicen NuevoparacrearunnuevoGPOy,despus,hacerclicenModificar. 5. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora 6. Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. 7. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. 8. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuacin,hagadobleclicenUsuarios y equipos de Active Directory.
Para un dominio o unidad organizativa, si est en un servidor miembro o una estacin de trabajo que se ha unido a un dominio
1. 2. 3. 4. 5. 6. 7.
8. 9. 10.
Abra Microsoft Management Console (MMC). EnelmenArchivo, haga clic en Agregar o quitar complementoy,acontinuacin,hagaclicenAgregar. Haga clic en Editor de objetos de directiva de grupoy,acontinuacin,enAgregar. EnlapginaSeleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar. En Buscar un objeto directiva de grupo, seleccione un objeto de directiva de grupo (GPO, Group Policy Object) en el dominio, sitio o unidad organizativa correspondiente (o cree uno nuevo), haga clic en Aceptary,despus,hagaclicenFinalizar. Haga clic en Cerrary,despus,enAceptar. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidad deutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmcy,acontinuacin,hagaclicenAceptar.
Notas Paraauditaraccesosaobjetos,habilitelaauditoradelacategoradesucesosdeaccesoaobjetossiguiendolospasosanteriores.Acontinuacin, habilitelaauditoradelobjetoespecfico.Paraobtenerinformacinacercadecmoactivarlaauditoraenunobjeto,consulte"Aplicaromodificarla configuracindedirectivadeauditoradeunarchivoocarpetalocal"o"Aplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjeto mediante Directiva de grupo" en Temas relacionados. Despusdeconfigurarladirectivadeauditora,lossucesosseguardarnenelregistrodeseguridad.Abra el registro de seguridad para ver esos sucesos.Paraobtenerinformacinacercadelregistrodeseguridad,consulte"Utilizarelregistrodeseguridad"enTemasrelacionados. LaconfiguracinpredeterminadadeladirectivadeauditoraparacontroladoresdedominioesSinauditora.Esosignificaque,inclusosiest habilitadalaauditoraeneldominio,loscontroladoresdedominionoheredanladirectivadeauditoralocalmente.Sideseaqueladirectivade auditoraseapliquealoscontroladoresdedominio,debemodificarestaconfiguracindedirectiva.
Vea tambin
Directivadeauditora4 Auditar sucesos de seguridad5 Introduccinalaauditora6 Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal7 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo8 Utilizar el registro de seguridad9
Tabla de vnculos
Auditarsucesosdeiniciodesesin
Auditar sucesos de inicio de sesin Descripcin

Estaconfiguracindeseguridaddeterminasiseauditacadainstanciadeuninicioocierredesesindeusuarioenunequipo. Lossucesosdeiniciodesesindecuentasegeneranenloscontroladoresdedominioparalaactividaddecuentasdedominioyenlosequiposlocales paralaactividaddecuentaslocales.Siestnhabilitadasambascategorasdedirectiva(iniciodesesindecuentasyauditoradeiniciodesesin),los iniciosdesesinqueutilizanunacuentadedominiogeneranunsucesodeinicioocierredesesinenlaestacindetrabajooservidor,ygeneranun sucesodeiniciodesesindecuentaenelcontroladordedominio.Demaneraadicional,losiniciosdesesininteractivosenunservidormiembroouna estacindetrabajoqueutilicenunacuentadedominiogeneranunsucesodeiniciodesesinenelcontroladordedominioamedidaquelassecuencias decomandosydirectivasdeiniciodesesinserecuperancuandounusuarioiniciasesin.Paraobtenermsinformacinacercadelossucesosdeinicio desesindecuenta,veaAuditarsucesosdeiniciodesesindecuenta1. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandounintentodeiniciodesesintienexito.Lasauditorasdeerroresgeneranunaentradade auditoracuandounintentodeiniciodesesinfalla. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado: Correcto.

Sucesos de inicio de sesin 528
Descripcin
Unusuariohainiciadosesinenunequiposatisfactoriamente.Paraobtenerinformacinacercadeltipodeiniciodesesin,veaTablade tiposdeiniciodesesin. Errordeiniciodesesin.Seintentiniciarsesinconunnombredeusuariodesconocidoounnombredeusuarioconocidoconuna contraseanovlida. Errordeiniciodesesin.Seintentiniciarsesinlacuentahaintentadoiniciarunasesinfueradelintervalopermitido. Errordeiniciodesesin.Seintentiniciarsesinconunacuentadeshabilitada. Errordeiniciodesesin.Seintentiniciarsesinconunacuentacaducada. Errordeiniciodesesin.Unusuarioquenotienepermisoparainiciarunasesinenesteequipointentiniciarsesin. Errordeiniciodesesin.Elusuariohaintentadoiniciarsesinconuntiponopermitido. Errordeiniciodesesin.Hacaducadolacontraseaparalacuentaespecificada. Errordeiniciodesesin.ElservicioIniciodesesinderednoestactivado. Errordeiniciodesesin.Elerrorenelintentodeiniciodesesinsedebeaotrosmotivos.
529
530 531 532 533 534 535 536
537
Nota Enalgunoscasossedesconoceelmotivodelerrordeiniciodesesin.
538 539 540
Sehacompletadoelprocesodecierredesesindeunusuario. Errordeiniciodesesin.Lacuentaestababloqueadaenelmomentoenqueseintenteliniciodesesin. Unusuariohainiciadosesinenunaredsatisfactoriamente. LaautenticacindeIntercambiodeclavesdeInternet(IKE,InternetKeyExchange)enmodoprincipalsehacompletadoentreel
541
equipolocalylaidentidaddelinterlocutorenumerado(estableciendounaasociacindeseguridad),oelmodorpidohaestablecidoun canal de datos. Un canal de datos ha finalizado. El modo principal ha finalizado. Nota
542
543 Estopuededeberseaquesehasuperadoellmitedetiempoenlaasociacindeseguridad(elvalorpredeterminadoesdeocho horas),acambiosenladirectivaoalafinalizacindelinterlocutor.
544
Errorenlaautenticacindemodoprincipaldebidoaqueelinterlocutornohaproporcionadouncertificadovlidoolafirmanoseha validado. ErrorenlaautenticacindemodoprincipaldebidoaunerrordeKerberosoaunacontraseaquenoesvlida. ErroralestablecerlaasociacindeseguridaddeIKEporqueelinterlocutorenviunapropuestanovlida.Seharecibidounpaqueteque contenadatosnovlidos. Error durante un protocolo de enlace de IKE. Errordeiniciodesesin.ElId.deseguridad(SID)deundominiodeconfianzanocoincideconelSIDdeldominiodecuentadelcliente. Errordeiniciodesesin.TodoslosSIDquecorrespondenaespaciosdenombresenlosquenoseconfasefiltraronduranteuna autenticacinentrebosques. Mensajedenotificacinquepodraindicarunposibleataquededenegacindeservicio. Unusuariohainiciadoelprocesodecierredesesin. Unusuariohainiciadosesinsatisfactoriamenteenunequipomediantecredencialesexplcitasmientrastodavaestabaregistradocomoun usuario diferente. UnusuariosehavueltoaconectaraunasesindeTerminalServerdesconectada. UnusuariosehadesconectadodeunasesindeTerminalServersincerrarlasesin. Nota
545
546
547 548
549
550 551
552
682
683 EstesucesosegeneracuandounusuarioseconectaaunasesindeTerminalServeratravsdelared.Apareceenelservidor Terminal Server.
Cuandoseregistraelsuceso528,tambinseenumerauntipodeiniciodesesinenelregistrodesucesos.En la tabla siguiente se describen los tipos de iniciodesesin.
Tipo de inicio Ttulodeinicio de desesin sesin 2 3 Interactive Network
Descripcin
Unusuariohainiciadosesinenesteequipo. Unusuariooequipohainiciadosesinenesteequipodesdelared. Este tipo de inicio lo utilizan los servidores de proceso por lotes, donde los procesos pueden ejecutarse en nombre de un usuariosinsuintervencindirecta. El Administrador de control de servicios ha iniciado un servicio. Laestacindetrabajosehadesbloqueado. Unusuariohainiciadosesinenesteequipodesdelared.Lacontraseadelusuariosehatransferidoalpaquetede autenticacinensuformasinvalordehash.Todoslospaquetesdeautenticacinintegradosaplicanunalgoritmodehasha lascredencialesantesdeenviarlasatravsdelared.Lascredencialesnosetransmitenatravsdelaredentextosin formato(tambindenominadotextonocifrado). Unllamadorhaclonadosusmboloactualyhaespecificadonuevascredencialesparaconexionessalientes.Elnuevoiniciode sesinposeelamismaidentidadlocal,peroempleacredencialesdiferentesparaotrasconexionesdered.
Batch
5 7
Service Unlock
NetworkCleartext
NewCredentials
10
RemoteInteractive UnusuariohainiciadosesindeformaremotaenelequipomedianteServiciosdeTerminalServeroEscritorioremoto.
11
CachedInteractive
Unusuariohainiciadosesinenelequipoconcredencialesderedquesealmacenaronlocalmenteenelequipo.Nose conectconelcontroladordedominioparacomprobarlascredenciales.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadorelativoalossucesos de seguridad3 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Prcticasrecomendadasparaauditarsucesosdeseguridad
Prcticas recomendadas Crear un plan de auditora antes de implementar la directiva de auditora.
Decidaeltipodeinformacinquesedeseaobtenermediantelarecopilacindesucesosdeauditora: Siestinteresadoenladeteccindeintrusos(realizarunseguimientodelosintentosqueefectanlosusuariosparaobteneraccesoareas enlasquenotienenautorizacin),puederecopilarauditorasdeerrores.Perohabilitarlasauditorasdeerrorespuedeconstituirunriesgo parasuorganizacin.Silosusuariosintentanteneraccesoaunrecursoparaelquenotienenautorizacin,puedecreartantasauditorasde erroresqueelregistrodeseguridadselleneyelequipoyanopuedarecopilarmsauditoras.Siesthabilitadalaconfiguracindedirectiva Auditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridad, los usuarios pueden iniciar un ataque de denegacindeservicioatravsdeladirectivadeauditora. Siestinteresadoenutilizarelregistrodeauditoraparadeterminarexactamenteloquehasucedidoenlaorganizacin,puederecopilaruna combinacindeauditorasdeaciertosyerrores. Considerelosrecursosquetienedisponiblespararecopilaryrevisarunregistrodeauditora.Lossucesosdeauditoraocupanespacioenlos equiposypuedeocuparsutiempoyeldelaspersonasdesuorganizacin.Noauditelossucesosenlosquenoestrealmenteinteresado.
Recopilar y archivos registros de seguridad en la organizacin.

Siseproduceunaintrusin,asleyconservelasentradasdelregistrodeseguridad.Estasentradaspuedenresultarvaliosasdurantela investigacindeunaintrusin. Unapistadeauditorapuedecontenerinformacinacercadeloscambiosefectuadosensuequipooenotrosequiposdelared.Silosintrusos obtienen derechos y permisos de administrador, o si los administradores hacen un uso abusivo de sus derechos y permisos, puede borrar el registro deseguridad,porloquenodispondradeningunapistadesusacciones.Siutilizaunaherramientaquerecopileyguardeperidicamentelas entradasdelosregistrosdeseguridaddelaorganizacin,inclusosilosintrusosolosadministradoresborranelregistrodeseguridadlocal,esmuy probable que pueda realizar un seguimiento de las acciones de los intrusos o los administradores. Un ejemplo de este tipo de herramienta es MicrosoftOperationsManager.Paraobtenerlasherramientasdisponiblesmsrecientes,veaBuscarenMicrosoft.comenelsitio Web de Microsoft1.
Auditar sucesos de aciertos y errores en la categora de sucesos del sistema.

Mediantelaauditoradelossucesosdeaciertosyerroresenlacategoradesucesosdelsistema,puedeadvertiractividadespocohabitualesque puedan indicar que un intruso intenta obtener acceso al equipo o a la red. Elnmerodeauditorasquesegenerancuandoesthabilitadaestaconfiguracintiendeaserrelativamentebajoylacalidaddelainformacinque se obtiene de los sucesos tiende a ser relativamente alta. Paraobtenerinformacinacercadelacategoradesucesosdelsistema,veaAuditar sucesos del sistema2. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdelsistema,veaDefiniromodificarlaconfiguracinde directivadeauditoraparaunacategoradesucesos3.
Auditar sucesos de aciertos en la categora de sucesos de cambio de directivas en los controladores de dominio.
Siseregistraunsucesoenlacategoradesucesosdecambiodedirectivas,significaquealguienhacambiadolaconfiguracindeladirectivade seguridad Autoridad de seguridad local (LSA). SiutilizaDirectivadegrupoparaeditarlaconfiguracindeladirectivadeauditora,noesnecesarioauditarlossucesosenlacategoradesucesos de cambio de directivas en los servidores miembro. Sidecideauditarsucesosdeerroresenlacategoradesucesosdecambiodedirectivas,puedeversiusuariosnoautorizadosoatacantesintentan cambiarlaconfiguracindedirectivas,incluidalaconfiguracindedirectivasdeseguridad.Aunquepuederesultartilparaladeteccindeintrusos, elaumentoenrecursosnecesariosylaposibilidaddeunataquededenegacindeservicionormalmentenocompensanlasventajas. Paraobtenerinformacinacercadelacategoradesucesosdecambiodedirectivas,veaAuditar el cambio de directivas4. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdecambiodedirectivas,veaDefinir o modificar la configuracindedirectivadeauditoraparaunacategoradesucesos3.
Auditar sucesos de aciertos en la categora de sucesos de administracin de cuentas.

Mediantelaauditoradesucesosdeaciertosenlacategoradesucesosdeadministracindecuentas,puedecomprobarloscambiosquese realizan en las propiedades de cuentas y de grupos. Sidecideauditarsucesosdeerroresenlacategoradesucesosdeadministracindecuentas,puedeversiusuariosnoautorizadosoatacantes intentancambiarlaspropiedadesdecuentasogrupos.Aunquepuederesultartilparaladeteccindeintrusos,elaumentoenrecursosnecesarios ylaposibilidaddeunataquededenegacindeservicionormalmentenocompensanlasventajas. Paraobtenerinformacinacercadelacategoradesucesosdeadministracindecuentas,veaAuditarlaadministracindecuentas5. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdeadministracindecuentas,veaDefinir o modificar la configuracindedirectivadeauditoraparaunacategoradesucesos3.
Auditar sucesos de aciertos en la categora de sucesos de inicio de sesin.

Mediantelaauditoradesucesosdeaciertosenlacategoradesucesosdeiniciodesesin,dispondrdeunregistrodecundolosusuariosinician ocierranlasesinenunequipo.Siunusuarionoautorizadorobalacontraseadeotrousuarioeiniciasesinenunequipo,puededeterminar cundoseprodujolainfraccindeseguridad. Sidecideauditarsucesosdeerroresenlacategoradesucesosdeiniciodesesin,puedeversiusuariosnoautorizadosoatacantesintentan iniciarsesinenunequipo.Aunquepuederesultartilparaladeteccindeintrusos,laposibilidaddeunataquededenegacindeservicioaumenta conlaauditoradesucesosdeerroresenlacategoradesucesosdeiniciodesesin.Silaauditoradeerroresesthabilitadaenestascategoras desucesos,losusuariosquenopertenezcanasuorganizacinpodranllenarelregistrodeseguridadoprovocarquesesobreescribanlossucesos medianteelintentocontinuodeiniciarunasesinenlaredconnombresdeusuarioocontraseasincorrectos.Siademsesthabilitadala configuracindedirectivaAuditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridad, las consecuencias del registrodelossucesosdeerroresenestascategoraspuedenseranmsgraves:elusuariopodracausarunadenegacindeserviciosisellena el registro de seguridad. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdeiniciodesesin,veaDefiniromodificarlaconfiguracinde directivadeauditoraparaunacategoradesucesos3.
Auditar sucesos de aciertos en la categora de sucesos de inicio de sesin de cuenta en los controladores de dominio.
Mediantelaauditoradesucesosdeaciertosenlacategoradesucesosdeiniciodesesindecuenta,puedevercundolosusuariosiniciano cierranlasesineneldominio. Noesnecesarioauditarsucesosenlacategoradesucesosdeiniciodesesinenlosservidoresmiembro. Sidecideauditarsucesosdeerroresenlacategoradesucesosdeiniciodesesindecuenta,puedeversiusuariosnoautorizadosoatacantes intentaniniciarsesinenlared.Aunquepuederesultartilparaladeteccindeintrusos,laposibilidaddeunataquededenegacindeservicio aumentaconlaauditoradesucesosdeerroresenlacategoradesucesosdeiniciodesesindecuenta.Silaauditoradeerroresesthabilitada enestascategorasdesucesos,losusuariosquenopertenezcanasuorganizacinpodranllenarelregistrodeseguridadoprovocarquese sobreescribanlossucesosmedianteelintentocontinuodeiniciarunasesinenlaredconnombresdeusuarioocontraseasincorrectos.Si ademsesthabilitadalaconfiguracindedirectivaAuditora:apagarelsistemadeinmediatosinopuederegistrarauditorasde seguridad,lasconsecuenciasdelregistrodelossucesosdeerroresenestascategoraspuedenseranmsgraves:elusuariopodracausaruna denegacindeserviciosisellenaelregistrodeseguridad. Paraobtenerinformacinacercadelacategoradesucesosdeiniciodesesindecuenta,veaAuditarsucesosdeiniciodesesindecuenta6. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdeiniciodesesindecuenta,veaDefinir o modificar la configuracindedirectivadeauditoraparaunacategoradesucesos3.
Configurar de forma especfica la auditora en un objeto.

Paraauditarelaccesoaobjetos,debehabilitarlaconfiguracindedirectivaAuditar el acceso a objetosy,acontinuacin,editarlalistade controldeaccesosdelsistema(SACL)queestasociadaalobjeto.Paraobtenermsinformacin,veaListadecomprobacin:configurarla auditoradeaccesoaobjetos7. Paraconseguirelmximorendimiento,minimiceelnmerodeentradasenlaSACLparaunobjeto.UnaentradaenunaSACLquecontenga1000 usuariosnodegradaelrendimientodelsistemacomoloharan1000entradasindependientes. Parareducirelvolumendesucesosquesegeneranyparamaximizarlaeficaciadecadasuceso,auditenicamentelasaccionesenlasque realmenteestinteresado.Porejemplo,siestinteresadoenlosusuariosqueleenunarchivo,noauditeControltotal. Paraobtenerinformacinacercadelacategoradesucesosdeaccesoaobjetos,veaAuditar el acceso a objetos8. Paraobtenerinformacinacercadelaauditorabasadaenoperaciones,veaAuditorabasadaenoperacionesenarchivosocarpetas9. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdeaccesoaobjetos,veaDefiniromodificarlaconfiguracin dedirectivadeauditoraparaunacategoradesucesos3.
Configurar un tamao adecuado para el registro de seguridad.

Esimportantequeeltamaodelregistrodeseguridadseconfigurecorrectamente,segnelnmerodesucesosquegeneralaconfiguracinde directivadeauditora. Paraobtenerinformacinacercadelaadministracinderegistrosdesucesos,veaVisor de sucesos10. Paraobtenerinformacinacercadelaconfiguracindelosregistrosdesucesos,veaConfiguracindelosregistrosdesucesos11.
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=8179 2http://technet.microsoft.com/es-es/library/cc782518(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc781549(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc737542(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc787413(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc738931(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc785425(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc739257(v=ws.10).aspx
Auditar sucesos del sistema

Auditar sucesos del sistema Descripcin

Estaconfiguracindeseguridaddeterminasisedebeauditarcundounusuarioreiniciaoapagaelequipo,osiseproduceunsucesoqueafectaala seguridad del sistema o al registro de seguridad. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandounsucesodelsistemaseejecutacorrectamente.Lasauditorasdeerroresgeneranunaentradade auditoracuandoseproduceunerrorenunsucesodelsistema. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado: Correcto en los controladores de dominio. Sinauditoraenservidoresmiembro.

Mensajes de sucesos Descripcin del sistema 512 513 514 515 Windowsseestiniciando. Windowsseestcerrando. LaAutoridaddeseguridadlocalhacargadounpaquetedeautenticacin. LaAutoridaddeseguridadlocalharegistradounprocesodeiniciodesesinporconfianza. Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado la prdidadealgunosmensajesdesucesosdeseguridad. Sehaborradoelregistrodeauditora. ElAdministradordecuentasdeseguridadhacargadounpaquetedenotificacin. Unprocesoestutilizandounpuertodellamadaaprocedimientolocal(LPC)novlidoenunintentodesuplantaraunclientey responder o leer o escribir en un espacio de direcciones del cliente. Secambilahoradelsistema. 520 Nota Estaauditorasueleaparecerdosveces.
516
517 518
519
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaeltemaacercadesucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadasdeauditoradesucesosdeseguridad4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Auditar el cambio de directivas

Auditar el cambio de directivas Descripcin

Estaconfiguracindeseguridaddeterminasisedebenauditartodaslasincidenciasdeloscambiosenlasdirectivasdeasignacindederechosde usuario,lasdirectivasdeauditoraolasdirectivasdeconfianza. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandoloscambiosenlasdirectivasdeasignacindederechosdeusuario,lasdirectivasdeauditoraolas directivasdeconfianzaseproducencorrectamente.Lasauditorasdeerroresgeneranunaentradadeauditoracuandoloscambiosenlasdirectivasde asignacindederechosdeusuario,lasdirectivasdeauditoraolasdirectivasdeconfianzaproducenerrores. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado: Correcto en los controladores de dominio. Sinauditoraenservidoresmiembro.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivadeauditora\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarlaauditoradedirectivas,veaParadefiniromodificarlaconfiguracindeladirectivade auditoraparaunacategoradesucesos1.
Sucesos de cambio Descripcin de directivas 608 609 610 611 612 613 614 615 616 617 618 620 621 622 Se ha asignado un derecho de usuario. Se ha quitado un derecho de usuario. Sehacreadounarelacindeconfianzaconotrodominio. Sehaquitadounarelacindeconfianzaconotrodominio. Sehamodificadounadirectivadeauditora. Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec). Se ha deshabilitado un agente de directiva IPSec. Se ha modificado un agente de directiva IPSec. Un agente de directiva IPSec ha detectado un error potencialmente grave. Directiva Kerberos modificada. Directivaderecuperacindedatoscifradamodificada. Sehamodificadounarelacindeconfianzaconotrodominio. Se ha concedido acceso al sistema a una cuenta. Se ha quitado el acceso al sistema de una cuenta. Ladirectivadeauditoraporusuarioseestableciparaunusuario. 623 Paraobtenerinformacinacercadelaauditoraselectivaporusuario,veaAuditoraselectivaporusuario2.
625
Ladirectivadeauditoraporusuariosehaactualizado. Sehadetectadounacolisinentreunelementodeespaciodenombresenunbosqueyunelementodeespaciodenombresenotrobosque. Nota
768
Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puede provocarambigedadalahoraderesolverunnombrepertenecienteaunodeloselementosdeespaciodenombres.Estasuperposicin tambinsedenominacolisin.Notodoslosparmetrossonvlidosparacadatipodeentrada.Porejemplo,losparmetroscomonombre DNS,nombreNetBIOSySIDnosonvlidosparaunaentradadeltipo"NombreNivelSuperior".
Sehaagregadoinformacindelbosquedeconfianza. Nota Estemensajedesucesosegeneracuandolainformacindeconfianzadelbosqueseactualizayseagregaunaomsentradas.Se generaunmensajedesucesoporcadaentradaagregada,eliminadaomodificada.Siseagregan,eliminanomodificanmltiples entradasenunaactualizacinnicadelainformacindeconfianzadelbosque,todoslosmensajesdesucesosgeneradostienenun identificadornicoyexclusivodenominadoId.deoperacin.Estopermitedeterminarquelosmltiplesmensajesdesucesosgenerados sonelresultadodeunasolaoperacin.Notodoslosparmetrossonvlidosparacadatipodeentrada.Porejemplo,losparmetros comonombreDNS,nombreNetBIOSySIDnosonvlidosparaunaentradadeltipo"NombreNivelSuperior".
769
Sehaeliminadoinformacindelbosquedeconfianza. 770 Nota Vea la nota del suceso 769.
Sehamodificadoinformacindelbosquedeconfianza. 771 Nota Vea la nota del suceso 769.
805
Elservicioderegistrodesucesosleelaconfiguracindelregistrodeseguridadparaunasesin.
Paraobtenermsinformacinacercadelossucesosdeseguridad,vealadocumentacinrelativaalossucesosdeseguridadenlosKitsderecursosde Microsoft Windows en el sitio Web de Microsoft3. Paraobtenermsinformacin,consulte: Directivadeauditora4 Auditing Security Events Best practices5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
Auditarlaadministracindecuentas
Auditar la administracin de cuentas Descripcin

Laconfiguracindeseguridaddeterminasihayqueauditarcadasucesodelaadministracindecuentasenunequipo.Algunosejemplosdesucesosdela administracindecuentasson: Se crea, cambia o elimina una cuenta de usuario o un grupo. Se cambia el nombre, se deshabilita o se habilita una cuenta de usuario. Seestableceosecambiaunacontrasea. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandoseproducecorrectamenteunsucesodeadministracindecuentas.Lasauditorasdeerrores generanunaentradadeauditoracuandoseproduceunsucesodeadministracindecuentasconerrores.ParaestablecerestevalorenSinauditora, enelcuadrodedilogoPropiedadesdeestaopcindeconfiguracindedirectiva,activelacasilladeverificacinDefinirestaconfiguracinde directivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado: Correcto en los controladores de dominio. Sinauditoraenservidoresmiembro.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivadeauditora\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeauditora,veaParadefiniromodificarlaconfiguracindeladirectivade auditoraparaunacategoradesucesos1.
Sucesos de administracinde Descripcin cuentas 624 627 628 630 631 632 633 634 635 636 637 638 639 641 642 Se ha creado una cuenta de usuario. Sehamodificadounacontraseadeusuario. Sehaestablecidounacontraseadeusuario. Se ha eliminado una cuenta de usuario. Se ha creado un grupo global. Se ha agregado un miembro a un grupo global. Se ha eliminado un miembro de un grupo global. Se ha eliminado un grupo global. Se ha creado un nuevo grupo local. Se ha agregado un miembro a un grupo local. Se ha quitado un miembro de un grupo local. Se ha eliminado un grupo local. Se ha modificado una cuenta de un grupo local. Se ha modificado una cuenta de un grupo global. Se ha modificado una cuenta de usuario.
643 644 645 646 647
Se ha modificado una directiva de dominio. Sehabloqueadoautomticamenteunacuentadeusuario. Se ha creado una cuenta de equipo. Se ha cambiado una cuenta de equipo. Se ha eliminado una cuenta de equipo. Se ha creado un grupo de seguridad local con la seguridad deshabilitada. Nota
648 SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones de acceso.
649 650 651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668
Se ha modificado un grupo de seguridad local con la seguridad deshabilitada. Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada. Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada. Se ha eliminado un grupo local con la seguridad deshabilitada. Se ha creado un grupo global con la seguridad deshabilitada. Se ha modificado un grupo global con la seguridad deshabilitada. Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. Se ha eliminado un grupo global con la seguridad deshabilitada. Se ha creado un grupo universal con la seguridad habilitada. Se ha modificado un grupo universal con la seguridad habilitada. Se ha agregado un miembro a un grupo universal con la seguridad habilitada. Se ha quitado un miembro de un grupo universal con la seguridad habilitada. Se ha eliminado un grupo universal con la seguridad habilitada. Se ha creado un grupo universal con la seguridad deshabilitada. Se ha modificado un grupo universal con la seguridad deshabilitada. Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. Se ha eliminado un grupo universal con la seguridad deshabilitada. Se ha modificado un tipo de grupo. Defina el descriptor de seguridad de los miembros de grupos administrativos. Nota
684
en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los grupos administrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo. Este suceso se registra.
685
Se ha modificado el nombre de una cuenta.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaSucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows.
Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadas4paraauditora HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Auditorabasadaenoperacionesenarchivosocarpetas
Auditora basada en operaciones en archivos o carpetas
LaauditorabasadaenoperacionesesunacaractersticanuevaenlafamiliaWindowsServer2003.EnversionesanterioresdeWindows,lainformacin queseobtenadelaauditoradeaccesoaobjetosnoeratandetalladacomoloesconlaauditorabasadaenoperaciones.Aunquesepodadeterminar queunusuariohabaintentadoteneraccesoaunobjeto,nohabaformadeestarsegurodequesehabatenidoaccesoalobjetoentodaslasformas documentadasenelsucesodeauditora.Conlaauditorabasadaenoperacionespuedeauditarlasoperacionesefectuadassobrearchivosycarpetas. Estosignificaquesepuedenauditardeterminadasoperaciones,comoEscribir,ascomoelaccesoalosobjetos.Laauditorabasadaenoperacionesest habilitadacuandolaauditoradeaccesoaobjetosesthabilitadaenunarchivoocarpeta.Lossucesosdeaccesoaobjetosseregistran,juntocon operaciones como Escritura, en el registro de seguridad. Parahabilitarlaauditorabasadaenoperaciones,tieneque: HabilitarlaconfiguracindedirectivaAuditar el acceso a objetos.Paraobtenermsinformacin,veaDefiniromodificarlaconfiguracinde directivadeauditoraparaunacategoradesucesos1. Aplicarladirectivadeauditoraaunacarpetaespecfica.Paraobtenermsinformacin,vea: Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal2 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo3 Lasauditorasbasadasenoperacionesseclasificancomoauditorasdeobjetosyseregistranconelnmerodesuceso567enelregistrodesucesos.Se generanlaprimeravezqueserealizaunaoperacin.Lasauditorasbasadasenoperacionesslosepuedenconfigurarparaarchivosycarpetas.
Tabla de vnculos
Aplicaromodificarlaconfiguracindedirectivadeauditoradeun archivo o carpeta local

Para aplicar o modificar la configuracin de directiva de auditora de un archivo o carpeta local
1. Abra el Explorador de Windows. 2. Hagaclicconelbotnsecundariodelmouse(ratn)enelarchivoocarpetaquedeseeauditar,hagaclicenPropiedades y, a continuacin,enlafichaSeguridad. 3. Haga clic en Avanzadasy,despus,enlafichaAuditora. 4. Realice una de estas acciones: Paraconfigurarlaauditoraparaunusuarioogruponuevo,hagaclicenAgregar. En Escriba el nombre del objeto a seleccionar, escriba elnombredelusuarioogrupoquedeseey,acontinuacin,hagaclicenAceptar. Paraquitarlaauditoraparaungrupoousuarioexistente,hagaclicensunombre,enQuitar, en Aceptary,acontinuacin,omitaelresto de este procedimiento. Paraveromodificarlaauditoradeungrupoousuarioexistente,hagaclicensunombrey,acontinuacin,hagaclicenModificar. 5. En el cuadro Aplicar en,hagaclicenlaubicacindondedeseequeserealicelaauditora. 6. En el cuadro Acceso,indiquelasaccionesquedeseaauditarparaello,activelascasillasdeverificacinadecuadas: Paraauditarlossucesoscorrectos,activelacasilladeverificacinCorrectos. Paradejardeauditarlossucesoscorrectos,desactivelacasilladeverificacinCorrectos. Paraauditarlossucesoserrneos,activelacasilladeverificacinErrneos. Paradejardeauditarlossucesoserrneos,desactivelacasilladeverificacinErrneos. Para dejar de auditar todos los sucesos, haga clic en Borrar todo. 7. Sideseaevitarquelosarchivosylassubcarpetassiguientesdelobjetooriginalheredenestasentradasdeauditora,activelacasilladeverificacin Aplicarestosvaloresdeauditorasloalosobjetosy/ocontenedoresdentrodeestecontenedor. Importante Antesdeconfigurarlaauditoradearchivosycarpetas,debehabilitarlaauditoradeaccesoaobjetosparaello,definalaconfiguracinde directivadeauditoraparalacategoradesucesosdeaccesoaobjetos.Sinohabilitalaauditoradeaccesoaobjetos,aparecerunmensajede erroralconfigurarlaauditoraparaarchivosycarpetas,ynoseauditarningnarchivonicarpeta.Paraobtenermsinformacinacercadecmo habilitarlaauditoradeaccesoaobjetos,consulte"Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos"en Temas relacionados. Notas DebehaberiniciadosesincomomiembrodelgrupoAdministradoresodebetenerconcedidoelderechoparaAdministrarelregistrodeauditora y seguridad en Directiva de grupo para realizar este procedimiento. Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos los programas, Accesoriosy,acontinuacin,hagaclicen Explorador de Windows. ParaobtenerinformacinacercadecmoauditarclavesdelRegistrolocal,consulte"AuditarlaactividaddeunaclavedelRegistro"enTemas relacionados. Despusdehabilitarlaauditoradeaccesoaobjetos,consulteelregistrodeseguridadenelVisordesucesospararevisarelresultadodelos cambios. SlopuedeconfigurarlaauditoradearchivosycarpetasenunidadesNTFS. Si ve lo siguiente: EnelcuadrodedilogoEntradadeauditoraparaarchivo o carpeta, en el cuadro Acceso,lascasillasdeverificacinnoestndisponibles EnelcuadrodedilogoConfiguracindeseguridadavanzadaparaarchivo o carpeta,elbotnQuitarnoestdisponible laauditorasehaheredadodelacarpetaprincipal. Debidoaqueelregistrodeseguridadtieneunlmitedetamao,seleccionecuidadosamentelosarchivosycarpetasqueseauditarn.Considere tambinlacantidaddeespacioendiscoquedeseadedicaralregistrodeseguridad.EltamaomximodelregistrodeseguridadsedefineenVisor de sucesos.
Vea tambin
Cmoafectalaherenciaalaauditoradearchivosycarpetas1 Seleccionardndeaplicarentradasdeauditora2 Auditar sucesos de seguridad3 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4 Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos5 Auditar la actividad de una clave del Registro6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736421(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787302(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc757250(v=ws.10).aspx
Aplicaromodificarlaconfiguracindedirectivadeauditoraparaun objeto mediante Directiva de grupo
Para aplicar o modificar la configuracin de directiva de auditora para un objeto mediante Directiva de grupo
1. 2. 3. 4. 5. Abra Microsoft Management Console (MMC). EnelmenArchivo, haga clic en Agregar o quitar complementoy,despus,enAgregar. Haga clic en Editor de objetos de directiva de grupoy,acontinuacin,hagaclicenAgregar. EnlapginaSeleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar. En Buscar un objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa correspondiente (o cree uno nuevo), haga clic en Aceptary,despus,hagaclicenFinalizar. 6. Haga clic en Cerrary,despus,hagaclicenAceptar. 7. Realice uno o varios de los procedimientos siguientes:
Para auditar
Haga esto Enelrboldelaconsola,hagaclicenServicios del sistema. Dnde?
Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Serviciosdelsistema Servicios Enelpaneldedetalles,hagaclicconelbotnsecundariodelmouse(ratn)enelservicioalquedeseaaplicaromodificarla del sistema configuracindedirectivadeauditoray,acontinuacin,hagaclicenPropiedades. Siannoestactivada,activelacasilladeverificacinDefinirestaconfiguracindedirectivay,acontinuacin,seleccionela configuracinapropiada. Haga clic en Modificar seguridad. Enelrboldelaconsola,hagaclicenRegistro. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Registro Claves del SideseaagregarunaclavedelRegistroaesteGPOparaauditarla,hagaclicconelbotnsecundariodelmouseenRegistro y, a Registro continuacin,hagaclicenAgregar clave.Busquelaclavequedeseey,acontinuacin,hagaclicenAceptar. SideseaaplicaromodificarlaconfiguracindeauditoraenunaclavedelRegistroqueyasehaagregadoaesteGPO,enelpanelde detalles,hagaclicconelbotnsecundariodelmouseenlaclavedelRegistro,hagaclicenPropiedadesy,acontinuacin,en Modificar seguridad. Enelrboldelaconsola,hagaclicenSistema de archivos. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Sistemadearchivos Archivos SideseaagregarunarchivoounacarpetaaesteGPOparaauditarlo,hagaclicconelbotnsecundariodelmouseenSistema o carpetas de archivosy,acontinuacin,hagaclicenAgregar archivo. Busque el archivo que desee o cree una carpeta nueva y, a continuacin,hagaclicenAceptar. SideseaaplicaromodificarlaconfiguracindeauditoraenunarchivoocarpetaqueyasehaagregadoaesteGPO,enelpanelde detalles,hagaclicconelbotnsecundariodelmouseenelarchivoocarpeta,hagaclicenPropiedadesy,acontinuacin,en ;Modificar seguridad. 8. Haga clic en Avanzadasy,despus,enlafichaAuditora. 9. Realice una de las acciones siguientes: Paraconfigurarlaauditoraparaunusuarioogruponuevo,hagaclicenAgregar. En Nombre, escriba el nombre del usuario o el grupo que deseay,acontinuacin,hagaclicenAceptar. Paraveromodificarlaauditoradeungrupoousuarioexistente,hagaclicenelnombrequedeseey,acontinuacin,hagaclicenModificar. Paraquitarlaauditoradeungrupoousuarioexistente,hagaclicenelnombrequedesee,hagaclicenQuitar, en Aceptar y, a continuacin,omitaelrestodeesteprocedimiento. 10. Seleccione la entrada adecuada en la lista Aplicar en. 11. En el cuadro Acceso,indiquelasaccionesquedeseaauditarparaello,activelascasillasdeverificacinadecuadas: Paraauditarlossucesoscorrectos,activelacasilladeverificacinCorrectos. Paradejardeauditarlossucesoscorrectos,desactivelacasilladeverificacinCorrectos. Paraauditarlossucesoserrneos,activelacasilladeverificacinErrneos. Paradejardeauditarlossucesoserrneos,desactivelacasilladeverificacinErrneos. Para dejar de auditar todos los sucesos, haga clic en Borrar todo. 12. Sideseaevitarquelosarchivosylassubcarpetasdelrbolheredenestasentradasdeauditora,activelacasilladeverificacinAplicar estos valoresdeauditorasloalosobjetosy/ocontenedoresdentrodeestecontenedor. Importante Antesdeconfigurarlaauditoradearchivosycarpetas,debehabilitarlaauditoradeaccesoaobjetosparaello,definalaconfiguracinde directivadeauditoraparalacategoradesucesosdeaccesoaobjetos.Sinohabilitalaauditoradeaccesoaobjetos,aparecerunmensajede erroralconfigurarlaauditoraparaarchivosycarpetas,ynoseauditarningnarchivonicarpeta.Paraobtenermsinformacinacercadecmo habilitarlaauditoradeaccesoaobjetos,consulte"Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos"en Temas relacionados. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde
ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmcy,acontinuacin,hagaclicenAceptar. Paraobtenermsinformacinacercadeseleccionardndeaplicarlasentradasdeauditora,consulteTemasrelacionados. SlopuedeconfigurarlaauditoradearchivosycarpetasenunidadesNTFS. Si ve lo siguiente: EnelcuadrodedilogoEntradadeauditoraparaarchivo o carpeta, en el cuadro Acceso,lascasillasdeverificacinnoestndisponibles EnelcuadrodedilogoConfiguracindeseguridadavanzadaparaarchivo o carpeta,elbotnQuitarnoestdisponible laauditoraseheredadelacarpetaprincipal. Despusdehabilitarlaauditoradeaccesoaobjetos,consulteelregistrodeseguridadenelVisordesucesospararevisarelresultadodelos cambios. Debidoaqueelregistrodeseguridadtieneunlmitedetamao,seleccionecuidadosamentelosarchivosycarpetasqueseauditarn.Considere tambinlacantidaddeespacioendiscoquedeseadedicaralregistrodeseguridad.EltamaomximodelregistrodeseguridadsedefineenVisor de sucesos.
Vea tambin
Auditar sucesos de seguridad4 Ver el registro de seguridad5 Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos6 Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal7 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo Seleccionardndeaplicarentradasdeauditora8
Tabla de vnculos
Visor de sucesos
Visor de sucesos
Con el Visor de sucesos, puede supervisar sucesos guardados en registros de sucesos. Normalmente,unequipoalmacenalosregistrosAplicacin, Seguridad y Sistema. Tambinpuedecontenerotrosregistros,dependiendodelafuncindelequipoydelasaplicacionesinstaladas. ParaversugerenciasacercadecmousarelVisordesucesos,veaPrcticasrecomendadasparaelvisordesucesos1. Paraobtenerayudaacercadetareasespecficas,veaVisordesucesos:cmo...2. Paraobtenerinformacingeneral,veaConceptos del Visor de sucesos3. Paraobtenerinstruccionesacercadecmosolucionarproblemas,veaSolucionar problemas del Visor de sucesos4.
Tabla de vnculos
Prcticasrecomendadasparaelvisordesucesos
Prcticas recomendadas Habilite el registro de seguridad de las acciones y objetos importantes para la seguridad y revise peridicamente los registros de seguridad en los equipos de la red.
Alconfigurarunadirectivadeauditorayrevisarlosregistrosdeseguridad,puededetectaractividadnoautorizadaeintentosdeintrusinde usuarios malintencionados o intrusos en los equipos de la red. Paraobtenermsinformacinacercadelasdirectivasdeauditora,veaAuditar sucesos de seguridad1. Paraobtenermsinformacinacercadelosregistrosdesucesos,veaVer registros de sucesos2.
Tabla de vnculos
Visordesucesos:cmo...
Cmo
Ver registros de sucesos1 Administrar registros de sucesos2 Personalizar registros de sucesos3 Utilizar el registro de seguridad4
Tabla de vnculos
Solucionar problemas del Visor de sucesos

Solucionar problemas
Quproblematiene? Alverunsucesodeunregistrodesucesosguardadoenunequiporemoto,nopuedeverloscamposDescripcinoCategoraenelcuadrode dilogodepropiedades.EnlugardeverunadescripcinenelcampoDescripcin,veunmensajedeerror,oenlugardeunacategoraenelcampo Categora,veunnmero. Alverunsucesoenelpaneldedetalles,apareceunidentificadornicoglobal(GUID)oidentificadordeseguridad(SID)enelcampoUsuario.Debe ver un nombre de usuario. No puede ver el registro de seguridad pero puede ver otros registros. Puede ver el registro de seguridad pero no puede ver otros registros. NopuedeobteneraccesoaloscomplementosdelaextensinAdministracindeequiposenunequiporemoto.
Al ver un suceso de un registro de sucesos guardado en un equipo remoto, no puede ver los campos Descripcin o Categora en el cuadro de dilogo de propiedades. En lugar de ver una descripcin en el campo Descripcin, ve un mensaje de error, o en lugar de una categora en el campo Categora, ve un nmero.
Causa:elVisordesucesosobtieneinformacindedescripcinycategoradesucesosdelequipoquecontieneelregistro.Esposiblequeelregistrode sucesoshayasidocopiadodelequipoenelquesegeneraotroequipoquenotieneinstaladoelservicioqueregistresossucesos. Solucin:abraelVisordesucesosdesdelalneadecomandosmediantemmc.exeyutiliceelparmetro/auxsource=nombreDeEquipo.Elparmetro /auxsource=nombreDeEquipopermitequeelVisordesucesosobtengainformacinacercadesucesosdeunequipoquenotieneinstaladoelserviciode registrodesucesos.stepuedeserelequipoquegenerelregistroobienotroequipodelared.Puedeutilizarelparmetro /auxsource=nombreDeEquipo en equipos que ejecutan un sistema operativo Windows XP o posterior. Para llevar a cabo este procedimiento, debe ser miembrodelgrupoAdministradoresenelequipolocalotenerdelegadalaautoridadcorrespondiente.Sielequipoestunidoaundominio,losmiembros delgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Sintaxis mmc.exe X:\WINDOWS\system32\eventvwr.msc /auxsource= nombreDeEquipo DondeX:\WINDOWS\System32eslarutadeaccesopredeterminadaaeventvwr.mscyXeslaunidaddondeestinstaladoWindows. Nota Paraejecutarunautilidaddelneadecomandos,hagaclicenInicioy,acontinuacin,enEjecutar.EnelcuadrodedilogoAbrir, escriba la utilidadyparmetrosdelalneadecomandosy,acontinuacin,hagaclicenAceptar. Sinohaydisponibleinformacindecategora,tambinpuedeverunnmeroenlugardetextoenelcampoCategora en el panel de detalles del Visordesucesosparalaenumeracindeunsuceso. Veatambin: Mmc1; Administrarlosregistrosdesucesosdesdelalneadecomandos2 Causa: intenta ver un registro en un equipo remoto y no pertenece al grupo Administradores o no tiene delegada la autoridad apropiada en el equipo remoto. Solucin: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento.Como prcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. tambinpodraobtenerlamismainformacindesdeotroequipodelared.Paraello,ejecuteelVisordesucesosenunsmbolodelsistema (Eventvwr.msc),conelparmetroauxsource=nombreDeEquipo. PuedeutilizaresteparmetroparapermitiralVisordesucesosobtenerinformacinde unequipoconelservicioinstalado.stepuedeserelequipoquegenerelregistroobienotroequipodelared. Causa:intentaverunregistroenunequiporemotoyelserviciodeRegistroremotodelequiporemotoestdetenido.Siunequiporemotoejecutaun sistema operativo Windows XP o posterior, se debe iniciar el servicio Registro remoto para que pueda ver los campos Descripcin o Categora de la pginadepropiedadesdeunregistrodesucesos. Solucin:inicieelserviciodeRegistroremotoenelequiporemoto.PuedeadministrarelservicioRegistroremotoatravsdelcomplementoServicios y aplicaciones en Administracindeequipos. Para iniciar el servicio Registro remoto 1. 2. 3. 4. En Administracindeequipos,compruebequeestenlaconsoladelequiporemoto. Enelrboldeconsola,enServicios y aplicaciones, haga clic en Servicios. En el panel de detalles, haga doble clic en Registro remoto. En la ficha General, en Estado del servicio, haga clic en Iniciar. Haga clic en Aceptar.
Tambinpodraobtenerlamismainformacindesdeotroequipodelared.Paraello,ejecuteelVisordesucesosenunsmbolodelsistema (Eventvwr.msc),conelparmetroauxsource=nombreDeEquipo.PuedeutilizaresteparmetroparapermitiralVisordesucesosobtenerinformacinde un equipo con el servicio instalado. stepuedeserelequipoquegenerelregistroobienotroequipodelared. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento. Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. EsteparmetroestdisponibleenequiposqueejecutanWindowsXPounproductodelafamiliaWindowsServer2003. Veatambin: Administracinremota3;Administracindeequipos4; Microsoft Management Console5
Al ver un suceso en el panel de detalles, aparece un identificador nico global GUID o identificador de seguridad SID en el campo Usuario. Debe ver un nombre de usuario.
Causa: el equipo en el que ejecuta el Visor de sucesos no puede convertir el GUID o SID en nombre de usuario. Solucin:ejecuteelVisordesucesosenelequipoenelquesegenerelregistrodesucesos. Causa: la cuenta de usuario a la que hace referencia el suceso se ha eliminado.
Solucin:nopodrrecuperarestainformacinmedianteelVisordesucesos.
No puede ver el registro de seguridad pero puede ver otros registros.

Causa: no pertenece al grupo Administradores o no tiene delegada la autoridad apropiada en el equipo de destino. Solucin: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento.Como prcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Veatambin: Utilizar el registro de seguridad6
Puede ver el registro de seguridad pero no puede ver otros registros.

Causa:sucuentahasidoagregadaalgrupoInvitadosdelequipodedestinoytambinesmiembrodelgrupoAdministradores. Solucin: quite su cuenta del grupo Invitados en el equipo de destino: 1. Abra Administracindeequipos.Sielequipodedestinoesunequiporemoto,hagaclicconelbotnsecundariodelmouse(ratn)en Administracindelequipo(local)y,acontinuacin,hagaclicenConectar con otro equipo. 2. En Usuarios y grupos locales, haga clic en Grupos. 3. En el panel de detalles, haga doble clic en Invitados. 4. Seleccione la cuenta y haga clic en Quitar. 5. Haga clic en Aceptar. Notas Este problema suele darse cuando un administrador agrega al grupo Invitadosungrupoquecontieneunacategoraampliadeusuarios,comoel grupo Todos, INTERACTIVO o Usuarios autenticados. De forma predeterminada, a los miembros del grupo InvitadosselesdeniegaexplcitamenteelaccesoarecursoscomolosregistrosdesucesosPor lo tanto, evite agregar al grupo Invitados grupos que contengan usuarios con privilegios administrativos. Esposiblequetengaquecerrarlasesinyvolverainiciarlaparaqueesoscambiostenganefecto. Veatambin: Conectar con otro equipo en el Visor de sucesos7.
No puede obtener acceso a los complementos de la extensin Administracin de equipos en un equipo remoto.
Causa:elservicioRegistroremotonoseestejecutandoenelequiporemoto. Solucin:asegresedequeelservicioRegistroremotosehainiciadoenelequiporemoto.Paraobtenermsinformacin,veaIniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8.Necesitarpermisosapropiadosenelequiporemotoparapoderiniciarelservicio. Nota PuedequetambinrecibaestemensajedeerrorsielequiporemotoestejecutandoWindows95.Administracindeequiposnoadmiteelacceso remoto a equipos que ejecutan Windows 95.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/5c5069cc-fc6e-4dde-9664-13f4582c83fd 2http://technet.microsoft.com/es-es/library/cc757231(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc757828(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc784984(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc757318(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc757393(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc786582(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx
Auditar el acceso del servicio de directorio

Auditar el acceso del servicio de directorio Descripcin

EstaconfiguracindeseguridaddeterminasihayqueauditarelsucesodeunusuarioqueobtieneaccesoaunobjetodeActiveDirectoryquetiene especificada su propia lista de control de acceso al sistema (SACL, System Access Control List). De manera predeterminada, este valor se establece como sin auditar en el objeto Controlador predeterminado de dominio de Directiva de grupo (GPO) y queda sin definir en estaciones de trabajo y servidores donde no tiene sentido. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandounusuariotieneaccesocorrectamenteaunobjetodeActiveDirectoryquetieneespecificadauna SACL.Lasauditorasdeerroresgeneranunaentradadeauditoracuandounusuariointentateneracceso,sinlograrlo,aunobjetodeActiveDirectory que tiene especificada una SACL. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva, activelacasilladeverificacinDefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Observe que puede establecer una SACL en un objeto de Active Directory mediante la ficha SeguridadenelcuadrodedilogoPropiedades del objeto. Es lo mismo que Auditar el acceso a objetos1,exceptoporelhechodequeseaplicasloaobjetosdeActiveDirectoryynoalsistemadearchivosnia los objetos del Registro del sistema. Valor predeterminado: Correcto en los controladores de dominio. Indefinido para un equipo miembro.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivadeauditora\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeauditora,veaDefiniromodificarlaconfiguracindedirectivade auditoraparaunacategoradesucesos2. Solamentehayunsucesodeaccesoaserviciodedirectorio,queesidnticoalsucesodeseguridad566:Accesoaobjetos.
Sucesos de acceso al servicio de directorio Descripcin 566 Sehaproducidounaoperacindeobjetogenrica.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadosobresucesos de seguridad3 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
Auditar el uso de privilegios

Auditar el uso de privilegios Descripcin

Estaconfiguracindeseguridaddeterminasisedebeauditarcadainstanciadeunusuarioqueutilizaunderechodeusuario. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosinoseauditaesetipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandolautilizacindeunderechodeusuarioseproducecorrectamente.Lasauditorasdeerroresgeneran unaentradadeauditoracuandolautilizacindeunderechodeusuarioseproduceconerrores. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado:Sinauditora. Lasauditorasnosegeneranparaelusodelossiguientesderechosdeusuario,aunquesehayanespecificadoauditorasdeaciertosodeerrorespara Auditar el uso de privilegios.Alhabilitarlaauditoradeestosderechosdeusuariosetiendeagenerarmuchossucesosenelregistrodeseguridadque pueden impedir el funcionamiento del equipo. Para auditar los siguientes derechos de usuario, habilite la clave del Registro FullPrivilegeAuditing. Saltarselacomprobacinderecorrido Depurar programas Crearunobjetosmbolo Reemplazarelsmbolodeproceso Generarauditorasdeseguridad Realizar copias de seguridad de archivos y directorios Restaurar archivos y directorios Precaucin LamodificacinincorrectadelRegistropuededaargravementeelsistema.AntesderealizarcambiosenelRegistro,debehacerunacopiade seguridad de los datos valiosos que contenga el equipo.

Sucesos de uso de privilegios Descripcin Losprivilegiosespecificadosseagregaronaunsmbolodeaccesodelusuario. 576 Nota estesucesosegeneracuandoelusuarioiniciasesin.
577 578
Unusuariointentrealizarunaoperacindeserviciodelsistemaconprivilegios. Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadorelativoalossucesos de seguridad2 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadas4paraauditora HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Auditar el seguimiento de procesos

Auditar el seguimiento de procesos Descripcin

Estaconfiguracindeseguridaddeterminasisedebeauditardemododetalladolainformacinrelacionadaconelseguimientodesucesos,comola activacindeprogramas,salidadeprocesos,duplicacindeidentificadoresyaccesoindirectoaobjetos. Sidefineestaopcindeconfiguracindedirectiva,puedeespecificarsiseauditanaciertos,erroresosionoseauditaeltipodesuceso.Lasauditoras deaciertosgeneranunaentradadeauditoracuandoelprocesoquesesigueseproducecorrectamente.Lasauditorasdeerroresgeneranunaentrada deauditoracuandoenelprocesoqueseestsiguiendoseproduceunerror. Para establecer este valor a Sinauditora,enelcuadrodedilogoPropiedadesdeestaconfiguracindedirectiva,activelacasilladeverificacin DefinirestaconfiguracindedirectivaydesactivelascasillasdeverificacinCorrecto y Error. Valor predeterminado:Sinauditora

Suceso Descripcindelsuceso 592 593 594 595 Se ha creado un nuevo proceso. Ha terminado un proceso. Un identificador de objeto ha sido duplicado. Se ha obtenido un acceso indirecto a un objeto. Seharealizadounacopiadeseguridaddeunaclavemaestradeproteccindedatos. Nota 596 La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza una copiadeseguridaddelaclavemaestracadavezquesecreaunanueva.(Elvalorpredeterminadoes90das.)Lacopiadeseguridaddela clave suele realizarse en un controlador de dominio.
597 598 599 600 601 602
Serecuperunaclavemaestradeproteccindedatosdesdeunservidorderecuperacin. Los datos auditables estaban protegidos. Los datos auditables no estaban protegidos. Unprocesoasignunsmboloprincipal. Unusuariointentinstalarunservicio. Se ha creado un trabajo de programador.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaeltemasobresucesosdeseguridadenelsitio Web de Kits de recursos de Microsoft Windows2. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadasparaauditarsucesosdeseguridad4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Ver registros de seguridad

Ver registros de seguridad
Laauditoradeunobjetolocalcreaunaentradaenelregistrodeseguridad.Lasentradasdeseguridadqueaparecenenelregistrodeseguridad dependendelascategorasdeauditoraqueseleccioneparasudirectivadeauditora.Parasucesosrelacionadosconelaccesoaobjetos,lasentradas enelregistrodeseguridadtambindependendelaconfiguracindedirectivadeauditoradefinidaparacadaobjeto.Paraobtenermsinformacin acercadelaauditora,consulteAuditar sucesos de seguridad1. Porejemplo,siladirectivadeauditoraespecificaauditararchivosycarpetas,ylaspropiedadesdeunarchivoespecificanquesevanaauditarlas eliminacionesincorrectasdeesearchivo,cadavezqueunusuariointentesinxitoeliminarelarchivodichointentoapareceenelregistrodeseguridad. El registro de seguridad se puede ver mediante el lVisor de sucesos.
Tamao del registro de seguridad

Esimportantedefinireltamaodelregistrodeseguridadadecuadamente.Elijacuidadosamentelossucesosaauditar,pueselregistrodeseguridadtiene untamaolimitado.Consideretambinlacantidaddeespacioendiscoquedeseadedicaralregistrodeseguridad.EltamaomximosedefineenVisor de sucesos. Paraobtenerinformacinacercadeloquesedebehacercuandosellenaelregistrodeseguridad,consulteAuditora:apagarelsistemadeinmediatosi nopuederegistrarauditorasdeseguridad2. Paraobtenermsinformacinacercadelossucesosdeseguridad,consulte"Sucesosdeseguridad"enelsitio Web de kits de recursos de Microsoft Windows3.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc739010(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101
Ver el registro de seguridad
Para ver el registro de seguridad

1. Abra el Visor de sucesos. 2. Enelrboldelaconsola,hagaclicenSeguridad. El panel de detalles enumera los sucesos de seguridad individuales. 3. Sideseavermsdetallesacercadeunsucesoespecfico,hagadobleclicenelsucesoenelpaneldedetalles. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento. Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Para abrir el Visor de sucesos, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,haga doble clic en Visor de sucesos. Paraobtenermsinformacinacercadelossucesosdeseguridad,veaeltemasobresucesosdeseguridadenelsitio Web de kits de recursos de Microsoft Windows1.
Vea tambin
Auditar sucesos de seguridad2 Directivadeauditora3 Configuracindelosregistrosdesucesos4 Descripcindelasopcionesderegistrodesucesos5
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=101 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc739257(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778651(v=ws.10).aspx
Seleccionardndeaplicarentradasdeauditora
Seleccionar dnde aplicar entradas de auditora
ElcuadrodedilogoEntradadeauditoraaparecealrealizarlaauditoradearchivosocarpetas.Enestecuadrodedilogo,lalistaAplicar en muestra lasubicacionesdondesepuedenaplicarentradasdeauditora.Elmodoenqueseaplicanestasentradasdeauditoradependedesilacasillade verificacinAplicarestosvaloresdeauditorasloalosobjetosy/ocontenedoresdentrodeestecontenedorestactivada.Deforma predeterminada,estacasilladeverificacinestdesactivada. Haga clic en Desactivada o en Activadaacontinuacinparavercmoseaplicanlasentradasdeauditora,enfuncindesiestacasilladeverificacin estdesactivadaoactivada.Cuandoestacasilladeverificacinest: Desactivada... Activada...
Desactivada...
Aplicar en
Audita la carpeta actual x
Audita todas las Audita subcarpetas de Audita archivos de la subcarpetas la carpeta actual carpeta actual subsiguientes
Audita archivos en todas las subcarpetas subsiguientes
Sloestacarpeta Esta carpeta, subcarpetas y archivos Esta carpeta y sus subcarpetas Esta carpeta y sus archivos Slosubcarpetasy archivos Slosubcarpetas Sloarchivos
x x
x x
Activada...
Aplicar en
Audita la carpeta actual x
Audita todas las Audita subcarpetas de Audita archivos de la subcarpetas la carpeta actual carpeta actual subsiguientes
Audita archivos en todas las subcarpetas subsiguientes
Sloestacarpeta Esta carpeta, subcarpetas y archivos Esta carpeta y sus subcarpetas Esta carpeta y sus archivos Slosubcarpetasy archivos Slosubcarpetas Sloarchivos
x x
Paraobtenermsinformacinacercadecmoconfigurarlaauditoradeobjetos,veaListadecomprobacin:configurarlaauditoradeaccesoa objetos1. Paraobtenermsinformacinacercadelaauditora,veaAuditar sucesos de seguridad2.
Tabla de vnculos
Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory

Para asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory
1. Abra Usuarios y equipos de Active Directory. 2. EnelmenVer, haga clic en Caractersticasavanzadas. 3. Hagaclicconelbotnsecundariodelmouse(ratn)enelobjetocuyospermisosdeseaasignar,cambiaroquitary,acontinuacin,haga clic en Propiedades. 4. En la ficha Seguridad, haga clic en Avanzadas para ver todas las entradas de permisos que existen para ese objeto. 5. Realice uno o varios de los procedimientos siguientes: Para asignar nuevos permisos a un objeto o atributo, haga clic en Agregar. Escriba el nombre del grupo, equipo o usuario que desea agregar y haga clic en Aceptar.EnelcuadrodedilogoEntrada de permiso para nombreObjeto, en las fichas Objeto y Propiedades, active o desactivelascasillasdeverificacinPermitir o Denegar,segncorresponda. Paracambiarpermisosexistentesdeunobjetooatributo,hagaclicenunaentradadepermisoy,acontinuacin,hagaclicenModificar. En las fichas Objeto y Propiedades,seleccioneodeseleccionelacasilladeverificacinPermitir o Denegar,segncorresponda. Paraquitarpermisosexistentesdeunobjetooatributo,hagaclicenunaentradadepermisoy,acontinuacin,hagaclicenQuitar. Importante Antes de agregar permisos de control de acceso a objetos o propiedades de Active Directory, vea Temas relacionados. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Operadores de cuentas, del grupo Administradores de dominio o del grupo AdministradoresdeorganizacindeActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadade seguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuacin,hagadobleclicenUsuarios y equipos de Active Directory.
Informacin acerca de las diferencias funcionales

Vea tambin
Introduccinalcontroldeacceso5 Permisos6 PrcticasrecomendadasparaasignarpermisosdeobjetosdeActiveDirectory7
Tabla de vnculos
Grupos locales predeterminados

Grupos locales predeterminados
EnlacarpetaGrupos,situadaenUsuariosygruposlocalesdeMMC(MicrosoftManagementConsole),semuestranlosgruposlocalespredeterminados,as comoloscreadosporelusuario.Losgruposlocalespredeterminadossecreanautomticamentealinstalarunservidorindependienteounservidor miembro donde se use Windows Server 2003. Al pertenecer a un grupo local, se le proporcionan al usuario los derechos y capacidades necesarios para realizardiversastareasenelequipolocal.Paraobtenermsinformacinacercadelosgruposbasadosendominios,veaGrupos predeterminados1. Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y cuentas de grupo a los grupos locales. Sin embargo, no es posible agregar cuentas de usuario locales ni cuentas de grupo locales a las cuentas de grupo de dominio. Paraobtenermsinformacinacercade cmoagregarmiembrosalosgruposlocales,veaAgregar un miembro a un grupo local2. Nota EnlaseccinCmodelCentrodeAyudaysoportetcnicoencontrarvariostemassobreprocedimientosenlosquesedescribeaqugruposhay que pertenecer para realizar determinados procedimientos. En la siguiente tabla se describen los grupos predeterminados que se encuentran en la carpeta Grupos, y se indican los derechos de usuario asignados a cadagrupo.Estosderechosseasignanmedianteladirectivadeseguridadlocal.Paraverunadescripcincompletadelosderechosdeusuarioquese indican en la tabla, vea Asignacindederechosdeusuario3.Paraobtenerinformacinacercadecmomodificarestosderechos,veaAsignar derechos de usuario para el equipo local4.
Grupo
Descripcin Los miembros de este grupo tienen control total del servidor y pueden asignar derechos de usuario y permisosdecontroldeaccesoalosusuariossegn sea necesario. La cuenta Administrador es miembro de este grupo de forma predeterminada. Cuando el servidor se une a un dominio, se agrega automticamentealgrupoelgrupoAdmins.de dominio. Como este grupo tiene una control total en el servidor, sea prudente al agregar usuarios. Para obtenermsinformacin,veaGrupos locales predeterminados y Grupos predeterminados1.
Derechos de usuario predeterminados Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un procesoPermitireliniciodesesinlocalPermitireliniciodesesinatravs de Servicios de Terminal Server; Hacer copia de seguridad de archivos y directoriosSaltarselacomprobacinderecorridoCambiarlahoradelsistema CrearunarchivodepaginacinDepurarprogramasForzarelapagadodesde unsistemaremotoAumentarlaprioridaddeprogramacinCargarydescargar controladoresdedispositivoPermitireliniciodesesinlocalAdministrarel registrodeauditorayseguridadModificarvaloresdeentornodelfirmware Realizar tareas de mantenimiento de volumen; Hacer perfil de un solo proceso; HacerperfildelrendimientodelsistemaQuitarunequipodeunaestacinde acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesindearchivosyotrosobjetos.
Administradores
Operadores de copia de seguridad
Los miembros de este grupo pueden realizar copias de seguridad y restaurar archivos del servidor, independientemente de los permisos que protejan TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal dichosarchivos.Esasporqueelderechoarealizar HacercopiadeseguridaddearchivosydirectoriosSaltarselacomprobacin una copia de seguridad tiene preferencia sobre todos de recorrido; Restaurar archivos y directorios; Apagar el sistema. los permisos de archivo. No pueden cambiar la configuracindeseguridad. Los miembros de este grupo tienen acceso como administradores al servicio Servidor de Protocolo de configuracindinmicadehost(DHCP,Dynamic Host Configuration Protocol). El grupo proporciona una forma de conceder acceso administrativo limitado solamente al servidor DHCP, sin proporcionar acceso No hay derechos de usuario predeterminados. completo al equipo servidor. Los miembros de este grupo pueden administrar DHCP en el servidor mediante la consola DHCP o los comandos Netsh, pero no pueden realizar otras tareas administrativas en el servidor.
Administradores de DHCP (se instala con el servicio Servidor DHCP)
Losmiembrosdeestegrupotienenaccesodeslo lectura al servicio Servidor DHCP. De este modo, los Usuarios de DHCP miembrospuedenverlainformacinylaspropiedades (se instala con el almacenadas en un servidor DHCP especificado. Esta No hay derechos de usuario predeterminados. servicio Servidor informacinresultatilparaqueelpersonaldel DHCP) departamentodesoportetcnicorealiceinformesde estado de DHCP. Los miembros de este grupo disponen de un perfil temporalquesecreaaliniciarlasesinyquese elimina cuando el miembro la cierra. La cuenta Invitado(queestdeshabilitadadeforma predeterminada)tambinesmiembrodelgrupode forma predeterminada.
Invitados
No hay derechos de usuario predeterminados.
Este grupo permite que los administradores establezcan permisos comunes para todas las aplicacionesdesoportetcnico.Deforma HelpServicesGroup predeterminada,elnicomiembrodelgrupoesla cuenta que se asocia a las aplicaciones de soporte tcnicodeMicrosoft,comoAsistenciaremota.No agregue usuarios a este grupo.
Operadores de configuracinde red
Los miembros de este grupo pueden modificar la configuracinTCP/IPyrenovaryliberarlas direccionesTCP/IP.Estegruponotieneningn miembro predeterminado. Los miembros de este grupo pueden supervisar los contadores de rendimiento del servidor, tanto de forma local como de forma remota, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.
Usuarios del monitor de sistema
Usuarios del registro de rendimiento
Los miembros de este grupo pueden administrar los contadores de rendimiento, registros y alertas del No hay derechos de usuario predeterminados. servidor, tanto de forma local como de forma remota, sin ser miembros del grupo Administradores. Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario y modificar y eliminar las cuentas que crean. Pueden crear grupos locales y quitar o agregar usuarios a los grupos locales que hayancreado.Tambinpuedenagregaroquitar TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal usuarios de los grupos Usuarios avanzados, Usuarios e SaltarselacomprobacinderecorridoCambiarlahoradelsistemaHacerperfil Invitados. Los miembros de este grupo pueden crear deunsoloprocesoQuitarelequipodelaestacindeacoplamientoApagarel recursos compartidos y administrar los que han sistema. creado. No pueden tomar la propiedad de archivos, realizar copias de seguridad o restaurar directorios, cargar o descargar controladores de dispositivos ni administrarlaseguridadylosregistrosdeauditora. Los miembros de este grupo pueden administrar las impresorasylascolasdeimpresin. Losmiembrosdeestegrupopuedeniniciarsesinen un servidor de forma remota. PermitiriniciodesesinatravsdeServiciosdeTerminalServer. Paraobtenermsinformacin,veaPermitir que los usuarios se conecten de forma remota al servidor5. ElgrupoReplicadoradmitefuncionesdereplicacin.El nicomiembrodelgrupoReplicadordebeseruna cuenta de usuario de dominio que se utilice para iniciar No hay derechos de usuario predeterminados. los servicios Replicador de un controlador de dominio. No agregue a este grupo las cuentas de usuario de los usuarios reales. Este grupo contiene todos los usuarios que iniciaron sesinenelequipoqueutilizaServiciosdeTerminal Server actualmente. Cualquier programa que un usuario puede ejecutar en Windows NT 4.0 lo ejecutarunusuariomiembrodelgrupoUsuariode Terminal Server. Los permisos predeterminados de este grupo permiten que sus miembros ejecuten la mayoradelosprogramasindicadosanteriormente.
Usuarios avanzados
Opers. de impresin
Usuarios de escritorio remoto
Replicador
Usuario de Terminal Server
Usuarios
Los miembros del grupo Usuarios pueden realizar las tareasmshabituales,comoejecutaraplicaciones, utilizar impresoras locales y de red, y bloquear la estacindetrabajo.Nopuedencompartirdirectorios TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal ni crear impresoras locales. Los grupos Usuarios de Saltarselacomprobacinderecorrido. dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.
Losmiembrosdeestegrupotienenaccesodeslo lectura al Servicio de nombres Internet de Windows Usuarios de WINS (WINS). De este modo, los miembros pueden ver la (se instala con el informacinylaspropiedadesalmacenadasenun No hay derechos de usuario predeterminados. servicio WINS) servidorWINSespecificado.Estainformacinresulta tilparaqueelpersonaldeldepartamentodesoporte tcnicorealiceinformesdeestadodeWINS. Paraobtenermsinformacinacercadelosgrupospredeterminadosmshabituales,veaConfiguracindeseguridadpredeterminadaparagrupos6.
Tabla de vnculos
Agregar un miembro a un grupo local

Para agregar un miembro a un grupo local
Mediante la interfaz de Windows Mediantelalneadecomandos
Mediante la interfaz de Windows

1. AbraAdministracindeequipos. 2. Enelrboldelaconsola,hagaclicenGrupos. Dnde? Administracindelequipo(local)/Herramientasdelsistema/Usuariosygruposlocales/Grupos 3. Hagaclicconelbotnsecundariodelmouse(ratn)enelgrupoalquedeseeagregarunmiembro,hagaclicenAgregar al grupo y, a continuacin,enAgregar. 4. EnelcuadrodedilogoSeleccionar usuarios, equipos o grupos, realice las acciones siguientes: Paraagregaralgrupounacuentadeusuarioodegrupo,escribaelnombredestaenEscriba los nombres de objeto que desea seleccionary,despus,hagaclicenAceptar. Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos,activelacasilladeverificacinEquiposy,acontinuacin, haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregaralgrupoy,despus,hagaclicenAceptar. Notas Paraejecutaresteprocedimiento,debesermiembrodelgrupoUsuariosavanzadosquecrelacuentaodelgrupoAdministradoresdelequipolocal, o bien debe tener delegada la autoridad apropiada. Si el equipo se ha unido a un dominio, los miembros del grupo Administradores de dominio puedenllevaracaboesteprocedimiento.Comoprcticadeseguridad,serecomiendautilizarlaopcinEjecutarcomopararealizareste procedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. ParaabrirAdministracindeequipos,hagaclicenInicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin,hagadobleclicenAdministracindeequipos. Para quitar un miembro de un grupo local, seleccione la cuenta de usuario, cuenta de equipo o cuenta de grupo en Miembrosy,acontinuacin, haga clic en Quitar. Losderechosypermisosasignadosaungruposeasignanatodossusmiembros.Paraobtenermsinformacin,vealosTemasrelacionados. ReduzcaalmnimonecesarioelnmerodeusuariosdelgrupoAdministradores,yaqueenunequipolocallosmiembrosdedichogrupotienen permisos de Control total. Sielequiposehaunidoaundominio,tambinpuedeagregaraungrupolocallascuentasdeusuario,deequipoydegrupodeesedominioydelos dominios de confianza.
Mediante la lnea de comandos

1. Abralaventanadelsmbolodelsistema. 2. Para agregar un miembros al grupo Usuarios avanzados, escriba: net localgroup"nombreDeGrupoUsuariosAvanzados""nombreDeMiembro"/add Es necesario incluir las comillas. Notas Paraejecutaresteprocedimiento,debesermiembrodelgrupoUsuariosavanzadosquecrelacuentaodelgrupoAdministradoresdelequipolocal, o bien debe tener delegada la autoridad apropiada. Si el equipo se ha unido a un dominio, los miembros del grupo Administradores de dominio puedenllevaracaboesteprocedimiento.Comoprcticadeseguridad,serecomiendautilizarlaopcinEjecutarcomopararealizareste procedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Paraabrirelsmbolodelsistema,hagaclicenInicio, seleccione Todos los programas, Accesoriosy,acontinuacin,hagaclicenSmbolodel sistema. Losderechosypermisosasignadosaungruposeasignanatodossusmiembros.Paraobtenermsinformacin,vealosTemasrelacionados. ReduzcaalmnimonecesarioelnmerodeusuariosdelgrupoAdministradores,yaqueenunequipolocallosmiembrosdedichogrupotienen permisos de Control total. Sielequiposehaunidoaundominio,tambinpuedeagregaraungrupolocallascuentasdeusuario,deequipoydegrupodeesedominioydelos dominios de confianza.

Vea tambin
Grupos locales predeterminados1 Porqunodebetrabajarenelequipocomoadministrador5
Otros recursos
Net localgroup6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098.aspx 2http://technet.microsoft.com/es-es/library/cc756898.aspx 3http://technet.microsoft.com/es-es/library/cc780931.aspx 4http://technet.microsoft.com/es-es/library/cc776861.aspx 5http://technet.microsoft.com/es-es/library/cc780702.aspx
6http://technet.microsoft.com/es-es/library/3da4c237-d1d4-4fc9-abe7-99fd5aafa0f6
Asignar derechos de usuario para el equipo local

Para asignar derechos de usuario para el equipo local
1. AbraConfiguracindeseguridadlocal. 2. Enelrboldelaconsola,hagaclicenAsignacindederechosdeusuario. Dnde? Configuracindeseguridad/Directivaslocales/Asignacionesdederechosdeusuario 3. En el panel de detalles, haga doble clic en el derecho de usuario que desea cambiar. 4. En Propiedades de derechoDeUsuario, haga clic en Agregar usuario o grupo. 5. Agregue el usuario o el grupo, y haga clic en Aceptar. Nota Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuracin, haga clic en Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad local.

Vea tambin
Directivas locales y de cuenta2 Derechos de usuario3 Derechosdeiniciodesesin4 Acerca de los derechos de usuario5 Privilegios6 Descripcindelaconfiguracindeseguridad7 Directiva de seguridad local8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861.aspx 2http://technet.microsoft.com/es-es/library/cc736685.aspx 3http://technet.microsoft.com/es-es/library/cc778337.aspx 4http://technet.microsoft.com/es-es/library/cc728212.aspx 5http://technet.microsoft.com/es-es/library/cc773115.aspx 6http://technet.microsoft.com/es-es/library/cc740217.aspx 7http://technet.microsoft.com/es-es/library/cc739828.aspx 8http://technet.microsoft.com/es-es/library/cc755686.aspx
Asignacindederechosdeusuario
Asignacin de derechos de usuario
Estaseccintrata: Tener acceso a este equipo desde la red1 Actuar como parte del sistema operativo2 Agregar estaciones de trabajo al dominio3 Ajustar cuotas de memoria para un proceso4 Permitireliniciodesesinlocal5 PermitiriniciodesesinatravsdeServiciosdeTerminalServer6 Hacer copias de seguridad de archivos y directorios7 Omitirlacomprobacinderecorrido8 Cambiar la hora del sistema9 Crearunarchivodepaginacin10 Crear un objeto testigo11 Crear objetos globales12 Crear objetos compartidos permanentes13 Depurar programas14 Denegar el acceso desde la red a este equipo15 Denegareliniciodesesincomotrabajoporlotes16 Denegareliniciodesesincomoservicio17 Denegareliniciodesesinlocalmente18 DenegariniciodesesinatravsdeServiciosdeTerminalServer19 Habilitarlaconfianzaparaladelegacindelascuentasdeusuarioydeequipo20 Forzar el apagado desde un sistema remoto21 Generarauditorasdeseguridad22 Suplantaraunclientedespusdelaautenticacin23 Incrementarprioridadesdeplanificacindeprocesos24 Cargar y descargar controladores de dispositivo25 Bloquearpginasenmemoria26 Iniciarsesincomoprocesoporlotes27 Iniciarsesincomoservicio28 Administrarlosregistrosdeauditorayseguridad29 Modificar valores de entorno del firmware30 Realizar las tareas de mantenimiento del volumen31 Perfilar un proceso individual32 Perfilar el rendimiento del sistema33 Quitarelequipodelaestacindeacoplamiento34 Reemplazarunsmbolodeproceso35 Restaurar archivos y directorios36 Apagar el sistema37 Sincronizar los datos de Directory Service38 Tomarposesindearchivosyotrosobjetos39
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc740196.aspx 2http://technet.microsoft.com/es-es/library/cc784323.aspx 3http://technet.microsoft.com/es-es/library/cc780195.aspx 4http://technet.microsoft.com/es-es/library/cc736528.aspx 5http://technet.microsoft.com/es-es/library/cc756809.aspx 6http://technet.microsoft.com/es-es/library/cc758613.aspx 7http://technet.microsoft.com/es-es/library/cc787956.aspx 8http://technet.microsoft.com/es-es/library/cc739389.aspx 9http://technet.microsoft.com/es-es/library/cc786461.aspx 10http://technet.microsoft.com/es-es/library/cc758550.aspx 11http://technet.microsoft.com/es-es/library/cc757309.aspx 12http://technet.microsoft.com/es-es/library/cc739176.aspx 13http://technet.microsoft.com/es-es/library/cc786522.aspx 14http://technet.microsoft.com/es-es/library/cc787339.aspx 15http://technet.microsoft.com/es-es/library/cc758316.aspx 16http://technet.microsoft.com/es-es/library/cc738621.aspx 17http://technet.microsoft.com/es-es/library/cc783965.aspx 18http://technet.microsoft.com/es-es/library/cc728210.aspx 19http://technet.microsoft.com/es-es/library/cc737453.aspx
20http://technet.microsoft.com/es-es/library/cc782684.aspx 21http://technet.microsoft.com/es-es/library/cc782573.aspx 22http://technet.microsoft.com/es-es/library/cc782169.aspx 23http://technet.microsoft.com/es-es/library/cc787897.aspx 24http://technet.microsoft.com/es-es/library/cc758538.aspx 25http://technet.microsoft.com/es-es/library/cc782779.aspx 26http://technet.microsoft.com/es-es/library/cc783969.aspx 27http://technet.microsoft.com/es-es/library/cc755659.aspx 28http://technet.microsoft.com/es-es/library/cc783342.aspx 29http://technet.microsoft.com/es-es/library/cc738268.aspx 30http://technet.microsoft.com/es-es/library/cc757435.aspx 31http://technet.microsoft.com/es-es/library/cc779312.aspx 32http://technet.microsoft.com/es-es/library/cc758497.aspx 33http://technet.microsoft.com/es-es/library/cc759548.aspx 34http://technet.microsoft.com/es-es/library/cc785654.aspx 35http://technet.microsoft.com/es-es/library/cc784623.aspx 36http://technet.microsoft.com/es-es/library/cc736432.aspx 37http://technet.microsoft.com/es-es/library/cc759478.aspx 38http://technet.microsoft.com/es-es/library/cc776799.aspx 39http://technet.microsoft.com/es-es/library/cc728330.aspx
Permitir que los usuarios se conecten de forma remota al servidor

Permitir que los usuarios se conecten de forma remota al servidor
Para que los usuarios puedan conectarse remotamente al servidor Terminal Server, debe asegurarse de que se cumpla lo siguiente: Escritorioremotoesthabilitadoenelservidor.ParaobtenerinstruccionesacercadecmohabilitarEscritorioremoto,consulteHabilitar o deshabilitar Escritorio remoto.1. Losusuariostienenlosderechosypermisosapropiadosparainiciarunasesinenelservidordeformaremota. Pararealizarestasdostareas,debehaberiniciadounasesincomomiembrodelgrupodeAdministradores.
Utilizar el grupo Usuarios de Escritorio remoto para conceder el acceso a un servidor Terminal Server
SepuedenadministrarfcilmentelospermisosyderechosparaunservidorTerminalServerenfuncindecadaequipomedianteelgrupoUsuariosde Escritorio remoto. El grupo Usuarios de Escritorio remoto es uno de los grupos de usuarios integrados que se encuentran disponibles cuando se instala un sistemaoperativoWindowsServer2003.LosmiembrosdeestegrupopuedeniniciarsesindeformaremotaenunservidorTerminalServerenelqueest habilitado Escritorio remoto. Demanerapredeterminada,elgrupoUsuariosdeescritorioremotonoestrellenado.Porlotanto,deberdecidirquusuariosygrupospodrntener accesoparainiciarunasesinremotamenteenunservidorTerminalServery,acontinuacin,agregarlosalgrupo.Paraobtenerinstruccionesacercade cmoagregarusuariosalgrupoUsuariosdeEscritorioremoto,consulteAgregar usuarios al grupo Usuarios de escritorio remoto2. Se recomienda utilizar el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso a los servidores Terminal Server en lugar de asignar los permisos necesarios manualmente. Precaucin Si modifica los permisos predeterminados del grupo Usuarios de Escritorio remoto o elimina este grupo, es posible que sus miembros no puedan iniciar una sesindeformaremotaenlosservidoresTerminalServer.
Asignar permisos manualmente

PuedequeenalgunoscasosseanecesarioadministrarelaccesoaunservidorTerminalServerparacadaconexinypersonalizarmanualmentelos derechos y permisos. Tenga en cuenta que si no utiliza el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso para que puedan iniciarunasesinenunservidorTerminalServer,deberasignarleslosmismosderechosypermisosmanualmente.Acontinuacinseindicanlosderechos y permisos necesarios:
Derecho o permiso
Comentarios EstederechodeterminaquusuariosogrupostienenpermisoparainiciarsesincomoclientedeServiciosde Terminal Server.
Permitiriniciodesesinatravsde Servicios de Terminal Server3
Para configurarlo, busque Configuracindelequipo\ConfiguracindeWindows\Configuracinde seguridad\Directivas locales\Asignacindederechosdeusuario\. Paraobtenerinstruccionesacercadelaconfiguracin,veaModificarlaconfiguracindeseguridadenunobjeto de directiva de grupo4. Estetipodepermisoconcedelossiguientespermisosespeciales:Consultarinformacin,Iniciarsesiny Conectar. Estos permisos especiales permiten a los usuarios hacer lo siguiente: IniciarunasesinenelservidorTerminalServer. Consultarinformacinreferenteaunasesin. Enviar mensajes a otras sesiones de usuario. Conectarconotrasesin. RealizarlaconfiguracinmedianteConfiguracindeServiciosdeTerminalServer. Paraobtenerinstruccionesacercadelaconfiguracin,veaCambiar los permisos que un grupo o un usuario tiene enunaconexin5
Acceso de usuario
TambinpuededenegardemaneraexplcitaaunusuarioelaccesoaunservidorTerminalServermodificandosuperfildeTerminalServer.Estoresulta tilsihaconcedidoaungrangrupoaccesoaunservidorTerminalServerperodeseaaplicaralgunasexcepcionesindividuales.Paraobtener instrucciones, vea DenegaraunusuariolospermisosparainiciarunasesinenservidoresdeTerminalServer6.
Vea tambin
Administrar usuarios de Servicios de Terminal Server7 Configurar Servicios de Terminal Server con TSCC8
Tabla de vnculos
Configuracindeseguridadpredeterminadaparagrupos
Configuracin de seguridad predeterminada para grupos
Antesdemodificarlaconfiguracindeseguridad,esimportantetenerenconsideracinlaconfiguracinpredeterminada. Haytresnivelesfundamentalesdeseguridadqueseconcedenalosusuarios.Estosnivelesseotorganalosusuariosfinalesatravsdesupertenenciaa los grupos Usuarios, Usuarios avanzados o Administradores. Administradores El grupo Administradores se proporciona para realizar tareas de mantenimiento en el equipo. Los permisos predeterminados asignados a este grupo permitenuncontrolcompletosobretodoelsistema.Portanto,sloelpersonaldeconfianzadeberasermiembrodeestegrupo. Usuarios avanzados LosmiembrosdelgrupoUsuariosavanzadostienenmspermisosqueloscomponentesdelosgruposUsuariosymenosquelosdelgrupoAdministradores. Estos usuarios pueden realizar cualquier tarea del sistema operativo excepto aquellas reservadas para el grupo Administradores. Los permisos predeterminadosasignadosalgrupoUsuariosavanzadospermitenasusmiembrosmodificarlasopcionesdeconfiguracinqueafectanatodoelequipo. CuandoseactualizaWindowsNT4.0,losmiembrosdelgrupoUsuariosrestringidossecolocanautomticamenteenelgrupoUsuariosavanzadospara evitar problemas de compatibilidad con las versiones anteriores de las aplicaciones. Muchas aplicaciones utilizadas en Windows NT 4.0 necesitaban permisoselevadosparaejecutarsecorrectamente.LaconfiguracindeseguridadpredeterminadadeWindows2000,WindowsXPProfessionalylafamilia deWindowsServer2003paralosUsuariosavanzadosesmuysimilaralaconfiguracindeseguridadparalosUsuariosdeWindowsNT4.0.Cualquier programa que un usuario puede ejecutar en Windows NT 4.0, puede ejecutarlo un Usuario avanzado en Windows 2000, Windows XP Professional o la familia de Windows Server 2003. SinodeseaquelosusuariosfinalestenganlospermisoselevadosdelgrupoUsuariosavanzados,puedehacerlesmiembrosdelgrupoUsuariosyqueslo ejecuten aplicaciones que pertenecen al programa del logotipo de Windows para software. Si es necesario utilizar aplicaciones que no pertenezcan al programadellogotipodeWindowsparasoftware,losusuariosfinalesdebernformarpartedelgrupoUsuariosavanzados.Paraobtenerinformacin acercadelprogramadellogotipodeWindowsparasoftware,veasupginaenelsitio Web de Microsoft1. Los Usuarios avanzados pueden: Ejecutaraplicacionesantiguas,ademsdeaplicacionesdeWindows2000,WindowsXPProfessionalodelafamiliadeWindowsServer2003que pertenezcan al programa del logotipo de Windows para software. Instalar programas que no modifican archivos del sistema operativo ni instalan servicios del sistema. Personalizarlosrecursosdetodoelsistema,entrelosqueseincluyenimpresoras,fechayhora,opcionesdeenergayotrosrecursosdelPanelde control. Crear y administrar cuentas de usuario y grupos locales. Iniciar y detener servicios del sistema que no se inician de forma predeterminada. ElgrupoUsuariosavanzadosnotienepermisosparaagregarseasmismoalgrupoAdministradores.Notieneaccesoalosdatosdeotrosusuariosdeun volumen NTFS, a menos que dichos usuarios les otorguen el permiso. Precaucin LaejecucindeprogramasantiguosenWindows2000,WindowsXPProfessionaloenunmiembrodelafamiliadeWindowsServer2003suele requerirlamodificacindelaccesoaciertasopcionesdeconfiguracindelsistema.Losmismospermisospredeterminadosquepermitenalos miembrosdelgrupoUsuariosavanzadosejecutarprogramasantiguostambinpuedenhacerposiblequeunUsuarioavanzadoobtengaprivilegios adicionales sobre el sistema, incluso el control administrativo completo. Por lo tanto, es importante implementar aplicaciones que pertenezcan al programadellogotipodeWindowsparasoftwareconelfindeconseguirlamximaseguridadsinsacrificarlafuncionalidaddelprograma.Estos programassepuedenejecutarcorrectamenteenlaconfiguracinSeguraproporcionadaporelgrupoUsuarios. Como el grupo Usuarios avanzados puede instalar o modificar programas, actuar como miembro del grupo Usuarios avanzados al conectarse a InternetpodraexponerelsistemaanteprogramasdetipocaballodeTroyayotrosriesgosparalaseguridad. Usuarios ElgrupoUsuarioseselmsseguro,yaquelospermisosquetieneasignadosdeformapredeterminadanopermitenasusmiembrosmodificarla configuracindelsistemaoperativonilosdatosdeotrosusuarios. ElgrupoUsuariosproporcionaelentornomsseguroparaejecutarprogramas.EnunvolumenformateadoconelsistemadearchivosNTFS,la configuracindeseguridadpredeterminadadeunsistemarecininstalado(noactualizado)estdiseadaparaquelosmiembrosdeestegruponopuedan ponerenpeligrolaintegridaddelsistemaoperativoydelasaplicacionesinstaladas.LosusuariosnopuedenmodificarlaconfiguracindelRegistro,los archivos del sistema operativo ni los archivos de programa. Los usuarios pueden apagar las estaciones de trabajo, pero no los servidores. Asimismo, puedencreargruposlocales,peronicamentepuedenadministrarlosgruposlocalesquehayancreado.PuedenejecutarprogramasdeWindows2000, Windows XP Professional o un miembro de la familia de Windows Server 2003 que pertenezcan al programa del logotipo de Windows para software que haya sido instalado o implementado por los administradores. Los usuarios tienen control total sobre todos sus archivos de datos (almacenados en %userprofile%) y su propia parte del Registro (que se encuentra en HKEY_CURRENT_USER). Tenga en cuenta que los permisos de los usuarios no suelen dejarles ejecutar correctamente aplicaciones antiguas. Para ejecutar dichas aplicaciones, debe rebajar la seguridad para que los miembros del grupo Usuarios tengan esa capacidad o promover los miembros del grupo Usuarios al grupo Usuarios avanzados.Ambasopcionesreducenlaseguridaddelaorganizacin.DadoquelosmiembrosdelgrupoUsuariostienenlagarantadepoderejecutar aplicacionesquepertenezcanalprogramadellogotipodeWindowsparasoftware,resultaconvenienteutilizarsloestetipodeaplicaciones.Para obtenermsinformacin,veaelprogramadellogotipodeWindowsparasoftwareenelsitio Web de Microsoft1 Para garantizar la seguridad de un sistema que ejecuta Windows 2000, Windows XP Professional o un miembro de la familia de Windows Server 2003, un administrador debe: AsegurarsedequelosusuariosfinalesslosonmiembrosdelgrupoUsuarios. ImplementarprogramasquelosmiembrosdelgrupoUsuariospuedanejecutarcorrectamente,porejemplo,aqullosquepertenecenalprogramadel logotipo de Windows para software. LosusuariosnopodrnejecutarlamayorpartedelosprogramasescritosparaversionesdeWindowsanterioresaWindows2000,porquenoadmitanel sistema de archivos y la seguridad del Registro (como Windows 95 y Windows 98) o se suministraron con otras configuraciones de seguridad predeterminadas(WindowsNT).SitieneproblemasalejecutaraplicacionesantiguasensistemasNTFSrecininstalados,sigaunadelasacciones siguientes: 1. Instale nuevas versiones de las aplicaciones que pertenecen al programa del logotipo de Windows para software. 2. Traslade a los usuarios desde el grupo Usuarios al grupo Usuarios avanzados. 3. Reduzca los permisos de seguridad predeterminados del grupo Usuarios. Esto se puede conseguir mediante la plantilla de seguridad compatible.
El grupo Annimo ya no es miembro del grupo Todos

EnWindowsXPProfessionalylafamiliadeWindowsServer2003,elgrupoAnnimohadejadodesermiembrodelgrupoTodos. Cuando un sistema Windows 2000 se actualiza a Windows XP Professional o a la familia de Windows Server 2003, los recursos con entradas con permiso paraelgrupoTodos(ynoexplcitamenteparaelgrupoIniciodesesinannimo)dejarndeestardisponiblesparalosusuariosannimosdespusdela actualizacin.Enlamayorpartedeloscasos,esunarestriccinapropiadaparaelaccesoannimo.Puedequetengaquepermitirelaccesoannimopara mantenerlacompatibilidadconaplicacionesexistentesquelorequieran.SinecesitaconcederaccesoalgrupoIniciodesesinannimo,debeagregarlo deformaexplcita,ascomolospermisoscorrespondientes. Sinembargo,endeterminadoscasosenlosquepuederesultardifcildeterminarymodificarlasentradascorrespondientesalospermisosenlosrecursos, puedecambiarlaopcindeconfiguracindeseguridadNetworkaccess:dejaquelospermisosdeTodosseapliquenalosusuariosannimos2.
Otros grupos
Interactivo.Estegrupocontienealusuarioquehainiciadoactualmentelasesinenelequipo.DuranteunaactualizacinaWindows2000, WindowsXPProfessionaloalafamiliadeWindowsServer2003,losmiembrosdelgrupoInteractivotambinseagregarnalgrupoUsuarios avanzados,paraquelasaplicacionesantiguaspuedanseguirfuncionandoigualqueantesdelaactualizacin. Red.Estegrupocontieneatodoslosusuariosquetienenactualmenteaccesoalsistemaatravsdelared. Operadores de copia de seguridad Los miembros del grupo Operadores de copia pueden realizar copias de seguridad y restaurar archivos en el equipo, independientemente de los permisosqueprotejandichosarchivos.Tambinpuedeniniciarsesinenelequipoyapagarlo,peronopuedencambiarlaconfiguracinde seguridad. Precaucin Lacopiadeseguridadylarestauracindearchivosdedatosydesistemarequierepermisosparaleeryescribirdichosarchivos.Losmismos permisos predeterminados concedidos a Operadores de copia de seguridad que les permiten hacer copia de seguridad de los archivos y restaurarlostambinhacenposiblequeutilicenlospermisosdelgrupoparaotrospropsitos,comoleerlosarchivosdeotrosusuarioso instalarprogramasdecaballodeTroya.SepuedeutilizarlaconfiguracindeDirectivadegrupoparacrearunentornoenelqueelgrupo Operadoresdecopiadeseguridadslopuedaejecutarunprogramadecopiadeseguridad.Paraobtenermsinformacin,vealapginade seguridad de Microsoft en el sitio Web de Microsoft3. Paraobtenermsinformacin,veaGrupos predeterminados4, Configuracinpredeterminadadelosservicios5 y Diferenciasenlaconfiguracinde seguridad predeterminada6,ylapginadeseguridadenelsitio Web de Microsoft3
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=3688 2http://technet.microsoft.com/es-es/library/cc778182(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=102 4http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc785922(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx
Network access: deja que los permisos de Todos se apliquen a los usuariosannimos
Acceso de red: deja que los permisos de Todos se apliquen a los usuarios annimos Descripcin
Estaconfiguracindeseguridaddeterminaqupermisosadicionalesseconcedenparalasconexionesannimasalequipo. Windowspermitealosusuariosannimosefectuarciertasactividades,comoobtenerunalistadelosnombresdelascuentasdedominioydelos recursoscompartidosdered.Estoesprctico,porejemplo,cuandounadministradordeseaconcederelaccesoausuariosenundominiodeconfianza quenomantieneunaconfianzarecproca.Demanerapredeterminada,sequitaelidentificadordeseguridad(SID)Todosdelsmbolocreadoparalas conexionesannimas.Porlotanto,lospermisosconcedidosalgrupoTodosnoseaplicanalosusuariosannimos.Siseestableceestaopcin,los usuariosannimosslopodrnteneraccesoaaquellosrecursosparalosqueseleshayaconcedidopermisoexplcitamente. Sisehabilitaestadirectiva,elSIDTodosseagregaalsmboloquesecreaparalasconexionesannimas.Enestecaso,losusuariosannimospueden tener acceso a cualquier recurso para el que el grupo Todos tenga permiso. Valor predeterminado: deshabilitada.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Opcionesdeseguridad\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Networkaccess:nopermitirenumeracionesannimasdecuentasyrecursoscompartidosSAM2 HerramientasdelAdministradordeconfiguracindeseguridad3
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc782569(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Grupos predeterminados
Grupos predeterminados
Losgrupospredeterminados,comoelgrupoAdministradoresdedominio,songruposdeseguridadquesecreanautomticamentealcrearundominiode ActiveDirectory.Estosgrupospredefinidospermitencontrolarelaccesoalosrecursoscompartidosydelegarfuncionesadministrativasespecficasen todoeldominio.Paraobtenerinformacinacercadelosgrupospredeterminadosalmacenadosenequiposlocales, vea Grupos locales predeterminados1. Amuchosgrupospredeterminadosselesasignaautomticamenteunconjuntodederechosdeusuarioqueautorizaalosmiembrosdelgrupoarealizar accionesespecficasenundominio,comoiniciarunasesinenunsistemalocaloefectuarcopiasdeseguridaddearchivosycarpetas.Porejemplo,un miembro del grupo Operadores de copia de seguridad tiene derecho a realizar operaciones de copia de seguridad en todos los controladores del dominio. Cuando agrega un usuario a un grupo, el primero recibe todos los derechos de usuario y permisos asignados a ese grupo en todos los recursos compartidos.Paraobtenermsinformacinacercadelosderechosdeusuarioylosgruposdeseguridad,veaTipos de grupos2. PuedeadministrarlosgruposconUsuariosyequiposdeActiveDirectory.LosgrupospredeterminadosestnubicadosenelcontenedorIntegradosyenel contenedorUsuarios.ElcontenedorIntegradoscontienelosgruposdefinidosconelmbitolocaldedominio.ElcontenedorUsuarioscontienelosgrupos definidosconlosmbitosglobalylocaldeldominio.Puedemoverlosgruposubicadosenestoscontenedoresaotrosgruposounidadesorganizativasdel dominio, pero no puede moverlos a otros dominios. Comoprcticadeseguridadrecomendada,seaconsejaquelosmiembrosdegrupospredeterminadosconmltiplesaccesosadministrativosutilicen Ejecutarcomocuandorealicentareasadministrativas.Paraobtenermsinformacin,veaUtilizar Ejecutar como3.Paraobtenerinformacinacercadelas prcticasdeseguridadrecomendadas,veaPrcticasrecomendadasdeActiveDirectory4.Paraobtenerinformacinacercadelasmedidasdeseguridad que se pueden utilizar para proteger Active Directory, vea Proteger Active Directory5. Nota EnlaseccinCmodelCentrodeAyudaysoportetcnicoencontrarvariostemassobreprocedimientosenlosquesedescribeaqugruposhay que pertenecer para realizar determinados procedimientos.
Grupos del contenedor Integrados

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Integrados y se indican los derechos de usuario asignados a cadagrupo.Paraverunadescripcincompletadelosderechosdeusuarioqueseindicanenlatabla,veaAsignacindederechosdeusuario6. Para obtenerinformacinacercadecmomodificaresosderechos,veaModificarlaconfiguracindeseguridadenunobjetodedirectivadegrupo7.
Grupo
Descripcin
Derechos de usuario predeterminados
Los miembros de este grupo pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no Operadores de tienen permiso para modificar los grupos Administradores o cuentas Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesindeformalocalenloscontroladoresdeldominioy apagarlos. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.
PermitireliniciodesesinlocalApagarelsistema.
Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; SaltarselacomprobacinderecorridoCambiarlahoradelsistema Los miembros de este grupo controlan por completo todos los CrearunarchivodepaginacinDepurarprogramasHabilitarla controladores del dominio. De forma predeterminada, los grupos confianzaparaladelegacindelascuentasdeusuarioydeequipo AdministradoresdeldominioyAdministradoresdeorganizacin Forzar el apagado desde un sistema remoto; Aumentar la prioridad de Administradores son miembros del grupo Administradores. La cuenta programacinCargarydescargarcontroladoresdedispositivoPermitir Administrador es miembro de este grupo de forma eliniciodesesinlocalAdministrarelregistrodeauditorayseguridad predeterminada. Puesto que este grupo controla por completo Modificar valores de entorno del firmware; Hacer perfil de un solo el dominio, agregue los usuarios con cautela. proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de unaestacindeacoplamientoRestaurararchivosydirectoriosApagar elsistemaTomarposesindearchivosyotrosobjetos. Los miembros de este grupo pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales Operadores de en esos archivos. Los Operadores de copia de seguridad copia de tambinpuedeniniciarlasesinenloscontroladoresde seguridad dominioyapagarlos.Estegruponotieneningnmiembro predeterminado. Como este grupo tiene una autoridad considerable en los controladores de dominio, sea prudente al agregar usuarios.
Hacer copia de seguridad de archivos y directorios; Permitir el inicio de sesinlocalRestaurararchivosydirectoriosApagarelsistema.
Invitados
De forma predeterminada, el grupo Invitados del dominio es un miembrodeestegrupo.LacuentaInvitado(queest No hay derechos de usuario predeterminados. deshabilitadadeformapredeterminada)tambinesunmiembro predeterminado de este grupo. Los miembros de este grupo pueden crear confianzas de bosquedeentradaunidireccionaleseneldominiorazdel
Creadores de confianza de bosque de entrada(slo aparece en el dominiorazdel bosque)
bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del No hay derechos de usuario predeterminados. Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianzadebosquedeentradaeneldominiorazdelbosque. Estegruponotieneningnmiembropredeterminado.Para obtenermsinformacinacercadecmocrearunaconfianza de bosque, vea Crearunarelacindeconfianzadebosque8.
Losmiembrosdeestegrupopuedenmodificarlaconfiguracin Operadores de TCP/IP,ascomorenovaryliberarlasdireccionesTCP/IPenlos configuracin No hay derechos de usuario predeterminados. controladoresdeldominio.Estegruponotieneningnmiembro de red predeterminado. Los miembros de este grupo pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma No hay derechos de usuario predeterminados. local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores No hay derechos de usuario predeterminados. del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.
Usuarios del Monitor de sistema
Usuarios del registro de rendimiento
Los miembros de este grupo tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en Acceso compatible con los equipos con Windows NT 4.0 y anteriores. De forma TeneraccesoaesteequipodesdelaredSaltarselacomprobacinde predeterminada, la identidad especial Todos es miembro de versiones recorrido. estegrupo.Paraobtenermsinformacinacercadelas anteriores a Windows 2000 identidades especiales, vea Identidades especiales9. Agregue usuariosaestegruponicamentesiseejecutanen Windows NT 4.0 o versiones anteriores. Los miembros de este grupo pueden administrar, crear, compartiryeliminarimpresorasqueestnconectadasalos controladoresdeldominio.Tambinpuedenadministrarobjetos de impresora de Active Directory en el dominio. Los miembros Operadores de deestegrupopuedeniniciarlasesindeformalocalenlos PermitireliniciodesesinlocalApagarelsistema. impresin controladores del dominio y apagarlos. Este grupo no tiene ningnmiembropredeterminado.Puestoquelosmiembrosde este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregue los usuarios con cautela. Usuarios de escritorio remoto Losmiembrosdeestegrupopuedeniniciarlasesinenlos controladores del dominio de forma remota. Este grupo no tiene No hay derechos de usuario predeterminados. ningnmiembropredeterminado. Estegrupoadmitefuncionesdereplicacindedirectorioyel Serviciodereplicacindearchivosloutilizaenlos No hay derechos de usuario predeterminados. controladoresdeldominio.Estegruponotieneningnmiembro predeterminado. No agregue usuarios a este grupo.
Replicador
En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de Hacer copia de seguridad de archivos y directorios; Cambiar la hora del Operadores de seguridad y restaurar archivos, formatear el disco duro y sistema; Forzar el apagado desde un sistema remoto; Permitir el inicio de servidores apagarelequipo.Estegruponotieneningnmiembro sesinlocalRestaurararchivosydirectoriosApagarelsistema. predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agregue los usuarios con cautela. Losmiembrosdeestegrupopuedenrealizarlastareasms habituales, como ejecutar aplicaciones, utilizar impresoras localesydered,ascomobloquearelservidor.Deforma predeterminada, el grupo Usuarios del dominio, Usuarios No hay derechos de usuario predeterminados. autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.
Usuarios
Grupos del contenedor Usuarios

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Usuarios y se indican los derechos de usuario asignados a cada grupo.Paraverunadescripcincompletadelosderechosdeusuarioqueseindicanenlatabla,veaAsignacindederechosdeusuario6. Para obtener informacinacercadecmomodificaresosderechos,veaModificarlaconfiguracindeseguridadenunobjetodedirectivadegrupo7.
Grupo
Descripcin
Derechos de usuario predeterminados
Los miembros de este grupo tienen permitida la Publicadores de publicacindecertificadosparausuariosyequipos. certificados Estegruponotieneningnmiembropredeterminado. DnsAdmins (instalado con DNS) Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningnmiembropredeterminado.
Los miembros de este grupo son clientes DNS que DnsUpdateProxy puedenrealizaractualizacionesdinmicasenlugarde (instalado con No hay derechos de usuario predeterminados. otros clientes, como los servidores DHCP. Este grupo DNS) notieneningnmiembropredeterminado. Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobacinderecorridoCambiarlahoradelsistemaCrearunarchivode paginacinDepurarprogramasHabilitarlaconfianzaparaladelegacindelas cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; AumentarlaprioridaddeprogramacinCargarydescargarcontroladoresde dispositivoPermitireliniciodesesinlocalAdministrarelregistrodeauditoray seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estacindeacoplamientoRestaurararchivosydirectoriosApagarelsistema Tomarposesindearchivosyotrosobjetos.
Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores en todos los controladores, estaciones de trabajo y servidores Administradores miembro del dominio en el momento en que se une al de dominio dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, agregue los usuarios con cautela.
Equipos del dominio
Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas No hay derechos de usuario predeterminados. pasan a ser miembros de este grupo automticamente. Este grupo contiene todos los controladores del dominio.
Controladores de dominio Invitados del dominio
Este grupo contiene todos los invitados del dominio.
Usuarios del dominio
Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros deestegrupoautomticamente.Estegruposepuede utilizar para representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios No hay derechos de usuario predeterminados. del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla).
Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la Los miembros de este grupo controlan por completo comprobacinderecorridoCambiarlahoradelsistemaCrearunarchivode todos los dominios del bosque. De forma Administradores paginacinDepurarprogramasHabilitarlaconfianzaparaladelegacindelas predeterminada, este grupo es un miembro del grupo deorganizacin cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Administradores en todos los controladores de dominio (sloaparece AumentarlaprioridaddeprogramacinCargarydescargarcontroladoresde del bosque. De forma predeterminada, la cuenta en el dominio dispositivoPermitireliniciodesesinlocalAdministrarelregistrodeauditoray Administrador es miembro de este grupo. Dado que razdelbosque) seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo este grupo controla el bosque por completo, agregue proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una los usuarios con cautela. estacindeacoplamientoRestaurararchivosydirectoriosApagarelsistema Tomarposesindearchivosuotrosobjetos. Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.
Propietarios del creador de directiva de grupo
IIS_WPG (instalado con IIS)
El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El funcionamiento de IIS 6.0 incluye procesos de trabajoparaespaciosdenombresespecficos.Por ejemplo, www.microsoft.com es un espacio de No hay derechos de usuario predeterminados. nombres proporcionado por un proceso de trabajo, que se puede ejecutar con una identidad agregada al grupo IIS_WPG, como cuentaMicrosoft. Este grupo no tieneningnmiembropredeterminado.
Los servidores de este grupo tienen permitido el Servidores RAS acceso a las propiedades de acceso remoto de los e IAS usuarios.
Administradores de esquema (sloaparece en el dominio razdelbosque)
Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el bosque, sea prudente al agregar usuarios.
Tabla de vnculos
Tener acceso a este equipo desde la red

Tener acceso a este equipo desde la red Descripcin
Estederechodeusuariodeterminaaquusuariosygruposselespermiteconectarsealequipoatravsdelared.Estederechodeusuarionoafectaa Servicios de Terminal Server. Valor predeterminado: En estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos En controladores de dominio: Administradores Usuarios autenticados Todos

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Asignacindederechosdeusuario2 Asignar derechos de usuario para el equipo local3 HerramientasdelAdministradordeconfiguracindeseguridad4
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
Actuar como parte del sistema operativo

Actuar como parte del sistema operativo Descripcin
Estederechodeusuariopermitequeunprocesosuplanteacualquierusuariosinautenticacin.Deestaforma,elprocesopuedeobteneraccesoalos mismos recursos locales que el usuario. LosprocesosquerequierenesteprivilegiodeberanutilizarlacuentaLocalSystem, que ya incluye este privilegio, en lugar de una cuenta de usuario independientealaquesehaasignadoesteprivilegioespecficamente.Silaorganizacinutilizanicamenteservidoresquesonmiembrosdelafamilia WindowsServer2003,noesnecesarioasignaresteprivilegioalosusuarios.Sinembargo,silaorganizacinutilizaservidoresqueejecutanWindows2000 oWindowsNT4.0,esposiblequetengaqueasignaresteprivilegioparautilizaraplicacionesqueintercambiencontraseasentextosimple. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Local System.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteylasiguientecarpetaenelrboldelaconsola:Configuracindel equipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Asignacindederechosdeusuario2 Asignar derechos de usuario para el equipo local3 HerramientasdelAdministradordeconfiguracindeseguridad4
Tabla de vnculos
Agregar estaciones de trabajo al dominio

Agregar estaciones de trabajo al dominio Descripcin
Estaconfiguracindeseguridaddeterminalosgruposousuariosquepuedenagregarestacionesdetrabajoaundominio. Sloesvlidaencontroladoresdedominio.Demanerapredeterminada,cualquierusuarioautenticadotienederechoacrearhasta10cuentasdeequipo en el dominio. Alagregarunacuentadeequipoaldominio,alequiposelepermiteparticiparenredesbasadasenActiveDirectory.Porejemplo,alagregarunaestacin detrabajoaundominio,sehabilitaalaestacinparaquereconozcacuentasygruposqueexistanenActiveDirectory. Valor predeterminado: Usuarios autenticados en controladores de dominio.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Nota TambinpuedencrearcuentasdeequipoeneldominiolosusuariosquetenganelpermisoCrearobjetosdeequipoenelcontenedordeequiposde ActiveDirectory.Ladiferenciaesquelosusuariosconpermisosparaelcontenedornoestnsujetosalarestriccindecrearslo10cuentasde equipo.Adems,lascuentasdeequipoquesecreanpormediodeAgregar estaciones de trabajo al dominio tienen como propietario de la cuenta de equipo al grupo Administradores de dominio, mientras que en las cuentas de equipo que se crean por medio de permisos del contenedor deequipos,elpropietarioserquiencreelacuentadeequipo.Siunusuariotienepermisosenelcontenedorytambintieneelderechodeusuario Agregar estaciones de trabajo al dominio,seagregarelequipoenfuncindelospermisosdelcontenedordeequiposenvezdehacerloen funcindelosderechosdeusuario. Paraobtenermsinformacin,consulte: Asignacindederechosdeusuario2 Asignar derechos de usuario para el equipo local3 HerramientasdelAdministradordeconfiguracindeseguridad4
Tabla de vnculos
Ajustar cuotas de memoria para un proceso

Ajustar cuotas de memoria para un proceso Descripcin
Esteprivilegiodeterminaquinpuedecambiarlamemoriamximaquepuedeutilizarunproceso. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Nota Esteprivilegioresultadeutilidadparaoptimizarelsistema,perosepuedeusardeformaindebida,comoenunataquededenegacindeservicio. Valor predeterminado: Administradores.

Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
Permitireliniciodesesinlocal
Permitir el inicio de sesin local Descripcin
Estederechodeiniciodesesindeterminalosusuariosquepuedeniniciarlasesindeformainteractivaenesteequipo.Losiniciosdesesininiciados presionandolasecuenciaCtrl+Alt+Supreneltecladoconectadorequierenqueelusuariotengaestederechodeiniciodesesin.Asimismo,estederecho deiniciodesesinpuedesernecesarioparaalgnserviciooaplicacinadministrativaquepuedapermitiralosusuariosiniciarsesin.Sidefineesta directivaparaunusuarioogrupo,tambindebeconcederestederechoalgrupoAdministradores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios e Invitados. Encontroladoresdedominio:Operadoresdecuentas,Administradores,Operadoresdecopiadeseguridad,OperadoresdeimpresinyOperadores de servidores.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Denegareliniciodesesinlocalmente2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc728210.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
PermitiriniciodesesinatravsdeServiciosdeTerminalServer
Permitir inicio de sesin a travs de Servicios de Terminal Server Descripcin
EstaconfiguracindeseguridaddeterminaquusuariosogrupostienenpermisoparainiciarsesincomoclientedeServiciosdeTerminalServer. Valor predeterminado: En estaciones de trabajo y servidores: Administradores, Usuarios de escritorio remoto. En controladores de dominio: Administradores.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Importante EstaopcinnotieneefectoenlosequiposWindows2000queannosehayanactualizadoalServicePack2. Paraobtenermsinformacin,consulte: DenegariniciodesesinatravsdeServiciosdeTerminalServer2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Hacer copias de seguridad de archivos y directorios

Hacer copias de seguridad de archivos y directorios Descripcin
Estederechodeusuariodeterminaquusuariospuedenpasarporaltolospermisosdearchivosydirectorios,delRegistroydeotrosobjetospersistentes conelpropsitoderealizarcopiasdeseguridaddelsistema. Especficamente,estederechodeusuarioessimilaraconcederlossiguientespermisosalusuarioogrupoencuestinparatodoslosarchivosycarpetas del sistema: Recorrer carpeta o ejecutar archivo Enumerar carpeta o leer datos Leer atributos Leer atributos extendidos Permisos de lectura Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Dadoquenohaymaneradecomprobarsiunusuarioestrealizando unacopiadeseguridaddelosdatos,robandodatosocopiandodatosparadistribuirlos,asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores y Operadores de copia de seguridad.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Restaurar archivos y directorios2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Omitirlacomprobacinderecorrido
Omitir la comprobacin de recorrido Descripcin
Estederechodeusuariodeterminaquusuariospuedenrecorrerlosrbolesdedirectoriosaunquenotenganpermisosparaeldirectoriorecorrido.Este privilegionopermitealusuariomostrarelcontenidodeundirectorio,sloledaelderechoarecorrerlosdirectorios. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos En controladores de dominio: Administradores Usuarios autenticados

Tabla de vnculos
Cambiar la hora del sistema

Cambiar la hora del sistema Descripcin
Estederechodeusuariodeterminaquusuariosygruposquepuedencambiarlafechayhoradelrelojinternodelequipo.Losusuariosquetengan asignadoestederechopuedenmodificarlaaparienciadelosregistrosdesucesos.Sisecambialahoradelsistema,lossucesosregistradoscontendrn esta nueva hora, no la hora real en la que se produjeron. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores Usuarios avanzados En controladores de dominio: Administradores Operadores de servidores

Tabla de vnculos
Crearunarchivodepaginacin
Crear un archivo de paginacin Descripcin
Estederechodeusuariodeterminaquusuariosygrupospuedenllamaraunainterfazdeprogramacindeaplicaciones(API)internaparacrearun archivodepaginacin.Estederechodeusuarioesutilizadodeformainternaporelsistemaoperativoynormalmentenoesnecesarioasignarloaningn usuario. Paraobtenerinformacinacercadecmoespecificareltamaodeunarchivodepaginacinparaunaunidaddeterminada,veaCambiareltamaodel archivodepaginacindememoriavirtual1. Valor predeterminado: Administradores.

Tabla de vnculos
Crear un objeto testigo

Crear un objeto testigo Descripcin
Estaconfiguracindeseguridaddeterminalascuentasquelosprocesospuedenutilizarparacrearuntestigoconelquesepuedateneraccesoa cualquierrecursolocalcuandoelprocesoutiliceunainterfazdeprogramacindeaplicaciones(API)internaparacrearuntestigodeacceso. El sistema operativo utiliza este derecho de usuario de forma interna. A menos que sea necesario, no asigne este derecho a un usuario, grupo o proceso distinto de Sistema local. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Noasigneestederechoaningnusuario,grupooprocesoqueno desee que tenga control sobre el sistema. Valor predeterminado: Local System.

Tabla de vnculos
Crear objetos globales

Crear objetos globales Descripcin
Este derecho de usuario se requiere para que se puedan crear objetos globales en una cuenta de usuario durante sesiones de Servicios de Terminal Server.Losusuariospuedencrearobjetosespecficosdelassesionessinqueseanecesarioqueselesasigneestederechodeusuario. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores Sistema local Servicios

Tabla de vnculos
Crear objetos compartidos permanentes

Crear objetos compartidos permanentes Descripcin
Estederechodeusuariodeterminaqucuentaspuedenutilizarlosprocesosparacrearunobjetodedirectorioeneladministradordeobjetosde Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003. Estederechodeusuarioesutilizadodeformainternaporelsistemaoperativoyestilparaloscomponentesdemododencleoqueextiendenelespacio de nombres de objetos de Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003. Dado que los componentesqueseejecutanenelmododencleoyatienenasignadoestederechodeusuario,noesnecesarioasignarloespecficamente. Valor predeterminado: Local System.

Tabla de vnculos
Depurar programas
Depurar programas Descripcin
Estederechodeusuariodeterminaquusuariospuedenasignarundepuradoracualquierprocesooalncleo.Noesnecesarioasignarestederechode usuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevos componentes del sistema necesitarnestederechodeusuariopararealizarestaoperacin.Estederechodeusuarioproporcionaaccesocompletoacomponentesconfidencialesy esenciales del sistema operativo. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores Local System

Tabla de vnculos
Denegar el acceso desde la red a este equipo

Denegar el acceso desde la red a este equipo Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosaquienesseimpideteneraccesoaunequipoatravsdelared.Estaopcindeconfiguracinde directiva prevalece sobre Tener acceso a este equipo desde la red1siunacuentadeusuarioestsujetaaambasdirectivas. Valor predeterminado: ninguno.

Tabla de vnculos
Denegareliniciodesesincomotrabajoporlotes
Denegar el inicio de sesin como trabajo por lotes Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasnopuedeniniciarsesincomotrabajoporlotes.Estaopcindeconfiguracindedirectiva prevalece sobre Iniciarsesincomoprocesoporlotes1siunacuentadeusuarioestsujetaaambasdirectivas. Valor predeterminado: ninguno.

Tabla de vnculos
Denegareliniciodesesincomoservicio
Denegar el inicio de sesin como servicio Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeservicionopuedenregistrarunprocesocomoservicio.Estaopcindeconfiguracinde directiva prevalece sobre Iniciarsesincomoservicio1siunacuentadeusuarioestsujetaaambasdirectivas. Nota EstaconfiguracindeseguridadnoseaplicaalascuentasSistema,ServiciolocaloServiciodered. Valor predeterminado: ninguno.

Tabla de vnculos
Denegareliniciodesesinlocalmente
Denegar el inicio de sesin localmente Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosaquienesseimpideiniciarsesinenelequipo.Estaopcindeconfiguracindedirectivaprevalece sobre Permitireliniciodesesinlocal1siunacuentaestsujetaaambasdirectivas. Importante SiaplicaestadirectivadeseguridadalgrupoTodos,ningnusuariopodriniciarsesinlocalmente. Valor predeterminado: ninguno.

Tabla de vnculos
DenegariniciodesesinatravsdeServiciosdeTerminalServer
Denegar inicio de sesin a travs de Servicios de Terminal Server Descripcin
EstaconfiguracindeseguridaddeterminaquusuariosogruposnopuedeniniciarsesincomoclientesdeServiciosdeTerminalServer. Valor predeterminado: ninguno.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Importante EstaopcinnotieneefectoenlosequiposWindows2000queannosehayanactualizadoalServicePack2. Paraobtenermsinformacin,consulte: PermitiriniciodesesinatravsdeServiciosdeTerminalServer2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Habilitarlaconfianzaparaladelegacindelascuentasdeusuarioyde equipo
Habilitar la confianza para la delegacin de las cuentas de usuario y de equipo Descripcin
EstaconfiguracindeseguridaddeterminaquusuariospuedenestablecerlaconfiguracinSeconfaparadelegacin en un objeto de usuario o equipo. El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objeto usuario o equipo. Unprocesodeservidorqueseejecutaenunequipo(oenuncontextodeusuario)enelqueseconfaparaladelegacinpuedeteneraccesoarecursos en otro equipo mediante las credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga activado el indicador de control de cuenta La cuenta no se puede delegar. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Precaucin SinoseutilizacorrectamenteestederechodeusuarioolaopcinSeconfaparadelegacin,laredservulnerableaataquessofisticadosque utilicen programas de tipo caballo de Troya, que suplantan a clientes entrantes y utilizan sus credenciales para obtener acceso a los recursos de la red. Valor predeterminado: Administradores en controladores de dominio.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Permitirqueseconsidereaunequipodeconfianzaparaladelegacin2 Permitirqueseconsidereaunusuariodeconfianzaparaladelegacin3 Asignacindederechosdeusuario4 Asignar derechos de usuario para el equipo local5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc738491.aspx 3http://technet.microsoft.com/es-es/library/cc739474.aspx 4http://technet.microsoft.com/es-es/library/cc780182.aspx 5http://technet.microsoft.com/es-es/library/cc739028.aspx 6http://technet.microsoft.com/es-es/library/dd349318.aspx
Forzar el apagado desde un sistema remoto

Forzar el apagado desde un sistema remoto Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosaquienessepermiteapagarunequipodesdeunaubicacinremotadelared.Elusoincorrectode estederechodeusuariopuededarlugaraunadenegacindeservicio. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidor

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Apagar el sistema2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Generarauditorasdeseguridad
Generar auditoras de seguridad Descripcin
Estaconfiguracindeseguridaddeterminaqucuentaspuedeutilizarunprocesoparaagregarentradasalregistrodeseguridad.Elregistrodeseguridad seutilizapararealizarunseguimientodelaccesonoautorizadoalsistema.Elusoincorrectodeestederechodeusuariopuededarlugaralageneracin demltiplessucesosdeauditora,quepodranocultarlaexistenciadeunataqueoproducirunadenegacindeserviciosilaconfiguracindedirectivade seguridad Auditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridadesthabilitada.Paraobtenermsinformacin acercadelaconfiguracindeestadirectivadeseguridad,veaAuditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridad1. Valor predeterminado: Sistema local.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo2. Paraobtenermsinformacin,consulte: Administrarlosregistrosdeauditorayseguridad3 Asignacindederechosdeusuario4 Asignar derechos de usuario para el equipo local5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
Suplantaraunclientedespusdelaautenticacin
Suplantar a un cliente despus de la autenticacin Descripcin
Si se asigna este privilegio a un usuario se permite que los programas que se ejecutan en nombre de dicho usuario suplanten a un cliente. La exigencia de estederechodeusuarioparaestetipodesuplantacinimpidequeunusuarionoautorizadoconvenzaaunclienteparaconectarse(medianteuna llamadaaunprocedimientoremoto(RPC)ounacanalizacinconnombre)aunservicioquehayancreadoy,posteriormente,suplantaradichocliente, que puede aumentar los permisos del usuario autorizado hasta el nivel de un administrador o del sistema. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores Servicio Nota El grupo integrado Servicio se agrega de forma predeterminada en los testigos de acceso de los servicios iniciados por el Administrador de control deservicios.ElgrupointegradoServiciotambinseagregaenlostestigosdeaccesodelosservidoresCOM(Modelodeobjetoscomponentes) iniciadosporlainfraestructuraCOMyconfiguradosparaejecutarseconunacuentaespecfica.Comoresultado,losserviciosdisponendeeste derecho usuario al iniciarse. Adems,elusuariotambinpuedesuplantaruntestigodeaccesosisecumplecualquieradelassiguientescondiciones. El testigo de acceso suplantado corresponde al usuario. Elusuario,durantelasesindeiniciodesesin,creeltestigodeaccesoaliniciarsesinenlaredsincredencialesexplcitas. ElnivelsolicitadoesinferioraSuplantar,comoAnnimooIdentificar. Debido a estos factures, los usuarios no suelen tener que utilizar este derecho de usuario. Paraobtenermsinformacin,busque"SeImpersonatePrivilege"enlapginaMicrosoft Platform SDK1.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo2. Paraobtenermsinformacin,vea: Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkID=140 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
Incrementarprioridadesdeplanificacindeprocesos
Incrementar prioridades de planificacin de procesos Descripcin
EstaconfiguracindeseguridaddeterminaqucuentaspuedenutilizarunprocesoconaccesodePropiedaddeescrituraaotroprocesoparaaumentarla prioridaddeejecucinasignadaalotroproceso.Unusuarioconesteprivilegiopuedecambiarlaprioridaddeprogramacindeunprocesoatravsdela interfaz de usuario del Administrador de tareas. Valor predeterminado: Administradores.

Tabla de vnculos
Cargar y descargar controladores de dispositivo

Cargar y descargar controladores de dispositivo Descripcin
Estederechodeusuariodeterminaquusuariospuedencargarydescargardeformadinmicacontroladoresdedispositivosuotrocdigoenmodode ncleo.EstederechodeusuarionoseaplicaacontroladoresdedispositivosPlugandPlay.Serecomiendanoasignaresteprivilegioaotrosusuarios. Utilice en su lugar la API StartService(). Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Noasigneestederechoaningnusuario,grupooprocesoqueno desee que tenga control sobre el sistema. Valor predeterminado: Administradores.

Tabla de vnculos
Bloquearpginasenmemoria
Bloquear pginas en memoria Descripcin
Estaconfiguracindeseguridaddeterminaqucuentaspuedenutilizarunprocesoparamantenerdatosenlamemoriafsica,conloqueseevitaqueel sistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativa al rendimiento del sistema, al disminuir la cantidad disponible de memoria de acceso aleatorio (RAM). Valor predeterminado: ninguno.

Tabla de vnculos
Iniciarsesincomoprocesoporlotes
Iniciar sesin como proceso por lotes Descripcin
Estaconfiguracindeseguridadpermitealosusuariosiniciarsesinmedianteunrecursodecoladeprocesoporlotes. Porejemplo,cuandounusuarioenvauntrabajopormediodelprogramadordetareas,steregistraalusuariocomousuariodeprocesoporlotesenvez de como usuario interactivo. Nota En Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003, el Programador de tareas concedeautomticamenteestederechocuandoesnecesario. Valor predeterminado: Sistema local.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Denegareliniciodesesincomotrabajoporlotes2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Iniciarsesincomoservicio
Iniciar sesin como servicio Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeserviciopuedenregistrarunprocesocomoservicio. Valor predeterminado: ninguno.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Denegareliniciodesesincomoservicio2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Administrarlosregistrosdeauditorayseguridad
Administrar los registros de auditora y seguridad Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedenespecificarlasopcionesdeauditoradeaccesoaobjetospararecursosindividualescomo archivos, objetos de Active Directory y claves del Registro. Estaconfiguracindeseguridadnopermitealusuariohabilitarlaauditoradeaccesoaarchivosyobjetosengeneral.Parahabilitarla,laopcinAuditar el acceso a objetos1debeestarconfiguradaenConfiguracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivas deauditora. LossucesosauditadossemuestranenelregistrodeseguridaddelVisordesucesos.Unusuarioconesteprivilegiotambinpodrveryborrarelregistro de seguridad. Valor predeterminado: Administradores.

Tabla de vnculos
Modificar valores de entorno del firmware

Modificar valores de entorno del firmware Descripcin
Estaconfiguracindeseguridaddeterminaquinpuedemodificarvaloresdeentornodefirmware.Las variables de entorno del firmware son opciones almacenadasenlamemoriaRAMnovoltildeequiposnobasadosenx86.Elefectodeestaconfiguracindependedelprocesador. Enequiposbasadosenx86,elnicovalordeentornodelfirmwarequepuedemodificarsealasignarestederechodeusuarioeslaopcinltima configuracinbuenaconocidayslodebemodificarlaelsistema. Enequiposbasadosenx64,lainformacindeiniciosealmacenaenmemoriaRAMnovoltil.Losusuariosdebentenerasignadoestederechode usuario para ejecutar bootcfg.exeycambiarlaopcinSistemaoperativopredeterminadoenInicioyrecuperacin, en Propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows. Nota Estaconfiguracindeseguridadnoafectaaquinespuedenmodificarlasvariablesdeentornodelsistemaylasvariablesdeentornodelusuario que se muestran en la ficha Avanzadas de Propiedades del sistema.Paraobtenerinformacinacercadecmomodificarestasvariables,vea Agregar o cambiar los valores de las variables de entorno1. Valor predeterminado: Administradores, Sistema local.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo2. Paraobtenermsinformacin,consulte: Asignacindederechosdeusuario3 Bootcfg4 Asignar derechos de usuario para el equipo local5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
Realizar las tareas de mantenimiento del volumen

Realizar las tareas de mantenimiento del volumen
Descripcin Estaconfiguracindeseguridaddeterminaquusuariosygrupospuedenejecutartareasdemantenimientoenunvolumen,comoladesfragmentacin remota. Tengaprecaucincuandoasigneestederechodeusuario.Losusuariosconestederechodeusuariopuedenexplorardiscosyextenderarchivosen memoria que contengan otros datos. Cuando los archivos extendidos se abren, el usuario puede leer y modificar los datos obtenidos. Valor predeterminado: Administradores

Tabla de vnculos
Perfilar un proceso individual

Perfilar un proceso individual Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedenutilizarlasherramientasdesupervisindelrendimientoconesepropsitoenprocesosque no son del sistema. Valor predeterminado: Administradores, Usuarios avanzados, Sistema local.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Perfilar el rendimiento del sistema2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Perfilar el rendimiento del sistema

Perfilar el rendimiento del sistema Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedenutilizarlasherramientasdesupervisindelrendimientoconesepropsitoenprocesosdel sistema. Valor predeterminado: Administradores, Sistema local.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Perfilar un proceso individual2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Quitarelequipodelaestacindeacoplamiento
Quitar el equipo de la estacin de acoplamiento Descripcin
Estaconfiguracindeseguridaddeterminasiunusuariopuededesacoplarunequipoporttildesuestacindeacoplamientosininiciarunasesin. Sisehabilitaestadirectiva,elusuariodebeiniciarsesinparaquitarelequipoporttildesuestacindeacoplamiento.Sisedeshabilita,elusuariopuede quitarelequipoporttildesuestacindeacoplamientosininiciarsesin. Valor predeterminado: deshabilitada.

Tabla de vnculos
Reemplazarunsmbolodeproceso
Reemplazar un smbolo de proceso Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeusuariopuedenllamaralainterfazdeprogramacindeaplicaciones(API) CreateProcessAsUser() de manera que un servicio pueda iniciar otro. Un ejemplo de un proceso que emplea este derecho de usuario es el Programador de tareas.ParaobtenerinformacinacercadelProgramadordetareas,veaInformacingeneralacercadelProgramadordetareas1. Valor predeterminado: Servicio de red, Sistema local.

Tabla de vnculos
Restaurar archivos y directorios

Restaurar archivos y directorios Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedenomitirlospermisosdearchivos,dedirectorios,delRegistroydeotrosobjetos persistentesalrestaurarcopiasdeseguridaddearchivosydirectorios,yquusuariospuedenestablecerunprincipaldeseguridadvlidocomo propietario de un objeto. Especficamente,estederechodeusuarioessimilaraconcederlossiguientespermisosalusuarioogrupoencuestinparatodoslosarchivosycarpetas del sistema: Recorrer carpeta/Ejecutar archivo Escribir Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Dadoquelosusuariosquetienenestederechopuedensobrescribir opcionesdeconfiguracindelRegistro,ocultardatosyobtenerlapropiedaddelosobjetosdelsistema,slodebeasignarloausuariosde confianza. Valor predeterminado: Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad. Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Hacer copias de seguridad de archivos y directorios2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Apagar el sistema
Apagar el sistema Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosquehaniniciadosesinlocalenelequipoquepuedenapagarelsistemaoperativomedianteel comando Apagar.Elusoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Valor predeterminado: Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios. Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados. Controladoresdedominio:Administradores,Operadoresdecopiadeseguridad,OperadoresdeservidoryOperadoresdeimpresin.

Paraestablecerestaconfiguracindeseguridad,abraladirectivacorrespondienteyexpandaelrboldelaconsolahastaqueaparezcalosiguiente: Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Asignacindederechosdeusuario\ Paraobtenerinstruccionesespecficasacercadecmoconfigurarladirectivadeseguridad,veaModificarlaconfiguracindeseguridadenunobjetode directiva de grupo1. Paraobtenermsinformacin,consulte: Forzar el apagado desde un sistema remoto2 Asignacindederechosdeusuario3 Asignar derechos de usuario para el equipo local4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
Sincronizar los datos de Directory Service

Sincronizar los datos de Directory Service Descripcin
Estaconfiguracindeseguridaddeterminaquusuariosygrupostienenautoridadparasincronizartodoslosdatosdelserviciodedirectorio.Tambinse conocecomosincronizacindeActiveDirectory. Valores predeterminados: ninguno.

Tabla de vnculos
Tomarposesindearchivosyotrosobjetos
Tomar posesin de archivos y otros objetos Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedentomarposesindecualquierobjetoquesepuedaprotegerenelsistema,comoobjetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Dadoquelospropietariosdelosobjetostienenuncontroltotal sobre los mismos, asigne este derecho de usuario solamente a usuarios de confianza. Valor predeterminado: Administradores.

Tabla de vnculos
Crearunarelacindeconfianzadebosque
Para crear una relacin de confianza de bosque
1. Abra Dominios y confianzas de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundarioenelnododeldominiorazdelbosquequedeseaadministrary,acontinuacin,haga clic en Propiedades. 3. En la ficha Confianza, haga clic en Nueva confianzay,acontinuacin,enSiguiente. 4. EnlapginaNombre de confianza,escribaelnombreDNS(onombreNetBIOS)deotrobosquey,despus,hagaclicenSiguiente. 5. EnlapginaTipo de confianza, haga clic en Confianza de bosquey,acontinuacin,enSiguiente. 6. EnlapginaDireccindeconfianza, realice una de las acciones siguientes: Para crear una confianza de acceso directo bidireccional, haga clic en Bidireccional. Losusuariosdeestebosqueylosdelbosqueespecificadotendrnaccesoalosrecursosdecadabosque. Paracrearunarelacindeconfianzadeentradaunidireccional,hagaclicenUnidireccional de entrada. Losusuariosdelbosqueespecificadonotendrnaccesoaningunodelosrecursosdeestebosque. Paracrearunarelacindeconfianzadesalidaunidireccional,hagaclicenUnidireccional de salida. Losusuariosdeestebosquenotendrnaccesoaningunodelosrecursosdelbosqueespecificado. 7. Contineconlospasosdelasistente. Importante Paracrearunarelacindeconfianzadeformacorrecta,suentornodebeestarconfiguradoadecuadamente.Paraobtenermsinformacin,veala listadecomprobacinparacrearunarelacindeconfianzaenTemasrelacionados. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominio(eneldominiorazdelbosque)odelgrupo AdministradoresdeempresaenActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticadeseguridad recomendada,considerelaposibilidaddeutilizarlaopcinEjecutarcomopararealizaresteprocedimiento.Paraobtenermsinformacin,vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. EncasodeserunmiembrodelgrupodeCreadoresdeconfianzadebosquedeentrada,podrcrearrelacionesdeconfianzadeentrada unidireccionales para este bosque. Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y,acontinuacin,hagadobleclicenDominios y confianzas de Active Directory. EnuncontroladordedominioqueejecuteWindowsServer2003,eldominiorazdebosqueeselprimerdominioqueapareceenlalistadelrbolde laconsolaenDominiosyconfianzasdeActiveDirectory.Estaconfiguracinnoestdisponibleencontroladoresdedominioqueejecuten Windows 2000. Sidisponedelascredencialesadministrativasadecuadasparacadabosque,podrcrearambaspartesdeunarelacindeconfianzaalmismo tiempo haciendo clic en Ambos, este dominio y el dominio especificadoenlapginaPartes de confianza.Paraobtenermsinformacin,vea Temas relacionados. Sideseaquelosusuariosdelbosqueespecificadotenganaccesoatodoslosequiposdelbosquelocal,enlapginaPropiedades de confianza de salida haga clic en Autenticacinentodoelbosque.Estaeslaopcinmsconvenientecuandoambosbosquespertenecenalamisma organizacin. Sidesealimitardeformaselectivalaautenticacinparaciertosusuariosygruposdentrodelbosqueespecificado,enlapginaPropiedades de confianza de salida haga clic en Autenticacinselectiva.Estaeslaopcinmsconvenientecuandoelbosqueespecificadoperteneceauna organizacindistinta. Ademsdecrearrelacionesdeconfianzanuevas,tambinpuedemodificarotrasyaexistentessihaceclicenlafichaConfianza. LaherramientadelneadecomandosDsmod.exenoadmitelaadicindeprincipiosdeseguridaddeunbosquealosgruposqueseencuentranen otrobosque,cuandoambosestnunidosporunaconfianzadebosque.PuedeutilizarelcomplementoUsuariosyequiposdeActiveDirectorypara agregarprincipiosdeseguridadatravsdeunaconfianzadebosque.
Informacin sobre diferencias funcionales

Vea tambin
Listadecomprobacin:crearunarelacindeconfianzadebosque5 Confianzas de bosque6 Cundosedebecrearunarelacindeconfianzadebosque7 Sufijos de nombre de enrutamiento entre bosques8 Tener acceso a los recursos entre bosques9 Tipos de confianza10 Direccindelaconfianza11 ReferenciaAZdelalneadecomandos12
Tabla de vnculos
Utilidad de clave del sistema

Utilidad de clave del sistema
LainformacindecontraseasdelascuentasdeusuariosealmacenaenlabasededatosdelAdministradordecuentasdeseguridad(SAM,Security Accounts Manager)delRegistrodelasestacionesdetrabajoydelosservidoresmiembro.Enloscontroladoresdedominio,lainformacindecontraseas sealmacenaenlosserviciosdedirectorio.EsfrecuentequeelsoftwareparaaveriguarcontraseastengacomoobjetivolabasededatosSAMolos serviciosdedirectorioparaobteneraccesoalascontraseasdelascuentasdeusuario.Lautilidaddeclavedelsistema(Syskey)proporcionaunalnea adicionaldedefensacontraelsoftwarequeseutilizaparaaveriguarcontraseas.Utilizatcnicasdecifradoseguroparaprotegerlainformacinde contraseasdelascuentasquesealmacenaenlabasededatosdeSAMoenlosserviciosdedirectorio.Averiguarcontraseasdecuentacifradases msdifcilyconsumemstiempoquesilascontraseasnoestncifradas.Paraobtenermsinformacinacercadelcifrado,veaCifrado1. HaytresopcionesdeclavedelsistemaenelcuadrodedilogoClave de iniciodiseadasparacubrirlasnecesidadesdediferentesentornos,comose describe en la tabla siguiente.
Opcindeclavedel sistema
Nivel de seguridad Descripcin relativo Utilizacomoclavedelsistemaunaclavealeatoriageneradaporelequipoyalmacenaunaversincifradadelaclave enelequipolocal.EstaopcinproporcionacifradosegurodelainformacindecontraseasenelRegistroypermite queelusuarioreinicieelequiposinnecesidaddequeeladministradorescribaunacontraseaointroduzcaundisco.
Contraseagenerada por el sistema, Proteger Almacenar la clave de inicio localmente
Contraseagenerada Ms por el administrador, seguro Inicioconcontrasea
Utilizacomoclavedelsistemaunaclavealeatoriageneradaporelequipoyalmacenaunaversincifradadelaclave enelequipolocal.Laclavetambinestprotegidamedianteunacontraseaelegidaporeladministrador.Sepidea losusuarioslacontraseadelaclavedelsistemacuandoelequiporealizalasecuenciadeinicio.Lacontraseade la clave del sistema no se almacena en el equipo.
Contraseagenerada Utiliza una clave aleatoria generada por el equipo y la almacena en un disquete. El disquete con la clave del sistema por el sistema, Mxima es necesario para iniciar el sistema y debe introducirse cuando se solicita durante la secuencia de inicio. La clave Almacenar la clave de seguridad del sistema no se almacena en el equipo. inicio en un disco Paraobtenerinformacinacercadecmoimplementarlautilidaddeclavedelsistemaenunequipo,veaCrear o actualizar una clave del sistema2. Elusodelautilidaddeclavedelsistemaesopcional.Sipierdeeldiscoquecontienelaclavedelsistemauolvidalacontrasea,deberrestaurarel Registroalestadoenqueseencontrabaantesdeutilizarlaclavedelsistemaparapoderiniciarelequipo.Paraobtenerinformacinacercadecmo restaurar el Registro, vea Restaurar el Registro3.
Tabla de vnculos
Crear o actualizar una clave del sistema

Para crear o actualizar una clave del sistema
1. Haga clic en Inicio, haga clic en Ejecutar, escriba syskeyy,acontinuacin,hagaclicenAceptar. 2. Haga clic en Cifrado habilitadoy,acontinuacin,hagaclicenActualizar. 3. Hagaclicenlaopcinquedeseey,despus,hagaclicenAceptar. Paraobtenerinformacinacercadecadaopcin,vea"Utilidaddeclavedelsistema"enTemasrelacionados. Notas Lascredencialesadministrativasnecesariasparallevaracaboesteprocedimientovaranenfuncindelentorno: Si crea o actualiza una clave del sistema para el equipo local: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradoresenelequipolocalotenerdelegadalaautoridadcorrespondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupo Administradoresdedominiopodranllevaracaboesteprocedimiento.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Si crea o actualiza una clave del sistema para un controlador de dominio: Para llevar a cabo este procedimiento, debe ser miembro del grupo AdministradoresdedominioodelgrupoAdministradoresdeorganizacindeActiveDirectory,obiendebetenerdelegadalaautoridad correspondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracabo esteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Sipierdeeldiscoquecontienelaclavedelsistemauolvidalacontraseadelaclave,deberrestaurarelRegistroalestadoenqueseencontraba antesdeutilizarlaclavedelsistemaparapoderiniciarelequipo.ParaobtenermsinformacinacercadecmorestaurarelRegistro,veaTemas relacionados.
Informacin acerca de las diferencias funcionales

Vea tambin
Contraseas5 Utilidad de clave del sistema6 Restaurar el Registro7
Tabla de vnculos

Consola de Recuperacion y Configuracion de Seguridad PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Consola de Recuperacion y Configuracion de Seguridad PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Consola de recuperacion y configuracion de seguridad

Requisitos de RIS y PXE

Asistente para instalacin de clientes

Informacin acerca de diferencias funcionales

ComandosdelaConsoladerecuperacin2 IntroduccinalaConsoladerecuperacin3 Introduccinalareparacin4 Modificarlaconfiguracindeseguridadlocal5 Consoladerecuperacin:permitireliniciodesesinadministrativoautomtico6

Para tareas administrativas, utilice el principio de concesin de privilegios mnimos

Definir grupos y sus miembros

Proteger los datos de los equipos

Utilizar contraseas seguras en toda la organizacin

No descargar ni ejecutar programas procedentes de orgenes que no sean de confianza

Mantener los detectores de virus actualizados

Mantener actualizadas todas las revisiones de software

Ejecutar un programa con credenciales administrativas

Mediante la interfaz de Windows

Mediante la lnea de comandos

" nombreDePrograma rutaAArchivoDePrograma "

Informacin acerca de diferencias funcionales

Solucionar problemas de Usuarios y grupos locales2 Porqunodebetrabajarenelequipocomoadministrador3

Puntos suspensivos (...)

Cmd1 ReferenciaAZdelalneadecomandos2 Introduccinalshelldecomandos3 Crear un acceso directo mediante el comando runas4

Los permisos Denegar deben utilizarse en determinados casos especiales

Utilizar plantillas de seguridad

No denegar nunca al grupo Todos el acceso a un objeto

Los privilegios pueden suplantar algunas veces a los permisos

Herramienta del Administrador de configuracindeseguridad Configuracinyanlisisdeseguridad6

Security Settings extension to Group Policy7

Directiva de seguridad local8 Secedit9

Actuar como parte del sistema operativo

Crear un archivo de paginacin

Generar auditorasde seguridad

Aumentar la prioridad de una programacin

Bloquear pginasenla memoria

Modificar valores de entorno del firmware

Estaconfiguracindeseguridaddeterminalosusuariosquepuedenutilizarlasherramientasdesupervisindelrendimientoconesefinen procesos del sistema. Valor predeterminado: Administradores, Sistema local.

Quitar el equipo de la estacinde acoplamiento

Restaurar archivos y directorios

Estaconfiguracindeseguridaddeterminalosusuariosygruposquetienenautoridadparasincronizartodoslosdatosdelserviciode directorio.TambinseconocecomosincronizacindeActiveDirectory. Valores predeterminados: ninguno.

Establecer esta configuracin de seguridad

Para el equipo local

Slo para controladores de dominio, si est en un controlador de dominio.

Informacin acerca de diferencias funcionales

Trabajar con archivos de consola de MMC5 Aplicarunaconfiguracindeseguridad6 PrcticasrecomendadasparaConfiguracindeseguridad7

Auditar el acceso a objetos

Auditar el acceso a objetos Descripcin

Establecer esta configuracin de seguridad

Sucesos de acceso a objetos 560 562

Descripcin Se ha concedido acceso a un objeto ya existente. Se ha cerrado un identificador de objeto. Seintentabrirunobjetoconlaintencindeeliminarlo.

Seintentcrearunvnculofsicoaunarchivoqueseestauditando. EladministradorderecursosdelAdministradordeautorizacinintentcrearuncontextodecliente. Un cliente ha intentado tener acceso a un objeto.

571 572 772 773

ElcontextodeclientefueeliminadoporlaaplicacinAdministradordeautorizacin. Eladministradordeadministradoreshainicializadolaaplicacin. Eladministradordecertificadosdenegunasolicituddecertificadopendiente. ServiciosdeCertificateServerrecibiunasolicituddecertificadoreenviada.

Si es posible, evitar cambiar los permisos predeterminados de objetos de Active Directory

Minimizar el nmero de entradas de control de acceso que se aplican a objetos secundarios

Cuando sea posible, asignar el mismo grupo de permisos a varios objetos

Siempre que sea posible, asignar permisos a grupos en vez de a usuarios

Proteger Active Directory

Para Administrarlarelacindeseguridadentredosbosquesysimplificarla administracindeseguridadylaautenticacinentrebosques.

Use Confianzas de bosque Vea Confianzas de bosque6. Directiva de grupo

Habilitarladirectivadeauditora.Laauditoradelosregistrosdesucesos puede avisarle de acciones que pueden suponer un riesgo de seguridad.

Aplicarelhistorialdecontraseasenlascuentasdeusuarioparareducirla posibilidad de que un intruso ponga en peligro el dominio.

Comprobar y autenticar la validez de cada usuario mediante el uso de criptografadeclavespblicas.

Promoverunentornooperativoseguromediantelaejecucindelequiposin credenciales administrativas, excepto cuando sea necesario.

Limitar el acceso de usuarios, grupos y equipos a los recursos compartidos yfiltrarlaconfiguracindeDirectivadegrupo.

Utilizartcnicasdecifradosegurasparaprotegerlainformacinde contraseasdecuentasenequiposlocales,servidoresmiembroo controladores de dominio.