CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark

20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 1
CIS Microsoft Windows Server 2019 RTM

(Versión 1809) Benchmark
v1.1.0 - 14/01/2020
Página 2
https://translate.googleusercontent.com/translate_f 1/803
Términos de Uso
Consulte el enlace a continuación para conocer nuestros términos de uso actuales:
https://www.cisecurity.org/cis-securesuite/cis-securesuite-membership-terms-of-use/
1 | Página
Página 3
Tabla de contenido
Términos de Uso............................................... .................................................. .................................................. ................. 1
Visión general ................................................. .................................................. .................................................. ................... 35
Público objetivo ................................................ .................................................. ............................................. 35

Orientación de consenso ................................................ .................................................. .......................................... 35
Convenciones tipográficas ................................................ .................................................. ........................... 36
Información de puntuación ................................................ .................................................. ........................................... 36

Definiciones de perfil ................................................ .................................................. ............................................... 37
Agradecimientos................................................. .................................................. ........................................... 39

Recomendaciones ................................................. .................................................. .................................................. 40
1 Políticas de cuenta ............................................... .................................................. ................................................ 40
1.1 Política de contraseña ............................................... .................................................. ....................................... 40
1.1.1 (L1) Asegúrese de que 'Aplicar historial de contraseñas' esté configurado en '24 o más contraseñas '
(Anotado) ............................................... .................................................. .................................................. ... 40
1.1.2 (L1) Asegúrese de que la 'Antigüedad máxima de la contraseña' esté establecida en '60 días o menos, pero no en 0 '
(Anotado) ............................................... .................................................. .................................................. ... 43
1.1.3 (L1) Asegúrese de que la 'Antigüedad mínima de la contraseña' esté configurada en '1 o más días' (puntuados). 45
1.1.4 (L1) Asegúrese de que la 'Longitud mínima de la contraseña' esté establecida en '14 o más caracteres '
(Anotado) ............................................... .................................................. .................................................. ... 47
1.1.5 (L1) Asegúrese de que 'La contraseña debe cumplir con los requisitos de complejidad' esté configurada en
'Habilitado' (puntuado) ............................................ .................................................. ................................... 50
1.1.6 (L1) Asegúrese de que 'Almacenar contraseñas con cifrado reversible' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. .................................. 53
1.2 Política de bloqueo de cuenta .............................................. .................................................. ......................... 55
1.2.1 (L1) Asegúrese de que la 'Duración del bloqueo de la cuenta' esté configurada en '15 o más minuto (s) '
(Anotado) ............................................... .................................................. .................................................. ... 55
1.2.2 (L1) Asegúrese de que el 'Umbral de bloqueo de la cuenta' esté configurado en '10 o menos inicios de sesión no válidos
intento (s), pero no 0 '(puntuados) ...................................... .................................................. ................ 57
1.2.3 (L1) Asegúrese de que 'Restablecer el contador de bloqueo de cuenta después de' esté configurado en '15 o más
minuto (s) '(puntuados) .......................................... .................................................. ................................... 59
2 Políticas locales ............................................... .................................................. .................................................. .... 62
2 | Página
Página 4
2.1 Política de auditoría ............................................... .................................................. ................................................ 62

2.2 Asignación de derechos de usuario .............................................. .................................................. ........................ 62
2.2.1 (L1) Asegúrese de que 'Access Credential Manager como una persona que llama de confianza' esté configurado en 'Nadie'
(Anotado) ............................................... .................................................. .................................................. ... 62
2.2.2 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado en
'Administradores, usuarios autenticados, CONTROLADORES DE DOMINIO EMPRESARIALES' (DC
solamente) (puntuado) ............................................. .................................................. ........................................... 64
'Administradores, usuarios autenticados' (solo MS) (puntuados) ..................................... .......... 66
2.2.4 (L1) Asegúrese de que 'Actuar como parte del sistema operativo' esté configurado como 'Nadie' (puntuado)
.................................................. .................................................. .................................................. ................... 68
2.2.5 (L1) Asegúrese de que 'Agregar estaciones de trabajo al dominio' esté configurado en 'Administradores' (DC
solamente) (puntuado) ............................................. .................................................. ........................................... 70
2.2.6 (L1) Asegúrese de que 'Ajustar cuotas de memoria para un proceso' esté configurado en 'Administradores,
SERVICIO LOCAL, SERVICIO DE RED '(puntuado) ......................................... ........................... 73
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores' (puntuados) .............. 76
2.2.8 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Administradores' (solo DC) (puntuados) ........................................ .................................................. ... 78
2.2.9 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Administradores, usuarios de escritorio remoto' (solo MS) (puntuados) .................................... ...... 81
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. ... 84
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en 'Administradores, LOCAL
SERVICIO '(puntuado) ............................................. .................................................. .................................. 86
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores, LOCAL
SERVICIO '(puntuado) ............................................. .................................................. .................................. 89
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores' (puntuados) ................. 91
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie' (puntuado) ........................ 93
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores, LOCAL
SERVICIO, SERVICIO DE RED, SERVICIO '(puntuado) ........................................ ....................... 95
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'Nadie' (puntuado)
.................................................. .................................................. .................................................. ................... 97
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores' (solo DC)
(Anotado) ............................................... .................................................. .................................................. ... 99
3 | Página
Página 5
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores, NT VIRTUAL
MACHINE \ Virtual Machines '(solo MS) (puntuado) ...................................... ......................... 101
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado como 'Administradores' (puntuados) .............. 103
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para incluir
'Invitados' (solo DC) (puntuados) ........................................ .................................................. .................. 105
2.2.21 (L1) Asegúrese de que 'Denegar el acceso a esta computadora desde la red' para incluir
'Invitados, cuenta local y miembro del grupo de administradores' (solo MS) (puntuado)
.................................................. .................................................. .................................................. ................ 107
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados' (puntuados) ......... 109
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados' (puntuados) ... 111
2.2.24 (L1) Asegúrese de 'Denegar el inicio de sesión localmente' para incluir 'Invitados' (puntuados) ...............
2.2.25 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' para incluir
'Invitados' (solo DC) (puntuados) ........................................ .................................................. .................. 115
2.2.26 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Invitados, cuenta local' (solo MS) (puntuados) ..................................... ....................................... 117
2.2.27 (L1) Asegúrese de 'Permitir que las cuentas de usuario y de computadora sean confiables
delegación 'se establece en' Administradores '(solo DC) (puntuado) ................................... ............. 119
delegación 'se establece en' Nadie '(solo MS) (puntuado) .................................. .............................. 121
2.2.29 (L1) Asegúrese de que 'Forzar apagado desde un sistema remoto' esté configurado en
'Administradores' (puntuados) ............................................ .................................................. ................. 123
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'SERVICIO LOCAL, RED
SERVICIO '(puntuado) ............................................. .................................................. ............................... 125
2.2.31 (L1) Asegúrese de que 'Suplantar a un cliente después de la autenticación' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 127
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' y (cuando el
Rol de servidor web (IIS) con servicio de rol de servicios web instalado) 'IIS_IUSRS' (MS
solamente) (puntuado) ............................................. .................................................. ........................................ 130
2.2.33 (L1) Asegúrese de que 'Aumentar la prioridad de programación' esté configurado en 'Administradores,
Administrador de ventanas \ Grupo de administradores de ventanas '(puntuado) ........................................ ............ 133
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivo' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 135
4 | Página
Página 6
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado como 'Nadie' (puntuado) ... 137
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 139
2.2.37 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en 'Administradores'
y (cuando Exchange se ejecuta en el entorno) 'Exchange Servers' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 141
2.2.38 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en 'Administradores'
(Solo MS) (puntuado) ........................................... .................................................. ................................ 143
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie' (puntuado) ...
2.2.40 (L1) Asegúrese de que 'Modificar valores de entorno de firmware' esté configurado en
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 149
2.2.42 (L1) Asegúrese de que 'Perfil de proceso único' esté configurado como 'Administradores' (puntuado) ... 151
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en 'Administradores, NT
SERVICE \ WdiServiceHost '(puntuado) ........................................... .............................................. 153
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'SERVICIO LOCAL,
SERVICIO DE RED '(puntuado) ............................................ .................................................. ........ 155
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 157
2.2.46 (L1) Asegúrese de que "Apagar el sistema" esté configurado como "Administradores" (puntuado). 159
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'Nadie' (DC
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado en
2.3 Opciones de seguridad ............................................... .................................................. .................................... 165
2.3.1 Cuentas .............................................. .................................................. ............................................ 165

2.3.1.1 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de administrador' esté configurado como 'Deshabilitado'
(Solo MS) (puntuado) ........................................... .................................................. ................................ 165
2.3.1.2 (L1) Asegúrese de que 'Cuentas: bloquear cuentas de Microsoft' esté configurado en 'Los usuarios no pueden agregar
o inicie sesión con cuentas de Microsoft (puntuadas) ........................................ .................................. 168
2.3.1.3 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de invitado' esté configurado en 'Deshabilitado' (solo MS)
(Anotado) ............................................... .................................................. .................................................. 170
5 | Página
Página 7
2.3.1.4 (L1) Asegúrese de 'Cuentas: Limite el uso de contraseñas en blanco en cuentas locales para
solo inicio de sesión de consola 'está configurado como' Habilitado '(puntuado) ..................................... .............................. 172
2.3.1.5 (L1) Configurar 'Cuentas: Cambiar nombre de cuenta de administrador' (puntuado) ... 174
2.3.1.6 (L1) Configurar 'Cuentas: Cambiar el nombre de la cuenta de invitado' (puntuado) .......................... 176
2.3.2 Auditoría .............................................. .................................................. .................................................. 178

2.3.2.1 (L1) Asegúrese de 'Auditoría: Forzar la configuración de la subcategoría de la política de auditoría (Windows
Vista o posterior) para anular la configuración de la categoría de política de auditoría 'se establece en' Habilitado '
(Anotado) ............................................... .................................................. .................................................. 178
2.3.2.2 (L1) Asegúrese de 'Auditoría: apague el sistema inmediatamente si no puede iniciar sesión
auditorías de seguridad 'está configurado como' Desactivado '(puntuado) ...................................... .................................... 181
2.3.3 DCOM .............................................. .................................................. .................................................. 183
2.3.4 Dispositivos .............................................. .................................................. ............................................... 184
2.3.4.1 (L1) Asegúrese de que 'Dispositivos: Permitido formatear y expulsar medios extraíbles' esté configurado
a 'Administradores' (puntuados) ........................................... .................................................. ............. 184
2.3.4.2 (L1) Asegúrese de que 'Dispositivos: evitar que los usuarios instalen controladores de impresora' esté configurado
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 187
2.3.5 Controlador de dominio ............................................. .................................................. ......................... 189
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor programen tareas'
está configurado como 'Desactivado' (solo DC) (puntuado) ..................................... ................................................. 189
2.3.5.2 (L1) Asegúrese de que 'Controlador de dominio: requisitos de firma del servidor LDAP' esté configurado
a 'Requerir firma' (solo DC) (puntuado) ...................................... ............................................. 191
2.3.5.3 (L1) Asegúrese de 'Controlador de dominio: rechazar la contraseña de la cuenta de la máquina

cambios 'está configurado como' Desactivado '(solo DC) (puntuado) ................................... ................................ 194
2.3.6 Miembro de dominio ............................................. .................................................. ........................... 196
2.3.6.1 (L1) Asegúrese de que 'Miembro del dominio: cifre o firme digitalmente un canal seguro
datos (siempre) 'se establece en' Habilitado '(puntuado) .................................... .......................................... 196
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente los datos del canal seguro
(cuando sea posible) 'se establece en' Habilitado '(puntuado) .................................... .................................... 199
2.3.6.3 (L1) Asegúrese de que 'Miembro del dominio: firme digitalmente los datos del canal seguro (cuando
posible) 'se establece en' Habilitado '(puntuado) ...................................... ................................................. 201
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la contraseña de la cuenta de la máquina
cambios 'se establece en' Desactivado '(puntuado) ....................................... ................................................. 203
2.3.6.5 (L1) Asegúrese de 'Miembro del dominio: antigüedad máxima de la contraseña de la cuenta de la máquina'
está configurado en '30 o menos días, pero no en 0 '(puntuado) .................................. ................................... 205
6 | Página
Página 8
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: Requiere fuerte (Windows 2000 o posterior)
clave de sesión 'se establece en' Habilitado '(puntuado) ...................................... ............................................ 207
2.3.7 Inicio de sesión interactivo ............................................ .................................................. ............................. 209

2.3.7.1 (L1) Asegúrese de que 'Inicio de sesión interactivo: no requiere CTRL + ALT + SUPR' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. ............................... 209
2.3.7.2 (L1) Asegúrese de que 'Inicio de sesión interactivo: No mostrar el último inicio de sesión' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 211
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' esté configurado en '900 o
menos segundo (s), pero no 0 '(puntuados) ..................................... .................................................. .. 213
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
en '(puntuado) ............................................. .................................................. ............................................ 215
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión
en '(puntuado) ............................................. .................................................. ............................................ 217
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores en caché (en
caso de que el controlador de dominio no esté disponible) 'está configurado en' 4 o menos inicios de sesión '(solo MS)
(Anotado) ............................................... .................................................. .................................................. 219
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: Solicite al usuario que cambie la contraseña antes
vencimiento 'se establece en' entre 5 y 14 días '(puntuado) ................................... .................. 222
2.3.7.8 (L1) Asegúrese de 'Inicio de sesión interactivo: requiere autenticación del controlador de dominio
para desbloquear la estación de trabajo 'está configurado en' Habilitado '(solo MS) (puntuado) ................................. ..... 224
2.3.7.9 (L1) Asegúrese de que 'Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente' esté configurado en
'Bloquear estación de trabajo' o superior (puntuado) ......................................... ............................................ 226
2.3.8 Cliente de red de Microsoft ............................................ .................................................. ............. 228

2.3.8.1 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente las comunicaciones
(siempre) 'se establece en' Habilitado '(puntuado) ..................................... .................................................. .228
2.3.8.2 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente las comunicaciones (si
servidor acepta) 'está configurado como' Habilitado '(puntuado) ..................................... ....................................... 231
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe una contraseña sin cifrar a
servidores SMB de terceros 'está configurado como' Desactivado '(puntuado) ................................... ................... 234
2.3.9 Servidor de red de Microsoft ............................................ .................................................. ........... 236

2.3.9.1 (L1) Asegúrese de que el servidor de red de Microsoft: cantidad de tiempo de inactividad requerido
antes de suspender la sesión 'se establece en '15 o menos minuto (s)' (puntuados) ..................... 236
2.3.9.2 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente las comunicaciones
(siempre) 'se establece en' Habilitado '(puntuado) ..................................... .................................................. .238
7 | Página
Página 9
2.3.9.3 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente las comunicaciones (si
el cliente está de acuerdo) 'está configurado como' Habilitado '(puntuado) ..................................... ......................................... 241
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes al iniciar sesión
las horas expiran 'se establece en' Habilitado '(puntuado) ...................................... .......................................... 244
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: validación del nombre de destino del SPN del servidor
level 'se establece en' Aceptar si el cliente lo proporciona 'o superior (solo MS) (puntuado) ............. 246
2.3.10 Acceso a la red ............................................. .................................................. ............................ 249
2.3.10.1 (L1) Asegúrese de que 'Acceso a la red: Permitir traducción anónima de SID / Nombre' esté
establecido en 'Desactivado' (puntuado) .......................................... .................................................. .................... 249
2.3.10.2 (L1) Asegúrese de 'Acceso a la red: no permita la enumeración anónima de
Cuentas SAM 'está configurado como' Habilitado '(solo MS) (puntuado) .................................. ..................... 251
2.3.10.3 (L1) Asegúrese de 'Acceso a la red: no permita la enumeración anónima de
Cuentas y recursos compartidos SAM 'está configurado como' Habilitado '(solo MS) (puntuado) ............................... 253
2.3.10.4 (L2) Asegúrese de 'Acceso a la red: no permita el almacenamiento de contraseñas y

credenciales para la autenticación de red 'está configurado como' Habilitado '(puntuado) ........................ 255
2.3.10.5 (L1) Garantizar 'Acceso a la red: permitir que todos los permisos se apliquen a
usuarios anónimos 'está configurado como' Deshabilitado '(puntuado) ...................................... .............................. 257
2.3.10.6 (L1) Configurar 'Acceso a la red: canalizaciones con nombre a las que se puede acceder
anónimamente '(solo DC) (puntuado) ......................................... .................................................. .... 259
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre a las que se puede acceder
anónimamente '(solo MS) (puntuado) ......................................... .................................................. ... 261
2.3.10.8 (L1) Configurar 'Acceso a la red: rutas de registro accesibles de forma remota'
(Anotado) ............................................... .................................................. .................................................. 263
2.3.10.9 (L1) Configurar 'Acceso a la red: rutas de registro y
subrutas '(puntuadas) ........................................... .................................................. ............................... 266
2.3.10.10 (L1) Garantizar 'Acceso a la red: restringir el acceso anónimo a Named

Pipes and Shares 'está configurado como' Habilitado '(puntuado) ..................................... ................................. 270
2.3.10.11 (L1) Garantizar 'Acceso a la red: Restrinja a los clientes autorizados a realizar
llamadas a SAM 'se establece en' Administradores: Acceso remoto: Permitir '(solo MS) (puntuado)
.................................................. .................................................. .................................................. ................ 273
2.3.10.12 (L1) Garantizar 'Acceso a la red: recursos compartidos a los que se puede acceder de forma anónima'
está configurado en 'Ninguno' (puntuado) ......................................... .................................................. ........................ 275
2.3.10.13 (L1) Garantizar 'Acceso a la red: modelo de seguridad y uso compartido para
cuentas 'está configurado en' Clásico: los usuarios locales se autentican como ellos mismos '(puntuados) ..... 277
8 | Página
Página 10
2.3.11 Seguridad de la red ............................................. .................................................. ........................ 279

2.3.11.1 (L1) Asegúrese de 'Seguridad de la red: Permitir que el sistema local use la computadora
identidad para NTLM 'se establece en' Habilitado '(puntuado) ..................................... ............................... 279
2.3.11.2 (L1) Asegúrese de 'Seguridad de red: Permitir recuperación de sesión NULL de LocalSystem'
está configurado como 'Desactivado' (puntuado) ......................................... .................................................. ................. 281
2.3.11.3 (L1) Garantizar la seguridad de la red: permitir que las solicitudes de autenticación PKU2U
esta computadora para usar identidades en línea 'está configurado como' Desactivado '(puntuado) .......................... 283
2.3.11.4 (L1) Asegúrese de 'Seguridad de red: configure los tipos de cifrado permitidos para
Kerberos 'se establece en' AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future
tipos de cifrado '(puntuados) ............................................ .................................................. ............... 285
2.3.11.5 (L1) Asegúrese de 'Seguridad de red: no almacene el valor hash de LAN Manager en
siguiente cambio de contraseña 'se establece en' Habilitado '(puntuado) ..................................... ...................... 287
2.3.11.6 (L1) Asegúrese de que 'Seguridad de red: Forzar cierre de sesión cuando expiren las horas de inicio de sesión' esté
establecido en 'Habilitado' (sin puntuación) ......................................... .................................................. .............. 289
2.3.11.7 (L1) Asegúrese de que 'Seguridad de red: nivel de autenticación de LAN Manager' esté configurado
a 'Enviar solo respuesta NTLMv2. Rechazar LM & NTLM '(puntuados) .................................. 291
2.3.11.8 (L1) Asegúrese de que 'Seguridad de red: requisitos de firma del cliente LDAP' esté configurado
a 'Negociar firma' o superior (puntuado) ........................................ ........................................ 294
2.3.11.9 (L1) Garantizar 'Seguridad de red: seguridad de sesión mínima para NTLM SSP
los clientes basados en (incluido el RPC seguro) 'se establece en' Requerir seguridad de sesión NTLMv2,
Requiere cifrado de 128 bits '(puntuado) ......................................... .............................................. 296
2.3.11.10 (L1) Garantizar 'Seguridad de red: seguridad de sesión mínima para NTLM SSP
servidores basados en (incluido RPC seguro) 'está configurado en' Requerir seguridad de sesión NTLMv2,
Requiere cifrado de 128 bits '(puntuado) ......................................... .............................................. 298
2.3.12 Consola de recuperación ............................................. .................................................. ........................ 300
2.3.13 Apagado .............................................. .................................................. ....................................... 301

2.3.13.1 (L1) Asegurar 'Apagado: Permita que el sistema se apague sin tener que
iniciar sesión 'está configurado como' Desactivado '(puntuado) ...................................... .................................................. .... 301
2.3.14 Criptografía del sistema ............................................. .................................................. ................ 303
2.3.15 Objetos del sistema ............................................. .................................................. .............................. 304

2.3.15.1 (L1) Asegúrese de que 'Objetos del sistema: requiera que no se distinga entre mayúsculas y minúsculas para los
subsystems 'se establece en' Enabled '(puntuado) ....................................... ........................................... 304
2.3.15.2 (L1) Asegúrese de 'Objetos del sistema: fortalezca los permisos predeterminados de
objetos del sistema (por ejemplo, enlaces simbólicos) 'se establece en' Habilitado '(puntuado) .............................. 306
9 | Página
Página 11
2.3.16 Configuración del sistema ............................................. .................................................. ............................ 307

2.3.17 Control de cuentas de usuario ............................................ .................................................. ................. 308
2.3.17.1 (L1) Asegúrese de 'Control de cuentas de usuario: Modo de aprobación de administrador para el
La cuenta de administrador 'está configurada como' Habilitada '(puntuada) ...................................... .................... 308
2.3.17.2 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la solicitud de elevación para
administradores en el modo de aprobación de administrador 'se establece en' Solicitar consentimiento en el
escritorio seguro '(puntuado) ............................................ .................................................. ................... 310
2.3.17.3 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la solicitud de elevación para
usuarios estándar 'está configurado en' Denegar automáticamente solicitudes de elevación '(puntuado) .......... 312
2.3.17.4 (L1) Asegurar 'Control de cuentas de usuario: Detectar instalaciones de aplicaciones y
solicitud de elevación 'se establece en' Habilitado '(puntuado) ..................................... ......................... 314
2.3.17.5 (L1) Asegurar 'Control de cuentas de usuario: solo elevar aplicaciones UIAccess
que están instalados en ubicaciones seguras 'está configurado como' Habilitado '(puntuado) .............................. 316
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en Admin
Modo de aprobación 'está configurado en' Habilitado '(puntuado) ...................................... .................................... 318
2.3.17.7 (L1) Asegúrese de 'Control de cuentas de usuario: cambie al escritorio seguro cuando
pedir elevación 'se establece en' Habilitado '(puntuado) ..................................... ................... 320
2.3.17.8 (L1) Asegúrese de 'Control de cuentas de usuario: virtualice el archivo y la escritura del registro
fallos en ubicaciones por usuario 'se establece en' Habilitado '(puntuado) .................................. ........... 322
3 Registro de eventos ............................................... .................................................. .................................................. ......... 323

4 Grupos restringidos ............................................... .................................................. ......................................... 323
5 Servicios del sistema ............................................... .................................................. .............................................. 323
6 Registro ................................................ .................................................. .................................................. ........... 323
7 Sistema de archivos ............................................... .................................................. .................................................. ..... 323
8 Políticas de red cableada (IEEE 802.3) .......................................... .................................................. ...... 324
9 Firewall de Windows con seguridad avanzada ............................................ .......................................... 324

9.1 Perfil de dominio ............................................... .................................................. ....................................... 325
9.1.1 (L1) Asegúrese de que 'Firewall de Windows: Dominio: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado) ........................................... .................................................. ................. 325
9.1.2 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones entrantes' esté configurado en
'Bloque (predeterminado)' (puntuado) ......................................... .................................................. ..................... 327
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones salientes' esté configurado en
'Permitir (predeterminado)' (puntuado) ......................................... .................................................. ..................... 329
10 | Página
Pagina 12
9.1.4 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Configuración: Mostrar una notificación' esté
establecido en 'No' (puntuado) .......................................... .................................................. ................................. 331
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log' (puntuado) .................. 333
9.1.6 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Límite de tamaño (KB)' esté configurado en
'16, 384 KB o superior '(puntuado) ......................................... .................................................. ........ 335
9.1.7 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Registrar paquetes perdidos' esté
establecido en 'Sí' (puntuado) .......................................... .................................................. ............................... 337
9.1.8 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado) ....................................... .................................................. .. 339
9.2 Perfil privado ............................................... .................................................. ........................................ 341
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' esté configurado en 'Activado
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones entrantes' esté configurado en
'Bloque (predeterminado)' (puntuado) ......................................... .................................................. ..................... 343
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones salientes' esté configurado en
9.2.4 (L1) Asegúrese de que 'Firewall de Windows: Privado: Configuración: Mostrar una notificación' esté
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log' (puntuado) ................... 349
9.2.6 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Límite de tamaño (KB)' esté configurado en
9.2.7 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registrar paquetes perdidos' esté
establecido en 'Sí' (puntuado) .......................................... .................................................. ............................... 353
9.2.8 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro exitoso
9.3 Perfil público ............................................... .................................................. .......................................... 357
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado en 'Activado
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: Público: conexiones entrantes' esté configurado en 'Bloquear
(predeterminado) '(puntuado) ........................................... .................................................. ................................. 359
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: Público: Conexiones salientes' esté configurado en
11 | Página
Página 13
9.3.4 (L1) Asegúrese de que esté configurado 'Firewall de Windows: Público: Configuración: Mostrar una notificación'
a 'No' (puntuado) ........................................... .................................................. ....................................... 363
9.3.5 (L1) Asegúrese de que 'Firewall de Windows: Público: Configuración: Aplicar reglas de firewall local' esté
9.3.6 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar conexión local
reglas de seguridad 'se establece en' No '(puntuado) ...................................... .................................................. .367
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log' (puntuado) ..................... 369
9.3.8 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Límite de tamaño (KB)' esté configurado en
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registrar paquetes descartados' esté configurado
a 'Sí' (puntuado) ........................................... .................................................. ...................................... 373
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro exitoso
10 Políticas de Network List Manager ............................................. .................................................. .............. 377

11 Políticas de red inalámbrica (IEEE 802.11) .......................................... ............................................. 377
12 Políticas de clave pública .............................................. .................................................. ...................................... 377
13 Políticas de restricción de software .............................................. .................................................. ................. 377
14 Configuración del cliente NAP de protección de acceso a la red ........................................... ................... 377
15 Políticas de control de aplicaciones .............................................. .................................................. ................... 377
16 Políticas de seguridad IP .............................................. .................................................. ..................................... 377

17 Configuración avanzada de la política de auditoría ............................................. .................................................. .378
17.1 Inicio de sesión de cuenta ............................................... .................................................. .................................... 378
17.1.1 (L1) Asegúrese de que 'Validación de credenciales de auditoría' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 378
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en 'Éxito y
Fallo '(solo DC) (puntuado) ......................................... .................................................. ................. 381
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté configurado en 'Correcto
and Failure '(solo DC) (puntuado) ........................................ .................................................. ......... 383
17.2 Gestión de cuentas ............................................... .................................................. ...................... 385
17.2.1 (L1) Asegúrese de que 'Auditoría de gestión de grupos de aplicaciones' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 385
12 | Página
Página 14
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado para incluir
'Éxito' (solo DC) (puntuado) ........................................ .................................................. ................ 387
17.2.3 (L1) Asegúrese de que 'Auditoría de la gestión del grupo de distribución' esté configurado para incluir
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado para incluir
17.2.5 (L1) Asegúrese de que 'Auditar la administración del grupo de seguridad' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 393
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en 'Éxito y
17.3 Seguimiento detallado ............................................... .................................................. .............................. 397
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito' (puntuado) ... 397
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir 'Éxito' (puntuado) 399
17.4 Acceso DS ............................................... .................................................. ............................................... 401

17.4.1 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado para incluir 'Fallo' (DC
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado para incluir 'Éxito'
(Solo DC) (puntuado) ........................................... .................................................. ................................. 403
17.5 Inicio / Cierre de sesión .............................................. .................................................. ........................................ 405

17.5.1 (L1) Asegúrese de que 'Bloqueo de cuenta de auditoría' esté configurado para incluir 'Fallo' (puntuado). 405
17.5.2 (L1) Asegúrese de que 'Membresía del grupo de auditoría' esté configurado para incluir 'Éxito' (puntuado)
.................................................. .................................................. .................................................. ................ 407
17.5.3 (L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado) ............... 409
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure' (puntuado) .............. 411
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en 'Éxito y
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito' (puntuado) ....... 416
17.6 Acceso a objetos ............................................... .................................................. ....................................... 418
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir 'Fallo' (puntuado)
.................................................. .................................................. .................................................. ................ 418
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y fracaso' (puntuado) ... 420
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado en 'Éxito y
13 | Página
Página 15
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 424
17.7 Cambio de política ............................................... .................................................. ...................................... 427

17.7.1 (L1) Asegúrese de que 'Auditoría del cambio de política de auditoría' esté configurado para incluir 'Éxito' (puntuado)
.................................................. .................................................. .................................................. ................ 427
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 430
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 433
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de reglas de MPSSVC' esté configurado en 'Éxito y
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado para incluir 'Fallo'
(Anotado) ............................................... .................................................. .................................................. 439
17.8 Uso de privilegios ............................................... .................................................. ........................................ 441

17.8.1 (L1) Asegúrese de que 'Auditar uso de privilegios sensibles' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 441
17.9 Sistema ................................................ .................................................. .................................................. .. 444

17.9.1 (L1) Asegúrese de que 'Auditar controlador IPsec' esté configurado en 'Éxito y fracaso' (puntuado). 444
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 447
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 450
17.9.4 (L1) Asegúrese de que la 'Extensión del sistema de seguridad de auditoría' esté configurada para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 452
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y fracaso' (puntuado)
.................................................. .................................................. .................................................. ................ 454
18 Plantillas administrativas (computadora) ............................................ ................................................ 457
18.1 Panel de control ............................................... .................................................. ....................................... 457
18.1.1 Personalización .............................................. .................................................. ........................... 457

18.1.1.1 (L1) Asegúrese de que 'Evitar la habilitación de la cámara con pantalla de bloqueo' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 457
18.1.1.2 (L1) Asegúrese de que 'Evitar la activación de la presentación de diapositivas de la pantalla de bloqueo' esté configurado en 'Activado'
(Anotado) ............................................... .................................................. .................................................. 459
18.1.2 Opciones regionales y de idioma ........................................... .............................................. 461
14 | Página
Página 16
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar los servicios de reconocimiento de voz en línea' esté
establecido en 'Desactivado' (puntuado) .......................................... .................................................. .................... 461
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como 'Deshabilitado' (puntuado) .......................... 464
18.2 VUELTAS ................................................ .................................................. .................................................. ...... 466
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado (solo MS)
(Anotado) ............................................... .................................................. .................................................. 466
18.2.2 (L1) Asegúrese de que 'No permita que la contraseña caduque más de lo requerido
por política 'se establece en' Habilitado '(solo MS) (puntuado) .................................. ............................... 469
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté configurado como 'Habilitado'
(Solo MS) (puntuado) ........................................... .................................................. ................................ 472
18.2.4 (L1) Asegúrese de que 'Configuración de contraseña: Complejidad de contraseña' esté configurado como 'Habilitado:
Letras grandes + letras minúsculas + números + caracteres especiales '(solo MS) (puntuados)
.................................................. .................................................. .................................................. ................ 475
18.2.5 (L1) Asegúrese de que 'Configuración de contraseña: Longitud de contraseña' esté configurado en 'Habilitado: 15 o
más '(solo MS) (puntuado) ......................................... .................................................. ..................... 478
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté configurada como 'Habilitada:
30 o menos '(solo MS) (puntuado) ....................................... .................................................. ......... 480
18.3 Guía de seguridad de MS .............................................. .................................................. ............................... 482
18.3.1 (L1) Asegúrese de que 'Aplicar restricciones de UAC a las cuentas locales en los inicios de sesión de la red' esté
establecido en 'Habilitado' (solo MS) (puntuado) ...................................... .................................................. .... 482
18.3.2 (L1) Asegúrese de que 'Configurar controlador de cliente SMB v1' esté configurado en 'Habilitado: Deshabilitado
driver (recomendado) '(puntuado) .......................................... .................................................. .... 485
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado' (puntuado) ........... 488
18.3.4 (L1) Asegúrese de 'Habilitar protección de sobrescritura de manejo de excepciones estructurado

(SEHOP) 'está configurado como' Habilitado '(puntuado) ..................................... .................................................. 490
18.3.5 (L1) Garantizar la protección ampliada para la autenticación LDAP (dominio
Solo controladores) 'está configurado como' Habilitado: habilitado, siempre (recomendado) '(solo CC)
(Anotado) ............................................... .................................................. .................................................. 492
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-node
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled' (Scored) ............ 497
18.4 MSS (heredado) ............................................. .................................................. .......................................... 499
18.4.1 (L1) Asegúrese de 'MSS: (AutoAdminLogon) Habilite el inicio de sesión automático (no
recomendado) 'está configurado como' Desactivado '(puntuado) ...................................... ................................... 499
15 | Página
Página 17
18.4.2 (L1) Asegúrese de que 'MSS: (Desactivar IPSourceRouting IPv6) enrutamiento de origen IP
nivel de protección (protege contra la suplantación de paquetes) 'se establece en' Habilitado: más alto
protección, el enrutamiento de origen está completamente deshabilitado '(puntuado) ....................................... .. 501
18.4.3 (L1) Asegúrese de que 'MSS: (DisableIPSourceRouting) protección de enrutamiento de origen IP
level (protege contra la suplantación de paquetes) 'se establece en' Habilitado: la protección más alta,
el enrutamiento de origen está completamente deshabilitado '(puntuado) ......................................... ........................ 503
18.4.4 (L1) Asegúrese de que 'MSS: (EnableICMPRedirect) Permita que las redirecciones ICMP anulen
Rutas generadas por OSPF 'está configurado como' Desactivado '(puntuado) ..................................... .................... 505
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia se envían los paquetes de mantenimiento de vida
en milisegundos 'se establece en' Habilitado: 300.000 o 5 minutos (recomendado) '
(Anotado) ............................................... .................................................. .................................................. 507
18.4.6 (L1) Asegúrese de que 'MSS: (NoNameReleaseOnDemand) Permita que la computadora
ignorar las solicitudes de liberación de nombres NetBIOS excepto de los servidores WINS 'está configurado en
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP detecte y
configurar direcciones de puerta de enlace predeterminadas (podría conducir a DoS) 'está configurado como' Desactivado '
(Anotado) ............................................... .................................................. .................................................. 512
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite el modo de búsqueda segura de DLL
(recomendado) 'está configurado como' Habilitado '(puntuado) ..................................... ................................... 514
18.4.9 (L1) Asegúrese de 'MSS: (ScreenSaverGracePeriod) El tiempo en segundos antes
el período de gracia del protector de pantalla expira (se recomienda 0) 'se establece en' Habilitado: 5 o
menos segundos '(puntuados) ............................................ .................................................. .................... 517
18.4.10 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions IPv6) ¿Cuántas veces

los datos no reconocidos se retransmiten 'se establece en' Habilitado: 3 '(puntuado) ................... 519
18.4.11 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions) ¿Cuántas veces

los datos no reconocidos se retransmiten 'se establece en' Habilitado: 3 '(puntuado) ................... 521
18.4.12 (L1) Asegúrese de 'MSS: (WarningLevel) Umbral de porcentaje para la seguridad
registro de eventos en el que el sistema generará una advertencia 'se establece en' Habilitado: 90% o
menos '(puntuado) ............................................. .................................................. .......................................... 523
18.5 Red ................................................ .................................................. ................................................ 526

18.5.1 Servicio de transferencia inteligente en segundo plano (BITS) ........................................ ................ 526
18.5.2 BranchCache .............................................. .................................................. ................................ 526
18.5.3 Configuración de la experiencia del cliente de DirectAccess ........................................... ............................. 526

18.5.4 Cliente DNS ............................................. .................................................. ....................................... 527
16 | Página
Página 18
18.5.4.1 (L1) Asegúrese de que 'Desactivar la resolución de nombres de multidifusión' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 527
18.5.5 Fuentes .............................................. .................................................. ................................................ 530
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado como 'Deshabilitado' (puntuado) ............ 530
18.5.6 Autenticación de hotspot ............................................. .................................................. ........... 532
18.5.7 Servidor Lanman ............................................. .................................................. ............................. 532
18.5.8 Estación de trabajo Lanman ............................................. .................................................. ................ 533

18.5.8.1 (L1) Asegúrese de que 'Habilitar inicios de sesión de invitados no seguros' esté configurado en 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 533
18.5.9 Descubrimiento de topología de capa de enlace .......................................... ................................................ 535

18.5.9.1 (L2) Asegúrese de que 'Activar controlador Mapper I / O (LLTDIO)' esté configurado como 'Desactivado'
(Anotado) ............................................... .................................................. .................................................. 535
18.5.9.2 (L2) Asegúrese de que 'Activar controlador de respuesta (RSPNDR)' esté configurado en 'Desactivado'
(Anotado) ............................................... .................................................. .................................................. 538
18.5.10 Servicios de red punto a punto de Microsoft ....................................... ..................... 540
18.5.10.2 (L2) Asegúrese de que esté configurado 'Desactivar los servicios de red punto a punto de Microsoft'
18.5.11 Conexiones de red ............................................. .................................................. ............ 543
18.5.11.2 (L1) Asegúrese de 'Prohibir la instalación y configuración de Network Bridge
en su red de dominio DNS 'está configurado como' Habilitado '(puntuado) ................................... ........ 543
18.5.11.3 (L1) Asegúrese de 'Prohibir el uso de Conexión compartida a Internet en su DNS

red de dominio 'está configurado como' Habilitado '(puntuado) ...................................... ................................. 546
18.5.11.4 (L1) Asegúrese de 'Requerir que los usuarios de dominio se eleven al configurar una red
ubicación 'se establece en' Habilitado '(puntuado) ....................................... .................................................. 548
18.5.12 Indicador de estado de conectividad de red ........................................... ............................. 549
18.5.13 Aislamiento de red ............................................. .................................................. .................... 549

18.5.14 Proveedor de red ............................................. .................................................. .................... 550
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con "Requerir
Autenticación mutua "y" Requerir integridad "establecidos para todos los NETLOGON y SYSVOL
acciones '(puntuadas) ............................................. .................................................. .................................... 550
18.5.15 Archivos sin conexión ............................................. .................................................. ................................. 553
18.5.16 Programador de paquetes QoS ............................................ .................................................. .............. 553
18.5.17 SNMP .............................................. .................................................. ............................................. 553
17 | Página
Página 19
18.5.18 Parámetros de configuración SSL ............................................ .................................................. ... 553

18.5.19 Configuración de TCPIP ............................................. .................................................. ........................... 554
18.5.19.2.1 (L2) Deshabilitar IPv6 (asegúrese de que el parámetro TCPIP6 'DisabledComponents'

establecido en '0xff (255)') (puntuado) ...................................... .................................................. .................... 555
18.5.20 Windows Connect Now ............................................ .................................................. .......... 558

18.5.20.1 (L2) Asegúrese de 'Configuración de la configuración inalámbrica mediante Windows Connect
Ahora 'está configurado como' Desactivado '(puntuado) ....................................... .................................................. ...... 558
18.5.20.2 (L2) Asegúrese de que 'Prohibir el acceso de los asistentes de Windows Connect Now' esté
establecido en 'Habilitado' (puntuado) .......................................... .................................................. ...................... 561
18.5.21 Administrador de conexiones de Windows ............................................ ............................................ 563

18.5.21.1 (L1) Asegúrese de 'Minimizar el número de conexiones simultáneas al
Internet o un dominio de Windows 'está configurado en' Activado: 3 = Evitar Wi-Fi cuando está encendido
Ethernet '(puntuado) ............................................. .................................................. ............................... 563
18.5.21.2 (L2) Asegúrese de 'Prohibir la conexión a redes que no sean de dominio cuando
conectado a la red autenticada del dominio 'está configurado en' Habilitado '(solo MS)
(Anotado) ............................................... .................................................. .................................................. 566
18.6 Impresoras ................................................ .................................................. .................................................. 568

18.7 Menú de inicio y barra de tareas ............................................. .................................................. ................... 569
18.7.1 Notificaciones .............................................. .................................................. ................................. 569

18.7.1.1 (L2) Asegúrese de que 'Desactivar el uso de la red de notificaciones' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 569
18.8 Sistema ................................................ .................................................. .................................................. .. 571

18.8.1 Asistencia de acceso denegado ........................................... .................................................. ......... 571
18.8.2 Aplicación-V ............................................ .................................................. ................................................. 571

18.8.3 Creación del proceso de auditoría ............................................ .................................................. .............. 572
18.8.3.1 (L1) Asegúrese de que 'Incluir línea de comando en eventos de creación de proceso' esté configurado como
18.8.4 Delegación de credenciales ............................................. .................................................. ............. 574

18.8.4.1 (L1) Asegúrese de que 'Encryption Oracle Remediation' esté configurado en 'Enabled: Force
Clientes actualizados (puntuados) ............................................ .................................................. ................. 574
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de no exportables
credenciales 'está configurado como' Habilitado '(puntuado) ....................................... ............................................ 576
18.8.5 Protección del dispositivo ............................................. .................................................. ................................. 578
18 | Página
Página 20
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 578
18.8.5.2 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: seleccione la plataforma
Nivel de seguridad 'está configurado en' Arranque seguro y protección DMA '(puntuado) ........................ 580
18.8.5.3 (NG) Garantizar 'Activar la seguridad basada en virtualización: basada en virtualización
Protection of Code Integrity 'está configurado como' Habilitado con bloqueo UEFI '(puntuado) ............... 582
18.8.5.4 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Requiere UEFI
La tabla de atributos de memoria 'se establece en' Verdadero (marcado) '(puntuado) .................................. .... 584
18.8.5.5 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Credential Guard
La configuración 'se establece en' Habilitado con bloqueo UEFI '(solo MS) (puntuado) ...................... 586
18.8.5.6 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Credential Guard

Configuración 'se establece en' Desactivado '(solo DC) (puntuado) ................................... ................... 589
18.8.5.7 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: lanzamiento seguro
Configuración 'se establece en' Habilitado '(puntuado) ....................................... ...................................... 591
18.8.6 Servicio de atestación del estado del dispositivo ........................................... .......................................... 592
18.8.7 Instalación del dispositivo ............................................. .................................................. ...................... 593
18.8.8 Redirección de dispositivos ............................................. .................................................. ..................... 593
18.8.9 Caché NV de disco ............................................ .................................................. ................................ 593
18.8.10 Cuotas de disco ............................................. .................................................. ................................. 593

18.8.11 Pantalla .............................................. .................................................. .......................................... 594
18.8.12 COM distribuido ............................................. .................................................. ....................... 594

18.8.13 Instalación del controlador ............................................. .................................................. ................... 594
18.8.14 Antimalware de inicio temprano ............................................ .................................................. ... 595

18.8.14.1 (L1) Asegúrese de que la 'Política de inicialización del controlador de inicio de arranque' esté configurada en 'Habilitado:
Bueno, desconocido y malo pero crítico '(puntuado) ....................................... .............................. 595
18.8.15 Acceso de almacenamiento mejorado ............................................ .................................................. ...... 597

18.8.16 Infraestructura de clasificación de archivos ............................................ ......................................... 597
18.8.17 Agente de instantáneas de uso compartido de archivos .......................................... ............................................... 597

18.8.18 Proveedor de instantáneas de archivos compartidos .......................................... ......................................... 598
18.8.19 Sistema de archivos (anteriormente Sistema de archivos NTFS) ......................................... ............................. 598
18.8.20 Redirección de carpetas ............................................. .................................................. ................... 598
18.8.21 Política de grupo ............................................. .................................................. ............................... 599
19 | Página
Página 21
18.8.21.2 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: no aplicar durante

procesamiento en segundo plano periódico 'se establece en' Habilitado: FALSO '(puntuado) ...................... 599
18.8.21.3 (L1) Asegúrese de 'Configurar el procesamiento de políticas de registro: Procese incluso si

Los objetos de directiva de grupo no han cambiado 'se establece en' Habilitado: TRUE '(puntuado) ... 602
18.8.21.4 (L1) Asegúrese de que 'Continuar experiencias en este dispositivo' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 604
18.8.21.5 (L1) Asegúrese de que 'Desactivar la actualización en segundo plano de la directiva de grupo' esté configurado en
18.8.22 Gestión de comunicaciones de Internet ............................................ ............................ 608
18.8.22.1.1 (L1) Asegúrese de que esté configurado 'Desactivar la descarga de controladores de impresión a través de HTTP'
18.8.22.1.2 (L2) Asegúrese de que esté configurado 'Desactivar el intercambio de datos de personalización de escritura a mano'
18.8.22.1.3 (L2) Asegúrese de que esté configurado 'Desactivar el informe de errores de reconocimiento de escritura a mano'
18.8.22.1.4 (L2) Asegúrese de 'Desactivar el asistente de conexión a Internet si la conexión URL es
refiriéndose a Microsoft.com 'está configurado como' Habilitado '(puntuado) ................................... ............... 614
18.8.22.1.5 (L1) Asegúrese de 'Desactivar la descarga de Internet para la publicación web y
asistentes de pedidos en línea 'está configurado en' Habilitado '(puntuado) ..................................... .................. 616
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado en 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 618
18.8.22.1.7 (L2) Asegúrese de 'Desactivar registro si la conexión URL se refiere a
Microsoft.com 'está configurado como' Habilitado '(puntuado) ..................................... ....................................... 620
18.8.22.1.8 (L2) Asegúrese de que 'Desactivar las actualizaciones del archivo de contenido de Search Companion' esté configurado en
18.8.22.1.9 (L2) Asegúrese de que 'Desactivar la tarea de imagen "Solicitar impresiones" esté configurado en
18.8.22.1.10 (L2) Asegúrese de 'Desactivar la tarea "Publicar en la Web" para archivos y carpetas'
está configurado en 'Habilitado' (puntuado) ......................................... .................................................. .................. 626
18.8.22.1.11 (L2) Asegúrese de 'Desactivar la experiencia del cliente de Windows Messenger

Programa de mejora 'está configurado como' Habilitado '(puntuado) ...................................... ................... 628
18.8.22.1.12 (L2) Asegúrese de 'Desactivar la mejora de la experiencia del cliente de Windows
Programa 'está configurado en' Habilitado '(puntuado) ....................................... ................................................. 630
20 | Página
Página 22
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado como 'Activado'
(Anotado) ............................................... .................................................. .................................................. 632
18.8.23 iSCSI .............................................. .................................................. ............................................... 634

18.8.24 KDC .............................................. .................................................. ................................................ 634
18.8.25 Kerberos .............................................. .................................................. ...................................... 635

18.8.25.1 (L2) Asegúrese de que 'Admitir autenticación de dispositivo mediante certificado' esté configurado en
'Habilitado: Automático' (puntuado) .......................................... .................................................. .......... 635
18.8.26 Protección DMA del núcleo ............................................ .................................................. .......... 637

18.8.26.1 (L1) Asegúrese de que la política de enumeración de dispositivos externos no sea compatible con
Kernel DMA Protection 'está configurado en' Enabled: Block All '(puntuado) .................................. .. 637
18.8.27 Servicios locales ............................................. .................................................. .......................... 639
18.8.27.1 (L2) Asegúrese de 'No permitir la copia de métodos de entrada de usuario en el sistema
cuenta para inicio de sesión 'está configurada como' Habilitada '(puntuada) ................................... ................................ 639
18.8.28 Inicio de sesión .............................................. .................................................. ............................................ 641
18.8.28.1 (L1) Asegúrese de que 'Bloquear al usuario para que no muestre detalles de la cuenta al iniciar sesión' esté configurado
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado como 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 643
18.8.28.3 (L1) Asegúrese de 'No enumerar usuarios conectados en dominios unidos
computadoras 'está configurado en' Habilitado '(puntuado) ....................................... ............................................. 645
18.8.28.4 (L1) Asegúrese de que esté configurado 'Enumerar usuarios locales en equipos unidos a un dominio'
a 'Deshabilitado' (solo MS) (puntuado) ....................................... .................................................. ......... 647
18.8.28.5 (L1) Asegúrese de que 'Desactivar notificaciones de aplicaciones en la pantalla de bloqueo' esté configurado en
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 651
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 653
18.8.29 Opciones de mitigación ............................................. .................................................. ................... 655

18.8.30 Inicio de sesión neto ............................................. .................................................. ..................................... 655
18.8.31 Políticas del sistema operativo ............................................. .................................................. ................................... 656

18.8.31.1 (L2) Asegúrese de que 'Permitir sincronización del portapapeles entre dispositivos' esté configurado en
21 | Página
Página 23
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado como 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 658
18.8.32 Panel de control de rendimiento ............................................ .................................................. .. 659
18.8.33 Complejidad del PIN ............................................. .................................................. ......................... 659
18.8.34 Administración de energía ............................................. .................................................. ................ 660

18.8.34.6.1 (L2) Asegúrese de 'Permitir la conectividad de red durante el modo de espera conectado
(con batería) 'está configurado como' Desactivado '(puntuado) .................................... ........................................... 662
18.8.34.6.2 (L2) Asegúrese de 'Permitir la conectividad de red durante el modo de espera conectado
(enchufado) 'está configurado como' Desactivado '(puntuado) .................................... ........................................... 664
18.8.34.6.3 (L1) Asegúrese de que 'Requerir una contraseña cuando se active una computadora (en
batería) 'está configurado en' Habilitado '(puntuado) ...................................... .................................................. .666
18.8.34.6.4 (L1) Asegúrese de que 'Requerir una contraseña cuando se active una computadora (enchufado
in) 'se establece en' Habilitado '(puntuado) ...................................... .................................................. ............. 668
18.8.35 Recuperación .............................................. .................................................. ...................................... 669

18.8.36 Asistencia remota ............................................. .................................................. ................... 670
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 670
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 672
18.8.37 Llamada a procedimiento remoto ............................................ .................................................. ........... 674
18.8.37.1 (L1) Asegúrese de que esté configurado 'Habilitar autenticación de cliente RPC Endpoint Mapper'
a 'Habilitado' (solo MS) (puntuado) ....................................... .................................................. .......... 674
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado como 'Habilitado:
Autenticado '(solo MS) (puntuado) ......................................... .................................................. .. 676
18.8.38 Acceso a almacenamiento extraíble ............................................ .................................................. ... 678
18.8.39 Scripts .............................................. .................................................. ........................................... 678

18.8.40 Administrador del servidor ............................................. .................................................. ......................... 678
18.8.41 Configuración del administrador de control de servicios ........................................... ........................................ 679

18.8.42 Apagado .............................................. .................................................. .................................... 679
18.8.43 Opciones de apagado ............................................. .................................................. ................... 679
18.8.44 Estado de almacenamiento ............................................. .................................................. ........................... 679
18.8.45 Sentido de almacenamiento ............................................. .................................................. ............................. 680

18.8.46 Restaurar sistema ............................................. .................................................. .......................... 680
22 | Página
Página 24
18.8.47 Diagnóstico y resolución de problemas ............................................ ....................................... 681

18.8.47.5.1 (L2) Asegúrese de que 'Herramienta de diagnóstico de soporte de Microsoft: active MSDT
comunicación interactiva con el proveedor de soporte 'está configurado como' Desactivado '(puntuado) 682
18.8.47.11.1 (L2) Asegúrese de que 'Habilitar / deshabilitar PerfTrack' esté configurado en 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 686
18.8.48 Servicios del módulo de plataforma segura ........................................... ...................................... 688

18.8.49 Perfiles de usuario ............................................. .................................................. ............................... 689
18.8.49.1 (L2) Asegúrese de que 'Desactivar el ID de publicidad' esté configurado en 'Habilitado' (puntuado). 689
18.8.50 Protección de archivos de Windows ............................................ .................................................. ....... 691
18.8.51 Inicio en caliente de Windows ............................................. .................................................. ................... 691
18.8.52 Servicio de hora de Windows ............................................ .................................................. ........... 692
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado como 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 692
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado como 'Deshabilitado' (MS
18.9 Componentes de Windows ............................................... .................................................. .................... 696
18.9.1 Servicios de federación de Active Directory ........................................... ................................... 696

18.9.2 Servicio de instalación de ActiveX ............................................ .................................................. ........... 696
18.9.3 Agregar funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime Upgrade)

.................................................. .................................................. .................................................. ..................... 696
18.9.4 Implementación del paquete de aplicaciones ............................................ .................................................. ........ 697
18.9.4.1 (L2) Asegúrese de 'Permitir que una aplicación de Windows comparta datos de aplicaciones entre
usuarios 'está configurado como' Deshabilitado '(puntuado) ....................................... .................................................. ..... 697
18.9.5 Privacidad de la aplicación ............................................. .................................................. .................................... 699
18.9.6 Tiempo de ejecución de la aplicación ............................................. .................................................. .................................. 700

18.9.6.1 (L1) Asegúrese de que 'Permitir que las cuentas de Microsoft sean opcionales' esté configurado como 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 700
18.9.7 Compatibilidad de aplicaciones ............................................. .................................................. ....... 702
18.9.8 Políticas de reproducción automática ............................................. .................................................. ......................... 703

18.9.8.1 (L1) Asegúrese de que 'No permitir reproducción automática para dispositivos sin volumen' esté configurado en
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en 'Habilitado: Hacer
no ejecutar ningún comando de ejecución automática '(puntuado) ......................................... ............................ 705
23 | Página
Página 25
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las unidades' (puntuado) 707
18.9.9 Copia de seguridad .............................................. .................................................. ............................................. 709
18.9.10 Biometría .............................................. .................................................. .................................. 710
18.9.10.1.1 (L1) Asegúrese de que 'Configurar anti-spoofing mejorado' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 710
18.9.11 Cifrado de unidad BitLocker ............................................ .................................................. .712
18.9.12 Cámara .............................................. .................................................. ......................................... 713

18.9.12.1 (L2) Asegúrese de que 'Permitir el uso de la cámara' esté configurado en 'Deshabilitado' (puntuado) ... 713
18.9.13 Contenido en la nube ............................................. .................................................. ............................ 715

18.9.13.1 (L1) Asegúrese de que 'Desactivar las experiencias del consumidor de Microsoft' esté configurado en
18.9.14 Conectar .............................................. .................................................. ........................................ 717

18.9.14.1 (L1) Asegúrese de que 'Requerir pin para emparejamiento' esté configurado en 'Habilitado: Primera vez' O
'Habilitado: Siempre' (puntuado) .......................................... .................................................. ................ 717
18.9.15 Interfaz de usuario de credenciales ............................................ .................................................. ...... 719

18.9.15.1 (L1) Asegúrese de que 'No mostrar el botón de revelación de contraseña' esté configurado en
18.9.15.2 (L1) Asegúrese de que 'Enumerar cuentas de administrador en elevación' esté configurado en
18.9.16 Recopilación de datos y versiones preliminares .......................................... ..................................... 723
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad [Enterprise
Sólo] 'o' Habilitado: 1 - Básico '(puntuado) .................................... .................................................. 723
18.9.16.2 (L2) Asegúrese de 'Configurar el uso del proxy autenticado para el

El servicio de experiencia del usuario y telemetría 'está configurado en' Habilitado: deshabilitar autenticado
Uso de proxy '(puntuado) ............................................ .................................................. ......................... 726
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 728
18.9.16.4 (L1) Asegúrese de que 'Alternar el control del usuario sobre las compilaciones de Insider' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 730
18.9.17 Optimización de la entrega ............................................. .................................................. ............ 732

18.9.18 Gadgets de escritorio ............................................. .................................................. ....................... 732
18.9.19 Administrador de ventanas de escritorio ............................................ .................................................. ... 732
18.9.20 Compatibilidad de controladores y dispositivos ........................................... .......................................... 732
24 | Página
Página 26
18.9.21 Registro de dispositivo (anteriormente Workplace Join) ........................................ ............... 733

18.9.22 Casillero digital ............................................. .................................................. ............................. 733
18.9.23 Interfaz de usuario de Edge ............................................. .................................................. .......................................... 733

18.9.24 EMET .............................................. .................................................. ............................................. 734
18.9.25 Reenvío de eventos ............................................. .................................................. .................... 734

18.9.26 Servicio de registro de eventos ............................................ .................................................. ...................... 735
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando el archivo de registro
alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado) .................................... ............... 735
18.9.26.1.2 (L1) Asegúrese de que 'Aplicación: especificar el tamaño máximo del archivo de registro (KB)' esté configurado
a 'Habilitado: 32,768 o mayor' (puntuado) ....................................... .......................................... 738
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando el archivo de registro
18.9.26.2.2 (L1) Asegúrese de que 'Seguridad: especifique el tamaño máximo del archivo de registro (KB)' esté configurado en
'Habilitado: 196,608 o más' (puntuado) ........................................ ............................................ 743
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando el archivo de registro
18.9.26.3.2 (L1) Asegúrese de que 'Configuración: especificar el tamaño máximo del archivo de registro (KB)' esté establecido en
'Habilitado: 32,768 o más' (puntuado) ........................................ ............................................... 748
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando el archivo de registro
18.9.26.4.2 (L1) Asegúrese de que 'Sistema: especificar el tamaño máximo del archivo de registro (KB)' esté configurado en
'Habilitado: 32,768 o más' (puntuado) ........................................ ............................................... 752
18.9.27 Registro de eventos ............................................. .................................................. ............................ 754
18.9.28 Visor de eventos ............................................. .................................................. .............................. 754

18.9.29 Seguridad familiar (antes controles parentales) ........................................ ....................... 754
18.9.30 Explorador de archivos (anteriormente Explorador de Windows) ........................................ ..................... 755

18.9.30.2 (L1) Asegúrese de que 'Desactivar la prevención de ejecución de datos para Explorer' esté configurado en
18.9.30.3 (L1) Asegúrese de que 'Desactivar la terminación del montón en caso de corrupción' esté configurado en
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 760
18.9.31 Historial de archivos ............................................. .................................................. .................................. 761
25 | Página
Página 27
18.9.32 Buscar mi dispositivo ............................................ .................................................. ........................... 762

18.9.33 Explorador de juegos ............................................. .................................................. ........................... 762
18.9.34 Escritura a mano .............................................. .................................................. ............................... 762
18.9.35 Grupo Hogar .............................................. .................................................. ................................ 762
18.9.36 Importar video ............................................. .................................................. .............................. 763

18.9.37 Internet Explorer ............................................. .................................................. ..................... 763
18.9.38 Servicios de información de Internet ............................................ .............................................. 763

18.9.39 Ubicación y sensores ............................................ .................................................. .............. 764
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado en 'Habilitado' (puntuado) ...................... 764
18.9.40 Programador de mantenimiento ............................................. .................................................. ......... 766
18.9.41 Mapas .............................................. .................................................. .............................................. 766

18.9.42 MDM .............................................. .................................................. .............................................. 766
18.9.43 Mensajería .............................................. .................................................. ................................... 767

18.9.43.1 (L2) Asegúrese de que 'Permitir sincronización en la nube del servicio de mensajes' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 767
18.9.44 Cuenta de Microsoft ............................................. .................................................. .................... 769

18.9.44.1 (L1) Asegúrese de 'Bloquear toda la autenticación de usuario de la cuenta de Microsoft del consumidor'
está configurado en 'Habilitado' (puntuado) ......................................... .................................................. .................. 769
18.9.45 Microsoft Edge ............................................. .................................................. ........................... 771
18.9.46 Autenticación FIDO de Microsoft ............................................ ............................................ 771
18.9.47 Factor de autenticación secundario de Microsoft ........................................... ................... 771

18.9.48 Virtualización de la experiencia del usuario de Microsoft ........................................... ........................ 771
18.9.49 NetMeeting .............................................. .................................................. ................................. 772

18.9.50 Protección de acceso a la red ............................................ .................................................. .. 772
18.9.51 Proyector de red ............................................. .................................................. ................... 772

18.9.52 OneDrive (anteriormente SkyDrive) .......................................... ............................................... 773
18.9.52.1 (L1) Asegúrese de que 'Evitar el uso de OneDrive para el almacenamiento de archivos' esté configurado en
18.9.53 Asistencia en línea ............................................. .................................................. ..................... 775

18.9.54 OOBE .............................................. .................................................. ............................................. 775
18.9.55 Sincronización de contraseña ............................................. .................................................. .. 776
26 | Página
Página 28
18.9.56 Sistema operativo portátil ............................................ .................................................. .. 776

18.9.57 Configuración de presentación ............................................. .................................................. ............. 776
18.9.58 Empujar para instalar ............................................ .................................................. ............................ 776
18.9.59 Servicios de escritorio remoto (anteriormente Terminal Services) .................................... 777

18.9.59.2.2 (L1) Asegúrese de que 'No permitir que se guarden contraseñas' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 778
18.9.59.3.2.1 (L2) Asegúrese de 'Restringir los usuarios de Servicios de escritorio remoto a un solo
La sesión de Servicios de escritorio remoto 'está configurada como' Habilitada '(puntuada) .................................... 781
18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir la redirección del puerto COM' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 783
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado como 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 785
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir la redirección del puerto LPT' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 787
18.9.59.3.3.4 (L2) Asegúrese de que 'No permitir dispositivos Plug and Play compatibles
redirección 'se establece en' Habilitado '(puntuado) ....................................... ............................................ 789
18.9.59.3.9.1 (L1) Asegúrese de que 'Solicitar siempre la contraseña al conectarse' esté configurado en
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 795
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para control remoto (RDP)
conexiones 'está configurado en' Habilitado: SSL '(puntuado) ..................................... .................................. 797
18.9.59.3.9.4 (L1) Asegúrese de 'Requerir autenticación de usuario para conexiones remotas
usando autenticación de nivel de red 'está configurado en' Habilitado '(puntuado) .............................. 799
18.9.59.3.9.5 (L1) Asegúrese de que 'Establecer el nivel de cifrado de la conexión del cliente' esté establecido en
'Habilitado: Nivel alto' (puntuado) ......................................... .................................................. .......... 801
18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para escritorio remoto activo pero inactivo
Sesiones de servicios 'está configurado en' Habilitado: 15 minutos o menos '(puntuado) ............................ 803
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté configurado en
'Habilitado: 1 minuto' (puntuado) ......................................... .................................................. .............. 806
18.9.59.3.11.1 (L1) Asegúrese de que 'No eliminar carpetas temporales al salir' esté configurado en
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté configurado en
27 | Página
Página 29
18.9.60 Fuentes RSS ............................................. .................................................. ..................................... 812

18.9.60.1 (L1) Asegúrese de que 'Evitar la descarga de gabinetes' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 812
18.9.61 Buscar .............................................. .................................................. ........................................... 814
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Habilitado: deshabilitar
Buscar '(puntuado) ............................................. .................................................. .................................... 814
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 816
18.9.62 Centro de seguridad ............................................. .................................................. .......................... 818
18.9.63 Servidor para NIS ............................................ .................................................. .............................. 818
18.9.64 Opciones de apagado ............................................. .................................................. ................... 818
18.9.65 Tarjeta inteligente ............................................. .................................................. ................................... 818

18.9.66 Plataforma de protección de software ............................................ ............................................... 819
18.9.66.1 (L2) Asegúrese de que 'Desactivar la validación de AVS en línea del cliente KMS' esté configurado en
18.9.67 Grabador de sonido ............................................. .................................................. ........................ 820
18.9.68 Habla .............................................. .................................................. ........................................... 821

18.9.69 Tienda .............................................. .................................................. .............................................. 821
18.9.70 Sincronizar su configuración ............................................ .................................................. ..................... 821

18.9.71 Tablet PC ............................................. .................................................. ...................................... 821
18.9.72 Programador de tareas ............................................. .................................................. .......................... 822
18.9.73 Entrada de texto ............................................. .................................................. .................................... 822

18.9.74 Calendario de Windows ............................................. .................................................. .................. 822
18.9.75 Sistema de color de Windows ............................................ .................................................. .......... 822
18.9.76 Programa de mejora de la experiencia del cliente de Windows .................................... 822
18.9.77 Antivirus de Windows Defender (anteriormente Windows Defender) .......................... 823

18.9.77.3.1 (L1) Asegúrese de 'Configurar anulación de configuración local para informar a
Microsoft MAPS 'está configurado como' Deshabilitado '(puntuado) ...................................... ................................. 824
18.9.77.3.2 (L2) Asegúrese de que 'Unirse a Microsoft MAPS' esté configurado como 'Deshabilitado' (puntuado) .......... 826
18.9.77.7.1 (L1) Asegúrese de que 'Activar monitoreo de comportamiento' esté configurado en 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 829
18.9.77.9.1 (L2) Asegúrese de que 'Configurar eventos Watson' esté establecido en 'Desactivado' (puntuado) 832
28 | Página
Página 30
18.9.77.10.1 (L1) Asegúrese de que 'Analizar unidades extraíbles' esté configurado en 'Activado' (puntuado) ... 834
18.9.77.10.2 (L1) Asegúrese de que 'Activar el escaneo de correo electrónico' esté configurado en 'Habilitado' (puntuado) 836
18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté establecido en
18.9.77.13.1.2 (L1) Asegúrese de 'Configurar reglas de reducción de superficie de ataque: establezca el estado
para cada regla ASR 'está' configurada '(puntuada) ...................................... ....................................... 841
18.9.77.13.3.1 (L1) Asegúrese de 'Evitar que los usuarios y las aplicaciones accedan
sitios web 'está configurado en' Habilitado: Bloquear '(puntuado) ..................................... .................................... 845
18.9.77.14 (L1) Asegúrese de que 'Configure la detección para aplicaciones potencialmente no deseadas
aplicaciones 'está configurado en' Habilitado: Bloquear '(puntuado) ..................................... ............................. 847
18.9.77.15 (L1) Asegúrese de que 'Desactivar el antivirus de Windows Defender' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 849
18.9.78 Protección de aplicaciones de Windows Defender ........................................... .............................. 851
18.9.79 Windows Defender Exploit Guard ........................................... ....................................... 851

18.9.80 SmartScreen de Windows Defender ............................................ ........................................ 852
18.9.80.1.1 (L1) Asegúrese de que 'Configurar SmartScreen de Windows Defender' esté establecido en
'Habilitado: advertir y evitar bypass' (puntuado) ....................................... .............................. 852
18.9.81 Informe de errores de Windows ............................................ .................................................. .... 855

18.9.82 Grabación y transmisión de juegos de Windows .......................................... ................. 855
18.9.83 Windows Hello para empresas (anteriormente Microsoft Passport for Work) ... 855
18.9.84 Espacio de trabajo de Windows Ink ............................................ .................................................. ...... 856

18.9.84.1 (L2) Asegúrese de que 'Permitir aplicaciones sugeridas en Windows Ink Workspace' esté configurado en
18.9.84.2 (L1) Asegúrese de que 'Permitir el espacio de trabajo de Windows Ink' esté configurado en 'Habilitado: Activado, pero
no permitir el acceso por encima de la cerradura 'O' Desactivado 'pero no' Activado: Activado '(puntuado) ... 858
18.9.85 Instalador de Windows ............................................. .................................................. ................... 860

18.9.85.1 (L1) Asegúrese de que 'Permitir el control del usuario sobre las instalaciones' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 860
18.9.85.2 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 863
18.9.85.3 (L2) Asegúrese de que 'Prevenir el mensaje de seguridad de Internet Explorer para Windows
Los scripts del instalador 'está configurado como' Desactivado '(puntuado) ...................................... .................................. 865
18.9.86 Opciones de inicio de sesión de Windows ............................................ .................................................. ....... 867
29 | Página
Página 31
18.9.86.1 (L1) Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo automáticamente después de una
reiniciar 'está configurado como' Desactivado '(puntuado) ....................................... .................................................. .. 867
18.9.87 Correo de Windows ............................................. .................................................. ............................ 869

18.9.88 Windows Media Center ............................................ .................................................. .......... 869
18.9.89 Administración de derechos digitales de Windows Media .......................................... ................... 869

18.9.90 Reproductor de Windows Media ............................................ .................................................. .......... 870
18.9.91 Espacio para reuniones de Windows ............................................ .................................................. ........ 870

18.9.92 Windows Messenger ............................................. .................................................. .............. 870
18.9.93 Centro de movilidad de Windows ............................................ .................................................. ..... 870
18.9.94 Windows Movie Maker ............................................ .................................................. ........... 871
18.9.95 Windows PowerShell ............................................. .................................................. ............. 872
18.9.95.1 (L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté configurado en
18.9.95.2 (L1) Asegúrese de que 'Activar la transcripción de PowerShell' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 874
18.9.96 Análisis de confiabilidad de Windows ............................................ ................................................ 875
18.9.97 Administración remota de Windows (WinRM) ......................................... ......................... 876

18.9.97.1.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado en 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 876
18.9.97.1.2 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 879
18.9.97.1.3 (L1) Asegúrese de que 'No permitir autenticación implícita' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 881
18.9.97.2.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado en 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 883
18.9.97.2.2 (L2) Asegúrese de que 'Permitir la administración remota del servidor a través de WinRM' esté configurado
a 'Deshabilitado' (puntuado) ........................................... .................................................. ........................... 885
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 887
18.9.97.2.4 (L1) Asegúrese de que 'No permitir que WinRM almacene credenciales RunAs' esté configurado en
18.9.98 Shell remoto de Windows ............................................ .................................................. .......... 891
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado en 'Deshabilitado' (puntuado) 891
30 | Página
Página 32
18.9.99 Seguridad de Windows (anteriormente Centro de seguridad de Windows Defender) ............... 894
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 895
18.9.100 SideShow de Windows ............................................. .................................................. .............. 897
18.9.101 Administrador de recursos del sistema de Windows ........................................... .............................. 897

18.9.102 Actualización de Windows ............................................. .................................................. ................... 898
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado en 'Activado: Desactivado
Vista previa de compilaciones '(puntuadas) ............................................ .................................................. ................... 898
18.9.102.1.2 (L1) Asegúrese de que 'Seleccionar cuando las compilaciones de vista previa y las actualizaciones de funciones estén
recibido 'se establece en' Habilitado: canal semianual, 180 días o más '(puntuado) 901
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté configurado en
'Habilitado: 0 días' (puntuado) ......................................... .................................................. ................... 904
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado como 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 906
18.9.102.3 (L1) Asegúrese de que 'Configurar actualizaciones automáticas: día de instalación programada' esté configurado
a '0 - Todos los días' (puntuado) ........................................ .................................................. .................... 909
18.9.102.4 (L1) Asegúrese de que 'No se reinicie automáticamente con usuarios conectados para
instalaciones de actualizaciones automáticas 'está configurado como' Desactivado '(puntuado) ..................................... .911
19 Plantillas administrativas (usuario) ............................................ .................................................. .......... 914

19.1 Panel de control ............................................... .................................................. ....................................... 914
19.1.1 Agregar o quitar programas ........................................... .................................................. ......... 914

19.1.2 Pantalla .............................................. .................................................. ............................................ 914
19.1.3 Personalización (anteriormente, Temas de escritorio) ......................................... ...................... 915
19.1.3.1 (L1) Asegúrese de que 'Activar protector de pantalla' esté configurado como 'Activado' (puntuado) .................. 915
19.1.3.2 (L1) Asegúrese de 'Forzar protector de pantalla específico: nombre del ejecutable del protector de pantalla'
está configurado en 'Habilitado: scrnsave.scr' (puntuado) ..................................... ........................................... 917
19.1.3.3 (L1) Asegúrese de que 'Proteger con contraseña el protector de pantalla' esté configurado en 'Activado'
(Anotado) ............................................... .................................................. .................................................. 919
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Activado: 900 segundos o
menos, pero no 0 '(puntuado) ......................................... .................................................. .................... 921
19.2 Escritorio ................................................ .................................................. .................................................. 923
19.3 Red ................................................ .................................................. ................................................ 923
19.4 Carpetas compartidas ............................................... .................................................. .................................... 923
31 | Página
Página 33
19.5 Menú de inicio y barra de tareas ............................................. .................................................. ................... 924

19.5.1 Notificaciones .............................................. .................................................. ................................. 924
19.5.1.1 (L1) Asegúrese de que 'Desactivar notificaciones de tostadas en la pantalla de bloqueo' esté configurado en
19.6 Sistema ................................................ .................................................. .................................................. .. 926

19.6.1 Opciones de Ctrl + Alt + Supr ......................................... .................................................. ..................... 926
19.6.2 Pantalla .............................................. .................................................. ............................................ 926

19.6.3 Instalación del controlador ............................................. .................................................. ...................... 926
19.6.4 Redirección de carpetas ............................................. .................................................. ..................... 926
19.6.5 Política de grupo ............................................. .................................................. .................................. 927
19.6.6 Gestión de las comunicaciones de Internet ............................................ ............................... 928
19.6.6.1.1 (L2) Asegúrese de que 'Desactivar el programa de mejora de la experiencia de ayuda' esté configurado en
19.7 Componentes de Windows ............................................... .................................................. .................... 930

19.7.1 Agregar funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime Upgrade)
.................................................. .................................................. .................................................. ..................... 930
19.7.2 Tiempo de ejecución de la aplicación ............................................. .................................................. .................................. 930
19.7.3 Compatibilidad de aplicaciones ............................................. .................................................. ....... 930

19.7.4 Administrador de archivos adjuntos ............................................. .................................................. ................. 931
19.7.4.1 (L1) Asegúrese de que 'No conservar información de zona en archivos adjuntos' esté configurado
a 'Deshabilitado' (puntuado) ........................................... .................................................. ........................... 931
19.7.4.2 (L1) Asegúrese de que esté configurado 'Notificar a los programas antivirus cuando abran archivos adjuntos'
19.7.5 Políticas de reproducción automática ............................................. .................................................. ......................... 935
19.7.6 Copia de seguridad .............................................. .................................................. ............................................. 935
19.7.7 Contenido en la nube ............................................. .................................................. ............................... 936

19.7.7.1 (L1) Asegúrese de que 'Configurar el reflector de Windows en la pantalla de bloqueo' esté configurado en
Discapacitado '(puntuado) ............................................. .................................................. ............................... 936
19.7.7.2 (L1) Asegúrese de que 'No sugerir contenido de terceros en Windows Spotlight' esté
establecido en 'Habilitado' (puntuado) .......................................... .................................................. ...................... 938
19.7.7.3 (L2) Asegúrese de que 'No usar datos de diagnóstico para experiencias personalizadas' esté configurado en
32 | Página
Página 34
19.7.7.4 (L2) Asegúrese de que 'Desactivar todas las funciones del reflector de Windows' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 942
19.7.8 Interfaz de usuario de credenciales ............................................ .................................................. ......... 944

19.7.9 Recopilación de datos y compilaciones de vista previa .......................................... ........................................ 944
19.7.10 Gadgets de escritorio ............................................. .................................................. ....................... 944

19.7.11 Administrador de ventanas de escritorio ............................................ .................................................. ... 944
19.7.12 Casillero digital ............................................. .................................................. ............................. 945

19.7.13 Interfaz de usuario de Edge ............................................. .................................................. .......................................... 945

19.7.14 Explorador de archivos (anteriormente Explorador de Windows) ........................................ ..................... 945
19.7.15 Revocación de archivos ............................................. .................................................. .......................... 945
19.7.16 IME .............................................. .................................................. ................................................. 946

19.7.17 Importar video ............................................. .................................................. .............................. 946
19.7.18 Búsqueda instantánea ............................................. .................................................. ............................ 946
19.7.19 Internet Explorer ............................................. .................................................. ..................... 946

19.7.20 Ubicación y sensores ............................................ .................................................. .............. 946
19.7.21 Microsoft Edge ............................................. .................................................. ........................... 947
19.7.22 Microsoft Management Console ............................................ .......................................... 947
19.7.23 Virtualización de la experiencia del usuario de Microsoft ........................................... ........................ 947
19.7.24 NetMeeting .............................................. .................................................. ................................. 947
19.7.25 Proyector de red ............................................. .................................................. ................... 947

19.7.26 Compartir red ............................................. .................................................. ...................... 948
19.7.26.1 (L1) Asegúrese de 'Evitar que los usuarios compartan archivos dentro de su perfil'. Está establecido
19.7.27 OOBE .............................................. .................................................. ............................................. 950
19.7.28 Configuración de presentación ............................................. .................................................. ............. 950

19.7.29 Servicios de escritorio remoto (anteriormente Terminal Services) .................................... 950
19.7.30 Fuentes RSS ............................................. .................................................. ..................................... 950

19.7.31 Buscar .............................................. .................................................. ........................................... 951
19.7.32 Grabador de sonido ............................................. .................................................. ........................ 951
19.7.33 Tienda .............................................. .................................................. .............................................. 951

19.7.34 Tablet PC ............................................. .................................................. ...................................... 951
33 | Página
Página 35
19.7.35 Programador de tareas ............................................. .................................................. .......................... 952

19.7.36 Calendario de Windows ............................................. .................................................. .................. 952
19.7.37 Sistema de color de Windows ............................................ .................................................. .......... 952

19.7.38 SmartScreen de Windows Defender ............................................ ........................................ 952
19.7.39 Informe de errores de Windows ............................................ .................................................. .... 953
19.7.40 Windows Hello para empresas (anteriormente Microsoft Passport for Work) ... 953
19.7.41 Instalador de Windows ............................................. .................................................. ................... 954

19.7.41.1 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 954
19.7.42 Opciones de inicio de sesión de Windows ............................................ .................................................. ....... 956
19.7.43 Correo de Windows ............................................. .................................................. ............................ 956
19.7.44 Windows Media Center ............................................ .................................................. .......... 956
19.7.45 Reproductor de Windows Media ............................................ .................................................. .......... 957
19.7.45.2.1 (L2) Asegúrese de que 'Prevenir descarga de códec' esté configurado en 'Habilitado' (puntuado). 958
Apéndice: Cuadro resumen .............................................. .................................................. ................................. 960
Apéndice: Historial de cambios .............................................. .................................................. .................................. 991
34 | Página
Página 36
Visión general
Este documento proporciona una guía prescriptiva para establecer una configuración segura
postura para Microsoft Windows Server. Para obtener la última versión de esta guía,
visite https://www.cisecurity.org/cis-benchmarks/ . Si tiene preguntas, comentarios o
ha identificado formas de mejorar esta guía, escríbanos a [email protected] .
Público objetivo
Los puntos de referencia de Windows CIS están escritos para sistemas unidos a un dominio de Active Directory
utilizando la directiva de grupo, no los sistemas independientes o de grupo de trabajo. Ajustes / adaptación a algunos
Se necesitarán recomendaciones para mantener la funcionalidad si se intenta implementar CIS
endurecimiento en sistemas independientes o un sistema que se ejecuta en la nube.
Orientación por consenso

Este punto de referencia se creó mediante un proceso de revisión de consenso compuesto por
expertos en la materia. Los participantes del consenso brindan una perspectiva desde un conjunto diverso de
antecedentes que incluyen consultoría, desarrollo de software, auditoría y cumplimiento, seguridad
investigación, operaciones, gobierno y legal.
Cada parámetro de CIS se somete a dos fases de revisión de consenso. La primera fase ocurre
durante el desarrollo inicial del punto de referencia. Durante esta fase, los expertos en la materia se reúnen
para discutir, crear y probar borradores de trabajo del punto de referencia. Esta discusión ocurre hasta
Se ha llegado a un consenso sobre las recomendaciones de referencia. Comienza la segunda fase
después de que se haya publicado el índice de referencia. Durante esta fase, toda la retroalimentación proporcionada por el
La comunidad de Internet es revisada por el equipo de consenso para su incorporación en el
punto de referencia. Si está interesado en participar en el proceso de consenso, visite
https://workbench.cisecurity.org/ .
35 | Página
Página 37
Convenciones tipográficas
Las siguientes convenciones tipográficas se utilizan en esta guía:
Convención Sentido
Fuente estilizada Monospace Se utiliza para bloques de código, comandos y ejemplos de secuencias de comandos.
El texto debe interpretarse exactamente como se presenta.
Fuente monospace Se utiliza para códigos, comandos o ejemplos en línea. El texto debe
ser interpretado exactamente como se presenta.
<fuente en cursiva entre paréntesis> Los textos en cursiva entre paréntesis angulares denotan una variable
requiriendo sustitución por un valor real.
Fuente cursiva Se usa para denotar el título de un libro, artículo u otro

publicación.
Nota Información adicional o advertencias
Información de puntuación
Un estado de puntuación indica si el cumplimiento de la recomendación dada afecta el
evaluó la puntuación de referencia del objetivo. Los siguientes estados de puntuación se utilizan en este
punto de referencia:
Puntuados
El incumplimiento de las recomendaciones de "Puntaje" disminuirá la puntuación de referencia final.

El cumplimiento de las recomendaciones "puntuadas" aumentará la puntuación de referencia final.
No puntuado
El incumplimiento de las recomendaciones de "No puntuado" no reducirá la

puntuación de referencia. El cumplimiento de las recomendaciones "Sin puntuación" no aumentará la
puntuación de referencia final.
36 | Página
Página 38
Definiciones de perfil
Este Benchmark define los siguientes perfiles de configuración:
• Nivel 1: controlador de dominio
Los elementos de este perfil se aplican a los controladores de dominio y tienen la intención de:
o sea práctico y prudente;

o proporcionar un beneficio de seguridad claro; y
o no inhibir la utilidad de la tecnología más allá de los medios aceptables.
• Nivel 1: servidor miembro
Los elementos de este perfil se aplican a los servidores miembros y tienen la intención de:
o sea práctico y prudente;

o proporcionar un beneficio de seguridad claro; y
o no inhibir la utilidad de la tecnología más allá de los medios aceptables.
Los elementos de este perfil también se aplican a los servidores miembro que tienen los siguientes roles
habilitado:
o Servicios de certificados AD
o Servidor DHCP
o Servidor DNS
o Servidor de archivos
o Hyper-V
o Servicios de acceso y políticas de red
o Servidor de impresión
o Servicios de acceso remoto
o Servicios de escritorio remoto
o Servidor web
37 | Página
Página 39
Este perfil amplía el perfil "Nivel 1 - Controlador de dominio". Elementos de este perfil
exhiben una o más de las siguientes características:
o están destinados a entornos o casos de uso donde la seguridad es primordial
o actúa como defensa en medida de profundidad
o puede inhibir negativamente la utilidad o el rendimiento de la tecnología
Este perfil amplía el perfil "Nivel 1 - Servidor miembro". Elementos de este perfil
exhiben una o más de las siguientes características:
o estándestinados a entornos o casos de uso donde la seguridad es primordial

o actúacomo defensa en medida de profundidad
o puede inhibir negativamente la utilidad o el rendimiento de la tecnología
• Seguridad de Windows de próxima generación: controlador de dominio
Este perfil contiene funciones de seguridad avanzadas de Windows que tienen

dependencias de configuración y puede que no sea compatible con todos los sistemas. Eso
por lo tanto, requiere especial atención a los detalles y pruebas antes de la implementación. Si
su entorno es compatible con estas funciones, son muy recomendables ya que
tienen beneficios de seguridad tangibles. Este perfil está destinado a ser un "complemento" opcional para
los perfiles de Nivel 1 o Nivel 2.
• Seguridad de Windows de próxima generación: servidor miembro
Este perfil contiene funciones de seguridad avanzadas de Windows que tienen

dependencias de configuración y puede que no sea compatible con todos los sistemas. Eso
por lo tanto, requiere especial atención a los detalles y pruebas antes de la implementación. Si
su entorno es compatible con estas funciones, son muy recomendables ya que
tienen beneficios de seguridad tangibles. Este perfil está destinado a ser un "complemento" opcional para
los perfiles de Nivel 1 o Nivel 2.
38 | Página
Página 40
Agradecimientos
Este punto de referencia ejemplifica las grandes cosas de una comunidad de usuarios, proveedores y temas
los expertos pueden lograrlo mediante la colaboración por consenso. La comunidad CIS agradece a todos
equipo de consenso con un reconocimiento especial a las siguientes personas que contribuyeron en gran medida a
la creación de esta guía:
El Center for Internet Security extiende un reconocimiento especial y agradecimiento a Aaron Margosis
y Rick Munck de Microsoft, así como Mike Harris de General Dynamics Information
Tecnología para su colaboración desarrollando las recomendaciones de configuración
contenido en este documento.
Contribuyente
Jennifer Jarose
Jordan Rakoske GSEC, GCWN
Jason Braun
Phil White
Matthew Woods
Editor
Haemish Edgerton MCSE: Seguridad, MCITP: EA
Kevin Zhang CISSP, CISA, CRISC, CSSLP
Hardeep Mehrotara CISSP, CISA, CICP
39 | Página
Página 41
Recomendaciones
1 Políticas de cuenta
Esta sección contiene recomendaciones para las políticas de la cuenta.
1.1 Política de contraseña

Esta sección contiene recomendaciones para la política de contraseñas.
1.1.1 (L1) Asegúrese de que 'Aplicar historial de contraseñas' esté configurado en '24 o más
contraseña (s) '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina la cantidad de contraseñas únicas renovadas que deben
asociado con una cuenta de usuario antes de poder reutilizar una contraseña anterior. El valor de esto
La configuración de política debe estar entre 0 y 24 contraseñas. El valor predeterminado para Windows Vista es
0 contraseñas, pero la configuración predeterminada en un dominio es 24 contraseñas. Para mantener el
eficacia de esta configuración de directiva, utilice la configuración de Antigüedad mínima de la contraseña para evitar que los usuarios
de cambiar repetidamente su contraseña.
El estado recomendado para esta configuración es: 24 o más contraseñas .
40 | Página
Página 42
Razón fundamental:
Cuanto más tiempo un usuario utilice la misma contraseña, mayor será la posibilidad de que un atacante pueda
determinar la contraseña mediante ataques de fuerza bruta. Además, cualquier cuenta que pueda tener
ha sido comprometido seguirá siendo explotable mientras no se modifique la contraseña. Si
Se requieren cambios de contraseña, pero no se evita la reutilización de la contraseña, o si los usuarios
reutilizar una pequeña cantidad de contraseñas, la eficacia de una buena política de contraseñas es enormemente
reducido.
Si especifica un número bajo para esta configuración de directiva, los usuarios podrán usar el mismo
número de contraseñas repetidamente. Si no configura también la Antigüedad mínima de la contraseña
configuración, los usuarios pueden cambiar repetidamente sus contraseñas hasta que puedan reutilizar su original
contraseña.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 24 o

más contraseña (s) :
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Cuenta

Políticas \ Política de contraseñas \ Hacer cumplir el historial de contraseñas
Impacto:
El mayor impacto de esta configuración es que los usuarios deben crear una nueva contraseña cada vez
deben cambiar el anterior. Si los usuarios deben cambiar sus contraseñas
a nuevos valores únicos, existe un mayor riesgo de que los usuarios escriban sus contraseñas
en algún lugar para que no los olviden. Otro riesgo es que los usuarios puedan crear
contraseñas que cambian de manera incremental (por ejemplo, contraseña01, contraseña02, etc.)
para facilitar la memorización pero hacerlos más fáciles de adivinar. Además, un valor excesivamente bajo para
la configuración de Antigüedad mínima de la contraseña probablemente aumente la sobrecarga administrativa, porque
los usuarios que olvidan sus contraseñas pueden solicitar al servicio de asistencia técnica que las restablezca con frecuencia.
Valor por defecto:
24 contraseñas recordadas en miembros del dominio. 0 contraseñas recordadas en modo independiente

servidores.
41 | Página
Página 43
Referencias:
1. CCE-37166-6
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
16.2 Configurar el punto de autenticación centralizado

Configure el acceso para todas las cuentas a través de tan pocos puntos centralizados de autenticación como
posible, incluidos los sistemas de red, seguridad y nube.
16.5 Cifrar la transmisión del nombre de usuario y las credenciales de autenticación

Asegúrese de que todos los nombres de usuario de la cuenta y las credenciales de autenticación se transmitan
redes que utilizan canales encriptados.
42 | Página
Página 44
1.1.2 (L1) Asegúrese de que la 'Antigüedad máxima de la contraseña' esté establecida en '60 días o menos,
pero no 0 '(puntuado)
Descripción:
Esta configuración de directiva define cuánto tiempo un usuario puede usar su contraseña antes de que caduque.
Los valores de esta configuración de directiva oscilan entre 0 y 999 días. Si establece el valor en 0, el
la contraseña nunca caducará.
Dado que los atacantes pueden descifrar contraseñas, cuanto más frecuentemente cambie la contraseña,
menos oportunidad que tiene un atacante de usar una contraseña descifrada. Sin embargo, cuanto menor sea este valor
se establece, mayor será la posibilidad de un aumento en las llamadas al soporte de la mesa de ayuda debido a los usuarios
tener que cambiar su contraseña u olvidar la contraseña actual.
El estado recomendado para esta configuración es 60 días o menos, pero no 0 .
Razón fundamental:
Cuanto más tiempo exista una contraseña, mayor será la probabilidad de que se vea comprometida por un
ataque de fuerza bruta, por parte de un atacante que obtiene conocimientos generales sobre el usuario, o por el usuario
compartiendo la contraseña. Configurar la opción Antigüedad máxima de la contraseña en 0 para que los usuarios
nunca se les exige que cambien sus contraseñas es un riesgo de seguridad importante porque permite
contraseña comprometida para ser utilizada por el usuario malintencionado durante el tiempo que el usuario válido haya
acceso autorizado.
Auditoría:
prescrito.
Remediación:

menos días, pero no 0 :

Políticas \ Política de contraseñas \ Antigüedad máxima de la contraseña
43 | Página
Página 45
Impacto:
Si la configuración de Antigüedad máxima de la contraseña es demasiado baja, los usuarios deben cambiar su
contraseñas muy a menudo. Tal configuración puede reducir la seguridad en la organización,
porque los usuarios pueden escribir sus contraseñas en una ubicación insegura o perderlas. Si el valor
porque esta configuración de directiva es demasiado alta, el nivel de seguridad dentro de una organización se reduce
porque permite a los atacantes potenciales más tiempo para descubrir las contraseñas de los usuarios o para
utilizar cuentas comprometidas.
Valor por defecto:
42 días.
Referencias:
1. CCE-37167-4
Controles CIS:
Versión 6
Versión 7
16.10 Asegúrese de que todas las cuentas tengan una fecha de vencimiento
Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.


44 | Página
Página 46
1.1.3 (L1) Asegúrese de que la 'Antigüedad mínima de la contraseña' esté configurada en '1 día o más'
(Puntuado)
Descripción:
Esta configuración de directiva determina el número de días que debe usar una contraseña antes
Tú puedes cambiarlo. El rango de valores para esta configuración de directiva es de entre 1 y 999 días.
(También puede establecer el valor en 0 para permitir cambios de contraseña inmediatos). El valor predeterminado
para esta configuración es 0 días.
El estado recomendado para esta configuración es: 1 o más día (s) .
Razón fundamental:
Los usuarios pueden tener contraseñas favoritas que les gusta usar porque son fáciles de
recuerde y ellos creen que su elección de contraseña está a salvo de compromisos.
Desafortunadamente, las contraseñas están comprometidas y si un atacante se dirige a un
cuenta de usuario individual, con conocimiento previo de los datos sobre ese usuario, reutilización de
las contraseñas pueden causar una brecha de seguridad. Para abordar la contraseña, reutilice una combinación de
Se requiere una configuración de seguridad. Uso de esta configuración de política con el historial de cumplimiento de contraseñas
La configuración evita la fácil reutilización de contraseñas antiguas. Por ejemplo, si configura el Enforce
configuración del historial de contraseñas para garantizar que los usuarios no puedan reutilizar ninguna de sus últimas 12 contraseñas,
podrían cambiar su contraseña 13 veces en unos minutos y reutilizar la contraseña que
con el que comenzó, a menos que también configure el ajuste Antigüedad mínima de la contraseña en un número que
es mayor que 0. Debe configurar esta configuración de directiva en un número mayor que 0
para que la configuración Exigir historial de contraseñas sea efectiva.
Auditoría:
prescrito.
45 | Página
Página 47
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 1 o más
día (s) :

Políticas \ Política de contraseñas \ Antigüedad mínima de la contraseña
Impacto:
Si un administrador establece una contraseña para un usuario pero quiere que ese usuario cambie la contraseña
cuando el usuario inicia sesión por primera vez, el administrador debe seleccionar el usuario debe cambiar la contraseña
en la siguiente casilla de verificación de inicio de sesión, o el usuario no podrá cambiar la contraseña hasta el próximo
día.
Valor por defecto:
1 día en miembros del dominio. 0 días en servidores independientes.
Referencias:
1. CCE-37073-4
Controles CIS:
Versión 6
Versión 7


46 | Página
Página 48
1.1.4 (L1) Asegúrese de que la 'Longitud mínima de la contraseña' esté establecida en '14 o más
carácter (s) '(puntuados)
Descripción:
Esta configuración de directiva determina la menor cantidad de caracteres que componen una contraseña para
una cuenta de usuario. Hay muchas teorías diferentes sobre cómo determinar la mejor
longitud de la contraseña para una organización, pero quizás "frase de contraseña" sea un término mejor que
"contraseña." En Microsoft Windows 2000 y versiones posteriores, las frases de paso pueden ser bastante largas y
incluir espacios. Por lo tanto, una frase como "Quiero beber un batido de $ 5" es un pase válido.
frase; es una contraseña considerablemente más segura que una cadena de caracteres aleatorios de 8 o 10
números y letras y, sin embargo, es más fácil de recordar. Los usuarios deben estar informados sobre la
selección y mantenimiento adecuados de contraseñas, especialmente con respecto a la longitud de la contraseña.
En entornos empresariales, el valor ideal para la configuración Longitud mínima de la contraseña es 14
caracteres, sin embargo, debe ajustar este valor para cumplir con el negocio de su organización
requisitos.
El estado recomendado para esta configuración es: 14 o más caracteres .
Nota: En Windows Server 2016 y versiones anteriores de Windows Server, la GUI del Local
Política de seguridad (LSP), Editor de políticas de grupo local (LGPE) y Gestión de políticas de grupo
Editor (GPME) no le permitiría establecer este valor por encima de 14 caracteres. Sin embargo,
a partir de Windows Server 2019, Microsoft cambió la GUI para permitir hasta 20
longitud mínima de caracteres de la contraseña.
Razón fundamental:
Los tipos de ataques de contraseña incluyen ataques de diccionario (que intentan utilizar palabras comunes
y frases) y ataques de fuerza bruta (que prueban todas las combinaciones posibles de caracteres).
Además, los atacantes a veces intentan obtener la base de datos de la cuenta para poder usar herramientas para
descubrir las cuentas y contraseñas.
Auditoría:
prescrito.
47 | Página
Página 49
Remediación:

más carácter (s) :

Políticas \ Política de contraseñas \ Longitud mínima de la contraseña
Impacto:
Los requisitos para contraseñas extremadamente largas pueden disminuir la seguridad de un

organización, porque los usuarios pueden dejar la información en una ubicación insegura o perderla. Si
Se requieren contraseñas muy largas, las contraseñas mal escritas pueden causar bloqueos de cuentas y
aumentar el volumen de llamadas al servicio de asistencia técnica. Si su organización tiene problemas con el olvido
contraseñas debido a los requisitos de longitud de la contraseña, considere enseñar a sus usuarios sobre
frases, que a menudo son más fáciles de recordar y, debido al mayor número de caracteres
combinaciones, mucho más difíciles de descubrir.
Nota: las versiones anteriores de Windows, como Windows 98 y Windows NT 4.0, no son compatibles
contraseñas de más de 14 caracteres. Las computadoras que ejecutan estos
Los sistemas no pueden autenticarse con computadoras o dominios que usan cuentas que
requieren contraseñas largas.
Valor por defecto:
7 caracteres en miembros del dominio. 0 caracteres en servidores independientes.
Referencias:
1. CCE-36534-6
48 | Página
Página 50
Controles CIS:
Versión 6
5.7 Las cuentas de usuario deben utilizar contraseñas largas

Cuando no se admita la autenticación multifactor, las cuentas de usuario deberán
utilice contraseñas largas en el sistema (más de 14 caracteres).
16.12 Utilice contraseñas largas para todas las cuentas de usuario

Versión 7


49 | Página
Página 51
1.1.5 (L1) Asegúrese de que 'La contraseña debe cumplir con los requisitos de complejidad' está configurada
a 'Habilitado' (puntuado)
Descripción:
Esta configuración de directiva verifica todas las contraseñas nuevas para asegurarse de que cumplan con los requisitos básicos
para contraseñas seguras.
Cuando esta política está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos:
• No contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que excedan dos
caracteres consecutivos
• Tener al menos seis caracteres de longitud
• Contener personajes de tres de las siguientes categorías:
o Caracteres en mayúsculas en inglés (de la A a la Z)
o Caracteres en minúscula en inglés (de la a a la z)
o Base 10 dígitos (0 a 9)
o Caracteres no alfabéticos (por ejemplo,!, $, #,%)
o Una categoría general de cualquier carácter Unicode que no esté incluido
cuatro categorías anteriores. Esta quinta categoría puede ser regionalmente específica.
Cada carácter adicional en una contraseña aumenta su complejidad exponencialmente. por
Por ejemplo, una contraseña alfabética de siete caracteres en minúsculas tendría 267
(aproximadamente 8 x 109 u 8 mil millones) combinaciones posibles. A 1,000,000 intentos por
segundo (una capacidad de muchas utilidades para descifrar contraseñas), solo tomaría 133 minutos
romper. Una contraseña alfabética de siete caracteres con distinción entre mayúsculas y minúsculas tiene 527
combinaciones. Una contraseña alfanumérica de siete caracteres que distingue entre mayúsculas y minúsculas sin
la puntuación tiene 627 combinaciones. Una contraseña de ocho caracteres tiene 268 (o 2 x 1011)
posibles combinaciones. Aunque esto puede parecer un número elevado, 1.000.000
intentos por segundo, solo tomaría 59 horas probar todas las contraseñas posibles. Recuerda,
estos tiempos aumentarán significativamente para las contraseñas que usan caracteres ALT y otros
caracteres especiales del teclado como "!" o "@". El uso adecuado de la configuración de la contraseña puede
ayudar a que sea difícil montar un ataque de fuerza bruta.
El estado recomendado para esta configuración es: habilitado .
50 | Página
Página 52
Razón fundamental:
Las contraseñas que contienen solo caracteres alfanuméricos son extremadamente fáciles de descubrir con
varias herramientas disponibles públicamente.
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :

Políticas \ Política de contraseñas \ La contraseña debe cumplir con los requisitos de complejidad
Impacto:
Si se conserva la configuración de complejidad de la contraseña predeterminada, el servicio de asistencia adicional solicita

Las cuentas bloqueadas pueden ocurrir porque los usuarios pueden no estar acostumbrados a las contraseñas que
contener caracteres no alfabéticos. Sin embargo, todos los usuarios deben poder cumplir con la
requisito de complejidad con dificultad mínima.
Si su organización tiene requisitos de seguridad más estrictos, puede crear una

versión del archivo Passfilt.dll que permite el uso de una seguridad de contraseña arbitrariamente compleja
reglas. Por ejemplo, un filtro de contraseña personalizado puede requerir el uso de una fila no superior
caracteres. (Los caracteres de la fila superior son aquellos que requieren que mantenga presionada la tecla MAYÚS
y presione cualquiera de los dígitos entre 1 y 0.) Un filtro de contraseña personalizado también podría funcionar
una verificación de diccionario para verificar que la contraseña propuesta no contiene
palabras o fragmentos del diccionario.
Además, el uso de combinaciones de caracteres de la tecla ALT puede mejorar enormemente la complejidad de una
contraseña. Sin embargo, requisitos de contraseña tan estrictos pueden resultar en usuarios insatisfechos
y una mesa de ayuda extremadamente ocupada. Alternativamente, su organización podría considerar una
requisito de que todas las contraseñas de administrador utilicen caracteres ALT en el 0128-0159
rango. (Los caracteres ALT fuera de este rango pueden representar caracteres alfanuméricos estándar
caracteres que no agregarían complejidad adicional a la contraseña).
Valor por defecto:

Habilitado en miembros del dominio. Deshabilitado en servidores independientes.
51 | Página
Página 53
Referencias:
1. CCE-37063-5
Controles CIS:
Versión 6
Versión 7
4.4 Utilice contraseñas únicas

Donde no se admita la autenticación multifactor (como administrador local, root o
cuentas de servicio), las cuentas utilizarán contraseñas que son exclusivas de ese sistema.


52 | Página
Página 54
1.1.6 (L1) Asegúrese de que 'Almacenar contraseñas con cifrado reversible' esté configurado en
'Discapacitado' (puntuado)
Descripción:
Esta configuración de directiva determina si el sistema operativo almacena las contraseñas de una manera
que utiliza cifrado reversible, que proporciona soporte para protocolos de aplicación que
requieren conocimiento de la contraseña del usuario para fines de autenticación. Contraseñas que son
almacenados con cifrado reversible son esencialmente los mismos que las versiones de texto plano del
contraseñas.
El estado recomendado para esta configuración es: Desactivado .
Razón fundamental:
Habilitar esta configuración de política permite que el sistema operativo almacene las contraseñas en un
formato que es mucho más susceptible de comprometerse y debilita la seguridad de su sistema.
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :

Políticas \ Política de contraseñas \ Almacenar contraseñas mediante cifrado reversible
Impacto:
Si su organización utiliza el protocolo de autenticación CHAP a través de acceso remoto o

Servicios IAS o autenticación implícita en IIS, debe configurar esta configuración de directiva para
Habilitado. Esta configuración es extremadamente peligrosa de aplicar a través de la directiva de grupo en un usuario por
base de usuario, porque requiere que el objeto de cuenta de usuario apropiado se abra en Active
Usuarios de directorio y equipos.
53 | Página
Página 55
Valor por defecto:
Discapacitado.
Referencias:
1. CCE-36286-3
Controles CIS:
Versión 6
16.14 Cifre / Hash todos los archivos de autenticación y supervise su acceso
Verifique que todos los archivos de autenticación estén cifrados o con hash y que estos archivos no se puedan
accede sin privilegios de administrador o root. Audite todos los accesos a los archivos de contraseñas en el
sistema.
Versión 7

16.4 Cifrar o aplicar hash a todas las credenciales de autenticación

Cifre o hash con una sal todas las credenciales de autenticación cuando se almacenan.

54 | Página
Página 56
1.2 Política de bloqueo de cuenta

Esta sección contiene recomendaciones para la política de bloqueo de cuentas.
1.2.1 (L1) Asegúrese de que la 'Duración del bloqueo de la cuenta' esté establecida en '15 o más
minuto (s) '(puntuados)
Descripción:
Esta configuración de directiva determina el período de tiempo que debe transcurrir antes de que se bloquee una cuenta.
desbloqueado y un usuario puede intentar iniciar sesión nuevamente. La configuración hace esto especificando el número
de minutos, una cuenta bloqueada no estará disponible. Si el valor de esta configuración de directiva
está configurado en 0, las cuentas bloqueadas permanecerán bloqueadas hasta que un administrador
los desbloquea manualmente.
Aunque puede parecer una buena idea configurar el valor de esta configuración de directiva en un
alto valor, tal configuración probablemente aumentará el número de llamadas que el servicio de asistencia técnica
recibe para desbloquear cuentas bloqueadas por error. Los usuarios deben conocer la cantidad de tiempo
un candado permanece en su lugar, para que se den cuenta de que solo necesitan llamar al servicio de asistencia técnica si tienen
una necesidad extremadamente urgente de recuperar el acceso a su computadora.
El estado recomendado para esta configuración es: 15 o más minuto (s) .
Razón fundamental:
Se puede crear una condición de denegación de servicio (DoS) si un atacante abusa del bloqueo de la cuenta
umbral y repetidamente intenta iniciar sesión con una cuenta específica. Una vez que configure el
Configuración del umbral de bloqueo de la cuenta, la cuenta se bloqueará después del número especificado
de intentos fallidos. Si configura el ajuste Duración del bloqueo de la cuenta en 0, entonces el
La cuenta permanecerá bloqueada hasta que un administrador la desbloquee manualmente.
Auditoría:
prescrito.
55 | Página
Página 57
Remediación:

más minuto (s) :

Políticas \ Política de bloqueo de la cuenta \ Duración del bloqueo de la cuenta
Impacto:
Aunque puede parecer una buena idea configurar esta configuración de directiva para que nunca
desbloquear automáticamente una cuenta, tal configuración puede aumentar el número de solicitudes
que recibe la mesa de ayuda de su organización para desbloquear cuentas que se bloquearon por error.
Valor por defecto:
Ninguno, porque esta configuración de política solo tiene significado cuando el umbral de bloqueo de la cuenta es
especificado. Cuando se configura un umbral de bloqueo de cuenta, Windows
sugiere un valor de 30 minutos.
Referencias:
1. CCE-37034-6
Controles CIS:
Versión 6
16 Seguimiento y control de cuentas

Seguimiento y control de cuentas
16.7 Configurar bloqueos de cuentas

Use y configure bloqueos de cuentas de manera que después de un número determinado de intentos fallidos de inicio de sesión
la cuenta está bloqueada durante un período de tiempo estándar.
Versión 7
16.11 Bloquear sesiones de la estación de trabajo después de inactividad
Bloquea automáticamente las sesiones de la estación de trabajo después de un período estándar de inactividad.
56 | Página
Página 58
1.2.2 (L1) Asegúrese de que 'Umbral de bloqueo de cuenta' esté configurado en '10 o menos
Intentos de inicio de sesión no válidos, pero no 0 '(puntuados)
Descripción:
Esta configuración de directiva determina el número de intentos de inicio de sesión fallidos antes de que la cuenta sea
bloqueado. Establecer esta política en 0 no se ajusta al punto de referencia, ya que al hacerlo se inhabilita
umbral de bloqueo de cuenta.
El estado recomendado para esta configuración es: 10 o menos intentos de inicio de sesión no válidos, pero
no 0 .
Razón fundamental:
Establecer un umbral de bloqueo de cuenta reduce la probabilidad de que una contraseña en línea
El ataque de fuerza tendrá éxito. Establecer el umbral de bloqueo de cuenta demasiado bajo introduce
riesgo de aumento de bloqueos accidentales y / o un actor malintencionado bloqueando intencionalmente
cuentas.
Auditoría:
prescrito.
Remediación:

menos intentos de inicio de sesión no válidos, pero no 0 :

Políticas \ Política de bloqueo de cuenta \ Umbral de bloqueo de cuenta
57 | Página
Página 59
Impacto:
Si esta configuración de política está habilitada, una cuenta bloqueada no se podrá utilizar hasta que la restablezca un
administrador o hasta que expire la duración del bloqueo de la cuenta. Esta configuración puede generar
llamadas adicionales a la mesa de ayuda.
Si aplica esta configuración, un atacante podría causar una condición de denegación de servicio al
generar deliberadamente inicios de sesión fallidos para varios usuarios, por lo tanto, también debe configurar
la Duración del bloqueo de la cuenta a un valor relativamente bajo.
Si configura el Umbral de bloqueo de la cuenta en 0, existe la posibilidad de que un atacante

intentar descubrir contraseñas con un ataque de fuerza bruta de contraseña puede pasar desapercibido si
no existe un mecanismo de auditoría sólido.
Valor por defecto:
0 intentos fallidos de inicio de sesión.
Referencias:
1. CCE-36008-1
Controles CIS:
Versión 6


Versión 7


58 | Página
Página 60
1.2.3 (L1) Asegúrese de que 'Restablecer contador de bloqueo de cuenta después de' esté configurado en '15 o
más minuto (s) '(anotado)

Descripción:
Esta configuración de directiva determina el período de tiempo antes del umbral de bloqueo de la cuenta
se restablece a cero. El valor predeterminado para esta configuración de directiva es No definido. Si el bloqueo de la cuenta
umbral definido, este tiempo de reinicio debe ser menor o igual que el valor de la cuenta
ajuste de duración del bloqueo.
Si deja esta configuración de directiva en su valor predeterminado o configura el valor en un intervalo que
es demasiado largo, su entorno podría ser vulnerable a un ataque DoS. Un atacante podría
realizar maliciosamente una serie de intentos fallidos de inicio de sesión en todos los usuarios de la organización,
que bloqueará sus cuentas. Si no se determinó ninguna política para restablecer la cuenta
bloqueo, sería una tarea manual para los administradores. Por el contrario, si un tiempo razonable
El valor está configurado para esta configuración de política, los usuarios quedarían bloqueados durante un período establecido hasta
todas las cuentas se desbloquean automáticamente.
El estado recomendado para esta configuración es: 15 o más minuto (s) .
Razón fundamental:
Los usuarios pueden bloquear accidentalmente sus cuentas si escriben mal su contraseña
varias veces. Para reducir la posibilidad de tales bloqueos accidentales, la opción Restablecer bloqueo de cuenta
contador después de la configuración determina el número de minutos que deben transcurrir antes de que
El contador que rastrea los intentos fallidos de inicio de sesión y activa bloqueos se restablece a 0.
Auditoría:
prescrito.
59 | Página
Página 61
Remediación:

más minuto (s) :

Políticas \ Política de bloqueo de cuenta \ Restablecer contador de bloqueo de cuenta después
Impacto:
Si no configura esta configuración de directiva o si el valor está configurado en un intervalo que es

demasiado tiempo, podría ocurrir un ataque DoS. Un atacante podría intentar iniciar sesión en cada
cuenta de usuario varias veces y bloquear sus cuentas como se describe en el
párrafos. Si no configura el contador de bloqueo de cuenta Reset después de la configuración,
los administradores tendrían que desbloquear manualmente todas las cuentas. Si configura esta política
estableciendo un valor razonable, los usuarios quedarían bloqueados durante un período, después del cual
sus cuentas se desbloquearían automáticamente. Asegúrese de notificar a los usuarios los valores utilizados
para esta configuración de política para que esperen a que expire el temporizador de bloqueo antes de llamar
la mesa de ayuda sobre su incapacidad para iniciar sesión.
Valor por defecto:
Ninguno, porque esta configuración de política solo tiene significado cuando el umbral de bloqueo de la cuenta es
especificado. Cuando se configura un umbral de bloqueo de cuenta, Windows
sugiere un valor de 30 minutos.
Referencias:
1. CCE-36883-7
60 | Página
Página 62
Controles CIS:
Versión 6


Versión 7


61 | Página
Página 63
2 Políticas locales
Esta sección contiene recomendaciones para políticas locales.
2.1 Política de auditoría

Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
2.2 Asignación de derechos de usuario

Esta sección contiene recomendaciones para la asignación de derechos de usuario.
2.2.1 (L1) Asegúrese de que 'Acceder al administrador de credenciales como llamador de confianza' esté configur
'Nadie' (puntuado)
Descripción:
Credential Manager utiliza esta configuración de seguridad durante la copia de seguridad y la restauración. No
Las cuentas deben tener este derecho de usuario, ya que solo está asignado a Winlogon. Usuarios guardados
las credenciales pueden verse comprometidas si este derecho de usuario se asigna a otras entidades.
El estado recomendado para esta configuración es: Nadie .
Razón fundamental:
Si a una cuenta se le otorga este derecho, el usuario de la cuenta puede crear una aplicación que llame
en Credential Manager y se le devuelven las credenciales de otro usuario.
Auditoría:
prescrito.
62 | Página
Página 64
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local

Políticas \ Asignación de derechos de usuario \ Administrador de credenciales de acceso como llamador de confianza
Impacto:
Ninguno: este es el comportamiento predeterminado.
Valor por defecto:
Ninguno.
Referencias:
1. CCE-37056-9
Controles CIS:
Versión 6
5.1 Minimizar y utilizar con moderación los privilegios administrativos

Minimice los privilegios administrativos y use cuentas administrativas solo cuando estén
necesario. Implementar auditorías enfocadas en el uso de funciones administrativas privilegiadas y
monitorear el comportamiento anómalo.
Versión 7
4.8 Registro y alerta sobre cambios en la pertenencia al grupo administrativo

Configurar sistemas para emitir una entrada de registro y alertar cuando se agrega o se elimina una cuenta
de cualquier grupo asignado privilegios administrativos.
63 | Página
Página 65
'Administradores, usuarios autenticados, DOMINIO EMPRESARIAL
CONTROLLERS '(solo DC) (puntuado)
Descripción:
Esta configuración de directiva permite que otros usuarios de la red se conecten a la computadora y es
requerido por varios protocolos de red que incluyen Server Message Block (SMB) basado
protocolos, NetBIOS, Common Internet File System (CIFS) y Component Object Model
Más (COM +).
El estado recomendado para esta configuración es: administradores, usuarios autenticados,

CONTROLADORES DE DOMINIO EMPRESARIALES .
Razón fundamental:
Los usuarios que pueden conectarse desde su computadora a la red pueden acceder a los recursos en el objetivo
computadoras para las que tienen permiso. Por ejemplo, el acceso a esta computadora desde
Se requiere el derecho de usuario de red para que los usuarios se conecten a impresoras y carpetas compartidas. Si
este derecho de usuario está asignado al grupo Todos , entonces cualquiera podrá leer los archivos
en esas carpetas compartidas. Sin embargo, esta situación es poco probable para nuevas instalaciones de Windows.
Server 2003 con Service Pack 1 (SP1), porque el recurso compartido predeterminado y los permisos NTFS en
Windows Server 2003 no incluye el grupo Todos . Esta vulnerabilidad puede tener un
mayor nivel de riesgo para los equipos que actualiza desde Windows NT 4.0 o Windows
2000, porque los permisos predeterminados para estos sistemas operativos no son tan restrictivos como
los permisos predeterminados en Windows Server 2003.
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:

Políticas \ Asignación de derechos de usuario \ Acceda a esta computadora desde la red
64 | Página
Página 66
Impacto:
Si quita el derecho de usuario Acceder a esta computadora desde la red en el dominio

Controladores para todos los usuarios, nadie podrá iniciar sesión en el dominio o usar la red
recursos. Si elimina este derecho de usuario en los servidores miembro, los usuarios no podrán
conectarse a esos servidores a través de la red. Negociación exitosa de conexiones IPsec
requiere que la máquina iniciadora tenga este derecho, por lo tanto, si usa IPsec, es
recomendó que se asigne al grupo Usuarios autenticados . Si ha instalado
componentes opcionales como ASP.NET o Internet Information Services (IIS), es posible que necesite
para asignar este derecho de usuario a cuentas adicionales que sean requeridas por esos componentes. Es
importante verificar que a los usuarios autorizados se les asigne este derecho de usuario para las computadoras
necesitan acceder a la red.
Valor por defecto:
Administradores, usuarios autenticados, controladores de dominio empresariales, todos,

Acceso compatible con Windows 2000.
Referencias:
1. CCE-35818-4
Controles CIS:
Versión 6
9 Limitación y control de puertos de red, protocolos y servicios

Limitación y control de puertos de red, protocolos y servicios
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
65 | Página
Página 67
'Administradores, usuarios autenticados' (solo MS) (puntuados)
Descripción:
Esta configuración de directiva permite que otros usuarios de la red se conecten a la computadora y es
requerido por varios protocolos de red que incluyen Server Message Block (SMB) basado
protocolos, NetBIOS, Common Internet File System (CIFS) y Component Object Model
Más (COM +).
El estado recomendado para esta configuración es: administradores, usuarios autenticados .
Razón fundamental:
Los usuarios que pueden conectarse desde su computadora a la red pueden acceder a los recursos en el objetivo
computadoras para las que tienen permiso. Por ejemplo, el acceso a esta computadora desde
Se requiere el derecho de usuario de red para que los usuarios se conecten a impresoras y carpetas compartidas. Si
este derecho de usuario está asignado al grupo Todos , entonces cualquiera podrá leer los archivos
en esas carpetas compartidas. Sin embargo, esta situación es poco probable para nuevas instalaciones de Windows.
Server 2003 con Service Pack 1 (SP1), porque el recurso compartido predeterminado y los permisos NTFS en
Windows Server 2003 no incluye el grupo Todos . Esta vulnerabilidad puede tener un
mayor nivel de riesgo para los equipos que actualiza desde Windows NT 4.0 o Windows
2000, porque los permisos predeterminados para estos sistemas operativos no son tan restrictivos como
los permisos predeterminados en Windows Server 2003.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Acceda a esta computadora desde la red
66 | Página
Página 68
Impacto:
Si quita el derecho de usuario Acceder a esta computadora desde la red en el dominio

Controladores para todos los usuarios, nadie podrá iniciar sesión en el dominio o usar la red
recursos. Si elimina este derecho de usuario en los servidores miembro, los usuarios no podrán
conectarse a esos servidores a través de la red. Negociación exitosa de conexiones IPsec
requiere que la máquina iniciadora tenga este derecho, por lo tanto, si usa IPsec, es
recomendó que se asigne al grupo Usuarios autenticados . Si ha instalado
componentes opcionales como ASP.NET o Internet Information Services (IIS), es posible que necesite
para asignar este derecho de usuario a cuentas adicionales que sean requeridas por esos componentes. Es
importante verificar que a los usuarios autorizados se les asigne este derecho de usuario para las computadoras
necesitan acceder a la red.
Valor por defecto:
Administradores, operadores de respaldo, usuarios, todos.
Referencias:
1. CCE-35818-4
Controles CIS:
Versión 6

Versión 7
67 | Página
Página 69
2.2.4 (L1) Asegúrese de que 'Actuar como parte del sistema operativo' esté configurado como 'Nadie'
(Puntuado)
Descripción:
Esta configuración de política permite que un proceso asuma la identidad de cualquier usuario y así obtener acceso
a los recursos a los que el usuario está autorizado a acceder.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
El Actuar como parte del sistema operativo derecho de usuario es muy potente. Cualquiera con
este derecho de usuario puede tomar el control completo de la computadora y borrar evidencia de su
ocupaciones.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Actuar como parte del sistema operativo
Impacto:
Debería haber poco o ningún impacto porque el Actuar como parte del usuario del sistema operativo
El derecho rara vez es necesario para otras cuentas que no sean la cuenta del sistema local , que
implícitamente tiene este derecho.
Valor por defecto:
Ninguno.
68 | Página
Página 70
Referencias:
1. CCE-36876-1
Controles CIS:
Versión 6

Versión 7

69 | Página
Página 71
2.2.5 (L1) Asegúrese de que 'Agregar estaciones de trabajo al dominio' esté configurado en 'Administradores'
(Solo DC) (puntuado)
Descripción:
Esta configuración de directiva especifica qué usuarios pueden agregar estaciones de trabajo al dominio. por
esta configuración de directiva para que surta efecto, debe asignarse al usuario como parte de la configuración predeterminada
Política de controlador de dominio para el dominio. Un usuario al que se le haya asignado este derecho puede agregar
hasta 10 estaciones de trabajo por dominio. Usuarios a los que se les ha asignado Crear computadora
El permiso de objetos para una OU o el contenedor Computers en Active Directory puede agregar un
número ilimitado de computadoras en el dominio, independientemente de si tienen o no
Se le ha asignado el derecho de usuario Agregar estaciones de trabajo al dominio .
En las redes basadas en Windows, el término principal de seguridad se define como un usuario, grupo o
computadora al que se le asigna automáticamente un identificador de seguridad para controlar el acceso a los recursos.
En un dominio de Active Directory, cada cuenta de equipo es una entidad de seguridad completa con la
capacidad para autenticar y acceder a los recursos del dominio. Sin embargo, algunas organizaciones pueden
desea limitar la cantidad de equipos en un entorno de Active Directory para que puedan
rastrear, construir y administrar constantemente las computadoras. Si los usuarios pueden agregar computadoras
al dominio, los esfuerzos de seguimiento y gestión se verían obstaculizados. Además, los usuarios podrían
realizar actividades que son más difíciles de rastrear debido a su capacidad para crear
equipos de dominio no autorizados adicionales.
El estado recomendado para esta configuración es: Administradores .
Razón fundamental:
El derecho de usuario Agregar estaciones de trabajo al dominio presenta una vulnerabilidad moderada. Usuarios con
este derecho podría agregar una computadora al dominio que esté configurada de manera que viole
políticas de seguridad organizacional. Por ejemplo, si su organización no quiere que sus usuarios
para tener privilegios administrativos en sus computadoras, un usuario podría (reinstalar) Windows en
su computadora y luego agregue la computadora al dominio. El usuario sabría el
contraseña para la cuenta de administrador local, y podría iniciar sesión con esa cuenta y luego
agregue su cuenta de dominio al grupo de administradores locales.
70 | Página
Página 72
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en

Administradores :

Políticas \ Asignación de derechos de usuario \ Agregar estaciones de trabajo al dominio
Impacto:
Para organizaciones que nunca han permitido que los usuarios configuren sus propias computadoras y agreguen
al dominio, esta contramedida no tendrá ningún impacto. Para los que han permitido
algunos o todos los usuarios a configurar sus propias computadoras, esta contramedida obligará a
organización para establecer un proceso formal para estos procedimientos en el futuro. No lo hará
afectar a los equipos de dominio existentes a menos que se eliminen y se vuelvan a agregar al
dominio.
Valor por defecto:
Usuarios autenticados. (Todos los usuarios del dominio tienen la capacidad de agregar hasta 10 cuentas de computadora
a un dominio de Active Directory. Estas nuevas cuentas de computadora se crean en las computadoras
envase.)
Referencias:
1. CCE-36282-2
71 | Página
Página 73
Controles CIS:
Versión 6

Versión 7
4.3 Asegurar el uso de cuentas administrativas dedicadas

Asegúrese de que todos los usuarios con acceso administrativo a la cuenta utilicen una
tener en cuenta las actividades elevadas. Esta cuenta solo debe usarse para fines administrativos
actividades y no navegación por Internet, correo electrónico o actividades similares.
4.5 Utilice la autenticación multifactor para todos los accesos administrativos

Utilice autenticación multifactor y canales encriptados para todas las cuentas administrativas
acceso.

72 | Página
Página 74
2.2.6 (L1) Asegúrese de que 'Ajustar cuotas de memoria para un proceso' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED' (puntuado)
Descripción:
Esta configuración de directiva permite a un usuario ajustar la cantidad máxima de memoria disponible
a un proceso. La capacidad de ajustar las cuotas de memoria es útil para el ajuste del sistema, pero puede ser
abusado. En las manos equivocadas, podría usarse para lanzar un ataque de denegación de servicio (DoS).
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL, RED
SERVICIO .
Nota: un servidor miembro que tiene el rol de servidor web (IIS) con el servicio de rol de servidor web
requerirá una excepción especial a esta recomendación, para permitir que los grupos de aplicaciones de IIS
recibir este derecho de usuario.
Nota n. ° 2: Un servidor miembro con Microsoft SQL Server instalado requerirá un

excepción a esta recomendación para que se otorguen entradas adicionales generadas por SQL
derecho de usuario.
Razón fundamental:
Un usuario con el derecho Ajustar cuotas de memoria para un proceso de usuario puede reducir la cantidad de
memoria que está disponible para cualquier proceso, lo que podría causar una red crítica para el negocio
las aplicaciones se vuelven lentas o fallan. En las manos equivocadas, este privilegio podría utilizarse para
iniciar un ataque de denegación de servicio (DoS).
Auditoría:
prescrito.
73 | Página
Página 75
Remediación:

Administradores, SERVICIO LOCAL, SERVICIO DE RED :

Políticas \ Asignación de derechos de usuario \ Ajustar cuotas de memoria para un proceso
Impacto:
Las organizaciones que no han restringido a los usuarios a roles con privilegios limitados lo encontrarán
difícil imponer esta contramedida. Además, si ha instalado componentes opcionales
como ASP.NET o IIS, es posible que deba asignar Ajustar cuotas de memoria para un proceso
derecho del usuario a las cuentas adicionales que requieren esos componentes. De lo contrario, este
las contramedidas no deberían tener ningún impacto en la mayoría de las computadoras. Si este derecho de usuario es necesario
para una cuenta de usuario, se puede asignar a una cuenta de computadora local en lugar de un dominio
cuenta.
Valor por defecto:
Administradores, SERVICIO LOCAL, SERVICIO DE RED.
Referencias:
1. CCE-37071-8
74 | Página
Página 76
Controles CIS:
Versión 6

Versión 7



75 | Página
Página 77
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores' (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden iniciar sesión de forma interactiva en los equipos de su
ambiente. Los inicios de sesión que se inician presionando la secuencia de teclas CTRL + ALT + SUPR en
el teclado de la computadora cliente requiere este derecho de usuario. Usuarios que intentan iniciar sesión a través de
Terminal Services / Remote Desktop Services o IIS también requieren este derecho de usuario.
Nota: Este derecho de usuario generalmente debe restringirse al grupo de administradores . Asignar
este derecho de usuario al grupo Operadores de respaldo si su organización requiere que tengan
esta capacidad.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión local puede iniciar sesión en la consola del
computadora. Si no restringe este derecho de usuario a los usuarios legítimos que necesitan poder
inicie sesión en la consola de la computadora, los usuarios no autorizados pueden descargar y ejecutar
software malintencionado para elevar sus privilegios.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Permitir el inicio de sesión localmente
76 | Página
Página 78
Impacto:
Si elimina estos grupos predeterminados, podría limitar las capacidades de los usuarios asignados
a roles administrativos específicos en su entorno. Debe confirmar que delegado
Las actividades no se verán afectadas negativamente por los cambios que realice en Permitir inicio de sesión.
derecho de usuario local .
Valor por defecto:
En servidores miembro: administradores, operadores de respaldo, usuarios.
En controladores de dominio: operadores de cuentas, administradores, operadores de respaldo, impresión

Operadores.
Referencias:
1. CCE-37659-0
Controles CIS:
Versión 6

Versión 7
4.1 Mantener inventario de cuentas administrativas

Utilice herramientas automatizadas para hacer un inventario de todas las cuentas administrativas, incluidas las de dominio y locales.
cuentas, para garantizar que solo las personas autorizadas tengan privilegios elevados.


acceso.
77 | Página
Página 79
2.2.8 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado
a 'Administradores' (solo DC) (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios o grupos tienen derecho a iniciar sesión como Remote
Cliente de servicios de escritorio. Si su organización utiliza Asistencia remota como parte de su mesa de ayuda
estrategia, cree un grupo y asígnele este derecho de usuario a través de la Política de grupo. Si la mesa de ayuda
en su organización no utiliza Asistencia remota, asigne este derecho de usuario solo al
Los administradores agrupan
o utilizan la función Grupos restringidos para asegurarse de que ningún usuario
Las cuentas forman parte del grupo Usuarios de escritorio remoto .
Restringir este derecho de usuario al grupo de administradores y posiblemente al escritorio remoto

Grupo de usuarios , para evitar que usuarios no deseados obtengan acceso a las computadoras de su
red mediante la función de Asistencia remota.
Nota: Un servidor miembro que tiene el Servicios de escritorio remoto papel con escritorio remoto
Connection Broker Role Service requerirá una excepción especial a esta recomendación, para
permitir que el grupo de usuarios autenticados tenga este derecho de usuario.
Nota # 2: Las listas anteriores deben tratarse como listas blancas, lo que implica que las anteriores
No es necesario que los directores estén presentes para que se apruebe la evaluación de esta recomendación.
Nota n. ° 3: en todas las versiones de Windows Server anteriores a Server 2008 R2, Escritorio remoto
Los servicios se conocían como servicios de terminal , por lo que debería sustituir el término anterior si
en comparación con un sistema operativo anterior.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto puede iniciar sesión
en la consola remota de la computadora. Si no restringe este derecho de usuario a legitimar
usuarios que necesitan iniciar sesión en la consola de la computadora, los usuarios no autorizados pueden
descargar y ejecutar software malintencionado para elevar sus privilegios.
78 | Página
Página 80
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Permitir el inicio de sesión a través de Servicios de escritorio remoto
Impacto:
Eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto de otros
grupos o cambios de membresía en estos grupos predeterminados podrían limitar las capacidades de los usuarios
que desempeñan funciones administrativas específicas en su entorno. Deberías confirmar que
las actividades delegadas no se verán afectadas negativamente.
Valor por defecto:
Administradores.
Referencias:
1. CCE-37072-6
79 | Página
Página 81
Controles CIS:
Versión 6

Versión 7

4.6 Uso de máquinas dedicadas para todas las tareas administrativas

Asegúrese de que los administradores utilicen una máquina dedicada para todas las tareas o tareas administrativas
requiriendo acceso administrativo. Esta máquina estará segmentada de la organización
red principal y no se le permitirá el acceso a Internet. Esta máquina no se utilizará para
leer correo electrónico, redactar documentos o navegar por Internet.

6.2 Activar el registro de auditoría

Asegúrese de que se haya habilitado el registro local en todos los sistemas y dispositivos de red.
80 | Página
Página 82
2.2.9 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado
a 'Administradores, usuarios de escritorio remoto' (solo MS) (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios o grupos tienen derecho a iniciar sesión como Remote
Cliente de servicios de escritorio. Si su organización utiliza Asistencia remota como parte de su mesa de ayuda
estrategia, cree un grupo y asígnele este derecho de usuario a través de la Política de grupo. Si la mesa de ayuda
en su organización no utiliza Asistencia remota, asigne este derecho de usuario solo al
Los administradores agrupan
o utilizan la función Grupos restringidos para asegurarse de que ningún usuario
Las cuentas forman parte del grupo Usuarios de escritorio remoto .
Restringir este derecho de usuario al grupo de administradores y posiblemente al escritorio remoto

Grupo de usuarios , para evitar que usuarios no deseados obtengan acceso a las computadoras de su
red mediante la función de Asistencia remota.
El estado recomendado para esta configuración es: administradores, usuarios de escritorio remoto .
Connection Broker Role Service requerirá una excepción especial a esta recomendación, para
permitir que el grupo de usuarios autenticados tenga este derecho de usuario.
Nota # 2: Las listas anteriores deben tratarse como listas blancas, lo que implica que las anteriores
No es necesario que los directores estén presentes para que se apruebe la evaluación de esta recomendación.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto puede iniciar sesión
en la consola remota de la computadora. Si no restringe este derecho de usuario a legitimar
descargar y ejecutar software malintencionado para elevar sus privilegios.
81 | Página
Página 83
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Permitir el inicio de sesión a través de Servicios de escritorio remoto
Impacto:
Eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto de otros
grupos o cambios de membresía en estos grupos predeterminados podrían limitar las capacidades de los usuarios
que desempeñan funciones administrativas específicas en su entorno. Deberías confirmar que
las actividades delegadas no se verán afectadas negativamente.
Valor por defecto:
Administradores, usuarios de escritorio remoto.
Referencias:
1. CCE-37072-6
82 | Página
Página 84
Controles CIS:
Versión 6

Versión 7



acceso.


83 | Página
Página 85
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado como 'Administrado
(Puntuado)
Descripción:
Esta configuración de política permite a los usuarios eludir los permisos de archivos y directorios para realizar copias de seguridad
sistema. Este derecho de usuario está habilitado solo cuando una aplicación (como NTBACKUP ) intenta
acceder a un archivo o directorio a través de la programación de la aplicación de respaldo del sistema de archivos NTFS
interfaz (API). De lo contrario, se aplican los permisos de directorio y archivo asignados.
Razón fundamental:
Los usuarios que pueden hacer una copia de seguridad de los datos de una computadora pueden llevar el medio de copia de seguridad a un
equipo de dominio en el que tienen privilegios administrativos y restaurar los datos. Ellos
podría tomar posesión de los archivos y ver cualquier dato no cifrado que esté contenido en
el conjunto de respaldo.
Auditoría:
prescrito.
Remediación:

Administradores .

Políticas \ Asignación de derechos de usuario \ Copia de seguridad de archivos y directorios
84 | Página
Página 86
Impacto:
Cambios en la membresía de los grupos que tienen el usuario Copia de seguridad de archivos y directorios
derecho podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en
tu entorno. Debe confirmar que los administradores de respaldo autorizados aún pueden
para realizar operaciones de respaldo.
Valor por defecto:
En servidores miembro: administradores, operadores de respaldo.
En controladores de dominio: administradores, operadores de respaldo, operadores de servidor.
Referencias:
1. CCE-35912-5
Controles CIS:
Versión 6

Versión 7


85 | Página
Página 87
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en 'Administradores,
SERVICIO LOCAL '(puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios y grupos pueden cambiar la fecha y la hora en el
reloj interno de las computadoras de su entorno. Usuarios a los que se les asigna este derecho de usuario
puede afectar la apariencia de los registros de eventos. Cuando se cambia la configuración de hora de una computadora, se registra
los eventos reflejan el nuevo tiempo, no el tiempo real en que ocurrieron.
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL .
Nota: Discrepancias entre la hora en la computadora local y en el dominio.

Los controladores de su entorno pueden causar problemas para la autenticación Kerberos
protocolo, que podría hacer imposible que los usuarios inicien sesión en el dominio u obtengan
autorización para acceder a los recursos del dominio después de iniciar sesión. Además, los problemas
ocurrir cuando la directiva de grupo se aplica a los equipos cliente si la hora del sistema no es
sincronizado con los controladores de dominio.
86 | Página
Página 88
Razón fundamental:
Los usuarios que pueden cambiar la hora en una computadora pueden causar varios problemas. Por ejemplo,
las marcas de tiempo en las entradas del registro de eventos pueden ser inexactas, las marcas de tiempo en archivos y carpetas
que se crean o modifican pueden ser incorrectos y los equipos que pertenecen a un dominio
es posible que no puedan autenticarse a sí mismos o a los usuarios que intentan iniciar sesión en el dominio desde
ellos. Además, debido a que el protocolo de autenticación Kerberos requiere que el solicitante y
autenticador tiene sus relojes sincronizados dentro de un período de sesgo definido por el administrador,
un atacante que cambia la hora de una computadora puede hacer que esa computadora no pueda obtener
u otorgar tickets Kerberos.
El riesgo de este tipo de eventos se mitiga en la mayoría de los controladores de dominio, miembros
Servidores y equipos de usuario final porque el servicio de hora de Windows automáticamente
sincroniza la hora con los controladores de dominio de las siguientes formas:
• Todas las computadoras de escritorio cliente y los servidores miembro utilizan el dominio de autenticación
Controller como su socio de tiempo de entrada.
• Todos los controladores de dominio de un dominio designan al controlador de dominio principal (PDC)
El maestro de operaciones del emulador es su socio de tiempo de entrada.
• Todos los maestros de operaciones del emulador de PDC siguen la jerarquía de dominios en el
selección de su compañero de tiempo de entrada.
• El maestro de operaciones del emulador de PDC en la raíz del dominio tiene autoridad para
la organización. Por lo tanto, se recomienda que configure este equipo para
sincronizar con un servidor de hora externo confiable.
Esta vulnerabilidad se vuelve mucho más grave si un atacante puede cambiar el sistema.
hora y luego detenga el servicio de hora de Windows o reconfigure para sincronizar con una hora
servidor que no es exacto.
Auditoría:
prescrito.
Remediación:

Administradores, SERVICIO LOCAL :

Políticas \ Asignación de derechos de usuario \ Cambiar la hora del sistema
87 | Página
Página 89
Impacto:
No debería haber ningún impacto, porque la sincronización de tiempo para la mayoría de las organizaciones debería ser
totalmente automatizado para todos los equipos que pertenecen al dominio. Computadoras que no pertenecen
al dominio debe configurarse para sincronizarse con una fuente externa.
Valor por defecto:
En servidores miembros: administradores, SERVICIO LOCAL.
En controladores de dominio: administradores, operadores de servidor, SERVICIO LOCAL.
Referencias:
1. CCE-37452-0
Controles CIS:
Versión 6

Versión 7


88 | Página
Página 90
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores,
Descripción:
Esta configuración determina qué usuarios pueden cambiar la zona horaria de la computadora. Esta habilidad
no supone un gran peligro para la computadora y puede ser útil para los trabajadores móviles.
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL .
Razón fundamental:
Cambiar la zona horaria representa poca vulnerabilidad porque la hora del sistema no es
afectado. Esta configuración simplemente permite a los usuarios mostrar su zona horaria preferida mientras
sincronizado con controladores de dominio en diferentes zonas horarias.
Auditoría:
prescrito.
Remediación:

Administradores, SERVICIO LOCAL :

Políticas \ Asignación de derechos de usuario \ Cambiar la zona horaria
Impacto:
Valor por defecto:
Administradores, SERVICIO LOCAL.
89 | Página
Página 91
Referencias:
1. CCE-37700-2
Controles CIS:
Versión 6

Versión 7


90 | Página
Página 92
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores' (puntuad
Descripción:
Esta configuración de política permite a los usuarios cambiar el tamaño del archivo de paginación. Haciendo el archivo de paginación
extremadamente grande o extremadamente pequeño, un atacante podría afectar fácilmente el rendimiento de un
computadora comprometida.
Razón fundamental:
Los usuarios que pueden cambiar el tamaño del archivo de la página pueden hacerlo extremadamente pequeño o mover el archivo a un
volumen de almacenamiento muy fragmentado, lo que podría reducir el rendimiento de la computadora.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Crear un archivo de paginación
Impacto:
Valor por defecto:
Administradores.
91 | Página
Página 93
Referencias:
1. CCE-35821-8
Controles CIS:
Versión 6

Versión 7


92 | Página
Página 94
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie' (puntuado)
Descripción:
Esta configuración de directiva permite que un proceso cree un token de acceso, que puede proporcionar
derechos de acceso a datos sensibles.
Razón fundamental:
Una cuenta de usuario a la que se le otorga este derecho de usuario tiene control total sobre el sistema y puede
llevar a que el sistema se vea comprometido. Es muy recomendable que no asigne
cualquier usuario cuenta con este derecho.
El sistema operativo examina el token de acceso de un usuario para determinar el nivel de

privilegios. Los tokens de acceso se crean cuando los usuarios inician sesión en la computadora local o se conectan a una
computadora remota a través de una red. Cuando revoca un privilegio, el cambio es inmediatamente
registrado, pero el cambio no se refleja en el token de acceso del usuario hasta la próxima vez
el usuario inicia sesión o se conecta. Los usuarios con la capacidad de crear o modificar tokens pueden cambiar la
nivel de acceso para cualquier cuenta actualmente conectada. Podrían escalar sus propios privilegios
o crear una condición DoS.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Crear un objeto token
93 | Página
Página 95
Impacto:
Valor por defecto:
Ninguno.
Referencias:
1. CCE-36861-3
Controles CIS:
Versión 6

Versión 7

94 | Página
Página 96
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores,
SERVICIO LOCAL, SERVICIO DE RED, SERVICIO '(puntuado)

Descripción:
Esta configuración de directiva determina si los usuarios pueden crear objetos globales que estén disponibles para
todas las sesiones. Los usuarios aún pueden crear objetos que sean específicos de su propia sesión si no
tener este derecho de usuario.
Los usuarios que pueden crear objetos globales pueden afectar a los procesos que se ejecutan bajo los
sesiones. Esta capacidad puede dar lugar a una variedad de problemas, como fallas en la aplicación o
corrupción de datos.
SERVICIO, SERVICIO .
Nota: un servidor miembro con Microsoft SQL Server y sus "servicios de integración" opcionales
componente instalado requerirá una excepción especial a esta recomendación para más
Entradas generadas por SQL para otorgar este derecho de usuario.
Razón fundamental:
Los usuarios que pueden crear objetos globales podrían afectar los servicios y procesos de Windows que se ejecutan
bajo otras cuentas de usuario o del sistema. Esta capacidad podría dar lugar a una variedad de problemas,
como fallas en la aplicación, corrupción de datos y elevación de privilegios.
Auditoría:
prescrito.
Remediación:

Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO :

Políticas \ Asignación de derechos de usuario \ Crear objetos globales
95 | Página
Página 97
Impacto:
Valor por defecto:
Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO.
Referencias:
1. CCE-37453-8
Controles CIS:
Versión 6
Versión 7


96 | Página
Página 98
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'Nadie'
(Puntuado)
Descripción:
Este derecho de usuario es útil para los componentes en modo kernel que amplían el espacio de nombres del objeto.
Sin embargo, los componentes que se ejecutan en modo kernel tienen este derecho de usuario de forma inherente. Por lo tanto
Por lo general, no es necesario asignar específicamente este derecho de usuario.
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear objetos compartidos permanentes pueden crear nuevos objetos compartidos.
objetos y exponer datos sensibles a la red.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Crear objetos compartidos permanentes
Impacto:
Valor por defecto:
Ninguno.
97 | Página
Página 99
Referencias:
1. CCE-36532-0
Controles CIS:
Versión 6

Versión 7

98 | Página
Página 100
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores' (DC
solamente) (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista,
Se puede acceder a los objetos existentes del sistema de archivos NTFS, como archivos y carpetas, consultando un
nuevo tipo de objeto del sistema de archivos llamado enlace simbólico. Un enlace simbólico es un puntero (muy parecido a
un acceso directo o archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, carpeta, acceso directo o
otro vínculo simbólico. La diferencia entre un atajo y un enlace simbólico es que un
El acceso directo solo funciona desde el shell de Windows. A otros programas y aplicaciones,
Los atajos son solo otro archivo, mientras que con los enlaces simbólicos, el concepto de atajo es
implementado como una característica del sistema de archivos NTFS.
Los enlaces simbólicos pueden exponer potencialmente vulnerabilidades de seguridad en aplicaciones que no
diseñado para usarlos. Por esta razón, el privilegio de crear enlaces simbólicos solo debe
ser asignado a usuarios de confianza. De forma predeterminada, solo los administradores pueden crear enlaces simbólicos.
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear enlaces simbólicos podrían inadvertidamente o de manera maliciosa
exponga su sistema a ataques de enlaces simbólicos. Los ataques de enlace simbólico se pueden utilizar para cambiar
los permisos en un archivo, para corromper datos, para destruir datos o como un ataque de denegación de servicio.
Auditoría:
prescrito.
Remediación:
Para implementar el estado de configuración recomendado, configure la siguiente ruta de IU:

Políticas \ Asignación de derechos de usuario \ Crear enlaces simbólicos
99 | Página
Página 101
Impacto:
En la mayoría de los casos, no habrá ningún impacto porque esta es la configuración predeterminada. Sin embargo, en
Servidores Windows con la función de servidor Hyper-V instalada, este derecho de usuario también debe ser
concedido al grupo especial Máquinas virtuales ; de lo contrario, no podrá crear
nuevas máquinas virtuales.
Valor por defecto:
Administradores.
Referencias:
1. CCE-35823-4
Controles CIS:
Versión 6

Versión 7


100 | Página
Página 102
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores, NT
MÁQUINA VIRTUAL \ Máquinas virtuales (solo MS) (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista,
Se puede acceder a los objetos existentes del sistema de archivos NTFS, como archivos y carpetas, consultando un
nuevo tipo de objeto del sistema de archivos llamado enlace simbólico. Un enlace simbólico es un puntero (muy parecido a
un acceso directo o archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, carpeta, acceso directo o
otro vínculo simbólico. La diferencia entre un atajo y un enlace simbólico es que un
El acceso directo solo funciona desde el shell de Windows. A otros programas y aplicaciones,
Los atajos son solo otro archivo, mientras que con los enlaces simbólicos, el concepto de atajo es
implementado como una característica del sistema de archivos NTFS.
Los enlaces simbólicos pueden exponer potencialmente vulnerabilidades de seguridad en aplicaciones que no
diseñado para usarlos. Por esta razón, el privilegio de crear enlaces simbólicos solo debe
ser asignado a usuarios de confianza. De forma predeterminada, solo los administradores pueden crear enlaces simbólicos.
El estado recomendado para esta configuración es: administradores y (cuando el rol de Hyper-V es
instalado) NT VIRTUAL MACHINE \ Virtual Machines .
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear enlaces simbólicos podrían inadvertidamente o de manera maliciosa
exponga su sistema a ataques de enlaces simbólicos. Los ataques de enlace simbólico se pueden utilizar para cambiar
los permisos en un archivo, para corromper datos, para destruir datos o como un ataque de denegación de servicio.
Auditoría:
prescrito.
Remediación:
Para implementar el estado de configuración recomendado, configure la siguiente ruta de IU:

Políticas \ Asignación de derechos de usuario \ Crear enlaces simbólicos
101 | Página
Página 103
Impacto:
En la mayoría de los casos, no habrá ningún impacto porque esta es la configuración predeterminada. Sin embargo, en
Servidores Windows con la función de servidor Hyper-V instalada, este derecho de usuario también debe ser
concedido al grupo especial Máquinas virtuales ; de lo contrario, no podrá crear
nuevas máquinas virtuales.
Valor por defecto:
Administradores.
Referencias:
1. CCE-35823-4
Controles CIS:
Versión 6

Versión 7

102 | Página
Página 104
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado como 'Administradores' (puntuados)
Descripción:
Esta configuración de política determina qué cuentas de usuario tendrán derecho a adjuntar un depurador
a cualquier proceso o al kernel, que proporciona acceso completo a información sensible y crítica
componentes del sistema operativo. Los desarrolladores que depuran sus propias aplicaciones
no es necesario que se le asigne este derecho de usuario; sin embargo, los desarrolladores que están depurando nuevos
los componentes del sistema lo necesitarán.
Razón fundamental:
El derecho de usuario de los programas de depuración se puede aprovechar para capturar información
información de la memoria del sistema, o para acceder y modificar las estructuras del kernel o de la aplicación.
Algunas herramientas de ataque explotan este derecho de usuario para extraer contraseñas hash y otras
información de seguridad o para insertar código de rootkit. De forma predeterminada, el derecho de usuario de los programas de depuración
se asigna solo a los administradores, lo que ayuda a mitigar el riesgo de esta vulnerabilidad.
Auditoría:
prescrito.
Remediación:

Administradores :
Políticas \ Asignación de derechos de usuario \ Programas de depuración
103 | Página
Página 105
Impacto:
Si revoca este derecho de usuario, nadie podrá depurar programas. Sin embargo, típico
Las circunstancias rara vez requieren esta capacidad en equipos de producción. Si surge un problema
que requiere depurar una aplicación en un servidor de producción, puede mover el
servidor a una OU diferente temporalmente y asignar el derecho de usuario de los programas de depuración a un
Política de grupo separada para esa unidad organizativa.
La cuenta de servicio que se utiliza para el servicio de clúster necesita el usuario de los programas de depuración
Derecha; si no lo tiene, la agrupación en clústeres de Windows fallará.
Las herramientas que se utilizan para gestionar procesos no podrán afectar los procesos que no
propiedad de la persona que ejecuta las herramientas. Por ejemplo, el recurso de Windows Server 2003
La herramienta del kit Kill.exe requiere este derecho de usuario para que los administradores finalicen procesos que
no empezaron.
Valor por defecto:
Administradores.
Referencias:
1. CCE-37075-9
Controles CIS:
Versión 6

Versión 7


104 | Página
Página 106
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para
incluir 'Invitados' (solo DC) (puntuados)
Descripción:
Esta configuración de directiva prohíbe a los usuarios conectarse a una computadora desde la red,
lo que permitiría a los usuarios acceder y potencialmente modificar los datos de forma remota. En alta seguridad
entornos, no debería ser necesario que los usuarios remotos accedan a los datos en una computadora.
En cambio, el intercambio de archivos debe lograrse mediante el uso de servidores de red. Este usuario
derecho reemplaza el derecho de usuario Acceder a esta computadora desde la red si una cuenta es
sujeto a ambas políticas.
El estado recomendado para esta configuración es incluir: Invitados .
Precaución: La configuración de un servidor independiente (no unido a un dominio) como se describe arriba puede
resultar en una incapacidad para administrar remotamente el servidor.
Nota: El identificador de seguridad Cuenta local y miembro del grupo Administradores no es

disponible en Server 2008 R2 y Server 2012 (no R2) a menos que MSKB 2871997 ha sido
instalado.
Nota # 2: Configurar un servidor miembro o un servidor independiente como se describe arriba puede
afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el
Grupo de administradores: en cuyo caso debe convertir la aplicación para usar un
cuenta de servicio alojada en el dominio, o elimine la cuenta local y el miembro de
Grupo de administradores de
esta asignación de derechos de usuario. Usar un servicio alojado en un dominio
se prefiere encarecidamente tener en cuenta a hacer una excepción a esta regla, cuando sea posible.
Razón fundamental:
Los usuarios que pueden iniciar sesión en la computadora a través de la red pueden enumerar listas de cuentas
nombres, nombres de grupos y recursos compartidos. Usuarios con permiso para acceder a carpetas compartidas
y los archivos pueden conectarse a través de la red y posiblemente ver o modificar datos.
Auditoría:
prescrito.
105 | Página
Página 107
Remediación:

Políticas \ Asignación de derechos de usuario \ Denegar el acceso a esta computadora desde la red
Impacto:
Si configura el derecho de usuario Denegar acceso a esta computadora desde la red para otros
grupos, puede limitar las capacidades de los usuarios que están asignados a administradores específicos
roles en su entorno. Debe verificar que las tareas delegadas no se vean negativamente
afectado.
Valor por defecto:
Invitado.
Referencias:
1. CCE-37954-5
Controles CIS:
Versión 6

Versión 7
16.8 Deshabilitar cualquier cuenta no asociada

Deshabilite cualquier cuenta que no se pueda asociar con un proceso comercial o negocio
propietario.
106 | Página
Página 108
2.2.21 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para
incluir 'Invitados, cuenta local y miembro del grupo de administradores'
(Solo MS) (puntuado)
Descripción:
Esta configuración de directiva prohíbe a los usuarios conectarse a una computadora desde la red,
lo que permitiría a los usuarios acceder y potencialmente modificar los datos de forma remota. En alta seguridad
entornos, no debería ser necesario que los usuarios remotos accedan a los datos en una computadora.
En cambio, el intercambio de archivos debe lograrse mediante el uso de servidores de red. Este usuario
derecho reemplaza el derecho de usuario Acceder a esta computadora desde la red si una cuenta es
sujeto a ambas políticas.
El estado recomendado para esta configuración es incluir: invitados, cuenta local y miembro
del grupo Administradores .
Nota: El identificador de seguridad Cuenta local y miembro del grupo Administradores no es

disponible en Server 2008 R2 y Server 2012 (no R2) a menos que MSKB 2871997 ha sido
instalado.
Nota # 2: Configurar un servidor miembro o un servidor independiente como se describe arriba puede
afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el
Grupo de administradores: en cuyo caso debe convertir la aplicación para usar un
cuenta de servicio alojada en el dominio, o elimine la cuenta local y el miembro de
Grupo de administradores de
esta asignación de derechos de usuario. Usar un servicio alojado en un dominio
se prefiere encarecidamente tener en cuenta a hacer una excepción a esta regla, cuando sea posible.
Razón fundamental:
Los usuarios que pueden iniciar sesión en la computadora a través de la red pueden enumerar listas de cuentas
nombres, nombres de grupos y recursos compartidos. Usuarios con permiso para acceder a carpetas compartidas
y los archivos pueden conectarse a través de la red y posiblemente ver o modificar datos.
107 | Página
Página 109
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Denegar el acceso a esta computadora desde la red
Impacto:
Si configura el derecho de usuario Denegar acceso a esta computadora desde la red para otros
roles en su entorno. Debe verificar que las tareas delegadas no se vean negativamente
afectado.
Valor por defecto:
Ninguno.
Referencias:
1. CCE-37954-5
Controles CIS:
Versión 6

Versión 7
propietario.
108 | Página
Página 110
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados'
(Puntuado)
Descripción:
Esta configuración de directiva determina qué cuentas no podrán iniciar sesión en el equipo como
un trabajo por lotes. Un trabajo por lotes no es un archivo por lotes (.bat), sino más bien una función de cola de lotes. Cuentas
que utilizan el Programador de tareas para programar trabajos necesitan este derecho de usuario.
Este derecho de usuario reemplaza el derecho de usuario Iniciar sesión como trabajo por lotes , que podría utilizarse para
permitir que las cuentas programen trabajos que consuman recursos excesivos del sistema. Tal
la ocurrencia podría causar una condición DoS. No asignar este derecho de usuario al
las cuentas recomendadas pueden suponer un riesgo para la seguridad.
Razón fundamental:
Las cuentas que tienen el derecho de usuario Iniciar sesión como trabajo por lotes se pueden utilizar para programar trabajos que
podría consumir recursos informáticos excesivos y causar una condición de DoS.
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Invitados :

Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión como trabajo por lotes
109 | Página
Página 111
Impacto:
Si asigna el derecho Denegar inicio de sesión como un usuario de trabajo por lotes a otras cuentas, podría denegar
los usuarios que están asignados a roles administrativos específicos la capacidad de realizar sus
actividades laborales. Debe confirmar que las tareas delegadas no se verán afectadas negativamente.
Por ejemplo, si asigna este derecho de usuario a la cuenta IWAM_ (ComputerName) , el MSM
El punto de gestión fallará. En una computadora recién instalada que ejecuta Windows Server 2003
esta cuenta no pertenece al grupo Invitados , sino a una computadora que se actualizó
desde Windows 2000, esta cuenta es miembro del grupo Invitados . Por tanto, es
Es importante que comprenda qué cuentas pertenecen a cualquier grupo al que asigne el
Denegar el inicio de sesión como derecho de usuario de trabajo por lotes .
Valor por defecto:
Ninguno.
Referencias:
1. CCE-36923-1
Controles CIS:
Versión 6

Versión 7

propietario.
110 | Página
Página 112
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados' (puntuados)

Descripción:
Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar una
proceso como servicio. Este derecho de usuario reemplaza el derecho de usuario Iniciar sesión como servicio si un
La cuenta está sujeta a ambas políticas.
Nota: esta configuración de seguridad no se aplica al sistema , servicio local o red

Cuentas de servicio .
Razón fundamental:
Las cuentas que pueden iniciar sesión como servicio se pueden utilizar para configurar y comenzar de nuevo.
servicios no autorizados, como un keylogger u otro software malintencionado. El beneficio de la
La contramedida especificada se reduce un poco por el hecho de que solo los usuarios con
privilegios administrativos pueden instalar y configurar servicios, y un atacante que ha
ya alcanzado ese nivel de acceso podría configurar el servicio para que se ejecute con el Sistema
cuenta.
Auditoría:
prescrito.
Remediación:
Invitados :

Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión como servicio
Impacto:
Si asigna el derecho Denegar inicio de sesión como usuario de servicio a cuentas específicas, es posible que los servicios no
poder comenzar y podría producirse una condición DoS.
111 | Página
Página 113
Valor por defecto:
Ninguno.
Referencias:
1. CCE-36877-9
Controles CIS:
Versión 6

Versión 7

propietario.
112 | Página
Página 114
2.2.24 (L1) Asegúrese de 'Denegar inicio de sesión localmente' para incluir 'Invitados' (puntuados)
Descripción:
Esta configuración de seguridad determina qué usuarios no pueden iniciar sesión en el

computadora. Esta configuración de directiva reemplaza la configuración de directiva Permitir inicio de sesión local si una
La cuenta está sujeta a ambas políticas.
Importante: si aplica esta política de seguridad al grupo Todos , nadie podrá

inicie sesión localmente.
Razón fundamental:
Cualquier cuenta con la capacidad de iniciar sesión localmente podría usarse para iniciar sesión en la consola del
computadora. Si este derecho de usuario no está restringido a usuarios legítimos que necesitan iniciar sesión en
consola de la computadora, los usuarios no autorizados pueden descargar y ejecutar software malicioso
que eleva sus privilegios.
Auditoría:
prescrito.
Remediación:
Invitados :

Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión localmente
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión local a cuentas adicionales, podría limitar el
las habilidades de los usuarios asignados a roles específicos en su entorno. Sin embargo, este usuario
right debe asignarse explícitamente a la cuenta ASPNET en equipos que ejecutan IIS 6.0. Tú
debe confirmar que las actividades delegadas no se verán afectadas negativamente.
113 | Página
Página 115
Valor por defecto:
Ninguno.
Referencias:
1. CCE-37146-8
Controles CIS:
Versión 6

Versión 7

propietario.
114 | Página
Página 116
2.2.25 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto' para
incluir 'Invitados' (solo DC) (puntuados)
Descripción:
Esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Escritorio remoto. Después
el servidor miembro de línea de base está unido a un entorno de dominio, no es necesario utilizar
cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al
servidor para la administración y el procesamiento del usuario final. Este derecho de usuario reemplaza a Permitir
inicie sesión a través del derecho de usuario de Servicios de Escritorio remoto si una cuenta está sujeta a ambos
políticas.
Nota: El identificador de seguridad Cuenta local no está disponible en Server 2008 R2 y Server
2012 (no R2) a menos que Se ha instalado MSKB 2871997 .
Razón fundamental:
Cualquier cuenta con derecho a iniciar sesión a través de Servicios de escritorio remoto podría usarse para iniciar sesión
en la consola remota de la computadora. Si este derecho de usuario no se limita a los legítimos
descargar y ejecutar software malintencionado que eleva sus privilegios.
Auditoría:
prescrito.
115 | Página
Página 117
Remediación:
Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión a través de Servicios de escritorio remoto
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de escritorio remoto a otros
roles en su entorno. Las cuentas que tengan este derecho de usuario no podrán conectarse a
la computadora a través de Servicios de escritorio remoto o Asistencia remota. Debieras
confirmar que las tareas delegadas no se verán afectadas negativamente.
Valor por defecto:
Ninguno.
Referencias:
1. CCE-36867-0
Controles CIS:
Versión 6

Versión 7

propietario.
116 | Página
Página 118
2.2.26 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' esté configurad
a 'Invitados, cuenta local' (solo MS) (puntuado)
Descripción:
Esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Escritorio remoto. Después
el servidor miembro de línea de base está unido a un entorno de dominio, no es necesario utilizar
cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al
servidor para la administración y el procesamiento del usuario final. Este derecho de usuario reemplaza a Permitir
inicie sesión a través del derecho de usuario de Servicios de Escritorio remoto si una cuenta está sujeta a ambos
políticas.
El estado recomendado para esta configuración es: Invitados, cuenta local .
Nota: El identificador de seguridad Cuenta local no está disponible en Server 2008 R2 y Server
2012 (no R2) a menos que Se ha instalado MSKB 2871997 .
Razón fundamental:
Cualquier cuenta con derecho a iniciar sesión a través de Servicios de escritorio remoto podría usarse para iniciar sesión
en la consola remota de la computadora. Si este derecho de usuario no se limita a los legítimos
descargar y ejecutar software malintencionado que eleva sus privilegios.
Auditoría:
prescrito.
117 | Página
Página 119
Remediación:

Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión a través de Servicios de escritorio remoto
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de escritorio remoto a otros
roles en su entorno. Las cuentas que tengan este derecho de usuario no podrán conectarse a
la computadora a través de Servicios de escritorio remoto o Asistencia remota. Debieras
confirmar que las tareas delegadas no se verán afectadas negativamente.
Valor por defecto:
Ninguno.
Referencias:
1. CCE-36867-0
Controles CIS:
Versión 6

Versión 7

propietario.
118 | Página
Página 120
delegación 'se establece en' Administradores '(solo DC) (puntuado)
Descripción:
Esta configuración de política permite a los usuarios cambiar la configuración de Confianza para delegación en una computadora
objeto en Active Directory. El abuso de este privilegio podría permitir que usuarios no autorizados
hacerse pasar por otros usuarios de la red.
Razón fundamental:
Uso indebido de la opción Permitir que las cuentas de usuario y equipo sean de confianza para el usuario de delegación
derecho podría permitir que usuarios no autorizados se hagan pasar por otros usuarios en la red. Un
El atacante podría aprovechar este privilegio para obtener acceso a los recursos de red y hacerlo
Es difícil determinar qué sucedió después de un incidente de seguridad.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Habilitar cuentas de usuario y de computadora
de confianza para la delegación
Impacto:
Valor por defecto:
Administradores.
119 | Página
Página 121
Referencias:
1. CCE-36860-5
Controles CIS:
Versión 6

Versión 7


120 | Página
Página 122
2.2.28 (L1) 'se

delegación Asegúrese deen'
establece 'Permitir que las
Nadie '(solo cuentas
MS) de usuario y de computadora sean confiables
(puntuado)
Descripción:
Esta configuración de política permite a los usuarios cambiar la configuración de Confianza para delegación en una computadora
objeto en Active Directory. El abuso de este privilegio podría permitir que usuarios no autorizados
hacerse pasar por otros usuarios de la red.
Razón fundamental:
Uso indebido de la opción Permitir que las cuentas de usuario y equipo sean de confianza para el usuario de delegación
derecho podría permitir que usuarios no autorizados se hagan pasar por otros usuarios en la red. Un
El atacante podría aprovechar este privilegio para obtener acceso a los recursos de red y hacerlo
Es difícil determinar qué sucedió después de un incidente de seguridad.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Habilitar cuentas de usuario y de computadora
de confianza para la delegación
Impacto:
Valor por defecto:
Ninguno.
121 | Página
Página 123
Referencias:
1. CCE-36860-5
Controles CIS:
Versión 6

Versión 7

122 | Página
Página 124
'Administradores' (puntuados)
Descripción:
Esta configuración de política permite a los usuarios apagar equipos basados en Windows Vista y más nuevos
desde ubicaciones remotas en la red. Cualquiera a quien se le haya asignado este derecho de usuario puede
causar una condición de denegación de servicio (DoS), que haría que la computadora no esté disponible para
solicitudes de los usuarios del servicio. Por lo tanto, se recomienda que solo administradores de alta confianza
tener asignado este derecho de usuario.
Razón fundamental:
Cualquier usuario que pueda apagar una computadora podría provocar una condición de DoS. Por lo tanto,
este derecho de usuario debería estar estrictamente restringido.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Forzar apagado desde un sistema remoto
Impacto:
Si elimina el cierre forzado de un usuario del sistema remoto directamente desde el servidor
Grupo de operadores puede limitar las capacidades de los usuarios asignados a
roles administrativos en su entorno. Debe confirmar que las actividades delegadas
no se vea afectado negativamente.
123 | Página
Página 125
Valor por defecto:
En servidores miembro: administradores.
En controladores de dominio: administradores, operadores de servidor.
Referencias:
1. CCE-37877-8
Controles CIS:
Versión 6

Versión 7


124 | Página
Página 126
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'SERVICIO LOCAL,
SERVICIO DE RED '(puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios o procesos pueden generar registros de auditoría en el
Registro de seguridad.
El estado recomendado para esta configuración es: SERVICIO LOCAL, SERVICIO DE RED .
Nota n. ° 2: un servidor miembro que tiene el rol de servidor web (IIS) con el rol de servidor web
El servicio requerirá una excepción especial a esta recomendación, para permitir la aplicación IIS
grupo (s) para que se le conceda este derecho de usuario.
Nota n. ° 3: Un servidor miembro que tenga la función de servicios de federación de Active Directory
requieren una excepción especial a esta recomendación, para permitir NT SERVICE \ ADFSSrv y
Servicios NT SERVICE \ DRS ,
así como los servicios de federación de Active Directory asociados
cuenta de servicio, para obtener este derecho de usuario.
Razón fundamental:
Un atacante podría utilizar esta capacidad para crear una gran cantidad de eventos auditados, que
haría más difícil para un administrador del sistema localizar cualquier actividad ilícita. También si
el registro de eventos está configurado para sobrescribir eventos según sea necesario, cualquier evidencia de no autorizado
las actividades pueden ser sobrescritas por una gran cantidad de eventos no relacionados.
Auditoría:
prescrito.
125 | Página
Página 127
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en LOCAL
SERVICIO, SERVICIO DE RED :

Políticas \ Asignación de derechos de usuario \ Generar auditorías de seguridad
Impacto:
En la mayoría de las computadoras, esta es la configuración predeterminada y no habrá ningún impacto negativo.
Sin embargo, si ha instalado el rol de servidor web (IIS) con el servicio de rol de servicios web ,
deberá permitir que los grupos de aplicaciones de IIS tengan este derecho de usuario.
Valor por defecto:
SERVICIO LOCAL, SERVICIO DE RED.
Referencias:
1. CCE-37639-2
Controles CIS:
Versión 6

Versión 7

126 | Página
Página 128
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' (solo DC)
(Puntuado)
Descripción:
La configuración de directiva permite que los programas que se ejecutan en nombre de un usuario se hagan pasar por ese usuario (o
otra cuenta especificada) para que puedan actuar en nombre del usuario. Si este derecho de usuario es
requerido para este tipo de suplantación, un usuario no autorizado no podrá convencer a un
cliente para conectarse, por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un
servicio que han creado para hacerse pasar por ese cliente, lo que podría elevar la
permisos de usuarios no autorizados a niveles administrativos o del sistema.
Los servicios que inicia el Administrador de control de servicios tienen el grupo de servicios integrado
agregado por defecto a sus tokens de acceso. Servidores COM iniciados por COM
infraestructura y configurados para ejecutarse bajo una cuenta específica también tienen el grupo de servicio
agregado a sus tokens de acceso. Como resultado, a estos procesos se les asigna este derecho de usuario cuando
se inician.
Además, un usuario puede hacerse pasar por un token de acceso si existe alguna de las siguientes condiciones:
• El token de acceso que se está suplantando es para este usuario.

• El usuario, en esta sesión de inicio de sesión, inició sesión en la red con credenciales explícitas para
crea el token de acceso.
• El nivel solicitado es menor que Suplantar, como Anónimo o Identificar.
Un atacante con el derecho de suplantar a un cliente después de la autenticación podría crear un

servicio, engañar a un cliente para que se conecte al servicio y luego hacerse pasar por ese cliente
para elevar el nivel de acceso del atacante al del cliente.
SERVICIO, SERVICIO .
Nota n. ° 2: Un servidor miembro con Microsoft SQL Server y su "Integración

El componente "Servicios" instalado requerirá una excepción especial a esta recomendación para
entradas adicionales generadas por SQL para recibir este derecho de usuario.
127 | Página
Página 129
Razón fundamental:

Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Hacerse pasar por un cliente después de la autenticación
Impacto:
En la mayoría de los casos, esta configuración no tendrá ningún impacto. Si ha instalado el servidor web
(IIS) Rol con el Servicio de rol de servicios web , también deberá asignar el derecho de usuario a
IIS_IUSRS .
Valor por defecto:
Referencias:
1. CCE-37106-2
128 | Página
Página 130
Controles CIS:
Versión 6

Versión 7


129 | Página
Página 131
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' y
(cuando el rol del servidor web (IIS) con el servicio de rol de servicios web es
instalado) 'IIS_IUSRS' (solo MS) (puntuado)
Descripción:
La configuración de directiva permite que los programas que se ejecutan en nombre de un usuario se hagan pasar por ese usuario (o
otra cuenta especificada) para que puedan actuar en nombre del usuario. Si este derecho de usuario es
requerido para este tipo de suplantación, un usuario no autorizado no podrá convencer a un
cliente para conectarse, por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un
servicio que han creado para hacerse pasar por ese cliente, lo que podría elevar la
permisos de usuarios no autorizados a niveles administrativos o del sistema.
Los servicios que inicia el Administrador de control de servicios tienen el grupo de servicios integrado
agregado por defecto a sus tokens de acceso. Servidores COM iniciados por COM
infraestructura y configurados para ejecutarse bajo una cuenta específica también tienen el grupo de servicio
agregado a sus tokens de acceso. Como resultado, a estos procesos se les asigna este derecho de usuario cuando
se inician.
Además, un usuario puede hacerse pasar por un token de acceso si existe alguna de las siguientes condiciones:
• El token de acceso que se está suplantando es para este usuario.

• El usuario, en esta sesión de inicio de sesión, inició sesión en la red con credenciales explícitas para
crea el token de acceso.
• El nivel solicitado es menor que Suplantar, como Anónimo o Identificar.

130 | Página
Página 132
SERVICIO, SERVICIO y (cuando el Rol del servidor web (IIS) con el Servicio de rol de servicios web es
instalado) IIS_IUSRS .
Nota n. ° 2: Un servidor miembro con Microsoft SQL Server y su "Integración

El componente "Servicios" instalado requerirá una excepción especial a esta recomendación para
entradas adicionales generadas por SQL para recibir este derecho de usuario.
Razón fundamental:

Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Hacerse pasar por un cliente después de la autenticación
Impacto:
En la mayoría de los casos, esta configuración no tendrá ningún impacto. Si ha instalado el servidor web
(IIS) Rol con el Servicio de rol de servicios web , también deberá asignar el derecho de usuario a
IIS_IUSRS .
Valor por defecto:
Referencias:
1. CCE-37106-2
131 | Página
Página 133
Controles CIS:
Versión 6

Versión 7


132 | Página
Página 134
2.2.33 (L1) Asegúrese de que 'Aumentar la prioridad de programación' esté configurado en 'Administradores,
Administrador de ventanas \ Grupo de administrador de ventanas '(puntuado)
Descripción:
Esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un
proceso. (No es una operación privilegiada aumentar la prioridad relativa dentro de una prioridad
class.) Este derecho de usuario no es requerido por las herramientas administrativas que se proporcionan con el
sistema operativo, pero puede ser necesario para las herramientas de desarrollo de software.
El estado recomendado para esta configuración es: Administradores, Administrador de ventanas \ Ventana
Gerente de Grupo .
Razón fundamental:
Un usuario al que se le asigna este derecho de usuario podría aumentar la prioridad de programación de un proceso para
Tiempo real, lo que dejaría poco tiempo de procesamiento para todos los demás procesos y podría conducir
a una condición DoS.
Auditoría:
prescrito.
Remediación:

Administradores, Administrador de ventanas \ Grupo de administradores de ventanas :

Políticas \ Asignación de derechos de usuario \ Aumentar la prioridad de programación
Impacto:
133 | Página
Página 135
Valor por defecto:
En Windows Server 2016 o anterior: administradores.
En Windows Server 2019 o posterior: administradores, Administrador de ventanas \ Administrador de ventanas

Grupo.
Referencias:
1. CCE-38326-5
Controles CIS:
Versión 6

Versión 7


134 | Página
Página 136
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivos' esté configurado en
Descripción:
Esta configuración de directiva permite a los usuarios cargar dinámicamente un nuevo controlador de dispositivo en un sistema. Un
El atacante podría utilizar esta capacidad para instalar código malicioso que parece ser un
controlador de dispositivo. Este derecho de usuario es necesario para que los usuarios agreguen impresoras locales o controladores de impresora en
Windows Vista.
Razón fundamental:
Los controladores de dispositivos se ejecutan como código con privilegios elevados. Un usuario que tiene el dispositivo de carga y descarga
El derecho de usuario de los controladores podría instalar involuntariamente código malicioso que se disfraza de
controlador de dispositivo. Los administradores deben tener más cuidado e instalar solo controladores con
firmas digitales verificadas.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Cargar y descargar controladores de dispositivo
135 | Página
Página 137
Impacto:
Si quita el derecho de usuario Cargar y descargar controladores de dispositivo de Operadores de impresión

grupo u otras cuentas, podría limitar las capacidades de los usuarios asignados a
roles administrativos en su entorno. Debe asegurarse de que las tareas delegadas no
verse afectado negativamente.
Valor por defecto:
En servidores miembro: administradores.
En controladores de dominio: administradores, operadores de impresión.
Referencias:
1. CCE-36318-4
Controles CIS:
Versión 6

Versión 7


136 | Página
Página 138
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado en 'Nadie' (puntuado)
Descripción:
Esta configuración de directiva permite que un proceso mantenga datos en la memoria física, lo que evita
sistema desde la paginación de los datos a la memoria virtual en el disco. Si se asigna este derecho de usuario,
Puede ocurrir una degradación significativa del rendimiento del sistema.
Nota: Un servidor miembro con Microsoft SQL Server instalado requerirá una excepción especial
a esta recomendación para que se conceda este derecho de usuario a entradas adicionales generadas por SQL.
Razón fundamental:
Los usuarios con el derecho de usuario Bloquear páginas en memoria pueden asignar memoria física a varios
procesos, que podrían dejar poca o ninguna RAM para otros procesos y resultar en una DoS
condición.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Bloquear páginas en memoria
Impacto:
Valor por defecto:
Ninguno.
137 | Página
Página 139
Referencias:
1. CCE-36495-0
Controles CIS:
Versión 6

Versión 7

138 | Página
Página 140
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores' (DC
Solo) (puntuado)
Descripción:
Esta configuración de política permite que las cuentas inicien sesión mediante el servicio del programador de tareas. Porque el
El programador de tareas se usa a menudo con fines administrativos, puede ser necesario en empresas
Ambientes. Sin embargo, su uso debe restringirse en entornos de alta seguridad para
evitar el uso indebido de los recursos del sistema o para evitar que los atacantes utilicen el derecho a iniciar
código malicioso después de obtener acceso de nivel de usuario a una computadora.
Razón fundamental:
El derecho de usuario Iniciar sesión como trabajo por lotes presenta una vulnerabilidad de bajo riesgo. Para la mayoría
organizaciones, la configuración predeterminada es suficiente.
Auditoría:
prescrito.
Remediación:

Administradores :
Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Usuario
Asignación de derechos \ Iniciar sesión como trabajo por lotes
139 | Página
Página 141
Impacto:
Si configura la opción Iniciar sesión como trabajo por lotes a través de Políticas de grupo basadas en el dominio,
la computadora no podrá asignar el derecho de usuario a las cuentas que se utilizan para
trabajos programados en el Programador de tareas. Si instala componentes opcionales como ASP.NET
o IIS, es posible que deba asignar este derecho de usuario a cuentas adicionales que requiera
esos componentes. Por ejemplo, IIS requiere la asignación de este derecho de usuario al IIS_WPG
grupo y las cuentas IUSR_ (ComputerName) , ASPNET e IWAM_ (ComputerName) . Si esto
el derecho de usuario no está asignado a este grupo y estas cuentas, IIS no podrá ejecutar algunas
Objetos COM que son necesarios para una funcionalidad adecuada.
Valor por defecto:
Administradores, Operadores de respaldo.
Referencias:
1. CCE-38080-8
Controles CIS:
Versión 6

Versión 7

140 | Página
Página 142
2.2.37 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en
'Administradores' y (cuando Exchange se ejecuta en el entorno)
'Exchange Servers' (solo DC) (puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden cambiar las opciones de auditoría para archivos y
directorios y borre el registro de seguridad.
Para entornos que ejecutan Microsoft Exchange Server, el grupo de servidores Exchange debe
poseer este privilegio en los controladores de dominio para funcionar correctamente. Dado esto, los países en desarrollo que
conceda al grupo de servidores de Exchange este privilegio también conforme a este punto de referencia. Si el
entorno no utiliza Microsoft Exchange Server, entonces este privilegio debe ser limitado
solo para administradores en DC.
El estado recomendado para esta configuración es: administradores y (cuando Exchange se está ejecutando
en el medio ambiente) Exchange Servers .
Razón fundamental:
La capacidad de administrar el registro de eventos de seguridad es un poderoso derecho de usuario y debe

guardado. Cualquiera con este derecho de usuario puede borrar el registro de seguridad para borrar evidencia importante
de actividad no autorizada.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Administrar registro de auditoría y seguridad
141 | Página
Página 143
Impacto:
Valor por defecto:
Administradores.
Referencias:
1. CCE-35906-7
Controles CIS:
Versión 6

Versión 7


6.5 Gestión central de registros

Asegúrese de que los registros adecuados se agreguen a un sistema de administración de registros central
para análisis y revisión.
142 | Página
Página 144
'Administradores' (solo MS) (puntuados)
Descripción:
Esta configuración de directiva determina qué usuarios pueden cambiar las opciones de auditoría para archivos y
directorios y borre el registro de seguridad.
Para entornos que ejecutan Microsoft Exchange Server, el grupo de servidores Exchange debe
poseer este privilegio en los controladores de dominio para funcionar correctamente. Dado esto, los países en desarrollo que
conceda al grupo de servidores de Exchange este privilegio también conforme a este punto de referencia. Si el
entorno no utiliza Microsoft Exchange Server, entonces este privilegio debe ser limitado
solo para administradores en DC.
Razón fundamental:
La capacidad de administrar el registro de eventos de seguridad es un poderoso derecho de usuario y debe

guardado. Cualquiera con este derecho de usuario puede borrar el registro de seguridad para borrar evidencia importante
de actividad no autorizada.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Administrar registro de auditoría y seguridad
Impacto:
143 | Página
Página 145
Valor por defecto:
Administradores.
Referencias:
1. CCE-35906-7
Controles CIS:
Versión 6

Versión 7


144 | Página
Página 146
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie' (puntuado)
Descripción:
Este privilegio determina qué cuentas de usuario pueden modificar la etiqueta de integridad de los objetos,
como archivos, claves de registro o procesos propiedad de otros usuarios. Procesos que se ejecutan bajo un
La cuenta de usuario puede modificar la etiqueta de un objeto propiedad de ese usuario a un nivel inferior sin
este privilegio.
Razón fundamental:
Al modificar la etiqueta de integridad de un objeto propiedad de otro usuario, un usuario malintencionado puede
hacer que ejecuten código con un nivel de privilegio superior al previsto.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Modificar una etiqueta de objeto
Impacto:
Valor por defecto:
Ninguno.
145 | Página
Página 147
Referencias:
1. CCE-36054-5
Controles CIS:
Versión 6

Versión 7

146 | Página
Página 148
Descripción:
Esta configuración de directiva permite a los usuarios configurar las variables de entorno de todo el sistema que
afectar la configuración del hardware. Esta información normalmente se almacena en el último producto bueno conocido
Configuración. Modificación de estos valores y podría provocar una falla de hardware que
resultar en una condición de denegación de servicio.
Razón fundamental:
Cualquiera que tenga asignado el derecho de usuario Modificar valores de entorno de firmware podría
configurar los ajustes de un componente de hardware para que falle, lo que podría generar datos
corrupción o una condición DoS.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Modificar los valores del entorno de firmware
Impacto:
147 | Página
Página 149
Valor por defecto:
Administradores.
Referencias:
1. CCE-38113-7
Controles CIS:
Versión 6

Versión 7

148 | Página
Página 150
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en
Descripción:
Esta configuración de política permite a los usuarios administrar el volumen del sistema o la configuración del disco,
que podría permitir a un usuario eliminar un volumen y causar la pérdida de datos, así como la denegación de
condición de servicio.
Razón fundamental:
Un usuario que tenga asignado el derecho de usuario Realizar tareas de mantenimiento de volumen podría eliminar un
volumen, lo que podría provocar la pérdida de datos o una condición de DoS.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Realizar tareas de mantenimiento de volumen
Impacto:
Valor por defecto:
Administradores.
149 | Página
Página 151
Referencias:
1. CCE-36143-6
Controles CIS:
Versión 6

Versión 7

150 | Página
Página 152
2.2.42 (L1) Asegúrese de que 'Proceso único de perfil' esté configurado como 'Administradores'
(Puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden utilizar herramientas para supervisar el rendimiento de
Procesos ajenos al sistema. Normalmente, no es necesario configurar este derecho de usuario para utilizar el
Complemento de rendimiento de Microsoft Management Console (MMC). Sin embargo, necesitas esto
derecho de usuario si System Monitor está configurado para recopilar datos mediante la administración de Windows
Instrumentación (WMI). Restringir el derecho de usuario de proceso único de perfil evita
intrusos de obtener información adicional que podría utilizarse para montar un ataque en el
sistema.
Razón fundamental:
El derecho de usuario de perfil único de proceso presenta una vulnerabilidad moderada. Un atacante con
este derecho de usuario podría monitorear el desempeño de una computadora para ayudar a identificar procesos críticos
que tal vez deseen atacar directamente. El atacante también puede determinar qué
Los procesos se ejecutan en la computadora para que puedan identificar las contramedidas que pueden
necesita evitar, como software antivirus, un sistema de detección de intrusiones, o que otros
los usuarios inician sesión en una computadora.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Proceso único de perfil
151 | Página
Página 153
Impacto:
Valor por defecto:
Administradores.
Referencias:
1. CCE-37131-0
Controles CIS:
Versión 6

Versión 7

152 | Página
Página 154
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en 'Administradores,
NT SERVICE \ WdiServiceHost '(puntuado)
Descripción:
Esta configuración de directiva permite a los usuarios utilizar herramientas para ver el rendimiento de diferentes sistemas
procesos, que podrían ser abusados para permitir a los atacantes determinar el activo de un sistema
procesos y proporcionar información sobre la superficie de ataque potencial de la computadora.
El estado recomendado para esta configuración es: Administradores, NT SERVICE \ WdiServiceHost .
Razón fundamental:
El derecho de usuario de rendimiento del sistema de perfiles presenta una vulnerabilidad moderada. Atacantes
con este derecho de usuario podría monitorear el rendimiento de una computadora para ayudar a identificar
procesos que deseen atacar directamente. Los atacantes también pueden determinar
qué procesos están activos en la computadora para que puedan identificar contramedidas
que pueden necesitar evitar, como software antivirus o un sistema de detección de intrusos.
Auditoría:
prescrito.
Remediación:

Administradores, NT SERVICE \ WdiServiceHost :

Políticas \ Asignación de derechos de usuario \ Perfil de rendimiento del sistema
Impacto:
153 | Página
Página 155
Valor por defecto:
Windows Server 2008 (no R2): administradores.
Windows Server 2008 R2 y versiones posteriores: administradores, NT SERVICE \ WdiServiceHost.
Referencias:
1. CCE-36052-9
Controles CIS:
Versión 6

Versión 7


154 | Página
Página 156
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'LOCAL
SERVICIO, SERVICIO DE RED '(puntuado)
Descripción:
Esta configuración de directiva permite que un proceso o servicio inicie otro servicio o proceso con una
token de acceso de seguridad diferente, que se puede utilizar para modificar el token de acceso de seguridad de
ese subproceso y resulta en la escalada de privilegios.
El estado recomendado para esta configuración es: SERVICIO LOCAL, SERVICIO DE RED .
Nota n. ° 2: un servidor miembro que tiene el rol de servidor web (IIS) con el rol de servidor web
El servicio requerirá una excepción especial a esta recomendación, para permitir la aplicación IIS
grupo (s) para que se le conceda este derecho de usuario.
Nota n. ° 3: un servidor miembro con Microsoft SQL Server instalado requerirá un

excepción a esta recomendación para que se otorguen entradas adicionales generadas por SQL
derecho de usuario.
Razón fundamental:
Los usuarios con el privilegio Reemplazar un token de nivel de proceso pueden iniciar procesos como otros
usuarios cuyas credenciales conocen. Podrían usar este método para ocultar sus
acciones en la computadora. (En equipos basados en Windows 2000, el uso de Reemplazar un
El derecho de usuario del token de nivel de proceso también requiere que el usuario tenga la opción Ajustar cuotas de memoria
para un derecho de usuario de proceso que se discutió anteriormente en esta sección).
Auditoría:
prescrito.
155 | Página
Página 157
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en LOCAL
SERVICIO, SERVICIO DE RED :

Políticas \ Asignación de derechos de usuario \ Reemplazo de un token de nivel de proceso
Impacto:
En la mayoría de las computadoras, esta es la configuración predeterminada y no habrá ningún impacto negativo.
Sin embargo, si ha instalado el rol de servidor web (IIS) con el servicio de rol de servicios web ,
deberá permitir que los grupos de aplicaciones de IIS reciban esta asignación de derechos de usuario.
Valor por defecto:
SERVICIO LOCAL, SERVICIO DE RED.
Referencias:
1. CCE-37430-6
Controles CIS:
Versión 6

Versión 7

156 | Página
Página 158
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado como 'Administradores'
(Puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios pueden omitir archivos, directorios, registros y otros
Permisos de objetos persistentes al restaurar archivos y directorios respaldados en computadoras
que ejecutan Windows Vista (o más reciente) en su entorno. Este derecho de usuario también determina
qué usuarios pueden establecer entidades de seguridad válidas como propietarios de objetos; es similar a la copia de seguridad
derechos de usuario de archivos y directorios .
Razón fundamental:
Un atacante con el derecho de usuario Restaurar archivos y directorios podría restaurar datos confidenciales
a una computadora y sobrescribir los datos más recientes, lo que podría provocar la pérdida de importantes
datos, corrupción de datos o denegación de servicio. Los atacantes podrían sobrescribir archivos ejecutables que
son utilizados por administradores legítimos o servicios del sistema con versiones que incluyen
software malintencionado para otorgarse privilegios elevados, comprometer datos o instalar
puertas traseras para un acceso continuo a la computadora.
Nota: Incluso si se configura la siguiente contramedida, un atacante podría restaurar

datos a una computadora en un dominio controlado por el atacante. Por tanto, es fundamental
que las organizaciones protejan cuidadosamente los medios que se utilizan para realizar copias de seguridad de los datos.
Auditoría:
prescrito.
157 | Página
Página 159
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Restaurar archivos y directorios
Impacto:
Si elimina el derecho de usuario Restaurar archivos y directorios de Operadores de copia de seguridad
cuentas de grupo y otras que podría hacer imposible para los usuarios que han sido delegados
tareas específicas para realizar esas tareas. Debe verificar que este cambio no sea negativo
afectar la capacidad del personal de su organización para realizar su trabajo.
Valor por defecto:
En controladores de dominio: administradores, operadores de respaldo, operadores de servidor.
Referencias:
1. CCE-37613-7
Controles CIS:
Versión 6

Versión 7

158 | Página
Página 160
2.2.46 (L1) Asegúrese de que 'Apagar el sistema' esté configurado en 'Administradores'

(Puntuado)
Descripción:
Esta configuración de directiva determina qué usuarios iniciaron sesión localmente en los equipos en
su entorno puede apagar el sistema operativo con el comando Apagar.
El mal uso de este derecho de usuario puede resultar en una condición de denegación de servicio.
Razón fundamental:
La capacidad de apagar controladores de dominio y servidores miembro debe limitarse a un
un número muy reducido de administradores de confianza. Aunque el usuario Shut down the system
derecho requiere la capacidad de iniciar sesión en el servidor, debe tener mucho cuidado con
cuentas y grupos que permite cerrar un controlador de dominio o un servidor miembro.
Cuando se apaga un controlador de dominio, ya no está disponible para procesar inicios de sesión, servir
Directiva de grupo y responda consultas del Protocolo ligero de acceso a directorios (LDAP). Si tu
apagar los controladores de dominio que poseen operaciones de maestro único flexible (FSMO)
roles, puede deshabilitar la funcionalidad de dominio clave, como procesar inicios de sesión para nuevos
contraseñas: una de las funciones del rol de emulador de controlador de dominio primario (PDC).
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Apagar el sistema
159 | Página
Página 161
Impacto:
El impacto de eliminar estos grupos predeterminados del derecho de usuario Cerrar el sistema
podría limitar las capacidades delegadas de los roles asignados en su entorno. Debieras
confirmar que las actividades delegadas no se verán afectadas negativamente.
Valor por defecto:
En controladores de dominio: administradores, operadores de respaldo, operadores de servidor, impresión

Operadores.
Referencias:
1. CCE-38328-1
Controles CIS:
Versión 6

Versión 7

160 | Página
Página 162
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'Nadie'
Descripción:
Esta configuración de seguridad determina qué usuarios y grupos tienen la autoridad para sincronizar
todos los datos del servicio de directorio. Esto también se conoce como sincronización de Active Directory.
Razón fundamental:
El derecho de usuario Sincronizar datos del servicio de directorio afecta a los controladores de dominio; solamente
Los controladores de dominio deberían poder sincronizar los datos del servicio de directorio. Dominio
Los controladores tienen este derecho de usuario de forma inherente, porque el proceso de sincronización se ejecuta en el
contexto de la cuenta del sistema en los controladores de dominio. Atacantes que tienen este derecho de usuario
puede ver toda la información almacenada en el directorio. Entonces podrían usar algo de eso
información para facilitar ataques adicionales o exponer datos confidenciales, como
números de teléfono o direcciones físicas.
Auditoría:
prescrito.
Remediación:

Políticas \ Asignación de derechos de usuario \ Sincronizar datos del servicio de directorio
Impacto:
Valor por defecto:
Ninguno.
161 | Página
Página 163
Referencias:
1. CCE-36099-0
Controles CIS:
Versión 6

Versión 7

162 | Página
Página 164
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado en
Descripción:
Esta configuración de política permite a los usuarios tomar posesión de archivos, carpetas, claves de registro, procesos,
o hilos. Este derecho de usuario omite los permisos que existen para proteger objetos a
otorgar propiedad al usuario especificado.
Razón fundamental:
Cualquier usuario con el derecho de usuario Tomar posesión de archivos u otros objetos puede tomar el control
cualquier objeto, independientemente de los permisos sobre ese objeto, y luego realizar los cambios que
deseo a ese objeto. Tales cambios podrían resultar en la exposición de datos, corrupción de datos o
Condición DoS.
Auditoría:
prescrito.
Remediación:

Administradores :

Políticas \ Asignación de derechos de usuario \ Tomar posesión de archivos u otros objetos
Impacto:
163 | Página
Página 165
Valor por defecto:
Administradores.
Referencias:
1. CCE-38325-7
Controles CIS:
Versión 6

Versión 7
164 | Página
Página 166
2.3 Opciones de seguridad

Esta sección contiene recomendaciones para las opciones de seguridad.
2.3.1 Cuentas
Esta sección contiene recomendaciones relacionadas con las cuentas predeterminadas.
2.3.1.1 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de administrador' esté configurado en
'Discapacitado' (solo MS) (puntuado)
Descripción:
Esta configuración de directiva habilita o deshabilita la cuenta de administrador durante el funcionamiento normal.
Cuando una computadora se inicia en modo seguro, la cuenta de administrador siempre está habilitada,
independientemente de cómo esté configurado este ajuste. Tenga en cuenta que esta configuración no tendrá ningún impacto cuando
aplicado a la unidad organizativa de controladores de dominio a través de la política de grupo porque el dominio
Los controladores no tienen una base de datos de cuentas local. Se puede configurar a nivel de dominio a través de
política de grupo, similar a la configuración de política de contraseña y bloqueo de cuenta.
Razón fundamental:
En algunas organizaciones, puede ser un desafío de gestión desalentador mantener un

programa para cambios periódicos de contraseña para cuentas locales. Por lo tanto, es posible que desee
deshabilite la cuenta de administrador incorporada en lugar de depender de los cambios regulares de contraseña
para protegerlo del ataque. Otra razón para deshabilitar esta cuenta integrada es que no se puede
bloqueado sin importar cuántos inicios de sesión fallidos acumule, lo que lo convierte en un objetivo principal para
ataques de fuerza bruta que intentan adivinar contraseñas. Además, esta cuenta tiene un conocido
identificador de seguridad (SID) y hay herramientas de terceros que permiten la autenticación mediante
el SID en lugar del nombre de la cuenta. Esta capacidad significa que incluso si cambia el nombre del
Cuenta de administrador, un atacante podría lanzar un ataque de fuerza bruta utilizando el SID para registrar
en.
165 | Página
Página 167
Auditoría:
prescrito.
Remediación:

Políticas \ Opciones de seguridad \ Cuentas: estado de la cuenta de administrador
Impacto:
Pueden surgir problemas de mantenimiento en determinadas circunstancias si deshabilita el Administrador

cuenta. Por ejemplo, si el canal seguro entre una computadora miembro y el dominio
El controlador falla en un entorno de dominio por cualquier motivo y no hay otro local
Cuenta de administrador, debe reiniciar en modo seguro para solucionar el problema que rompió el
canal seguro.
Si la contraseña de administrador actual no cumple con los requisitos de contraseña,

no podrá volver a habilitar la cuenta de administrador después de que esté deshabilitada. Si esta situacion
ocurre, otro miembro del grupo de administradores debe establecer la contraseña en el
Cuenta de administrador con la herramienta Usuarios y grupos locales.
Valor por defecto:
Discapacitado.
Referencias:
1. CCE-37953-7
166 | Página
Página 168
Controles CIS:
Versión 6

Versión 7

propietario.
167 | Página
Página 169
2.3.1.2 (L1) Asegúrese de que 'Cuentas: bloquear cuentas de Microsoft' esté configurado en 'Usuarios
no se puede agregar o iniciar sesión con cuentas de Microsoft '(puntuado)

Descripción:
Esta configuración de directiva evita que los usuarios agreguen nuevas cuentas de Microsoft en esta computadora.
El estado recomendado para esta configuración es: Los usuarios no pueden agregar ni iniciar sesión con Microsoft
cuentas .
Razón fundamental:
Organizaciones que desean implementar políticas de gestión de identidad y

Mantener un control firme de qué cuentas se utilizan para iniciar sesión en sus computadoras probablemente
quiere bloquear cuentas de Microsoft. Las organizaciones también pueden necesitar bloquear cuentas de Microsoft.
para cumplir con los requisitos de las normas de cumplimiento que se aplican a su información
sistemas.
Auditoría:
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System:

NoConnectedUser
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Usuarios
no se puede agregar o iniciar sesión con cuentas de Microsoft :

Políticas \ Opciones de seguridad \ Cuentas: bloquear cuentas de Microsoft
Impacto:
Los usuarios no podrán iniciar sesión en la computadora con su cuenta de Microsoft.
168 | Página
Página 170
Valor por defecto:
Los usuarios pueden utilizar cuentas de Microsoft con Windows.
Referencias:
1. CCE-36147-7
Controles CIS:
Versión 6

Versión 7

propietario.
169 | Página
Página 171
2.3.1.3 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de invitado' esté configurado en 'Deshabilitado'
Descripción:
Esta configuración de directiva determina si la cuenta de invitado está habilitada o deshabilitada. El invitado
cuenta permite que los usuarios de la red no autenticados obtengan acceso al sistema.
Nota: esta configuración no tendrá ningún impacto cuando se aplique a los controladores de dominio
unidad organizativa a través de la política de grupo porque los controladores de dominio no tienen una cuenta local
base de datos. Se puede configurar a nivel de dominio a través de la política de grupo, similar a la cuenta
configuración de política de bloqueo y contraseña.
Razón fundamental:
La cuenta de invitado predeterminada permite que los usuarios de la red no autenticados inicien sesión como invitado sin
contraseña. Estos usuarios no autorizados podrían acceder a cualquier recurso que sea accesible para el
Cuenta de invitado a través de la red. Esta capacidad significa que cualquier red comparte con
permisos que permiten el acceso a la cuenta de invitado, el grupo de invitados o todos
será accesible a través de la red, lo que podría conducir a la exposición o corrupción
de datos.
Auditoría:
prescrito.
Remediación:

Políticas \ Opciones de seguridad \ Cuentas: estado de la cuenta de invitado
170 | Página
Página 172
Impacto:
Todos los usuarios de la red deberán autenticarse antes de poder acceder a los recursos compartidos. Si tu
deshabilite la cuenta de invitado y la opción Acceso a la red: modelo de seguridad y uso compartido está configurada
Solo para invitados, inicios de sesión en red, como los que realiza Microsoft Network Server
(Servicio SMB), fallará. Esta configuración de política debería tener poco impacto en la mayoría de las organizaciones
porque es la configuración predeterminada en Microsoft Windows 2000, Windows XP y Windows
Server ™ 2003.
Valor por defecto:
Discapacitado.
Referencias:
1. CCE-37432-2
Controles CIS:
Versión 6
16.1 Realizar revisiones periódicas de la cuenta

Revise todas las cuentas del sistema y deshabilite cualquier cuenta que no pueda asociarse con un
proceso de negocio y propietario.
Versión 7

propietario.
171 | Página
Página 173
2.3.1.4 (L1) Asegúrese de 'Cuentas: Limite el uso de cuentas locales en blanco

las contraseñas solo para el inicio de sesión de la consola 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si las cuentas locales que no están protegidas por contraseña pueden
se puede utilizar para iniciar sesión desde ubicaciones distintas a la consola física del equipo. Si habilita
esta configuración de política, las cuentas locales que tienen contraseñas en blanco no podrán iniciar sesión en el
red desde equipos cliente remotos. Estas cuentas solo podrán iniciar sesión en el
teclado de la computadora.
Razón fundamental:
Las contraseñas en blanco son una seria amenaza para la seguridad informática y deben prohibirse
mediante la política organizativa y las medidas técnicas adecuadas. De hecho, el valor predeterminado
La configuración de los dominios de Active Directory requiere contraseñas complejas de al menos siete
caracteres. Sin embargo, si los usuarios con la capacidad de crear nuevas cuentas omiten su dominio,
políticas de contraseñas basadas, podrían crear cuentas con contraseñas en blanco. Por ejemplo, un
el usuario puede construir una computadora independiente, crear una o más cuentas con
contraseñas y luego unir la computadora al dominio. Las cuentas locales en blanco
las contraseñas seguirían funcionando. Cualquiera que sepa el nombre de alguno de estos desprotegidos
las cuentas podrían usarlo para iniciar sesión.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: LimitBlankPasswordUse
172 | Página
Página 174
Remediación:

Políticas \ Opciones de seguridad \ Cuentas: limite el uso de la cuenta local de espacios en blanco
contraseñas para el inicio de sesión de la consola solamente
Impacto:
Valor por defecto:
Habilitado.
Referencias:
1. CCE-37615-2
Controles CIS:
Versión 6

Versión 7

173 | Página
Página 175
2.3.1.5 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de administrador'

(Puntuado)
Descripción:
La cuenta de administrador local incorporada es un nombre de cuenta bien conocido que los atacantes
objetivo. Se recomienda elegir otro nombre para esta cuenta y evitar nombres que
denotar cuentas administrativas o de acceso elevado. Asegúrese de cambiar también el valor predeterminado
descripción para el administrador local (a través de la consola de administración de equipos). En
Controladores de dominio, dado que no tienen sus propias cuentas locales, esta regla se refiere a
cuenta de administrador integrada que se estableció cuando se creó el dominio por primera vez.
Razón fundamental:
La cuenta de administrador existe en todas las computadoras que ejecutan Windows 2000 o más reciente
sistemas operativos. Si cambia el nombre de esta cuenta, es un poco más difícil para personas no autorizadas
personas para adivinar esta combinación de nombre de usuario privilegiado y contraseña.
La cuenta de administrador integrada no se puede bloquear, independientemente de cuántas veces

El atacante podría usar una contraseña incorrecta. Esta capacidad convierte a la cuenta de administrador en una
objetivo popular para ataques de fuerza bruta que intentan adivinar contraseñas. El valor de esto
la contramedida se reduce porque esta cuenta tiene un SID bien conocido, y hay
herramientas de terceros que permiten la autenticación mediante el SID en lugar del nombre de la cuenta.
Por lo tanto, incluso si cambia el nombre de la cuenta de administrador, un atacante podría lanzar una
forzar el ataque utilizando el SID para iniciar sesión.
Auditoría:
prescrito.
Remediación:

Políticas \ Opciones de seguridad \ Cuentas: cambiar el nombre de la cuenta de administrador
174 | Página
Página 176
Impacto:
Deberá informar a los usuarios autorizados a utilizar esta cuenta de la nueva cuenta.
nombre. (La guía para esta configuración asume que la cuenta de administrador no fue
deshabilitado, que se recomendó anteriormente en este capítulo).
Valor por defecto:
Administrador.
Referencias:
1. CCE-38233-3
Controles CIS:
Versión 6

Versión 7

propietario.
175 | Página
Página 177
2.3.1.6 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de invitado' (puntuado)

Descripción:
La cuenta de invitado local integrada es otro nombre conocido por los atacantes. Es
Se recomienda cambiar el nombre de esta cuenta a algo que no indique su propósito. Incluso
Si deshabilita esta cuenta, lo cual se recomienda, asegúrese de cambiarle el nombre para agregar
seguridad. En los controladores de dominio, dado que no tienen sus propias cuentas locales, esta regla
hace referencia a la cuenta de invitado integrada que se estableció cuando se creó el dominio por primera vez.
Razón fundamental:
La cuenta de invitado existe en todas las computadoras que ejecutan Windows 2000 o versiones posteriores.
sistemas. Si cambia el nombre de esta cuenta, es un poco más difícil para las personas no autorizadas
adivine esta combinación de nombre de usuario privilegiado y contraseña.
Auditoría:
prescrito.
Remediación:

Políticas \ Opciones de seguridad \ Cuentas: cambiar el nombre de la cuenta de invitado
Impacto:
Debería haber poco impacto, porque la cuenta de invitado está deshabilitada de forma predeterminada.
Valor por defecto:
Invitado.
176 | Página
Página 178
Referencias:
1. CCE-38027-9
Controles CIS:
Versión 6

Versión 7

propietario.
177 | Página
Página 179
2.3.2 Auditoría
Esta sección contiene recomendaciones relacionadas con la auditoría de controles.
2.3.2.1 (L1) Asegurar 'Auditoría: Forzar configuración de subcategoría de política de auditoría

(Windows Vista o posterior) para anular la configuración de la categoría de política de auditoría 'está establecido
Descripción:
Esta configuración de directiva permite a los administradores habilitar las capacidades de auditoría más precisas
presente en Windows Vista.
La configuración de la política de auditoría disponible en Windows Server 2003 Active Directory aún no
contienen configuraciones para administrar las nuevas subcategorías de auditoría. Para aplicar correctamente el
las políticas de auditoría prescritas en esta línea de base, la subcategoría de política de auditoría Auditoría: Fuerza
configuración (Windows Vista o posterior) para anular la configuración de la categoría de política de auditoría
configurarse en Habilitado.
Importante: tenga mucho cuidado con la configuración de auditoría que puede generar un gran volumen de
tráfico. Por ejemplo, si habilita la auditoría de éxito o fracaso para todos los privilegios
Utilice subcategorías, el gran volumen de eventos de auditoría generados puede dificultar su búsqueda
otros tipos de entradas en el registro de seguridad. Dicha configuración también podría tener una
impacto en el rendimiento del sistema.
Razón fundamental:
Antes de la introducción de las subcategorías de auditoría en Windows Vista, era difícil

Seguimiento de eventos a nivel de sistema o de usuario. Las categorías de eventos más grandes también se crearon
Muchos eventos y la información clave que necesitaba ser auditada fue difícil de encontrar.
178 | Página
Página 180
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: SCENoApplyLegacyAudit

Política
Remediación:
Políticas \ Opciones de seguridad \ Auditoría: Forzar configuración de subcategoría de políticas de auditoría
(Windows Vista o posterior) para anular la configuración de la categoría de política de auditoría
Impacto:
Valor por defecto:
Habilitado. (Se utilizarán los parámetros de configuración de la política de auditoría avanzada para
configuración, y se ignorarán los ajustes de configuración de la política de auditoría heredada).
Referencias:
1. CCE-37850-5
179 | Página
Página 181
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7

6.3 Habilitar el registro detallado

Habilite el registro del sistema para incluir información detallada como el origen del evento, la fecha,
usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles.
6.4 Asegurar un almacenamiento adecuado para los troncos

Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generado.

180 | Página
Página 182
2.3.2.2 (L1) Asegúrese de 'Auditoría: apague el sistema inmediatamente si no puede

auditorías de seguridad de registro 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva determina si el sistema se apaga si no puede registrar Seguridad

eventos. Es un requisito para los Criterios de evaluación de sistemas informáticos confiables (TCSEC) -C2
y la certificación Common Criteria para evitar que ocurran eventos auditables si la auditoría
el sistema no puede registrarlos. Microsoft ha optado por cumplir con este requisito al detener la
sistema y muestra un mensaje de detención si el sistema de auditoría experimenta una falla. Cuando
Si esta configuración de política está habilitada, el sistema se apagará si no se puede realizar una auditoría de seguridad.
registrado por cualquier motivo.
Si la auditoría: Apague el sistema inmediatamente si no puede registrar las auditorías de seguridad

habilitado, pueden ocurrir fallas no planificadas del sistema. La carga administrativa puede ser
importante, especialmente si también configura el método de retención para el registro de seguridad para hacer
no sobrescribir eventos (borrar el registro manualmente). Esta configuración provoca una amenaza de repudio (un
operador de copia de seguridad podría negar que hizo una copia de seguridad o restauró datos) para convertirse en una negación de
vulnerabilidad del servicio (DoS), porque un servidor podría verse obligado a apagarse si
abrumado por los eventos de inicio de sesión y otros eventos de seguridad que se escriben en la seguridad
Iniciar sesión. Además, debido a que el apagado no es elegante, es posible que se produzcan daños irreparables en el
sistema operativo, aplicaciones o datos podrían resultar. Aunque el sistema de archivos NTFS
garantiza su integridad cuando se produce un apagado desagradable de la computadora, no puede
garantizar que todos los archivos de datos de cada aplicación seguirán estando en una forma utilizable cuando
la computadora se reinicia.
Razón fundamental:
Si la computadora no puede registrar eventos en el registro de seguridad, evidencia crítica o importante

Es posible que la información de solución de problemas no esté disponible para su revisión después de un incidente de seguridad. También,
un atacante podría generar un gran volumen de eventos de registro de seguridad para
forzar el apagado de la computadora.
181 | Página
Página 183
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: CrashOnAuditFail
Remediación:

Políticas \ Opciones de seguridad \ Auditoría: apague el sistema inmediatamente si no puede
registrar auditorías de seguridad
Impacto:
Valor por defecto:
Discapacitado.
Referencias:
1. CCE-35907-5
182 | Página
Página 184
Controles CIS:
Versión 6
6 Mantenimiento, seguimiento y análisis de registros de auditoría

Mantenimiento, seguimiento y análisis de registros de auditoría
Versión 7



generado.

2.3.3 DCOM
183 | Página
Página 185
2.3.4 Dispositivos
Esta sección contiene recomendaciones relacionadas con la gestión de dispositivos.
2.3.4.1 (L1) Asegúrese de que 'Dispositivos: Permitidos formatear y expulsar
media 'se establece en' Administradores '(puntuados)

Descripción:
Esta configuración de directiva determina quién puede formatear y expulsar medios NTFS extraíbles.
Puede utilizar esta configuración de política para evitar que usuarios no autorizados eliminen datos en una
computadora para acceder a ella en otra computadora en la que tienen administrador local
privilegios.
Razón fundamental:
Los usuarios pueden mover datos en discos extraíbles a una computadora diferente donde
tener privilegios administrativos. El usuario podría entonces tomar posesión de cualquier archivo, otorgar
ellos mismos el control total, y ver o modificar cualquier archivo. El hecho de que la mayoría de los dispositivos de almacenamiento extraíbles
Los dispositivos expulsarán los medios presionando un botón mecánico, lo que disminuye la ventaja de este
establecimiento de políticas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows

NT \ CurrentVersion \ Winlogon: AllocateDASD
184 | Página
Página 186
Remediación:

Administradores :

Políticas \ Opciones de seguridad \ Dispositivos: se permite formatear y expulsar elementos extraíbles
medios de comunicación
Impacto:
Valor por defecto:
Administradores. (Solo los administradores podrán formatear y expulsar archivos NTFS extraíbles
medios de comunicación.)
Referencias:
1. CCE-37701-0
185 | Página
Página 187
Controles CIS:
Versión 6

Versión 7

8.4 Configurar el análisis antimalware de dispositivos extraíbles

Configure los dispositivos para que realicen automáticamente un análisis anti-malware de
medios cuando está insertado o conectado.
13.7 Administrar dispositivos USB

Si se requieren dispositivos de almacenamiento USB, se debe utilizar software empresarial que pueda
configurar sistemas para permitir el uso de dispositivos específicos. Un inventario de tales dispositivos debe
ser mantenido.
186 | Página
Página 188
2.3.4.2 (L1) Asegúrese de 'Dispositivos: evitar que los usuarios instalen controladores de impresora'
está configurado en 'Habilitado' (puntuado)
Descripción:
Para que una computadora imprima en una impresora compartida, el controlador de esa impresora compartida debe ser
instalado en la computadora local. Esta configuración de seguridad determina quién puede instalar un
controlador de impresora como parte de la conexión a una impresora compartida.
Nota: esta configuración no afecta la capacidad de agregar una impresora local. Esta configuración no
afectar a los administradores.
Razón fundamental:
En algunas organizaciones puede ser apropiado permitir que los usuarios instalen controladores de impresora en
sus propias estaciones de trabajo. Sin embargo, debe permitir que solo los administradores, no los usuarios, lo hagan
en servidores, ya que la instalación del controlador de impresora en un servidor puede provocar involuntariamente la
computadora para volverse menos estable. Un usuario malintencionado podría instalar una impresora inapropiada
controladores en un intento deliberado de dañar la computadora, o un usuario podría instalar accidentalmente
software malintencionado que se hace pasar por un controlador de impresora. Es factible que un atacante
disfrazar un programa caballo de Troya como un controlador de impresora. El programa puede parecer a los usuarios como si
deben usarlo para imprimir, pero dicho programa podría desencadenar un código malicioso en su
Red de computadoras.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ Providers \ LanMan

Servicios de impresión \ Servidores: AddPrinterDrivers
187 | Página
Página 189
Remediación:

Políticas \ Opciones de seguridad \ Dispositivos: evitar que los usuarios instalen la impresora
conductores
Impacto:
Valor por defecto:
Habilitado. (Solo los administradores podrán instalar un controlador de impresora como parte de la conexión
a una impresora compartida. La capacidad de agregar una impresora local no se verá afectada).
Referencias:
1. CCE-37942-0
Controles CIS:
Versión 6

Versión 7
5.1 Establecer configuraciones seguras

Mantener estándares de configuración de seguridad estándar documentados para todos los
sistemas operativos y software.
188 | Página
Página 190
2.3.5 controlador de dominio

Esta sección contiene recomendaciones relacionadas con los controladores de dominio.
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor
programar tareas 'está configurado como' Desactivado '(solo DC) (puntuado)
Descripción:
Esta configuración de directiva determina si los miembros del grupo Operadores de servidor son
Se permite enviar trabajos mediante la función de programación AT. El impacto de esta política
La configuración de la configuración debe ser pequeña para la mayoría de las organizaciones. Los usuarios, incluidos los del
El grupo de operadores del servidor, aún podrá crear trabajos mediante el Programador de tareas.
Asistente, pero esos trabajos se ejecutarán en el contexto de la cuenta con la que el usuario
se autentica cuando configuran el trabajo.
Nota: Una cuenta de servicio AT se puede modificar para seleccionar una cuenta diferente en lugar de la
Cuenta LOCAL SYSTEM. Para cambiar la cuenta, abra Herramientas del sistema, haga clic en Tareas programadas,
y luego haga clic en la carpeta Accesorios. Luego haga clic en Cuenta de servicio AT en el menú Avanzado.
Razón fundamental:
Si habilita esta configuración de directiva, los trabajos que crean los operadores del servidor mediante el
El servicio AT se ejecutará en el contexto de la cuenta que ejecuta ese servicio. Por defecto, eso
es la cuenta del SISTEMA local. Si habilita esta configuración de política, los operadores del servidor podrían
realizar tareas que SYSTEM es capaz de hacer pero que normalmente no serían capaces de hacer,
como agregar su cuenta al grupo de administradores locales.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: SubmitControl
189 | Página
Página 191
Remediación:

Políticas \ Opciones de seguridad \ Controlador de dominio: Permitir que los operadores del servidor
programar tareas
Impacto:
Ninguno: este es el comportamiento predeterminado. Tenga en cuenta que los usuarios (incluidos los de los operadores de servidor
group) aún pueden crear trabajos mediante el Asistente del programador de tareas. Sin embargo, esos
Los trabajos se ejecutarán en el contexto de la cuenta con la que el usuario se autentica al configurar
el trabajo.
Valor por defecto:
Discapacitado. (Los operadores del servidor no pueden enviar trabajos mediante el horario AT
instalaciones.)
Referencias:
1. CCE-37848-9
Controles CIS:
Versión 6

Versión 7


190 | Página
Página 192
2.3.5.2 (L1) Asegúrese de 'Controlador de dominio: firma del servidor LDAP

requisitos 'se establece en' Requerir firma '(solo DC) (puntuado)
Descripción:
Esta configuración de directiva determina si el Protocolo ligero de acceso a directorios (LDAP)

El servidor requiere que los clientes LDAP negocien la firma de datos.
El estado recomendado para esta configuración es: Requerir firma .
Nota: los equipos miembros del dominio deben tener seguridad de red: requisitos de firma LDAP
(Regla 2.3.11.8) establecido en Negociar firma o superior. Si no, no se autenticarán
una vez que el valor de Requerir firma anterior esté configurado en los controladores de dominio.
Afortunadamente, Negociar la firma es el valor predeterminado en la configuración del cliente.
Nota n. ° 2: esta configuración de política no tiene ningún impacto en el enlace simple LDAP
( ldap_simple_bind ) o enlace simple LDAP a través de SSL ( ldap_simple_bind_s ). No
Los clientes LDAP de Microsoft que se envían con Windows XP Professional utilizan LDAP simple
enlace o enlace simple LDAP a través de SSL para comunicarse con un controlador de dominio.
Nota n. ° 3: antes de habilitar esta configuración, primero debe asegurarse de que no haya clientes
(incluidas las aplicaciones basadas en servidor) que están configuradas para autenticarse con Active
Directorio a través de LDAP sin firmar, porque cambiar esta configuración romperá esas aplicaciones.
Estas aplicaciones deben reconfigurarse primero para utilizar LDAP firmado, LDAP seguro (LDAPS),
o conexiones protegidas por IPsec. Para obtener más información sobre cómo identificar si sus países en desarrollo
se accede a través de LDAP sin firmar (y de dónde provienen esos accesos), consulte
este artículo del blog de Microsoft TechNet: La identificación de texto sin cifrar LDAP se une a sus CD -
Seguridad práctica de Windows
191 | Página
Página 193
Razón fundamental:
El tráfico de red sin firmar es susceptible a ataques de intermediario. En tales ataques, un

intruso captura paquetes entre el servidor y el cliente, los modifica y luego
los reenvía al cliente. En lo que respecta a los servidores LDAP, un atacante podría provocar una
cliente para tomar decisiones basadas en registros falsos del directorio LDAP. Reducir
el riesgo de tal intrusión en la red de una organización, puede implementar un fuerte
medidas de seguridad física para proteger la infraestructura de la red. Además, podrías
implementar el modo de encabezado de autenticación (AH) de seguridad del protocolo de Internet (IPsec), que
realiza autenticación mutua e integridad de paquetes para el tráfico IP para realizar todo tipo de
Los ataques en el medio son extremadamente difíciles.
Además, permitir el uso de LDAP regular y sin firmar permite recibir credenciales
a través de la red en texto claro, lo que fácilmente podría resultar en la interceptación de la cuenta
contraseñas de otros sistemas de la red.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters: LDAPServ

erIntegridad
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Requerir
firma :

Políticas \ Opciones de seguridad \ Controlador de dominio: requisitos de firma del servidor LDAP
192 | Página
Página 194
Impacto:
A menos que se utilice TLS / SSL, se debe negociar la opción de firma de datos LDAP. Clientes que
no admite la firma LDAP no podrá ejecutar consultas LDAP en el dominio
Controladores. Todos los equipos de su organización basados en Windows 2000 que están administrados
desde equipos basados en Windows Server 2003 o Windows XP y que utilizan Windows
La autenticación NT Challenge / Response (NTLM) debe tener Windows 2000 Service Pack 3
(SP3) instalado. Como alternativa, estos clientes deben tener un cambio de registro. Para información
sobre este cambio de registro, consulte el artículo 325465 de Microsoft Knowledge Base: Windows 2000
los controladores de dominio requieren SP3 o posterior cuando se utiliza la administración de Windows Server 2003
herramientas. Además, algunos sistemas operativos que no son de Microsoft no admiten la firma LDAP. Si tu
habilitar esta configuración de política, es posible que los equipos cliente que utilizan esos sistemas operativos no
para acceder a los recursos del dominio.
Valor por defecto:
Ninguna. (No se requiere la firma de datos para vincularse con el servidor. Si el cliente solicita
firma de datos, el servidor lo admite).
Referencias:
1. CCE-35904-2
Controles CIS:
Versión 6
3 configuraciones seguras para hardware y software en dispositivos móviles, computadoras portátiles,

Estaciones de trabajo y servidores
Configuraciones seguras para hardware y software en dispositivos móviles, computadoras portátiles,
Versión 7

193 | Página
Página 195
2.3.5.3 (L1) Asegúrese de 'Controlador de dominio: rechazar la cuenta de la máquina

cambios de contraseña 'está configurado como' Desactivado '(solo DC) (puntuado)

Descripción:
Esta configuración de seguridad determina si los controladores de dominio rechazarán las solicitudes de
computadoras miembros para cambiar las contraseñas de las cuentas de computadoras.
Nota: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
particularmente si una máquina se revierte a un estado anterior de un punto en el tiempo, como es común con
maquinas virtuales. Dependiendo de qué tan atrás esté la reversión, la cuenta de la máquina anterior
Es posible que los controladores de dominio ya no reconozcan la contraseña almacenada en la máquina,
y por lo tanto la computadora pierde la confianza de su dominio. Esto también puede interrumpir la VDI no persistente
implementaciones y dispositivos con filtros de escritura que no permiten cambios permanentes en el sistema operativo
volumen. Algunas organizaciones pueden optar por eximirse de esta recomendación
y deshabilite la caducidad de la contraseña de la cuenta de la máquina para estas situaciones.
Razón fundamental:
Si habilita esta configuración de directiva en todos los controladores de dominio de un dominio, los miembros del dominio
no podrá cambiar las contraseñas de su cuenta de computadora, y esas contraseñas serán
más susceptible al ataque.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Refu

sePasswordChange
Remediación:

Políticas \ Opciones de seguridad \ Controlador de dominio: rechazar la contraseña de la cuenta de la máquina
cambios
194 | Página
Página 196
Impacto:
Valor por defecto:
Discapacitado. (De forma predeterminada, las computadoras miembro cambian sus contraseñas de cuenta de computadora como
especificado por el miembro del dominio: configuración de antigüedad máxima de la contraseña de la cuenta de la máquina (regla
2.3.6.5), que es de forma predeterminada cada 30 días).
Referencias:
1. CCE-36921-5
Controles CIS:
Versión 6

Versión 7

195 | Página
Página 197
2.3.6 Miembro de dominio

Esta sección contiene recomendaciones relacionadas con la membresía del dominio.
2.3.6.1 (L1) Asegúrese de que 'Miembro del dominio: cifre o firme digitalmente
datos del canal (siempre) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si todo el tráfico de canal seguro iniciado por el
El miembro del dominio debe estar firmado o encriptado.
Razón fundamental:
Cuando una computadora se une a un dominio, se crea una cuenta de computadora. Una vez que se une al dominio,
la computadora usa la contraseña de esa cuenta para crear un canal seguro con el
Controlador de dominio para su dominio cada vez que se reinicia. Solicitudes que se envían en el
los canales seguros están autenticados y la información confidencial, como las contraseñas,
cifrado, pero no se comprueba la integridad del canal y no toda la información está cifrada.
El cifrado digital y la firma del canal seguro es una buena idea cuando se admite.
El canal seguro protege las credenciales de dominio cuando se envían al controlador de dominio.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Requ

ireSignOrSeal
196 | Página
Página 198
Remediación:

Políticas \ Opciones de seguridad \ Miembro de dominio: cifrar digitalmente o firmar de forma segura
datos del canal (siempre)
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 con Service Pack 6a
(SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con
cifrado y firma del canal seguro. Los clientes de Windows 98 Second Edition no
menos que tengan Dsclient instalado. Por lo tanto, no puede habilitar el dominio
admitirlo a
miembro: encriptar o firmar digitalmente la configuración de datos de canal seguro (siempre) en el dominio
Controladores que admiten clientes de Windows 98 como miembros del dominio. Impactos potenciales
puede incluir lo siguiente:
• La capacidad de crear o eliminar relaciones de confianza con clientes que ejecutan versiones de
Windows anterior a Windows NT 4.0 con SP6a estará deshabilitado.
• Inicios de sesión de clientes que ejecutan versiones de Windows anteriores a Windows NT 4.0 con
SP6a se desactivará.
• La capacidad de autenticar a los usuarios de otros dominios desde un controlador de dominio que ejecuta un
versión de Windows anterior a Windows NT 4.0 con SP6a en un dominio de confianza
estar discapacitado.
Puede habilitar esta configuración de directiva después de eliminar todos los clientes de Windows 9x del
dominio y actualice todos los servidores y controladores de dominio de Windows NT 4.0 desde
dominios confiables / confiables a Windows NT 4.0 con SP6a.
Valor por defecto:
Habilitado. (Todos los datos del canal seguro deben estar firmados o encriptados).
Referencias:
1. CCE-36142-8
197 | Página
Página 199
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
13.3 Supervisar y bloquear el tráfico de red no autorizado

Implemente una herramienta automatizada en los perímetros de la red que monitorea
transferencia de información sensible y bloquea dichas transferencias mientras alerta información
profesionales de la seguridad.
198 | Página
Página 200
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente el canal seguro
datos (cuando sea posible) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si un miembro del dominio debe intentar negociar
cifrado para todo el tráfico de canal seguro que inicia.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Seal

SecureChannel
Remediación:

Políticas \ Opciones de seguridad \ Miembro del dominio: cifrar digitalmente el canal seguro
datos (cuando sea posible)
199 | Página
Página 201
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 Service Pack 6a (SP6a)
y las versiones posteriores del sistema operativo Windows admiten el cifrado digital y
firma del canal seguro. Los clientes de Windows 98 Second Edition no lo admiten a menos que
tienen Dsclient instalado.
Valor por defecto:
Habilitado. (El miembro del dominio solicitará el cifrado de todo el tráfico del canal seguro).
Referencias:
1. CCE-37130-2
Controles CIS:
Versión 6
Versión 7

200 | Página
Página 202
2.3.6.3 (L1) Asegúrese de que 'Miembro del dominio: firme digitalmente los datos del canal seguro
(cuando sea posible) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si un miembro del dominio debe intentar negociar
si todo el tráfico de canal seguro que inicia debe estar firmado digitalmente. Firmas digitales
proteger el tráfico de ser modificado por cualquiera que capture los datos mientras atraviesa el
red.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Firmar

SecureChannel
201 | Página
Página 203
Remediación:

Políticas \ Opciones de seguridad \ Miembro del dominio: firmar digitalmente datos de canales seguros
(cuando sea posible)
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 con Service Pack 6a
(SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con
cifrado y firma del canal seguro. Los clientes de Windows 98 Second Edition no
admitirlo a menos que tengan Dsclient instalado.
Valor por defecto:
Habilitado. (El miembro del dominio solicitará la firma digital de todo el tráfico del canal seguro).
Referencias:
1. CCE-37222-7
Controles CIS:
Versión 6
Versión 7

202 | Página
Página 204
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la cuenta de la máquina
cambios de contraseña 'se establece en' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva determina si un miembro del dominio puede cambiar periódicamente su
contraseña de la cuenta de computadora. Computadoras que no pueden cambiar su cuenta automáticamente
las contraseñas son potencialmente vulnerables, porque un atacante podría determinar la
contraseña para la cuenta de dominio del sistema.
Nota: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
Razón fundamental:
La configuración predeterminada para equipos basados en Windows Server 2003 que pertenecen a un
dominio es que se les solicita automáticamente que cambien las contraseñas de sus cuentas
cada 30 días. Si deshabilita esta configuración de directiva, los equipos que ejecutan Windows Server 2003
conservarán las mismas contraseñas que sus cuentas de computadora. Computadoras que ya no son
capaces de cambiar automáticamente la contraseña de su cuenta están en riesgo de un atacante que podría
determinar la contraseña para la cuenta de dominio de la computadora.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Disa

blePasswordChange
203 | Página
Página 205
Remediación:

Políticas \ Opciones de seguridad \ Miembro del dominio: deshabilitar la contraseña de la cuenta de la máquina
cambios
Impacto:
Valor por defecto:
Discapacitado. (El miembro del dominio puede cambiar la contraseña de su cuenta de computadora según lo especificado por
el miembro de dominio: Cuenta máximo de la máquina de la contraseña de configuración (Regla 2.3.6.5), que
por defecto es cada 30 días).
Referencias:
1. CCE-37508-9
Controles CIS:
Versión 6

Versión 7

204 | Página
Página 206
2.3.6.5 (L1) Asegúrese de que 'Miembro de dominio: cuenta de máquina máxima

la antigüedad de la contraseña 'se establece en '30 días o menos, pero no en 0' (puntuado)
Descripción:
Esta configuración de directiva determina la edad máxima permitida para una cuenta de computadora
contraseña. De forma predeterminada, los miembros del dominio cambian automáticamente sus contraseñas de dominio
cada 30 días.
El estado recomendado para esta configuración es: 30 días o menos, pero no 0 .
Nota: un valor de 0 no se ajusta al punto de referencia, ya que desactiva la contraseña máxima

años.
Nota n. ° 2: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
Razón fundamental:
En los dominios basados en Active Directory, cada computadora tiene una cuenta y una contraseña como
cada usuario. De forma predeterminada, los miembros del dominio cambian automáticamente su contraseña de dominio
cada 30 días. Si aumenta este intervalo de manera significativa o lo establece en 0 para que las computadoras
ya no cambian sus contraseñas, un atacante tendrá más tiempo para emprender una brutal
Forzar ataque a adivinar las contraseñas de cuentas de computadora.
Auditoría:
prescrito.
205 | Página
Página 207
Remediación:

menos días, pero no 0 :

Políticas \ Opciones de seguridad \ Miembro del dominio: antigüedad máxima de la contraseña de la cuenta de la máquina
Impacto:
Valor por defecto:
30 dias.
Referencias:
1. CCE-37431-4
Controles CIS:
Versión 6

Versión 7

206 | Página
Página 208
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: Requiere fuerte (Windows 2000 o
más tarde) la clave de sesión 'se establece en' Habilitado '(puntuado)
Descripción:
Cuando esta configuración de política está habilitada, solo se puede establecer un canal seguro con Domain
Controladores que son capaces de cifrar datos de canales seguros con un fuerte (128 bits)
clave de sesión.
Para habilitar esta configuración de directiva, todos los controladores de dominio del dominio deben poder cifrar
datos de canal seguros con una clave segura, lo que significa que todos los controladores de dominio deben
ejecutando Microsoft Windows 2000 o más reciente.
Razón fundamental:
Claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre el dominio
Los controladores y las computadoras miembro son mucho más fuertes en Windows 2000 que en
sistemas operativos anteriores de Microsoft. Siempre que sea posible, debe aprovechar
estas claves de sesión más sólidas para ayudar a proteger las comunicaciones de canal seguro de los ataques
que intentan secuestrar las sesiones de la red y las escuchas. (Escuchar a escondidas es una forma de
piratería en la que se leen o alteran los datos de la red en tránsito. Los datos se pueden modificar para
ocultar o cambiar el remitente, o ser redirigido.)
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters: Requ

ireStrongKey
207 | Página
Página 209
Remediación:

Políticas \ Opciones de seguridad \ Miembro de dominio: Requiere fuerte (Windows 2000 o
más tarde) clave de sesión
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, las computadoras no podrán unirse a Windows
Dominios NT 4.0 y confianzas entre dominios de Active Directory y estilo Windows NT
Es posible que los dominios no funcionen correctamente. Además, los controladores de dominio con esta configuración configurada
No permitir que los clientes anteriores a Windows 2000 (que no admitan esta configuración de directiva)
unirse al dominio.
Valor por defecto:
Habilitado. (El canal seguro no se establecerá a menos que se pueda realizar un cifrado de 128 bits.
realizado.)
Referencias:
1. CCE-37614-5
Controles CIS:
Versión 6
Versión 7

208 | Página
Página 210
2.3.7 Inicio de sesión interactivo

Esta sección contiene recomendaciones relacionadas con los inicios de sesión interactivos.
2.3.7.1 (L1) Asegúrese de que 'Inicio de sesión interactivo: no requiere CTRL + ALT + SUPR' esté
establecido en 'Deshabilitado' (puntuado)
Descripción:
Esta configuración de directiva determina si los usuarios deben presionar CTRL + ALT + SUPR antes de iniciar sesión
en.
Razón fundamental:
Microsoft desarrolló esta función para que sea más fácil para los usuarios con ciertos tipos de
impedimentos para iniciar sesión en equipos que ejecutan Windows. Si los usuarios no están obligados a presionar
CTRL + ALT + SUPR, son susceptibles a ataques que intentan interceptar sus contraseñas.
Si se requiere CTRL + ALT + SUPR antes de iniciar sesión, las contraseñas de los usuarios se comunican mediante
un camino de confianza.
Un atacante podría instalar un programa caballo de Troya que se parece al estándar de Windows
cuadro de diálogo de inicio de sesión y capturar la contraseña del usuario. El atacante podría entonces iniciar sesión
en la cuenta comprometida con cualquier nivel de privilegio que tenga ese usuario.
Auditoría:

DisableCAD
209 | Página
Página 211
Remediación:

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: no requiere CTRL + ALT + SUPR
Impacto:
Los usuarios deben presionar CTRL + ALT + SUPR antes de iniciar sesión en Windows, a menos que utilicen una
tarjeta para el inicio de sesión de Windows. Una tarjeta inteligente es un dispositivo a prueba de manipulaciones que almacena seguridad
información.
Valor por defecto:
En Windows Server 2008 R2 o anterior: deshabilitado.
En Windows Server 2012 (no R2) o más reciente: habilitado.
Referencias:
1. CCE-37637-6
Controles CIS:
Versión 6
8 defensas de malware
Defensas de malware
Versión 7


210 | Página
Página 212
2.3.7.2 (L1) Asegúrese de que esté configurado 'Inicio de sesión interactivo: No mostrar el último inicio de sesión
Descripción:
Esta configuración de directiva determina si el nombre de cuenta del último usuario que inició sesión en
Los equipos cliente de su organización se mostrarán en los respectivos
Pantalla de inicio de sesión de Windows. Habilite esta configuración de política para evitar que los intrusos recopilen
nombres de cuenta visualmente desde las pantallas de computadoras de escritorio o portátiles en su
organización.
Razón fundamental:
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o
alguien que pueda conectarse al servidor a través de Servicios de escritorio remoto) podría
ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar
adivine la contraseña, use un diccionario o use un ataque de fuerza bruta para intentar iniciar sesión.
Auditoría:

DontDisplayLastUserName
Remediación:

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: no mostrar el último inicio de sesión
Nota: en versiones anteriores de Microsoft Windows, esta configuración se llamaba Inicio de sesión interactivo:
no muestra el último nombre de usuario , pero se le cambió el nombre a partir de Windows Server 2019.
211 | Página
Página 213
Impacto:
El nombre del último usuario que inició sesión correctamente no se mostrará en el inicio de sesión de Windows
pantalla.
Valor por defecto:
Discapacitado. (El nombre del último usuario que inició sesión se muestra en la pantalla de inicio de sesión de Windows).
Referencias:
1. CCE-36056-0
Controles CIS:
Versión 6
Versión 7


212 | Página
Página 214
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' esté establecido e
'900 o menos segundo (s), pero no 0' (puntuados)
Descripción:
Windows nota la inactividad de una sesión de inicio de sesión y si la cantidad de tiempo inactivo excede
el límite de inactividad, luego se ejecutará el protector de pantalla, bloqueando la sesión.
El estado recomendado para esta configuración es: 900 o menos segundo (s), pero no 0 .
Nota: un valor de 0 no se ajusta al punto de referencia ya que desactiva la inactividad de la máquina

límite.
Razón fundamental:
Si un usuario se olvida de bloquear su computadora cuando se aleja, es posible que un transeúnte

lo secuestrará.
Auditoría:

InactivityTimeoutSecs
Remediación:
menos segundos, pero no 0 :

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: límite de inactividad de la máquina
Impacto:
El protector de pantalla se activará automáticamente cuando la computadora haya estado desatendida durante
la cantidad de tiempo especificada. El impacto debe ser mínimo ya que el protector de pantalla es
habilitado por defecto.
213 | Página
Página 215
Valor por defecto:
0 segundos. (No hay límite de inactividad).
Referencias:
1. CCE-38235-8
Controles CIS:
Versión 6
Versión 7

214 | Página
Página 216
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios
intentando iniciar sesión '(puntuado)
Descripción:
Esta configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión.
Configure esta configuración de manera que sea coherente con la seguridad y el funcionamiento
requisitos de su organización.
Razón fundamental:
Mostrar un mensaje de advertencia antes de iniciar sesión puede ayudar a prevenir un ataque al advertir al
atacante sobre las consecuencias de su mala conducta antes de que suceda. También puede ayudar
Reforzar la política corporativa notificando a los empleados sobre la política adecuada durante el
proceso de inicio de sesión. Este texto se utiliza a menudo por motivos legales, por ejemplo, para advertir a los usuarios sobre
las ramificaciones del uso indebido de la información de la empresa o para advertirles que sus acciones pueden
ser auditado.
Nota: Cualquier advertencia que muestre primero debe ser aprobada por el departamento legal de su organización.
y representantes de recursos humanos.
Auditoría:

LegalNoticeText
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU a un

valor que sea consistente con los requisitos operativos y de seguridad de su
organización:

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: texto del mensaje para los usuarios
intentando iniciar sesión
215 | Página
Página 217
Impacto:
Los usuarios tendrán que reconocer un cuadro de diálogo que contiene el texto configurado antes de poder
inicie sesión en la computadora.
Nota: Windows Vista y Windows XP Professional admiten rótulos de inicio de sesión que pueden exceder
512 caracteres de longitud y que también pueden contener secuencias de avance de línea de retorno de carro.
Sin embargo, los clientes basados en Windows 2000 no pueden interpretar y mostrar estos mensajes. Tú
debe utilizar una computadora con Windows 2000 para crear una política de mensajes de inicio de sesión que se aplique a
Computadoras basadas en Windows 2000.
Valor por defecto:
Sin mensaje.
Referencias:
1. CCE-37226-8
Controles CIS:
Versión 7


216 | Página
Página 218
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios
Descripción:
Esta configuración de directiva especifica el texto que se muestra en la barra de título de la ventana que ven los usuarios
cuando inician sesión en el sistema. Configure este ajuste de manera que sea coherente con
los requisitos operativos y de seguridad de su organización.
Razón fundamental:
Mostrar un mensaje de advertencia antes de iniciar sesión puede ayudar a prevenir un ataque al advertir al
atacante sobre las consecuencias de su mala conducta antes de que suceda. También puede ayudar
Reforzar la política corporativa notificando a los empleados sobre la política adecuada durante el
proceso de inicio de sesión.
Auditoría:

LegalNoticeCaption
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU a un

valor que sea consistente con los requisitos operativos y de seguridad de su
organización:

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: título del mensaje para los usuarios
intentando iniciar sesión
Impacto:
Los usuarios deberán reconocer un cuadro de diálogo con el título configurado antes de poder iniciar sesión
a la computadora.
217 | Página
Página 219
Valor por defecto:
Sin mensaje.
Referencias:
1. CCE-37512-1
Controles CIS:
Versión 7


218 | Página
Página 220
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores
caché (en caso de que el controlador de dominio no esté disponible) 'se establece en' 4 o menos
inicio de sesión (s) '(solo MS) (puntuado)
Descripción:
Esta configuración de directiva determina si un usuario puede iniciar sesión en un dominio de Windows usando
información de la cuenta en caché. La información de inicio de sesión para las cuentas de dominio se puede almacenar en caché localmente
para permitir que los usuarios inicien sesión incluso si no se puede contactar a un controlador de dominio. Esta configuración de política
determina el número de usuarios únicos para los que la información de inicio de sesión se almacena en caché localmente. Si
este valor se establece en 0, la función de caché de inicio de sesión está desactivada. Un atacante que puede acceder
el sistema de archivos del servidor podría localizar esta información en caché y usar una fuerza bruta
ataque para determinar las contraseñas de los usuarios.
El estado recomendado para esta configuración es: 4 inicios de sesión o menos .
Razón fundamental:
El número asignado a esta configuración de directiva indica el número de usuarios cuyas

información de inicio de sesión que la computadora almacenará en caché localmente. Si el número se establece en 4, entonces el
la computadora almacena en caché la información de inicio de sesión para 4 usuarios. Cuando un quinto usuario inicia sesión en la computadora,
el servidor sobrescribe la sesión de inicio de sesión almacenada en caché más antigua.
Los usuarios que acceden a la consola de la computadora tendrán sus credenciales de inicio de sesión almacenadas en caché en ese
computadora. Un atacante que pueda acceder al sistema de archivos de la computadora podría localizar
esta información almacenada en caché y utilizar un ataque de fuerza bruta para intentar determinar el usuario
contraseñas. Para mitigar este tipo de ataque, Windows cifra la información y oculta
su ubicación física.
Auditoría:

NT \ CurrentVersion \ Winlogon: CachedLogonsCount
219 | Página
Página 221
Remediación:
menos inicios de sesión :

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: número de inicios de sesión anteriores
caché (en caso de que el controlador de dominio no esté disponible)
Impacto:
Los usuarios no podrán iniciar sesión en ninguna computadora si no hay un controlador de dominio disponible
para autenticarlos. Las organizaciones pueden querer configurar este valor en 2 para el usuario final
computadoras, especialmente para usuarios móviles. Un valor de configuración de 2 significa que el usuario
La información de inicio de sesión seguirá estando en la caché, incluso si un miembro del departamento de TI ha
ha iniciado sesión recientemente en su computadora para realizar el mantenimiento del sistema. Este método permite
que los usuarios inicien sesión en sus computadoras cuando no estén conectados a la
red.
Valor por defecto:
En Windows Server 2008 (no R2): 25 inicios de sesión.
En Windows Server 2008 R2 o más reciente: 10 inicios de sesión.
Referencias:
1. CCE-37439-7
220 | Página
Página 222
Controles CIS:
Versión 6

Versión 7

221 | Página
Página 223
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: Solicite al usuario que cambie la contraseña
antes del vencimiento 'se establece en' entre 5 y 14 días '(puntuado)
Descripción:
Esta configuración de directiva determina con cuánta anticipación se advierte a los usuarios que su contraseña
expirará. Se recomienda que configure esta configuración de directiva en al menos 5 días, pero
no más de 14 días para advertir suficientemente a los usuarios cuando caducarán sus contraseñas.
El estado recomendado para esta configuración es: entre 5 y 14 días .
Razón fundamental:
Se recomienda configurar las contraseñas de los usuarios para que expiren periódicamente. Los usuarios
necesitan que se les advierta que sus contraseñas van a caducar, o pueden ser inadvertidamente
bloqueado de la computadora cuando sus contraseñas expiran. Esta condición podría conducir a
confusión para los usuarios que acceden a la red localmente, o hacen imposible que los usuarios
acceder a la red de su organización a través de acceso telefónico o red privada virtual (VPN)
conexiones.
Auditoría:

NT \ CurrentVersion \ Winlogon: PasswordExpiryWarning
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en un valor
entre 5 y 14 días :

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: solicitar al usuario que cambie la contraseña
antes de la expiración
222 | Página
Página 224
Impacto:
Los usuarios verán un cuadro de diálogo que les solicitará que cambien su contraseña cada vez que inicien sesión en
el dominio cuando su contraseña está configurada para caducar entre 5 y 14 días.
Valor por defecto:
5 dias.
Referencias:
1. CCE-37622-8
Controles CIS:
Versión 6

Versión 7


223 | Página
Página 225
2.3.7.8 (L1) Asegúrese de 'Inicio de sesión interactivo: Requiere controlador de dominio

La autenticación para desbloquear la estación de trabajo 'está configurada como' Habilitada '(solo MS)
(Puntuado)
Descripción:
Se requiere información de inicio de sesión para desbloquear una computadora bloqueada. Para cuentas de dominio, esto
La configuración de seguridad determina si es necesario ponerse en contacto con un controlador de dominio para
desbloquear una computadora.
Razón fundamental:
De forma predeterminada, la computadora almacena en memoria caché las credenciales de cualquier usuario que esté
autenticado localmente. La computadora usa estas credenciales en caché para autenticar a cualquier persona
que intenta desbloquear la consola. Cuando se utilizan credenciales en caché, cualquier cambio que
se han realizado recientemente en la cuenta, como asignaciones de derechos de usuario, cuentas
bloqueo, o la cuenta que se deshabilita, no se consideran ni se aplican después de que la cuenta se
autenticado. Los privilegios de usuario no se actualizan y (lo que es más importante) las cuentas deshabilitadas
todavía pueden desbloquear la consola de la computadora.
Auditoría:

NT \ CurrentVersion \ Winlogon: ForceUnlockLogon
Remediación:
Para implementar la configuración recomendada a través de GP, establezca la siguiente ruta de IU en

Habilitado:

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: Requiere controlador de dominio
Autenticación para desbloquear la estación de trabajo
224 | Página
Página 226
Impacto:
Cuando la consola de una computadora está bloqueada, ya sea por un usuario o automáticamente por una pantalla
ahorro de tiempo de espera, la consola solo se puede desbloquear si hay un controlador de dominio disponible para
autenticar la cuenta de dominio que se está utilizando para desbloquear la computadora. Si no hay dominio
El controlador está disponible, el usuario no puede desbloquear la computadora.
Valor por defecto:
Discapacitado. (La confirmación de la información de inicio de sesión con un controlador de dominio no es necesaria para
usuario para desbloquear la computadora, y el usuario puede desbloquear la computadora usando caché
credenciales, si están presentes).
Referencias:
1. CCE-38240-8
Controles CIS:
Versión 6
16.9 Configurar el acceso a la cuenta de forma centralizada

Configure el acceso para todas las cuentas a través de un punto de autenticación centralizado, para
ejemplo Active Directory o LDAP. Configure los dispositivos de seguridad y de red para
autenticación también.
Versión 7

225 | Página
Página 227
2.3.7.9 (L1) Asegúrese de que 'Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente
establecido en 'Bloquear estación de trabajo' o superior (puntuado)
Descripción:
Esta configuración de directiva determina qué sucede cuando la tarjeta inteligente de un usuario que inició sesión
extraído del lector de tarjetas inteligentes.
El estado recomendado para esta configuración es: Bloquear estación de trabajo . Configurar este ajuste para
Forzar cierre de sesión o desconexión si una sesión de Servicios de escritorio remoto también cumple con
el punto de referencia.
Razón fundamental:
Los usuarios a veces se olvidan de bloquear sus estaciones de trabajo cuando están lejos de ellos, lo que permite
la posibilidad de que usuarios malintencionados accedan a sus equipos. Si se utilizan tarjetas inteligentes para
autenticación, la computadora debe bloquearse automáticamente cuando se retira la tarjeta para
Asegúrese de que solo el usuario con la tarjeta inteligente acceda a los recursos utilizando esos
cartas credenciales.
Auditoría:
prescrito, teniendo en cuenta que los valores de Forzar cierre de sesión o Desconectar si un escritorio remoto
La sesión de servicios también
es una configuración aceptable. Esta configuración de política de grupo está respaldada por
siguiente ubicación de registro:

NT \ CurrentVersion \ Winlogon: ScRemoveOption
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Bloquear
Estación de trabajo (o, si corresponde para su entorno, Forzar cierre de sesión o Desconexión si
Sesión de Servicios de escritorio remoto ):

Políticas \ Opciones de seguridad \ Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente
226 | Página
Página 228
Impacto:
Si selecciona Bloquear estación de trabajo , la estación de trabajo se bloquea cuando se retira la tarjeta inteligente,
permitiendo a los usuarios salir del área, llevarse su tarjeta inteligente y seguir manteniendo un
sesión protegida.
Si selecciona Forzar cierre de sesión , los usuarios se desconectan automáticamente cuando se conecta su tarjeta inteligente.
remoto.
Si selecciona Desconectar si se trata de una sesión de Servicios de escritorio remoto , la eliminación del
La tarjeta desconecta la sesión sin desconectar a los usuarios. Esto permite al usuario insertar el
tarjeta inteligente y reanudar la sesión más tarde, o en otro lector de tarjetas inteligentes equipado
computadora, sin tener que iniciar sesión nuevamente. Si la sesión es local, esta política funcionará
de forma idéntica a Lock Workstation .
Aplicar esta configuración en las computadoras utilizadas por personas que deben iniciar sesión en varias computadoras
para poder realizar sus funciones puede resultar frustrante y disminuir la productividad. Por ejemplo, si
los administradores de red están limitados a una sola cuenta, pero deben iniciar sesión en varias
computadoras simultáneamente para administrar de manera efectiva la red haciendo cumplir esta configuración
los limitará a iniciar sesión en una computadora a la vez. Por estas razones es
recomendó que esta configuración solo se aplique en las estaciones de trabajo utilizadas con fines
comúnmente asociado con usuarios típicos como creación de documentos y correo electrónico.
Valor por defecto:
Ninguna acción.
Referencias:
1. CCE-38333-1
Controles CIS:
Versión 6
Versión 7

227 | Página
Página 229
2.3.8 cliente de red de Microsoft

Esta sección contiene recomendaciones relacionadas con la configuración del cliente de red de Microsoft.
2.3.8.1 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente

comunicaciones (siempre) 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si el cliente SMB requiere la firma de paquetes

componente.
Nota: Cuando los equipos basados en Windows Vista tienen esta configuración de política habilitada y
conectarse a archivos o imprimir recursos compartidos en servidores remotos, es importante que la configuración sea
sincronizado con su configuración complementaria, servidor de red de Microsoft: firmar digitalmente
comunicaciones (siempre) , en esos servidores. Para obtener más información sobre estas configuraciones,
consulte "Cliente y servidor de red de Microsoft: Firmar digitalmente las comunicaciones (cuatro
configuración) "en el Capítulo 5 de la guía Amenazas y contramedidas.
Razón fundamental:
El secuestro de sesiones utiliza herramientas que permiten a los atacantes que tienen acceso a la misma red que
el cliente o servidor para interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar paquetes SMB sin firmar y luego modificar el tráfico y
reenvíelo para que el servidor pueda realizar acciones no deseadas. Alternativamente, el atacante
podría hacerse pasar por el servidor o cliente después de una autenticación legítima y obtener acceso no autorizado
acceso a los datos.
SMB es el protocolo para compartir recursos que es compatible con muchos sistemas operativos de Windows.
sistemas. Es la base de NetBIOS y muchos otros protocolos. Autenticación de firmas SMB
tanto los usuarios como los servidores que alojan los datos. Si alguno de los lados falla en el proceso de autenticación,
no se realizará la transmisión de datos.
228 | Página
Página 230
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parame

ters: RequireSecuritySignature
Remediación:

Políticas \ Opciones de seguridad \ Cliente de red de Microsoft: Firmar digitalmente
comunicaciones (siempre)
Impacto:
El cliente de red de Microsoft no se comunicará con un servidor de red de Microsoft a menos que
ese servidor acepta realizar la firma de paquetes SMB.
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003, Windows
Implementaciones de XP Professional y Windows Vista del uso compartido de archivos e impresión SMB
El protocolo admite la autenticación mutua, lo que evita ataques de secuestro de sesión y
admite la autenticación de mensajes para evitar ataques man-in-the-middle. Firma SMB
proporciona esta autenticación colocando una firma digital en cada SMB, que luego se
verificado tanto por el cliente como por el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento, porque cada paquete
necesita estar firmado y verificado. Si estas configuraciones están habilitadas en un servidor que está funcionando
múltiples roles, como un servidor de pequeña empresa que sirve como controlador de dominio, archivo
el rendimiento del servidor, el servidor de impresión y el servidor de aplicaciones puede reducirse considerablemente.
Además, si configura computadoras para ignorar todas las comunicaciones SMB sin firmar,
las aplicaciones y los sistemas operativos no podrán conectarse. Sin embargo, si completamente
deshabilite todas las firmas SMB, las computadoras serán vulnerables a ataques de secuestro de sesiones.
Cuando las políticas de firma SMB están habilitadas en controladores de dominio que ejecutan Windows Server
2003 y equipos miembros que ejecutan Windows Vista SP1 o el grupo Windows Server 2008
el procesamiento de la política fallará. Hay una revisión disponible de Microsoft que resuelve este problema; ver
El artículo 950876 de Microsoft Knowledge Base para obtener más detalles: La configuración de la directiva de grupo no es
aplicado en equipos miembros que ejecutan Windows Server 2008 o Windows Vista
SP1 cuando se habilitan determinadas políticas de firma de SMB .
229 | Página
Página 231
Valor por defecto:
Discapacitado. (La firma de paquetes SMB se negocia entre el cliente y el servidor).
Referencias:
1. CCE-36325-9
Controles CIS:
Versión 6
Versión 7

230 | Página
Página 232
2.3.8.2 (L1) Asegúrese de que 'Cliente de red de Microsoft: Firme digitalmente

comunicaciones (si el servidor está de acuerdo) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si el cliente SMB intentará negociar el paquete SMB
firma.
Nota: Habilitar esta configuración de directiva en clientes SMB en su red los convierte en
eficaz para la firma de paquetes con todos los clientes y servidores de su entorno.
Razón fundamental:
acceso a los datos.
Auditoría:

ters: EnableSecuritySignature
231 | Página
Página 233
Remediación:

Políticas \ Opciones de seguridad \ Cliente de red de Microsoft: Firmar digitalmente
comunicaciones (si el servidor está de acuerdo)
Impacto:
Valor por defecto:
Habilitado. (El cliente de red de Microsoft le pedirá al servidor que realice la firma de paquetes SMB
al configurar la sesión. Si la firma de paquetes se ha habilitado en el servidor, la firma de paquetes se
negociado.)
232 | Página
Página 234
Referencias:
1. CCE-36269-9
Controles CIS:
Versión 6
Versión 7

233 | Página
Página 235
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe sin cifrar
contraseña para servidores SMB de terceros 'está configurada como' Desactivada '(puntuada)
Descripción:
Esta configuración de directiva determina si el redirector SMB enviará contraseñas de texto sin formato
durante la autenticación en servidores SMB de terceros que no admiten el cifrado de contraseña.
Se recomienda que desactive esta configuración de política a menos que exista un caso comercial sólido
para habilitarlo. Si esta configuración de política está habilitada, se permitirán contraseñas no cifradas en
la red.
Razón fundamental:
Si habilita esta configuración de política, el servidor puede transmitir contraseñas en texto sin formato a través del
red a otras computadoras que ofrecen servicios SMB, lo cual es un riesgo de seguridad significativo.
Es posible que estas otras computadoras no utilicen ninguno de los mecanismos de seguridad SMB que se incluyen
con Windows Server 2003.
Auditoría:

ters: EnablePlainTextPassword
Remediación:

Políticas \ Opciones de seguridad \ Cliente de red de Microsoft: Enviar contraseña sin cifrar
a servidores SMB de terceros
234 | Página
Página 236
Impacto:
Algunas aplicaciones y sistemas operativos muy antiguos, como MS-DOS, Windows para
Es posible que Workgroups 3.11 y Windows 95a no puedan comunicarse con los servidores en
su organización mediante el protocolo SMB.
Valor por defecto:
Discapacitado. (Las contraseñas de texto sin formato no se enviarán durante la autenticación a SMB de terceros
servidores que no admiten el cifrado de contraseñas).
Referencias:
1. CCE-37863-8
Controles CIS:
Versión 6
Versión 7

235 | Página
Página 237
2.3.9 servidor de red de Microsoft

Esta sección contiene recomendaciones relacionadas con la configuración de la red de Microsoft.
servidor.
2.3.9.1 (L1) Asegúrese de que el servidor de red de Microsoft: cantidad de tiempo de inactividad
obligatorio antes de suspender la sesión 'se establece en '15 o menos minuto (s)'
(Puntuado)
Descripción:
Esta configuración de directiva le permite especificar la cantidad de tiempo de inactividad continuo que debe pasar
en una sesión SMB antes de que se suspenda la sesión debido a inactividad. Los administradores pueden
utilice esta configuración de directiva para controlar cuándo un equipo suspende una sesión SMB inactiva. Si
se reanuda la actividad del cliente, la sesión se restablece automáticamente.
El valor máximo es 99999, que es más de 69 días; en efecto, este valor desactiva la
ajuste.
El estado recomendado para esta configuración es: 15 minuto (s) o menos .
Razón fundamental:
Cada sesión de SMB consume recursos del servidor y numerosas sesiones nulas ralentizarán la
servidor o posiblemente hacer que falle. Un atacante podría establecer repetidamente sesiones SMB hasta
Los servicios SMB del servidor se vuelven lentos o no responden.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanManServer \ Parameters:

Desconexión automática
236 | Página
Página 238
Remediación:

menos minuto (s) :

Políticas \ Opciones de seguridad \ Servidor de red de Microsoft: cantidad de tiempo de inactividad
requerido antes de suspender la sesión
Impacto:
Habrá poco impacto porque las sesiones SMB se restablecerán automáticamente si el

el cliente reanuda la actividad.
Valor por defecto:
15 minutos.
Referencias:
1. CCE-38046-9
Controles CIS:
Versión 6

Versión 7

237 | Página
Página 239
2.3.9.2 (L1) Asegúrese de 'Servidor de red de Microsoft: Firmar digitalmente

Descripción:
Esta configuración de directiva determina si el servidor SMB requiere la firma de paquetes

componente. Habilite esta configuración de directiva en un entorno mixto para evitar el flujo descendente
que los clientes utilicen la estación de trabajo como servidor de red.
Razón fundamental:
acceso a los datos.
Auditoría:

RequireSecuritySignature
238 | Página
Página 240
Remediación:

Políticas \ Opciones de seguridad \ Servidor de red de Microsoft: Firmar digitalmente
comunicaciones (siempre)
Impacto:
El servidor de red de Microsoft no se comunicará con un cliente de red de Microsoft a menos que
ese cliente acepta realizar la firma de paquetes SMB.
Valor por defecto:
En servidores miembro: deshabilitado. (La firma de paquetes SMB se negocia entre el cliente y
servidor.)
En controladores de dominio: habilitado. (El servidor de red de Microsoft no se comunicará con

un cliente de red de Microsoft a menos que ese cliente acepte realizar la firma de paquetes SMB).
239 | Página
Página 241
Referencias:
1. CCE-37864-6
Controles CIS:
Versión 6
Versión 7

240 | Página
Página 242
2.3.9.3 (L1) Asegúrese de que el servidor de red de Microsoft: Firme digitalmente
comunicaciones (si el cliente está de acuerdo) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si el servidor SMB negociará la firma de paquetes SMB
con clientes que lo soliciten. Si no llega una solicitud de firma del cliente, se establecerá una conexión.
permitido sin firma si el servidor de red de Microsoft: Firmar digitalmente
la configuración de comunicaciones (siempre) no está habilitada.
Nota: habilite esta configuración de directiva en los clientes SMB de su red para hacerlos completamente
eficaz para la firma de paquetes con todos los clientes y servidores de su entorno.
Razón fundamental:
acceso a los datos.
Auditoría:

EnableSecuritySignature
241 | Página
Página 243
Remediación:

Políticas \ Opciones de seguridad \ Servidor de red de Microsoft: Firmar digitalmente
comunicaciones (si el cliente está de acuerdo)
Impacto:
El servidor de red de Microsoft negociará la firma de paquetes SMB según lo solicite el cliente.
Es decir, si se ha habilitado la firma de paquetes en el cliente, se negociará la firma de paquetes.
Valor por defecto:
En servidores miembro: deshabilitado. (El cliente SMB nunca negociará la firma de paquetes SMB).
En controladores de dominio: habilitado. (El servidor de red de Microsoft negociará el paquete SMB
firma según lo solicitado por el cliente. Es decir, si se ha habilitado la firma de paquetes en el cliente,
se negociará la firma de paquetes).
242 | Página
Página 244
Referencias:
1. CCE-35988-5
Controles CIS:
Versión 6
Versión 7

243 | Página
Página 245
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes cuando
las horas de inicio de sesión expiran 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de seguridad determina si se desconectan los usuarios que están conectados al
computadora local fuera del horario de inicio de sesión válido de su cuenta de usuario. Esta configuración afecta al
Componente de bloque de mensajes de servidor (SMB). Si habilita esta configuración de política, también debe
Habilitar seguridad de red: Forzar el cierre de sesión cuando expiren las horas de inicio de sesión (Regla 2.3.11.6).
Si su organización configura las horas de inicio de sesión para los usuarios, esta configuración de directiva es necesaria para
asegúrese de que sean eficaces.
Razón fundamental:
Si su organización configura las horas de inicio de sesión para los usuarios, entonces tiene sentido habilitar esta
establecimiento de políticas. De lo contrario, los usuarios que no deberían tener acceso a recursos de red externos
de sus horas de inicio de sesión pueden en realidad seguir usando esos recursos con sesiones
que se establecieron durante las horas permitidas.
Auditoría:

habilitar cierre de sesión forzado
Remediación:

Políticas \ Opciones de seguridad \ Servidor de red de Microsoft: desconecte los clientes cuando
expiran las horas de inicio de sesión
244 | Página
Página 246
Impacto:
Ninguno: este es el comportamiento predeterminado. Si las horas de inicio de sesión no se utilizan en su organización, esto
el establecimiento de políticas no tendrá ningún impacto. Si se utilizan horas de inicio de sesión, las sesiones de usuario existentes serán
terminados a la fuerza cuando expiren sus horas de inicio de sesión.
Valor por defecto:
Habilitado. (Las sesiones del cliente con el servicio SMB se desconectan a la fuerza cuando el cliente
expiran las horas de inicio de sesión).
Referencias:
1. CCE-37972-7
Controles CIS:
Versión 6

Versión 7
16.13 Alerta sobre desviación del comportamiento de inicio de sesión de la cuenta

Alerta cuando los usuarios se desvían del comportamiento normal de inicio de sesión, como la hora del día, la estación de trabajo
ubicación y duración.
245 | Página
Página 247
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: nombre de destino del SPN del servidor
nivel de validación 'se establece en' Aceptar si el cliente lo proporciona 'o superior (solo MS)
(Puntuado)
Descripción:
Esta configuración de directiva controla el nivel de validación de un equipo con carpetas compartidas o
impresoras (el servidor) funciona con el nombre principal de servicio (SPN) proporcionado por el
computadora cliente cuando establece una sesión usando el bloque de mensajes del servidor (SMB)
protocolo.
El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para compartir archivos e impresiones y
otras operaciones de red, como la administración remota de Windows. El protocolo SMB
admite la validación del nombre principal de servicio del servidor SMB (SPN) dentro de la autenticación
blob proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB a los que se hace referencia
como ataques de retransmisión SMB. Esta configuración afectará tanto a SMB1 como a SMB2.
El estado recomendado para esta configuración es: Aceptar si lo proporciona el cliente . Configurando
esta configuración en Requerido del cliente también se ajusta al punto de referencia.
Nota: Desde el lanzamiento de MSParche de seguridad KB3161561 , esta configuración puede causar
problemas importantes (como problemas de replicación, problemas de edición de políticas de grupo y pantalla azul
se bloquea) en los controladores de dominio cuando se usa simultáneamente con el endurecimiento de la ruta UNC (es decir,
Regla 18.5.14.1). Por lo tanto, CIS recomienda no implementar esta configuración en Domain
Controladores.
Razón fundamental:
La identidad de una computadora se puede falsificar para obtener acceso no autorizado a la red
recursos.
Auditoría:

SMBServerNameHardeningLevel
246 | Página
Página 248
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Aceptar si
proporcionado por el cliente (la configuración a Requerido del cliente también se ajusta a la
punto de referencia):

Políticas \ Opciones de seguridad \ Servidor de red de Microsoft: nombre de destino del SPN del servidor
nivel de validación
Impacto:
Todos los sistemas operativos Windows admiten tanto un componente SMB del lado del cliente como un servidor-
componente SMB lateral. Esta configuración afecta el comportamiento de SMB del servidor y su implementación
deben evaluarse y probarse cuidadosamente para evitar interrupciones en el servicio de archivos e impresión
Capacidades
Si está configurado para Aceptar si lo proporciona el cliente , el servidor SMB aceptará y validará
el SPN proporcionado por el cliente SMB y permitir que se establezca una sesión si coincide
Lista de SPN del servidor SMB para sí mismo. Si el SPN NO coincide, la solicitud de sesión para ese
Se rechazará el cliente SMB.
Si está configurado como Requerido del cliente , el cliente SMB DEBE enviar un nombre de SPN en la sesión
configuración, y el nombre de SPN proporcionado DEBE coincidir con el servidor SMB que se solicita
establecer una conexión. Si el cliente no proporciona ningún SPN o si el SPN proporcionado no coincide,
la sesión es denegada.
Valor por defecto:
Apagado. (El servidor SMB no requiere ni valida el SPN desde un cliente SMB).
Referencias:
1. CCE-36170-9
247 | Página
Página 249
Controles CIS:
Versión 6
14 Acceso controlado basado en la necesidad de saber

Acceso controlado basado en la necesidad de saber
Versión 7

248 | Página
Página 250
2.3.10 Acceso a la red

Esta sección contiene recomendaciones relacionadas con el acceso a la red.
2.3.10.1 (L1) Asegurar 'Acceso a la red: Permitir SID / Nombre anónimo

traducción 'se establece en' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva determina si un usuario anónimo puede solicitar un identificador de seguridad
(SID) para otro usuario, o utilice un SID para obtener su nombre de usuario correspondiente.
Razón fundamental:
Si esta configuración de política está habilitada, un usuario con acceso local podría usar el conocido
SID del administrador para conocer el nombre real de la cuenta de administrador incorporada, incluso si
ha sido renombrado. Esa persona podría usar el nombre de la cuenta para iniciar una contraseña.
adivinar el ataque.
Auditoría:
prescrito.
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: Permitir SID / Nombre anónimos
Traducción
Impacto:
249 | Página
Página 251
Valor por defecto:
Discapacitado. (Un usuario anónimo no puede solicitar el atributo SID para otro usuario).
Referencias:
1. CCE-36065-1
Controles CIS:
Versión 6
Versión 7

250 | Página
Página 252
2.3.10.2 (L1) Asegúrese de que 'Acceso a la red: no permita

enumeración de cuentas SAM 'se establece en' Habilitado '(solo MS) (puntuado)
Descripción:
Esta configuración de directiva controla la capacidad de los usuarios anónimos para enumerar las cuentas en
el Gerente de Cuentas de Seguridad (SAM). Si habilita esta configuración de política, los usuarios con
Las conexiones anónimas no podrán enumerar los nombres de usuario de la cuenta de dominio en el
sistemas en su entorno. Esta configuración de directiva también permite restricciones adicionales en
conexiones anónimas.
Nota: esta política no afecta a los controladores de dominio.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de las cuentas y utilizar la información para
intentar adivinar contraseñas o realizar ataques de ingeniería social. (Ingeniería social
Los ataques intentan engañar a los usuarios de alguna manera para obtener contraseñas o alguna forma de seguridad.
información.)
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: RestrictAnonymousSAM
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: no permita la enumeración anónima
de cuentas SAM
251 | Página
Página 253
Impacto:
Ninguno: este es el comportamiento predeterminado. Será imposible establecer fideicomisos con Windows
Dominios basados en NT 4.0. Además, los equipos cliente que ejecutan versiones anteriores de Windows
el sistema operativo como Windows NT 3.51 y Windows 95 experimentará problemas
cuando intentan utilizar recursos en el servidor.
Valor por defecto:
Habilitado. (No permitir la enumeración anónima de cuentas SAM. Esta opción reemplaza
Todas las personas con usuarios autenticados en los permisos de seguridad para los recursos).
Referencias:
1. CCE-36316-8
Controles CIS:
Versión 6

Versión 7

252 | Página
Página 254
2.3.10.3 (L1) Asegúrese de que 'Acceso a la red: no permita

la enumeración de cuentas y recursos compartidos de SAM 'se establece en' Habilitado '(solo MS)
(Puntuado)
Descripción:
Esta configuración de política controla la capacidad de los usuarios anónimos para enumerar las cuentas SAM como
así como acciones. Si habilita esta configuración de directiva, los usuarios anónimos no podrán
enumere los nombres de usuario de la cuenta de dominio y los nombres de los recursos compartidos de red en los sistemas de su
ambiente.
Nota: esta política no afecta a los controladores de dominio.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuentas y los recursos compartidos y utilizar
la información para intentar adivinar contraseñas o realizar ataques de ingeniería social.
(Los ataques de ingeniería social intentan engañar a los usuarios de alguna manera para obtener contraseñas o
forma de información de seguridad.)
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: RestrictAnonymous
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: no permita la enumeración anónima
de cuentas y acciones SAM
253 | Página
Página 255
Impacto:
Será imposible establecer fideicomisos con dominios basados en Windows NT 4.0. Además, cliente
computadoras que ejecutan versiones anteriores del sistema operativo Windows, como Windows NT
3.51 y Windows 95 experimentarán problemas cuando intenten utilizar recursos en el
servidor. Los usuarios que acceden a los servidores de archivos e impresión de forma anónima no podrán
recursos de red compartidos en esos servidores; los usuarios tendrán que autenticarse antes de
puede ver las listas de carpetas e impresoras compartidas. Sin embargo, incluso con esta configuración de política
habilitado, los usuarios anónimos tendrán acceso a los recursos con permisos que explícitamente
incluir el grupo integrado, INICIO DE SESIÓN ANÓNIMO .
Valor por defecto:
Discapacitado. (Permita la enumeración anónima de cuentas y recursos compartidos SAM. No

El administrador puede asignar permisos para conexiones anónimas al
computadora. Las conexiones anónimas dependerán de los permisos predeterminados).
Referencias:
1. CCE-36077-6
Controles CIS:
Versión 6

Versión 7

254 | Página
Página 256
2.3.10.4 (L2) Asegúrese de 'Acceso a la red: no permita el almacenamiento de

contraseñas y credenciales para la autenticación de red 'se establece en
'Habilitado' (puntuado)
Descripción:
Esta configuración de directiva determina si Credential Manager (anteriormente llamado Usuario almacenado
Nombres y contraseñas) guarda las contraseñas o credenciales para su uso posterior cuando obtiene el dominio
autenticación.
Nota: los cambios en esta configuración no tendrán efecto hasta que se reinicie Windows.
Razón fundamental:
El usuario puede acceder a las contraseñas almacenadas en caché cuando inicia sesión en la computadora.
Aunque esta información puede parecer obvia, puede surgir un problema si el usuario, sin saberlo
ejecuta código hostil que lee las contraseñas y las reenvía a otro,
usuario no autorizado.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: DisableDomainCreds
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: no permita el almacenamiento de contraseñas
y credenciales para la autenticación de red
255 | Página
Página 257
Impacto:
Credential Manager no almacenará contraseñas ni credenciales en la computadora. Los usuarios

verse obligados a ingresar contraseñas cada vez que inician sesión en su cuenta Passport u otra
recursos de red que no son accesibles para su cuenta de dominio. Las pruebas han demostrado que
los clientes que ejecutan Windows Vista o Windows Server 2008 no podrán conectarse
Recursos compartidos del sistema de archivos distribuido (DFS) en dominios que no son de confianza. Habilitar esta configuración también
hace imposible especificar credenciales alternativas para las tareas programadas, esto puede causar una
variedad de problemas. Por ejemplo, algunos productos de respaldo de terceros ya no funcionarán.
Esta configuración de directiva no debería tener ningún impacto en los usuarios que acceden a los recursos de red que están
configurado para permitir el acceso con su cuenta de dominio basada en Active Directory.
Valor por defecto:
Discapacitado. (Credential Manager almacenará contraseñas y credenciales en la computadora para

uso posterior para la autenticación de dominio).
Referencias:
1. CCE-38119-4
Controles CIS:
Versión 6

sistema.
Versión 7

256 | Página
Página 258
2.3.10.5 (L1) Garantizar 'Acceso a la red: permitir que todos los permisos se apliquen a
usuarios anónimos 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva determina qué permisos adicionales se asignan para anónimos
conexiones a la computadora.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuentas y los recursos compartidos y utilizar
la información para intentar adivinar contraseñas, realizar ataques de ingeniería social o
lanzar ataques DoS.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: EveryoneIncludesAnony

mous
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: permitir que todos los permisos se apliquen a
usuarios anónimos
Impacto:
257 | Página
Página 259
Valor por defecto:
Discapacitado. (Los usuarios anónimos solo pueden acceder a aquellos recursos para los que el grupo integrado
ANONYMOUS LOGON ha recibido permiso explícito).
Referencias:
1. CCE-36148-5
Controles CIS:
Versión 6


Versión 7
258 | Página
Página 260
2.3.10.6 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que pueden
accedido de forma anónima '(solo DC) (puntuado)
Descripción:
Esta configuración de directiva determina qué sesiones de comunicación, o conductos, tendrán atributos
y permisos que permiten el acceso anónimo.
El estado recomendado para esta configuración es: LSARPC, NETLOGON, SAMR y (cuando el legado
El servicio Computer Browser está habilitado) BROWSER .
El Servicio de rol de licencia requerirá una excepción especial a esta recomendación, para permitir
HydraLSPipe y TermServLicensing Named Pipes para acceder de forma anónima.
Razón fundamental:
Limitar las tuberías con nombre a las que se puede acceder de forma anónima reducirá la superficie de ataque de
el sistema.
Auditoría:

NullSessionTuberías
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: canalizaciones con nombre a las que se puede acceder
anónimamente
259 | Página
Página 261
Impacto:
El acceso a la sesión nula sobre el acceso a la sesión nula a través de tuberías con nombre se deshabilitará a menos que
se incluyen y las aplicaciones que dependen de esta función o del acceso no autenticado a
Las tuberías con nombre dejarán de funcionar. Es posible que sea necesario agregar la canalización con nombre BROWSER a este
enumere si el servicio Computer Browser es necesario para admitir componentes heredados. los
El servicio Computer Browser está deshabilitado de forma predeterminada.
Valor por defecto:
Ninguna.
Referencias:
1. CCE-38258-0
Controles CIS:
Versión 6
14.1 Implementar la segmentación de red basada en la clase de información

Segmentar la red según la etiqueta o el nivel de clasificación de la información almacenada
en los servidores. Ubique toda la información confidencial en VLAN separadas con filtrado de firewall
para asegurarse de que solo las personas autorizadas solo puedan comunicarse con los sistemas
necesario para cumplir con sus responsabilidades específicas.

Versión 7
14.1 Segmentar la red según la sensibilidad

en los servidores, ubique toda la información confidencial en redes de área local virtuales separadas
(VLAN).
14.2 Habilitar el filtrado de firewall entre VLAN

Habilite el filtrado de firewall entre VLAN para asegurarse de que solo los sistemas autorizados puedan
comunicarse con otros sistemas necesarios para cumplir con sus responsabilidades específicas.
260 | Página
Página 262
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que pueden
accedido de forma anónima '(solo MS) (puntuado)
Descripción:
Esta configuración de directiva determina qué sesiones de comunicación, o conductos, tendrán atributos
y permisos que permiten el acceso anónimo.
El estado recomendado para esta configuración es: <en blanco> (es decir, Ninguno), o (cuando el legado
El servicio Computer Browser está habilitado) BROWSER .
El Servicio de rol de licencia requerirá una excepción especial a esta recomendación, para permitir
HydraLSPipe y TermServLicensing Named Pipes para acceder de forma anónima.
Razón fundamental:
Limitar las tuberías con nombre a las que se puede acceder de forma anónima reducirá la superficie de ataque de
el sistema.
Auditoría:

NullSessionTuberías
Remediación:

Políticas \ Opciones de seguridad \ Acceso a la red: canalizaciones con nombre a las que se puede acceder
anónimamente
261 | Página
Página 263
Impacto:
El acceso a la sesión nula sobre el acceso a la sesión nula a través de tuberías con nombre se deshabilitará a menos que
se incluyen y las aplicaciones que dependen de esta función o del acceso no autenticado a
Las tuberías con nombre dejarán de funcionar. Es posible que sea necesario agregar la canalización con nombre BROWSER a este
enumere si el servicio Computer Browser es necesario para admitir componentes heredados. los
El servicio Computer Browser está deshabilitado de forma predeterminada.
Valor por defecto:
Ninguna.
Referencias:
1. CCE-38258-0
Controles CIS:
Versión 6
14.1 Implementar la segmentación de red basada en la clase de información

en los servidores. Ubique toda la información confidencial en VLAN separadas con filtrado de firewall
para asegurarse de que solo las personas autorizadas solo puedan comunicarse con los sistemas
necesario para cumplir con sus responsabilidades específicas.

Versión 7
14.1 Segmentar la red según la sensibilidad

en los servidores, ubique toda la información confidencial en redes de área local virtuales separadas
(VLAN).
14.2 Habilitar el filtrado de firewall entre VLAN

Habilite el filtrado de firewall entre VLAN para asegurarse de que solo los sistemas autorizados puedan
comunicarse con otros sistemas necesarios para cumplir con sus responsabilidades específicas.
262 | Página
Página 264
2.3.10.8 (L1) Configurar 'Acceso a la red: registro accesible de forma remota

caminos '(puntuados)
Descripción:
Esta configuración de directiva determina qué rutas de registro serán accesibles a través de la red,
independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) de winreg
clave de registro.
Nota: esta configuración no existe en Windows XP. Había un escenario con ese nombre en
Windows XP, pero se llama "Acceso a la red: rutas de registro y sub-
rutas "en Windows Server 2003, Windows Vista y Windows Server 2008 (no R2).
Nota n. ° 2: cuando configura esta opción, especifica una lista de uno o más objetos. los
El delimitador utilizado al entrar en la lista es un salto de línea o un retorno de carro, es decir, escriba el primer
objeto en la lista, presione el botón Enter, escriba el siguiente objeto, presione Enter nuevamente, etc.
El valor de configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la política de grupo. Es
también se representa como una lista delimitada por comas en el panel de visualización del Editor de políticas de grupo y
Consola del conjunto resultante de políticas. Se registra en el registro como una lista delimitada por salto de línea en un
Valor REG_MULTI_SZ.
El estado recomendado para esta configuración es:
System \ CurrentControlSet \ Control \ ProductOptions

Aplicaciones del sistema \ CurrentControlSet \ Control \ Server
Software \ Microsoft \ Windows NT \ CurrentVersion
Razón fundamental:
El registro es una base de datos que contiene información de configuración de la computadora, y gran parte de
la información es sensible. Un atacante podría utilizar esta información para facilitar
actividades no autorizadas. Para reducir el riesgo de tal ataque, se asignan las ACL adecuadas
en todo el registro para ayudar a protegerlo del acceso de usuarios no autorizados.
263 | Página
Página 265
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurePipeServers \ Winreg \

AllowExactPaths: Máquina
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en:

Políticas \ Opciones de seguridad \ Acceso a la red: rutas de registro accesibles de forma remota
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si elimina las rutas de registro predeterminadas de
la lista de accesibles, herramientas de administración remota como Microsoft Baseline
Security Analyzer y Microsoft Systems Management Server podrían fallar, ya que requieren
acceso remoto al registro para monitorear y administrar adecuadamente las computadoras.
Nota: Si desea permitir el acceso remoto, también debe habilitar el Registro remoto
Servicio.
Valor por defecto:

Referencias:
1. CCE-37194-8
264 | Página
Página 266
Controles CIS:
Versión 6

14.6 Hacer cumplir el registro de auditoría detallado para información confidencial

Hacer cumplir el registro de auditoría detallado para acceder a datos no públicos y autenticación especial para
informacion delicada.

Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
265 | Página
Página 267
2.3.10.9 (L1) Configurar 'Acceso a la red: registro accesible de forma remota

caminos y subrutas '(puntuados)
Descripción:
Esta configuración de política determina qué rutas de registro y subrutas serán accesibles a través de
la red, independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) del
clave de registro winreg .
Nota: en Windows XP, esta configuración se denomina "Acceso a la red: registro de acceso remoto
rutas ", la configuración con el mismo nombre en Windows Vista, Windows Server 2008 (no R2),
y Windows Server 2003 no existe en Windows XP.
Nota n. ° 2: cuando configura esta opción, especifica una lista de uno o más objetos. los
El delimitador utilizado al entrar en la lista es un salto de línea o un retorno de carro, es decir, escriba el primer
objeto en la lista, presione el botón Enter, escriba el siguiente objeto, presione Enter nuevamente, etc.
El valor de configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la política de grupo. Es
también se representa como una lista delimitada por comas en el panel de visualización del Editor de políticas de grupo y
Consola del conjunto resultante de políticas. Se registra en el registro como una lista delimitada por salto de línea en un
Valor REG_MULTI_SZ.
266 | Página
Página 268
Sistema \ CurrentControlSet \ Control \ Print \ Printers
Sistema \ CurrentControlSet \ Services \ Eventlog
Software \ Microsoft \ OLAP Server
Software \ Microsoft \ Windows NT \ CurrentVersion \ Print
Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
System \ CurrentControlSet \ Control \ ContentIndex
Sistema \ CurrentControlSet \ Control \ Terminal Server
Sistema \ CurrentControlSet \ Control \ Terminal Server \ UserConfig
System \ CurrentControlSet \ Control \ Terminal Server \ DefaultUserConfiguration
Software \ Microsoft \ Windows NT \ CurrentVersion \ Perflib
Sistema \ CurrentControlSet \ Services \ SysmonLog
El estado recomendado para los servidores que tienen el rol de Servicios de certificados de Active Directory
con el Servicio de funciones de la autoridad de certificación incluye la lista anterior y:
Sistema \ CurrentControlSet \ Services \ CertSvc
El estado recomendado para los servidores que tienen instalada la función de servidor WINS incluye
la lista anterior y:
Sistema \ CurrentControlSet \ Services \ WINS
Razón fundamental:
El registro contiene información confidencial sobre la configuración de la computadora que podría ser utilizada por
un atacante para facilitar actividades no autorizadas. El hecho de que las ACL predeterminadas asignadas
en todo el registro son bastante restrictivas y ayudan a proteger el registro del acceso
los usuarios no autorizados reducen el riesgo de tal ataque.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurePipeServers \ Winreg \

Rutas permitidas: Máquina
267 | Página
Página 269
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en:
Políticas \ Opciones de seguridad \ Acceso a la red: rutas de registro accesibles de forma remota
y subrutas
Cuando un servidor tiene el rol de Servicios de certificados de Active Directory con certificación
Servicio de rol de autoridad , la lista anterior también debe incluir:
System \ CurrentControlSet \ Services \ CertSvc .
Cuando un servidor tiene instalada la función de servidor WINS , la lista anterior también debe incluir:
Sistema \ CurrentControlSet \ Services \ WINS
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si elimina las rutas de registro predeterminadas de
la lista de accesibles, herramientas de administración remota como Microsoft Baseline
Security Analyzer y Microsoft Systems Management Server podrían fallar, ya que requieren
acceso remoto al registro para monitorear y administrar adecuadamente las computadoras.
Nota: Si desea permitir el acceso remoto, también debe habilitar el Registro remoto
Servicio.
268 | Página
Página 270
Valor por defecto:

Referencias:
1. CCE-36347-3
Controles CIS:
Versión 6


Versión 7
14.6 Proteger la información mediante listas de control de acceso

Proteja toda la información almacenada en sistemas con sistema de archivos, red compartida, reclamaciones,
listas de control de acceso específicas de aplicaciones o bases de datos. Estos controles harán cumplir
principio de que solo las personas autorizadas deben tener acceso a la información sobre la base de
su necesidad de acceder a la información como parte de sus responsabilidades.
Supervisión).
269 | Página
Página 271
2.3.10.10 (L1) Garantizar 'Acceso a la red: restringir el acceso anónimo a

Canalizaciones y recursos compartidos con nombre 'está configurado como' Habilitado '(puntuado)
Descripción:
Cuando está habilitada, esta configuración de directiva restringe el acceso anónimo solo a esos recursos compartidos y
canalizaciones que se nombran en el acceso a la red: canalizaciones con nombre a las que se puede acceder
de forma anónima y acceso a la red: recursos compartidos a los que se puede acceder de forma anónima .
Esta configuración de política controla el acceso de sesión nula a los recursos compartidos en sus computadoras agregando
RestrictNullSessAccess con el valor 1 en el
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanManServer \ Parameters
clave de registro. Este valor de registro activa o desactiva los recursos compartidos de sesión nula para controlar si
el servicio del servidor restringe el acceso de los clientes no autenticados a los recursos nombrados.
Razón fundamental:
Las sesiones nulas son una debilidad que se puede explotar a través de acciones (incluida la
comparte) en las computadoras de su entorno.
Auditoría:

RestrictNullSessAccess
Remediación:
Políticas \ Opciones de seguridad \ Acceso a la red: restrinja el acceso anónimo a Nombres
Tubos y acciones
270 | Página
Página 272
Impacto:
Ninguno: este es el comportamiento predeterminado. Si elige habilitar esta configuración y admite

Dominios de Windows NT 4.0, debe comprobar si se requiere alguna de las canalizaciones con nombre para
mantener relaciones de confianza entre los dominios y luego agregar la tubería a la red
acceso: las tuberías con nombre a las que se puede acceder de forma anónima enumeran:
• COMNAP: acceso a la sesión SNA

• COMNODE: acceso a la sesión SNA
• SQL \ QUERY: acceso a la instancia SQL
• SPOOLSS: servicio de spooler
• LLSRPC: servicio de registro de licencias
• NETLOGON: servicio Net Logon
• LSARPC: acceso LSA
• SAMR: acceso remoto a objetos SAM
• BROWSER: servicio de navegador de computadora
Antes del lanzamiento de Windows Server 2003 con Service Pack 1 (SP1), estos se llamaban
a las tuberías se les permitió el acceso anónimo de forma predeterminada, pero con el aumento de
Windows Server 2003 con SP1, estas canalizaciones deben agregarse explícitamente si es necesario.
Valor por defecto:
Habilitado. (El acceso anónimo está restringido a recursos compartidos y canalizaciones enumerados en la red
acceso: canalizaciones con nombre a las que se puede acceder de forma anónima y acceso a la red:
Recursos compartidos a los que se puede acceder de forma anónima en la configuración).
Referencias:
1. CCE-36021-4
271 | Página
Página 273
Controles CIS:
Versión 6


Versión 7

272 | Página
Página 274
2.3.10.11 (L1) Asegurar 'Acceso a la red: Restrinja a los clientes autorizados a

llamadas remotas a SAM 'está configurado en' Administradores: Acceso remoto: Permitir '
Descripción:
Esta configuración de directiva le permite restringir las conexiones RPC remotas a SAM.
El estado recomendado para esta configuración es: Administradores: Acceso remoto: Permitir .
Nota: Se requiere un sistema operativo Windows 10 R1607, Server 2016 o más reciente para acceder y configurar este
valor en la directiva de grupo.
Razón fundamental:
Para asegurarse de que un usuario no autorizado no pueda enumerar de forma anónima los nombres de cuentas locales o
grupos y utilizar la información para intentar adivinar contraseñas o realizar actividades sociales
ataques de ingeniería. (Los ataques de ingeniería social intentan engañar a los usuarios de alguna manera para obtener
contraseñas o algún tipo de información de seguridad).
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: restrictremotesam
Remediación:

Administradores: Acceso remoto: Permitir :

Políticas \ Opciones de seguridad \ Acceso a la red: restrinja a los clientes autorizados a
llamadas remotas a SAM
Impacto:
273 | Página
Página 275
Valor por defecto:
Administradores: Acceso remoto: Permitir.
Controles CIS:
Versión 6

9.1 Limite los puertos abiertos, los protocolos y los servicios

Asegúrese de que solo se estén ejecutando puertos, protocolos y servicios con necesidades comerciales validadas
en cada sistema.
Versión 7

274 | Página
Página 276
2.3.10.12 (L1) Garantizar 'Acceso a la red: recursos compartidos a los que se puede acceder
anónimamente 'se establece en' Ninguno '(puntuado)
Descripción:
Esta configuración de directiva determina a qué recursos compartidos de red pueden acceder los usuarios anónimos.
La configuración predeterminada para esta configuración de directiva tiene poco efecto porque todos los usuarios deben
autenticados antes de que puedan acceder a los recursos compartidos en el servidor.
El estado recomendado para esta configuración es: <en blanco> (es decir, Ninguno).
Razón fundamental:
Es muy peligroso permitir cualquier valor en esta configuración. Cualquier acción que esté listada puede ser
accedido por cualquier usuario de la red, lo que podría conducir a la exposición o corrupción de
datos.
Auditoría:

NullSessionShares
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en <en blanco>
(es decir, ninguno):

Políticas \ Opciones de seguridad \ Acceso a la red: recursos compartidos a los que se puede acceder
anónimamente
Impacto:
275 | Página
Página 277
Valor por defecto:
Ninguna. (Solo los usuarios autenticados tendrán acceso a todos los recursos compartidos en el servidor).
Referencias:
1. CCE-38095-6
Controles CIS:
Versión 6


Versión 7

276 | Página
Página 278
2.3.10.13 (L1) Garantizar 'Acceso a la red: modelo de seguridad y uso compartido para
cuentas locales 'está configurado en' Clásico: los usuarios locales se autentican como ellos mismos '
(Puntuado)
Descripción:
Esta configuración de directiva determina cómo se realizan los inicios de sesión de red que usan cuentas locales.
autenticado. La opción Clásica permite un control preciso sobre el acceso a los recursos, incluidos
la capacidad de asignar diferentes tipos de acceso a diferentes usuarios para el mismo recurso. los
La opción Solo para invitados le permite tratar a todos los usuarios por igual. En este contexto, todos los usuarios se autentican
como invitado solo para recibir el mismo nivel de acceso a un recurso determinado.
El estado recomendado para esta configuración es: Clásico: los usuarios locales se autentican como
ellos mismos .
Nota: esta configuración no afecta los inicios de sesión interactivos que se realizan de forma remota mediante
servicios como Telnet o Servicios de escritorio remoto (anteriormente llamados Servicios de Terminal).
Razón fundamental:
Con el modelo solo para invitados, cualquier usuario que pueda autenticarse en su computadora a través del
la red lo hace con privilegios de invitado, lo que probablemente significa que no tendrán escritura
acceso a recursos compartidos en esa computadora. Aunque esta restricción aumenta
seguridad, hace que sea más difícil para los usuarios autorizados acceder a recursos compartidos en esos
computadoras porque las ACL en esos recursos deben incluir entradas de control de acceso (ACE) para
la cuenta de invitado. Con el modelo Classic, las cuentas locales deben estar protegidas con contraseña.
De lo contrario, si el acceso de invitado está habilitado, cualquiera puede usar esas cuentas de usuario para acceder
los recursos del sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: ForceGuest
277 | Página
Página 279
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Clásica:
los usuarios locales se autentican como ellos mismos :

Políticas \ Opciones de seguridad \ Acceso a la red: modelo de seguridad y uso compartido para
cuentas locales
Impacto:
Ninguno: esta es la configuración predeterminada para equipos unidos a un dominio.
Valor por defecto:
En equipos unidos a un dominio: Clásico: los usuarios locales se autentican como ellos mismos. (Red
los inicios de sesión que usan credenciales de cuenta local se autentican usando esas credenciales).
En equipos independientes: solo para invitados: los usuarios locales se autentican como invitados. (Inicios de sesión de red
que utilizan cuentas locales se asignan automáticamente a la cuenta de invitado).
Referencias:
1. CCE-37623-6
Controles CIS:
Versión 6


Versión 7

278 | Página
Página 280
2.3.11 Seguridad de la red

Esta sección contiene recomendaciones relacionadas con la seguridad de la red.
2.3.11.1 (L1) Garantizar la seguridad de la red: permitir que el sistema local utilice
la identidad de la computadora para NTLM 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si los servicios del sistema local que usan Negociar cuando
volver a la autenticación NTLM puede utilizar la identidad de la computadora. Esta política es compatible
en al menos Windows 7 o Windows Server 2008 R2.
Razón fundamental:
Al conectarse a computadoras que ejecutan versiones de Windows anteriores a Windows Vista
o Windows Server 2008 (no R2), los servicios se ejecutan como sistema local y utilizan SPNEGO
(Negociar) que vuelven a NTLM usan la identidad de la computadora. En Windows 7, si está
conectarse a una computadora con Windows Server 2008 o Windows Vista, luego un sistema
el servicio utiliza la identidad de la computadora o una sesión NULL. Cuando se conecta con un NULL
sesión, se crea una clave de sesión generada por el sistema, que no proporciona protección, pero
permite que las aplicaciones firmen y cifren datos sin errores. Al conectarse con el
Se admite la identidad de la computadora, tanto la firma como el cifrado para proporcionar datos
proteccion.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: UseMachineId
279 | Página
Página 281
Remediación:

Políticas \ Opciones de seguridad \ Seguridad de red: Permitir que el sistema local utilice
identidad informática para NTLM
Impacto:
Servicios que se ejecutan como sistema local que utilizan Negotiate al volver a NTLM
la autenticación utilizará la identidad de la computadora. Esto puede causar alguna autenticación
solicitudes entre sistemas operativos Windows para fallar y registrar un error.
Valor por defecto:
Discapacitado. (Servicios que se ejecutan como sistema local que usan Negotiate al volver a NTLM
la autenticación se autenticará de forma anónima).
Referencias:
1. CCE-38341-4
Controles CIS:
Versión 6


Versión 7


280 | Página
Página 282
2.3.11.2 (L1) Garantizar 'Seguridad de red: Permitir sesión NULL de LocalSystem

fallback 'está configurado como' Disabled '(puntuado)
Descripción:
Esta configuración de directiva determina si NTLM puede recurrir a una sesión NULL
cuando se usa con LocalSystem.
Razón fundamental:
Las sesiones NULL son menos seguras porque, por definición, no están autenticadas.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0: AllowNullSessi

onFallback
Remediación:

Políticas \ Opciones de seguridad \ Seguridad de red: Permitir sesión NULL de LocalSystem
retroceder
Impacto:
Cualquier aplicación que requiera sesiones NULL para LocalSystem no funcionará según lo diseñado.
281 | Página
Página 283
Valor por defecto:
En Windows Server 2008 (no R2): habilitado. (Se permitirá a NTLM recurrir a un
Sesión NULL cuando se usa con LocalSystem.)
En Windows Server 2008 R2 y versiones posteriores: deshabilitado. (No se permitirá que NTLM retroceda
a una sesión NULL cuando se usa con LocalSystem.)
Referencias:
1. CCE-37035-3
Controles CIS:
Versión 6

Versión 7

282 | Página
Página 284
2.3.11.3 (L1) Asegúrese de 'Seguridad de red: Permita la autenticación PKU2U

solicitudes a esta computadora para usar identidades en línea 'está configurado como' Deshabilitado '
(Puntuado)
Descripción:
Esta configuración determina si las identidades en línea pueden autenticarse en esta computadora.
El protocolo de usuario a usuario basado en criptografía de clave pública (PKU2U) introducido en

Windows 7 y Windows Server 2008 R2 se implementa como proveedor de soporte de seguridad
(SSP). El SSP permite la autenticación de igual a igual, particularmente a través de Windows 7
función para compartir archivos y medios llamada HomeGroup, que permite compartir entre
equipos que no son miembros de un dominio.
Con PKU2U, se introdujo una nueva extensión para el paquete de autenticación Negotiate,
Spnego.dll .
En versiones anteriores de Windows, Negotiate decidió si usar Kerberos
o NTLM para autenticación. La extensión SSP para Negotiate, Negoexts.dll , que es
tratado como un protocolo de autenticación por Windows, es compatible con los SSP de Microsoft, incluidos
PKU2U.
Cuando las computadoras están configuradas para aceptar solicitudes de autenticación mediante ID en línea,
Negoexts.dll llamaal SSP PKU2U en la computadora que se utiliza para iniciar sesión. El SSP PKU2U
obtiene un certificado local e intercambia la política entre los equipos del mismo nivel. Cuando
validado en la computadora del mismo nivel, el certificado dentro de los metadatos se envía al par de inicio de sesión
para la validación y asocia el certificado del usuario a un token de seguridad y al proceso de inicio de sesión
completa.
Razón fundamental:
El protocolo PKU2U es un protocolo de autenticación de igual a igual; la autenticación debe ser

gestionado de forma centralizada en la mayoría de las redes gestionadas.
283 | Página
Página 285
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ pku2u: AllowOnlineID
Remediación:

Políticas \ Opciones de seguridad \ Seguridad de red: Permitir la autenticación PKU2U
solicitudes a esta computadora para usar identidades en línea
Impacto:
Ninguno: esta es la configuración predeterminada para equipos unidos a un dominio.
Valor por defecto:
Discapacitado. (No se permitirá que las identidades en línea se autentiquen en un dominio unido
máquina.)
Referencias:
1. CCE-38047-7
Controles CIS:
Versión 6

Versión 7

284 | Página
Página 286
2.3.11.4 (L1) Asegúrese de 'Seguridad de red: configure los tipos de cifrado

permitido para Kerberos 'se establece en' AES128_HMAC_SHA1,
AES256_HMAC_SHA1, tipos de cifrado futuros '(puntuados)
Descripción:
Esta configuración de directiva le permite establecer los tipos de cifrado que Kerberos puede usar.
El estado recomendado para esta configuración es: AES128_HMAC_SHA1, AES256_HMAC_SHA1,

Tipos de cifrado futuros .
Razón fundamental:
La fuerza de cada algoritmo de cifrado varía de uno a otro, eligiendo más fuerte
Los algoritmos reducirán el riesgo de compromiso, sin embargo, hacerlo puede causar problemas cuando
la computadora intenta autenticarse con sistemas que no los admiten.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \

Kerberos \ Parameters: SupportedEncryptionTypes
Remediación:

AES128_HMAC_SHA1, AES256_HMAC_SHA1, tipos de cifrado futuros :

Políticas \ Opciones de seguridad \ Seguridad de red: configure los tipos de cifrado
permitido para Kerberos
285 | Página
Página 287
Impacto:
Si no se selecciona, no se permitirá el tipo de cifrado. Esta configuración puede afectar

compatibilidad con equipos cliente o servicios y aplicaciones. Las selecciones múltiples son
permitido.
Nota: Algunas aplicaciones y sistemas operativos heredados pueden requerir RC4_HMAC_MD5 ; le recomendamos
pruebe en su entorno y verifique si puede eliminarlo de manera segura.
Nota 2: Windows Server 2008 (no R2) y versiones anteriores permiten DES para Kerberos de forma predeterminada, pero
las versiones posteriores del sistema operativo no lo hacen.
Valor por defecto:
RC4_HMAC_MD5, AES128_HMAC_SHA1, AES256_HMAC_SHA1, tipos de cifrado futuros.
Referencias:
1. CCE-37755-6
Controles CIS:
Versión 6

sistema.
Versión 7


286 | Página
Página 288
2.3.11.5 (L1) Asegúrese de 'Seguridad de red: no almacene el hash de LAN Manager

el valor en el próximo cambio de contraseña 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si el valor hash de LAN Manager (LM) para el nuevo
La contraseña se almacena cuando se cambia la contraseña. El hash LM es relativamente débil y
propenso a ataques en comparación con el hash de Microsoft Windows NT criptográficamente más fuerte.
Dado que los hash de LM se almacenan en la computadora local en la base de datos de seguridad, las contraseñas pueden
luego se pondrá en peligro fácilmente si la base de datos es atacada.
Nota: Los sistemas operativos más antiguos y algunas aplicaciones de terceros pueden fallar cuando esta política
la configuración está habilitada. Además, tenga en cuenta que la contraseña deberá cambiarse en todas las cuentas.
después de habilitar esta configuración para obtener el beneficio adecuado.
Razón fundamental:
El archivo SAM puede ser objetivo de atacantes que buscan acceso al nombre de usuario y la contraseña.
hashes. Dichos ataques utilizan herramientas especiales para descifrar contraseñas, que luego se pueden utilizar para
hacerse pasar por usuarios y obtener acceso a los recursos de su red. Este tipo de ataques
no se evitará si habilita esta configuración de directiva, pero será mucho más difícil para
este tipo de ataques para tener éxito.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: NoLMHash
287 | Página
Página 289
Remediación:
Políticas \ Opciones de seguridad \ Seguridad de red: no almacenar hash de LAN Manager
valor en el próximo cambio de contraseña
Impacto:
Ninguno: este es el comportamiento predeterminado. Los sistemas operativos anteriores, como Windows 95,
Windows 98 y Windows ME, así como algunas aplicaciones de terceros, fallarán.
Valor por defecto:
Habilitado. (Los valores hash de LAN Manager no se almacenan cuando se cambian las contraseñas).
Referencias:
1. CCE-36326-7
Controles CIS:
Versión 6

sistema.
Versión 7


288 | Página
Página 290
2.3.11.6 (L1) Garantizar la seguridad de la red: forzar el cierre de sesión en horas de inicio de sesión
expire 'está configurado como' Habilitado '(sin puntaje)
Descripción:
Esta configuración de directiva determina si desconectar a los usuarios que están conectados al local
computadora fuera del horario de inicio de sesión válido de su cuenta de usuario. Esta configuración afecta al servidor
Componente de bloque de mensajes (SMB). Si habilita esta configuración de política, también debe habilitar
Servidor de red de Microsoft: desconecte los clientes cuando expiren las horas de inicio de sesión (Regla 2.3.9.4).
Razón fundamental:
Si esta configuración está deshabilitada, un usuario podría permanecer conectado a la computadora fuera de su
horas de inicio de sesión asignadas.
Auditoría:
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada .

Políticas \ Opciones de seguridad \ Seguridad de red: Forzar el cierre de sesión cuando el inicio de sesión
expirar
Impacto:
Valor por defecto:
Habilitado. (Cuando expira el tiempo de inicio de sesión de un usuario, las sesiones del cliente con el servidor SMB serán
desconectado a la fuerza. El usuario no podrá iniciar sesión en la computadora hasta su próxima
comienza el tiempo de acceso programado.)
289 | Página
Página 291
Referencias:
1. CCE-36270-7
Controles CIS:
Versión 6

Versión 7

290 | Página
Página 292
2.3.11.7 (L1) Asegúrese de 'Seguridad de red: autenticación de LAN Manager

level 'se establece en' Enviar solo respuesta NTLMv2. Rechazar LM & NTLM '(puntuado)
Descripción:
LAN Manager (LM) era una familia de software cliente / servidor de Microsoft (anterior
Windows NT) que permitía a los usuarios vincular computadoras personales en una sola red.
Las capacidades de red LM incluían compartir archivos e impresiones transparentes, funciones de seguridad del usuario,
y herramientas de administración de redes. En los dominios de Active Directory, el protocolo Kerberos es
el protocolo de autenticación predeterminado. Sin embargo, si el protocolo Kerberos no se negocia para
Por alguna razón, Active Directory utilizará LM, NTLM o NTLMv2. Autenticación de LAN Manager
incluye las variantes LM, NTLM y NTLM versión 2 (NTLMv2), y es el protocolo que se
se utiliza para autenticar a todos los clientes de Windows cuando realizan las siguientes operaciones:
• Únete a un dominio
• Autenticar entre bosques de Active Directory
• Autenticarse en dominios de nivel inferior
• Autenticarse en equipos que no ejecutan Windows 2000, Windows Server 2003,
o Windows XP
• Autenticarse en computadoras que no están en el dominio.
La configuración del nivel de autenticación de Seguridad de red: LAN Manager determina qué
El protocolo de autenticación de desafío / respuesta se utiliza para inicios de sesión en la red. Esta elección afecta
el nivel de protocolo de autenticación utilizado por los clientes, el nivel de seguridad de sesión negociado,
y el nivel de autenticación aceptado por los servidores.
El estado recomendado para esta configuración es: Enviar solo respuesta NTLMv2. Rechazar LM &
NTLM .
291 | Página
Página 293
Razón fundamental:
Los clientes de Windows 2000 y Windows XP se configuraron de forma predeterminada para enviar LM y NTLM
respuestas de autenticación (los clientes basados en Windows 95 y Windows 98 solo envían
LM). La configuración predeterminada en los sistemas operativos anteriores a Windows Vista / Windows Server 2008 (no
R2) permitió que todos los clientes se autenticaran con los servidores y usaran sus recursos. Sin embargo, esto
significaba que las respuestas LM, la forma más débil de respuesta de autenticación, se enviaban
la red, y era potencialmente posible que los atacantes olfatearan ese tráfico para
reproducir la contraseña del usuario.
Los sistemas operativos Windows 95, Windows 98 y Windows NT no pueden utilizar el

Protocolo Kerberos versión 5 para autenticación. Por esta razón, en Windows Server 2003
dominio, estas computadoras se autentican de forma predeterminada con los protocolos LM y NTLM para
autenticación de red. Puede aplicar un protocolo de autenticación más seguro para
Windows 95, Windows 98 y Windows NT mediante NTLMv2. Para el proceso de inicio de sesión,
NTLMv2 utiliza un canal seguro para proteger el proceso de autenticación. Incluso si usa
NTLMv2 para clientes y servidores más antiguos, clientes y servidores basados en Windows que
los miembros del dominio utilizarán el protocolo de autenticación Kerberos para autenticarse con
Controladores de dominio de Windows Server 2003 o posteriores. Por estas razones, es fuertemente
prefirió restringir el uso de LM y NTLM (no v2) tanto como sea posible.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa: LmCompatibilityLevel
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en: Enviar
Solo respuesta NTLMv2. Rechazar LM y NTLM :

Políticas \ Opciones de seguridad \ Seguridad de red: nivel de autenticación de LAN Manager
Impacto:
Los clientes utilizan únicamente la autenticación NTLMv2 y utilizan la seguridad de sesión NTLMv2 si el servidor
lo apoya; Los controladores de dominio rechazan LM y NTLM (aceptan solo NTLMv2
autenticación). Los clientes que no admitan la autenticación NTLMv2 no podrán
autenticarse en el dominio y acceder a los recursos del dominio mediante LM y NTLM.
292 | Página
Página 294
Valor por defecto:

Envíe solo la respuesta NTLMv2. (Los clientes solo usan la autenticación NTLMv2 y usan NTLMv2
seguridad de la sesión si el servidor lo admite; Los controladores de dominio aceptan LM, NTLM y NTLMv2
autenticación.)
Referencias:
1. CCE-36173-3
Controles CIS:
Versión 6
Versión 7

293 | Página
Página 295
2.3.11.8 (L1) Garantizar la seguridad de la red: firma del cliente LDAP

requisitos 'se establece en' Negociar firma 'o superior (puntuado)
Descripción:
Esta configuración de directiva determina el nivel de firma de datos que se solicita en nombre de los clientes
que emiten solicitudes LDAP BIND.
Nota: esta configuración de directiva no tiene ningún impacto en el enlace simple LDAP
( ldap_simple_bind ) o enlace simple LDAP a través de SSL ( ldap_simple_bind_s ). No
Clientes de Microsoft LDAP que se incluyen con el uso de Windows XP Professional
ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio.
El estado recomendado para esta configuración es: Negociar firma . Configurar este ajuste para
Requerir firma también se ajusta a la referencia.
Razón fundamental:
El tráfico de red no firmado es susceptible a ataques de intermediario en los que un intruso

captura los paquetes entre el cliente y el servidor, los modifica y luego los reenvía
al servidor. Para un servidor LDAP, esta susceptibilidad significa que un atacante podría causar un
servidor para tomar decisiones basadas en datos falsos o alterados de las consultas LDAP. A
reducir este riesgo en su red, puede implementar fuertes medidas de seguridad física para
proteger la infraestructura de la red. Además, puede hacer todo tipo de intermediarios.
ataques extremadamente difíciles si necesita firmas digitales en todos los paquetes de red por medio
de los encabezados de autenticación IPsec.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LDAP: LDAPClientIntegrity
294 | Página
Página 296
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Negociar
firma (la configuración para Requerir firma también cumple con el punto de referencia):

Políticas \ Opciones de seguridad \ Seguridad de red: requisitos de firma del cliente LDAP
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si opta por configurar el servidor
para requerir firmas LDAP, también debe configurar el cliente. Si no configura
el cliente no podrá comunicarse con el servidor, lo que podría causar muchos
funciones fallan, incluida la autenticación de usuario, la directiva de grupo y los scripts de inicio de sesión, porque
se le informará a la persona que llama que la solicitud del comando LDAP BIND falló.
Valor por defecto:
Negociar la firma. (Si la seguridad de la capa de transporte / capa de sockets seguros (TLS / SSL) no
iniciado, la solicitud LDAP BIND se inicia con la opción de firma de datos LDAP establecida en
además de las opciones especificadas por la persona que llama. Si se ha iniciado TLS / SSL, LDAP BIND
la solicitud se inicia con las opciones especificadas por la persona que llama).
Referencias:
1. CCE-36858-9
Controles CIS:
Versión 6
Versión 7

295 | Página
Página 297
2.3.11.9 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión para

Los clientes basados en NTLM SSP (incluido el RPC seguro) 'se establece en' Requerir
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits '(puntuado)
Descripción:
Esta configuración de directiva determina qué comportamientos están permitidos por los clientes para las aplicaciones
utilizando el proveedor de soporte de seguridad NTLM (SSP). La interfaz SSP (SSPI) es utilizada por
aplicaciones que necesitan servicios de autenticación. El ajuste no modifica la forma en que
La secuencia de autenticación funciona, pero en cambio requiere ciertos comportamientos en aplicaciones que
utilice el SSPI.
El estado recomendado para esta configuración es: Requerir seguridad de sesión NTLMv2, Requerir
Cifrado de 128 bits .
Nota: Estos valores dependen de la seguridad de la red: Autenticación de LAN Manager

Nivel (Regla 2.3.11.7) valor de configuración de seguridad.
Razón fundamental:
Puede habilitar ambas opciones para esta configuración de directiva para ayudar a proteger el tráfico de red que usa
el proveedor de soporte de seguridad NTLM (NTLM SSP) sea expuesto o manipulado por
un atacante que ha obtenido acceso a la misma red. En otras palabras, estas opciones ayudan
proteger contra ataques de intermediario.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0: NTLMMinClientS

CE
296 | Página
Página 298
Remediación:
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits :

Políticas \ Opciones de seguridad \ Seguridad de red: seguridad de sesión mínima para NTLM
Clientes basados en SSP (incluido RPC seguro)
Impacto:
Las conexiones NTLM fallarán si el protocolo NTLMv2 y el cifrado fuerte (128 bits) no están
ambos negociaron. Las aplicaciones cliente que imponen esta configuración no podrán
comunicarse con servidores más antiguos que no los admitan. Esta configuración podría afectar
Clúster de Windows cuando se aplica a servidores que ejecutan Windows Server 2003, consulte Microsoft
Artículo 890761 de la base de conocimientos: Recibe un mensaje de error "Error 0x8007042b" cuando
agrega o une un nodo a un clúster si usa NTLM versión 2 en Windows Server 2003 para
más información sobre posibles problemas y cómo resolverlos.
Valor por defecto:
En Windows Server 2008 (no R2): sin requisitos.
En Windows Server 2008 R2 y versiones posteriores: requiere cifrado de 128 bits. (Conexiones NTLM
fallará si no se negocia un cifrado fuerte (128 bits)).
Referencias:
1. CCE-37553-5
Controles CIS:
Versión 6
Versión 7

297 | Página
Página 299
2.3.11.10 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión para

Los servidores basados en NTLM SSP (incluido el RPC seguro) 'está configurado en' Requerir
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits '(puntuado)
Descripción:
Esta configuración de directiva determina qué comportamientos están permitidos por los servidores para las aplicaciones
utilizando el proveedor de soporte de seguridad NTLM (SSP). La interfaz SSP (SSPI) es utilizada por
aplicaciones que necesitan servicios de autenticación. El ajuste no modifica la forma en que
La secuencia de autenticación funciona, pero en cambio requiere ciertos comportamientos en aplicaciones que
utilice el SSPI.
El estado recomendado para esta configuración es: Requerir seguridad de sesión NTLMv2, Requerir
Cifrado de 128 bits .
Nota: Estos valores dependen de la seguridad de la red: Autenticación de LAN Manager

Nivel (Regla 2.3.11.7) valor de configuración de seguridad.
Razón fundamental:
Puede habilitar todas las opciones de esta configuración de directiva para ayudar a proteger el tráfico de red que
utiliza el proveedor de soporte de seguridad NTLM (NTLM SSP) para que no sea expuesto o manipulado
con un atacante que ha obtenido acceso a la misma red. Es decir, estas opciones ayudan
proteger contra ataques de intermediario.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0: NTLMMinServerS

CE
298 | Página
Página 300
Remediación:
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits :

Políticas \ Opciones de seguridad \ Seguridad de red: seguridad de sesión mínima para NTLM
Servidores basados en SSP (incluido RPC seguro)
Impacto:
Las conexiones NTLM fallarán si el protocolo NTLMv2 y el cifrado fuerte (128 bits) no están
ambos negociaron. Las aplicaciones de servidor que aplican esta configuración no podrán
comunicarse con servidores más antiguos que no los admitan. Esta configuración podría afectar
Clúster de Windows cuando se aplica a servidores que ejecutan Windows Server 2003, consulte Microsoft
Artículo 890761 de la base de conocimientos: Recibe un mensaje de error "Error 0x8007042b" cuando
agrega o une un nodo a un clúster si usa NTLM versión 2 en Windows Server 2003 para
más información sobre posibles problemas y cómo resolverlos.
Valor por defecto:
En Windows Server 2008 (no R2): sin requisitos.
En Windows Server 2008 R2 y versiones posteriores: requiere cifrado de 128 bits. (Conexiones NTLM
fallará si no se negocia un cifrado fuerte (128 bits)).
Referencias:
1. CCE-37835-6
Controles CIS:
Versión 6
Versión 7

299 | Página
Página 301
2.3.12 Consola de recuperación

300 | Página
Página 302
2.3.13 Apagado
Esta sección contiene recomendaciones relacionadas con la funcionalidad de apagado de Windows.
2.3.13.1 (L1) Asegúrese de 'Apagado: permita que el sistema se apague sin

tener que iniciar sesión 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva determina si una computadora se puede apagar cuando un usuario no está
sesión iniciada. Si esta configuración de política está habilitada, el comando de apagado está disponible en el
Pantalla de inicio de sesión de Windows. Se recomienda deshabilitar esta configuración de directiva para restringir la
capacidad de apagar la computadora a los usuarios con credenciales en el sistema.
Nota: En Server 2008 R2 y versiones anteriores, esta configuración no tuvo ningún impacto en el Escritorio remoto
(RDP) / sesiones de Terminal Services: solo afectó a la consola local. Sin embargo, Microsoft
cambió el comportamiento en Windows Server 2012 (no R2) y superior, donde si se establece en
Habilitadas, las sesiones RDP también pueden apagar o reiniciar el servidor.
Razón fundamental:
Los usuarios que pueden acceder a la consola localmente pueden apagar la computadora. Los atacantes podrían
también camine hasta la consola local y reinicie el servidor, lo que provocaría un DoS temporal
condición. Los atacantes también podrían cerrar el servidor y dejar todas sus aplicaciones y
servicios no disponibles. Como se indica en la descripción anterior, el riesgo de denegación de servicio (DoS) de
Habilitar esta configuración aumenta drásticamente en Windows Server 2012 (no R2) y superior,
ya que incluso los usuarios remotos podrían apagar o reiniciar el servidor desde la pantalla de inicio de sesión de
una sesión de RDP.
301 | Página
Página 303
Auditoría:

ShutdownWithoutLogon
Remediación:

Políticas \ Opciones de seguridad \ Apagado: Permitir que el sistema se apague sin
tener que iniciar sesión
Impacto:
Valor por defecto:
Discapacitado. (Los operadores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos).
Referencias:
1. CCE-36788-8
302 | Página
Página 304
Controles CIS:
Versión 6

Versión 7


2.3.14 Criptografía del sistema

303 | Página
Página 305
2.3.15 Objetos del sistema

Esta sección contiene recomendaciones relacionadas con los objetos del sistema.
2.3.15.1 (L1) Asegúrese de que 'Objetos del sistema: requiera que no se distinga entre mayúsculas y minúsculas
Subsistemas de Windows 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina si se aplica la insensibilidad a mayúsculas y minúsculas para todos los subsistemas.
El subsistema Microsoft Win32 no distingue entre mayúsculas y minúsculas. Sin embargo, el kernel admite case
sensibilidad para otros subsistemas, como la interfaz del sistema operativo portátil para UNIX
(POSIX). Debido a que Windows no distingue entre mayúsculas y minúsculas (pero el subsistema POSIX admitirá mayúsculas
sensibilidad), la falta de aplicación de esta configuración de política hace posible que un usuario de POSIX
subsistema para crear un archivo con el mismo nombre que otro archivo usando mayúsculas y minúsculas para etiquetar
eso. Tal situación puede bloquear el acceso a estos archivos por parte de otro usuario que usa Win32 típico.
herramientas, porque solo uno de los archivos estará disponible.
Razón fundamental:
Debido a que Windows no distingue entre mayúsculas y minúsculas, pero el subsistema POSIX admitirá la distinción entre mayúsculas y minúsculas,
Si no se habilita esta configuración de política, un usuario de ese subsistema podría
crear un archivo con el mismo nombre que otro archivo pero con una mezcla diferente de superior e inferior
letras mayúsculas. Tal situación podría confundir a los usuarios cuando intentan acceder a tales
archivos de herramientas normales de Win32 porque solo uno de los archivos estará disponible.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session

Administrador \ Kernel: ObCaseInsensitive
304 | Página
Página 306
Remediación:

Políticas \ Opciones de seguridad \ Objetos del sistema: requieren que no se distinga entre mayúsculas y minúsculas
Subsistemas de Windows
Impacto:
Valor por defecto:
Habilitado. (Todos los subsistemas estarán obligados a observar la insensibilidad a mayúsculas y minúsculas. Esta configuración
puede confundir a los usuarios que están familiarizados con cualquier sistema operativo basado en UNIX que es
sensible.)
Referencias:
1. CCE-37885-1
Controles CIS:
Versión 7

305 | Página
Página 307
2.3.15.2 (L1) Asegúrese de que 'Objetos del sistema: fortalezca los permisos predeterminados de
objetos internos del sistema (por ejemplo, enlaces simbólicos) 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva determina la fuerza de la lista de control de acceso discrecional predeterminada
(DACL) para objetos. Active Directory mantiene una lista global de recursos del sistema compartidos,
como nombres de dispositivos DOS, mutex y semáforos. De esta forma, los objetos se pueden localizar
y compartido entre procesos. Cada tipo de objeto se crea con una DACL predeterminada que
especifica quién puede acceder a los objetos y qué permisos se otorgan.
Razón fundamental:
Esta configuración determina la fuerza de la DACL predeterminada para los objetos. Windows mantiene un
lista global de recursos informáticos compartidos para que los objetos se puedan localizar y compartir entre
Procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede acceder
los objetos y con qué permisos.
Auditoría:

Administrador: ProtectionMode
Remediación:

Políticas \ Opciones de seguridad \ Objetos del sistema: refuerce los permisos predeterminados de
objetos internos del sistema (por ejemplo, enlaces simbólicos)
Impacto:
306 | Página
Página 308
Valor por defecto:
Habilitado. (La DACL predeterminada es más fuerte, lo que permite a los usuarios que no son administradores leer
objetos compartidos, pero no permite que estos usuarios modifiquen objetos compartidos que no
crear.)
Referencias:
1. CCE-37644-2
Controles CIS:
Versión 6
14.4 Proteja la información con listas de control de acceso

Toda la información almacenada en los sistemas estará protegida con el sistema de archivos, la red compartida,
listas de control de acceso específicas de reclamaciones, aplicaciones o bases de datos. Estos controles harán cumplir
Versión 7

2.3.16 Configuración del sistema

307 | Página
Página 309
2.3.17 Control de cuentas de usuario

Esta sección contiene recomendaciones relacionadas con el Control de cuentas de usuario.
2.3.17.1 (L1) Asegúrese de 'Control de cuentas de usuario: Modo de aprobación de administrador para
la cuenta de administrador integrada 'está configurada como' habilitada '(puntuada)
Descripción:
Esta configuración de directiva controla el comportamiento del modo de aprobación de administrador para el
Cuenta de administrador.
Razón fundamental:
Uno de los riesgos que presenta la función Control de cuentas de usuario introducida con Windows Vista es
tratar de mitigar es el de software malicioso que se ejecuta con credenciales elevadas sin
siendo el usuario o administrador consciente de su actividad. Un vector de ataque para estos programas
fue descubrir la contraseña de la cuenta llamada "Administrador" porque ese usuario
Se creó una cuenta para todas las instalaciones de Windows. Para abordar este riesgo, en Windows Vista
y más reciente, la cuenta de administrador integrada ahora está deshabilitada de forma predeterminada. Por defecto
instalación de una nueva computadora, las cuentas con control administrativo sobre la computadora son
inicialmente configurado de una de estas dos formas:
• Si el equipo no está unido a un dominio, la primera cuenta de usuario que cree tendrá la
permisos equivalentes como administrador local.
• Si el equipo está unido a un dominio, no se crean cuentas de administrador local.
El administrador de la empresa o del dominio debe iniciar sesión en la computadora y crear
uno si se garantiza una cuenta de administrador local.
Una vez que Windows está instalado, la cuenta de administrador integrada se puede habilitar manualmente,
pero recomendamos encarecidamente que esta cuenta permanezca inhabilitada.
308 | Página
Página 310
Auditoría:
FilterAdministratorToken
Remediación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: Modo de aprobación de administrador para
Cuenta de administrador incorporada
Impacto:
La cuenta de administrador integrada utiliza el modo de aprobación de administrador. Usuarios que inician sesión con el
Se le pedirá consentimiento a la cuenta de administrador local cada vez que un programa solicite un
elevación de privilegios, como lo haría cualquier otro usuario.
Valor por defecto:
Discapacitado. (La cuenta de administrador integrada ejecuta todas las aplicaciones con
privilegio.)
Referencias:
1. CCE-36494-3
Controles CIS:
Versión 6

Versión 7

309 | Página
Página 311
2.3.17.2 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la elevación

Solicitar a los administradores en el modo de aprobación de administrador 'se establece en' Solicitar
para el consentimiento en el escritorio seguro '(puntuado)
Descripción:
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los administradores.
El estado recomendado para esta configuración es: Solicitar consentimiento en el escritorio seguro .
Razón fundamental:
Uno de los riesgos que la función UAC introducida con Windows Vista está tratando de mitigar es
el del software malintencionado que se ejecuta con credenciales elevadas sin que el usuario o
administrador teniendo conocimiento de su actividad. Esta configuración sensibiliza al administrador
de operaciones con privilegios elevados y permite al administrador prevenir una
programa de elevar su privilegio cuando el programa intenta hacerlo.
Auditoría:

Consentimiento PromptBehaviorAdmin
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Prompt
para obtener consentimiento en el escritorio seguro :

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: comportamiento de la elevación
Solicitar a los administradores en el modo de aprobación de administrador
310 | Página
Página 312
Impacto:
Cuando una operación (incluida la ejecución de un binario de Windows) requiere la elevación de

privilegio, se solicita al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el
el usuario selecciona Permiso, la operación continúa con el privilegio más alto disponible del usuario.
Valor por defecto:
Solicitar consentimiento para archivos binarios que no sean de Windows. (Cuando una operación para una empresa que no es de Microsoft
La aplicación requiere elevación de privilegios, se solicita al usuario en el escritorio seguro que
seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el
privilegio más alto disponible del usuario).
Referencias:
1. CCE-37029-6
Controles CIS:
Versión 6

Versión 7

311 | Página
Página 313
2.3.17.3 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la elevación

mensaje para usuarios estándar 'está configurado en' Denegar elevación automáticamente
peticiones '(puntuados)
Descripción:
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para usuarios estándar.
El estado recomendado para esta configuración es: Denegar automáticamente las solicitudes de elevación .
Razón fundamental:
Uno de los riesgos que presenta la función Control de cuentas de usuario introducida con Windows Vista es
tratar de mitigar es el de los programas maliciosos que se ejecutan con credenciales elevadas sin
siendo el usuario o administrador consciente de su actividad. Este entorno crea conciencia sobre la
usuario que un programa requiere el uso de operaciones con privilegios elevados y requiere que el
el usuario podrá proporcionar credenciales administrativas para que se ejecute el programa.
Auditoría:

Consentimiento PromptBehaviorUser
Remediación:

Denegar automáticamente las solicitudes de elevación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: comportamiento de la elevación
aviso para usuarios estándar
312 | Página
Página 314
Impacto:
Cuando una operación requiere elevación de privilegios, un error de acceso denegado configurable
se muestra el mensaje. Una empresa que utiliza equipos de escritorio como usuario estándar puede elegir
esta configuración para reducir las llamadas a la mesa de ayuda.
Nota: Con esta configuración configurada como se recomienda, se muestra el mensaje de error predeterminado
cuando un usuario intenta realizar una operación o ejecutar un programa que requiere privilegios
elevación (sin derechos de administrador) es " Este programa no se ejecutará. Este programa es
bloqueado por política de grupo. Para más información, contacte a su administrador de sistema. " Algunos
los usuarios que no están acostumbrados a ver este mensaje pueden creer que la operación o el programa
intentaron ejecutar está específicamente bloqueado por la política de grupo, ya que eso es lo que el mensaje
parece implicar. Por lo tanto, este mensaje puede dar lugar a preguntas del usuario sobre por qué ese
La operación / programa está bloqueado, cuando en realidad el problema es que necesitan realizar la
operación o ejecutar el programa con una cuenta administrativa (o "Ejecutar como administrador" si
ya es una cuenta de administrador), y no lo están haciendo.
Valor por defecto:
Solicitar credenciales. (Cuando una operación requiere elevación de privilegios, el usuario

se le solicita que introduzca un nombre de usuario administrativo y una contraseña. Si el usuario ingresa válido
credenciales, la operación continúa con el privilegio correspondiente).
Referencias:
1. CCE-36864-7
Controles CIS:
Versión 6

Versión 7

313 | Página
Página 315
2.3.17.4 (L1) Asegurar 'Control de cuentas de usuario: Detectar aplicación

instalaciones y solicitud de elevación 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva controla el comportamiento de la detección de instalación de aplicaciones para el

computadora.
Razón fundamental:
Algún software malintencionado intentará instalarse después de recibir permiso para ejecutarse.
Por ejemplo, software malicioso con un shell de aplicación confiable. El usuario puede haber dado
permiso para que el programa se ejecute porque el programa es de confianza, pero si lo son,
se le solicita la instalación de un componente desconocido, esto proporciona otra forma de captura
el software antes de que pueda dañar
Auditoría:

EnableInstallerDetection
Remediación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: Detectar aplicación
instalaciones y solicitud de elevación
Impacto:
Cuando se detecta un paquete de instalación de aplicaciones que requiere elevación de privilegios,

se solicita al usuario que introduzca un nombre de usuario administrativo y una contraseña. Si el usuario ingresa
credenciales válidas, la operación continúa con el privilegio correspondiente.
314 | Página
Página 316
Valor por defecto:
Discapacitado. (Predeterminado para empresas. Los paquetes de instalación de aplicaciones no se detectan y

se le solicita elevación.)
Referencias:
1. CCE-36533-8
Controles CIS:
Versión 6

Versión 7
2.6 Dirección de software no aprobado

Asegúrese de que se elimine el software no autorizado o que el inventario se actualice en un
manera oportuna
2.7 Utilizar la lista blanca de aplicaciones

Utilice la tecnología de listas blancas de aplicaciones en todos los activos para asegurarse de que solo los autorizados
el software se ejecuta y todo el software no autorizado se bloquea para que no se ejecute en los activos.
315 | Página
Página 317
2.3.17.5 (L1) Asegúrese de 'Control de cuentas de usuario: solo eleve UIAccess

aplicaciones que están instaladas en ubicaciones seguras 'está configurado como' Habilitado '
(Puntuado)
Descripción:
Esta configuración de directiva controla si las aplicaciones que solicitan ejecutarse con una interfaz de usuario
El nivel de integridad de accesibilidad (UIAccess) debe residir en una ubicación segura en el sistema de archivos.
Las ubicaciones seguras se limitan a lo siguiente:
•… \ Archivos de programa \ , incluidas las subcarpetas

•… \ Windows \ System32 \
•… \ Archivos de programa (x86) \ , incluidas las subcarpetas (para versiones de Windows de 64 bits)
Nota: Windows impone una verificación de firma de infraestructura de clave pública (PKI) en cualquier
aplicación interactiva que solicita ejecutarse con un nivel de integridad UIAccess independientemente del
estado de esta configuración de seguridad.
Razón fundamental:
UIAccess Integrity permite que una aplicación omita el aislamiento de privilegios de la interfaz de usuario (UIPI)
restricciones cuando una aplicación tiene privilegios elevados de un usuario estándar a un
administrador. Esto es necesario para admitir funciones de accesibilidad, como lectores de pantalla que
están transmitiendo interfaces de usuario a formas alternativas. Un proceso que se inicia con
Los derechos de UIAccess tienen las siguientes capacidades:
• Para configurar la ventana de primer plano.

• Para manejar cualquier ventana de la aplicación usando la función SendInput.
• Para usar la entrada de lectura para todos los niveles de integridad usando ganchos de bajo nivel, entrada sin procesar,
GetKeyState, GetAsyncKeyState y GetKeyboardInput.
• Para configurar ganchos de diario.
• Para utiliza AttachThreadInput para adjuntar un hilo a una cola de entrada de mayor integridad.
316 | Página
Página 318
Auditoría:

EnableSecureUIAPaths
Remediación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: solo elevar UIAccess
aplicaciones que están instaladas en lugares seguros
Impacto:
Valor por defecto:
Habilitado. (Si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con
Integridad de UIAccess.)
Referencias:
1. CCE-37057-7
Controles CIS:
Versión 6

Versión 7

317 | Página
Página 319
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en
Modo de aprobación de administrador 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva controla el comportamiento de todas las configuraciones de directiva de Control de cuentas de usuario (UAC)
para la computadora. Si cambia esta configuración de política, debe reiniciar su computadora.
Nota: Si esta configuración de directiva está deshabilitada, el Centro de seguridad le notifica que el
la seguridad del sistema operativo se ha reducido.
Razón fundamental:
Esta es la configuración que activa o desactiva UAC. Si esta configuración está deshabilitada, UAC no se utilizará
y cualquier beneficio de seguridad y mitigación de riesgos que dependa de UAC no se
presente en el sistema.
Auditoría:

Habilitar LUA
Remediación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: ejecute todos los administradores en
Modo de aprobación de administrador
Impacto:
Ninguno: este es el comportamiento predeterminado. Los usuarios y administradores deberán aprender a trabajar
con indicaciones de UAC y ajustar sus hábitos de trabajo para utilizar las operaciones de privilegios mínimos.
318 | Página
Página 320
Valor por defecto:
Habilitado. (El modo de aprobación de administrador está habilitado. Esta política debe estar habilitada y el UAC relacionado
La configuración de la política también debe establecerse adecuadamente para permitir que la cuenta de administrador incorporada
y todos los demás usuarios que son miembros del grupo de administradores para ejecutar en Admin
Modo de aprobación.)
Referencias:
1. CCE-36869-6
Controles CIS:
Versión 6

Versión 7

319 | Página
Página 321
2.3.17.7 (L1) Asegúrese de 'Control de cuentas de usuario: cambie al escritorio seguro

cuando se solicita elevación 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva controla si la solicitud de elevación se muestra en el
escritorio del usuario interactivo o el escritorio seguro.
Razón fundamental:
Los cuadros de diálogo de solicitud de elevación estándar se pueden falsificar, lo que puede hacer que los usuarios revelen
sus contraseñas a software malintencionado. El escritorio seguro presenta una muy distinta
apariencia cuando se solicita la elevación, donde el escritorio del usuario se atenúa y la elevación
La interfaz de usuario rápida es más prominente. Esto aumenta la probabilidad de que los usuarios que se convierten
acostumbrado al escritorio seguro reconocerá un cuadro de diálogo de aviso de elevación falsificado
y no caer en la trampa.
Auditoría:

PromptOnSecureDesktop
Remediación:

Políticas \ Opciones de seguridad \ Control de cuentas de usuario: cambie al escritorio seguro
al solicitar la elevación
Impacto:
320 | Página
Página 322
Valor por defecto:
Habilitado. (Todas las solicitudes de elevación van al escritorio seguro independientemente del comportamiento del aviso
configuración de políticas para administradores y usuarios estándar).
Referencias:
1. CCE-36866-2
Controles CIS:
Versión 6

Versión 7

321 | Página
Página 323
2.3.17.8 (L1) Asegurar 'Control de cuentas de usuario: virtualizar archivos y registros

errores de escritura en ubicaciones por usuario 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva controla si los errores de escritura de la aplicación se redirigen a

ubicaciones del registro y del sistema de archivos. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como
administrador y escriba los datos de la aplicación en tiempo de ejecución en:
• %Archivos de programa%
•% viento%
•% windir% \ System32
• HKEY_LOCAL_MACHINE \ SOFTWARE
Razón fundamental:
Esta configuración reduce las vulnerabilidades al garantizar que las aplicaciones heredadas solo escriban datos en
ubicaciones permitidas.
Auditoría:

Habilitar virtualización
Remediación:
Políticas \ Opciones de seguridad \ Control de cuentas de usuario: virtualice el archivo y el registro
escribir fallas en las ubicaciones por usuario
Impacto:
322 | Página
Página 324
Valor por defecto:
Habilitado. (Las fallas de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para
tanto el sistema de archivos como el registro).
Referencias:
1. CCE-37064-3
Controles CIS:
Versión 7

3 Registro de eventos
4 grupos restringidos
5 Servicios del sistema

6 Registro
7 Sistema de archivos
323 | Página
Página 325
8 Políticas de red cableada (IEEE 802.3)

9 Firewall de Windows con seguridad avanzada

Esta sección contiene recomendaciones para configurar el Firewall de Windows.
324 | Página
Página 326
9.1 Perfil de dominio

Esta sección contiene recomendaciones para el perfil de dominio del Firewall de Windows.
9.1.1 (L1) Asegúrese de que 'Firewall de Windows: Dominio: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado)
Descripción:
Seleccione Activado (recomendado) para que el Firewall de Windows con seguridad avanzada use el
configuración de este perfil para filtrar el tráfico de red. Si selecciona Desactivado, Firewall de Windows con
Advanced Security no utilizará ninguna de las reglas de firewall o reglas de seguridad de conexión para este
perfil.
El estado recomendado para esta configuración es: Activado (recomendado) .
Razón fundamental:
Si el cortafuegos está desactivado, todo el tráfico podrá acceder al sistema y un atacante puede
Ser capaz de explotar de forma remota una debilidad en un servicio de red más fácilmente.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ WindowsFirewall \ DomainProfile \

Habilitar firewall
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Activado
(recomendado) :
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Windows

Firewall con seguridad avanzada \ Windows Firewall con avanzada
Seguridad \ Propiedades del cortafuegos de Windows \ Perfil de dominio \ Estado del cortafuegos
325 | Página
Página 327
Impacto:
Valor por defecto:
Activado (recomendado). (El Firewall de Windows con seguridad avanzada estará activo en este
perfil.)
Referencias:
1. CCE-36062-8
Controles CIS:
Versión 6
9.2 Aproveche los firewalls basados en host

Aplique firewalls basados en host o herramientas de filtrado de puertos en sistemas finales, con una denegación predeterminada
regla que descarta todo el tráfico excepto aquellos servicios y puertos que están explícitamente permitidos.
Versión 7
9.4 Aplicar cortafuegos o filtrado de puertos basados en host
11.1 Mantener configuraciones de seguridad estándar para dispositivos de red

Mantener estándares de configuración de seguridad documentados y estándar para todos los
dispositivos de red.
11.2 Reglas de configuración del tráfico de documentos

Todas las reglas de configuración que permiten que el tráfico fluya a través de los dispositivos de red deben
documentado en un sistema de gestión de la configuración con una razón comercial específica para
cada regla, el nombre de un individuo específico responsable de esa necesidad comercial y un
duración de la necesidad.
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
326 | Página
Página 328
9.1.2 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones entrantes' esté
establecido en 'Bloquear (predeterminado)' (puntuado)
Descripción:
Esta configuración determina el comportamiento de las conexiones entrantes que no coinciden

regla de firewall entrante.
El estado recomendado para esta configuración es: Bloquear (predeterminado) .
Razón fundamental:
Si el firewall permite que todo el tráfico acceda al sistema, entonces un atacante puede ser más fácil
capaz de explotar de forma remota una debilidad en un servicio de red.
Auditoría:

DefaultInboundAction
Remediación:
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Conexiones entrantes
Impacto:
Valor por defecto:
Bloquear (predeterminado). (El Firewall de Windows con seguridad avanzada bloqueará todas las entradas
conexiones que no coinciden con una regla de firewall entrante en este perfil).
327 | Página
Página 329
Referencias:
1. CCE-38117-8
Controles CIS:
Versión 6

Versión 7


328 | Página
Página 330
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones salientes' esté
establecido en 'Permitir (predeterminado)' (puntuado)
Descripción:
Esta configuración determina el comportamiento de las conexiones salientes que no coinciden

regla de firewall de salida.
El estado recomendado para esta configuración es: Permitir (predeterminado) .
Razón fundamental:
Algunas personas creen que es prudente bloquear todas las conexiones salientes excepto aquellas
aprobado específicamente por el usuario o administrador. Microsoft no está de acuerdo con esta opinión,
El bloqueo de las conexiones salientes de forma predeterminada obligará a los usuarios a tratar con una gran cantidad de
Cuadros de diálogo que les solicitan que autoricen o bloqueen aplicaciones como su navegador web
o software de mensajería instantánea. Además, bloquear el tráfico saliente tiene poco valor
porque si un atacante ha comprometido el sistema, puede reconfigurar el firewall
de todas formas.
Auditoría:

DefaultOutboundAction
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Permitir
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Conexiones salientes
329 | Página
Página 331
Impacto:
Valor por defecto:
Permitir (predeterminado). (El Firewall de Windows con seguridad avanzada permitirá todas las
conexiones en este perfil a menos que haya una regla de firewall que lo bloquee explícitamente).
Referencias:
1. CCE-36146-9
Controles CIS:
Versión 6

Versión 7


330 | Página
Página 332
9.1.4 (L1) Asegúrese de 'Firewall de Windows: Dominio: Configuración: Mostrar una

notificación 'se establece en' No '(puntuado)
Descripción:
Seleccione esta opción para que el Firewall de Windows con seguridad avanzada muestre notificaciones
el usuario cuando un programa no puede recibir conexiones entrantes.
El estado recomendada para este ajuste es: n .
Nota: Cuando la opción Aplicar reglas de firewall local está configurada en No , es

También recomienda configurar la visualización de una configuración de notificación a n . De otra manera,
los usuarios seguirán recibiendo mensajes que les pregunten si quieren desbloquear una restricción
conexión entrante, pero se ignorará la respuesta del usuario.
Razón fundamental:
Las notificaciones de firewall pueden ser complejas y pueden confundir a los usuarios finales, que no lo estarían
capaz de abordar la alerta.
Auditoría:

Desactivar notificaciones
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en No :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Configuración
Personalizar \ Mostrar una notificación
331 | Página
Página 333
Impacto:
El Firewall de Windows no mostrará una notificación cuando se bloquee la recepción de un programa

conexiones entrantes.
Valor por defecto:
Si. (El Firewall de Windows con seguridad avanzada mostrará una notificación cuando un programa
está bloqueado para recibir conexiones entrantes).
Referencias:
1. CCE-38041-0
Controles CIS:
Versión 7

332 | Página
Página 334
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log' (puntuado)
Descripción:
Utilice esta opción para especificar la ruta y el nombre del archivo en el que Windows Firewall
escriba su información de registro.

% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log .
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:

Registro \ LogFilePath
Remediación:

% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Personalizar registro \ Nombre
Impacto:
El archivo de registro se almacenará en el archivo especificado.
Valor por defecto:
% SystemRoot% \ System32 \ logfiles \ firewall \ pfirewall.log
333 | Página
Página 335
Referencias:
1. CCE-37482-7
Controles CIS:
Versión 6
Versión 7



334 | Página
Página 336
9.1.6 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: límite de tamaño (KB)' sea
establecido en '16, 384 KB o superior '(puntuado)
Descripción:
Utilice esta opción para especificar el límite de tamaño del archivo en el que Windows Firewall escribirá su
información de registro.
El estado recomendado para esta configuración es: 16,384 KB o más .
Razón fundamental:
Auditoría:

Registro \ LogFileSize
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en 16,384 KB
o mayor :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Registro Personalizar \ Tamaño
límite (KB)
Impacto:
El tamaño del archivo de registro se limitará al tamaño especificado, los eventos antiguos se sobrescribirán con los más nuevos.
unos cuando se alcanza el límite.
335 | Página
Página 337
Valor por defecto:
4.096 KB.
Referencias:
1. CCE-36088-3
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7

generado.

336 | Página
Página 338
9.1.7 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro eliminado

paquetes 'está configurado en' Sí '(puntuado)
Descripción:
Utilice esta opción para registrar cuando el Firewall de Windows con seguridad avanzada descarte una entrada
paquete por cualquier motivo. El registro registra por qué y cuándo se descartó el paquete. Buscar
entradas con la palabra DROP en la columna de acción del registro.
El estado recomendado para esta configuración es: Sí .
Razón fundamental:
Auditoría:

Logging \ LogDroppedPackets
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Sí :

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Registro Personalizar \ Registro
paquetes caídos
Impacto:
La información sobre los paquetes descartados se registrará en el archivo de registro del firewall.
337 | Página
Página 339
Valor por defecto:
Ningún valor predeterminado). (La información sobre paquetes descartados no se registrará en el registro del firewall
expediente.)
Referencias:
1. CCE-37523-8
Controles CIS:
Versión 6
Versión 7



338 | Página
Página 340
9.1.8 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro exitoso

conexiones 'está configurado en' Sí '(puntuado)
Descripción:
Utilice esta opción para iniciar sesión cuando el Firewall de Windows con seguridad avanzada permita una entrada
conexión. El registro registra por qué y cuándo se formó la conexión. Busque entradas
con la palabra PERMITIR en la columna de acción del registro.
Razón fundamental:
Auditoría:

Logging \ LogSuccessfulConnections
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil de dominio \ Registro Personalizar \ Registro
conexiones exitosas
Impacto:
La información sobre las conexiones correctas se registrará en el archivo de registro del firewall.
339 | Página
Página 341
Valor por defecto:
Ningún valor predeterminado). (La información sobre conexiones exitosas no se registrará en el firewall
archivo de registro.)
Referencias:
1. CCE-36393-7
Controles CIS:
Versión 6
Versión 7



340 | Página
Página 342
9.2 Perfil privado

Esta sección contiene recomendaciones para el perfil privado del Firewall de Windows.
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' esté configurado en 'Activado
Descripción:
perfil.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ WindowsFirewall \ PrivateProfile

:Habilitar firewall
Remediación:
(recomendado) :

Seguridad \ Propiedades del firewall de Windows \ Perfil privado \ Estado del firewall
341 | Página
Página 343
Impacto:
Valor por defecto:
perfil.)
Referencias:
1. CCE-38239-0
Controles CIS:
Versión 6

Versión 7


342 | Página
Página 344
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones entrantes' esté configurado
a 'Bloquear (predeterminado)' (puntuado)
Descripción:

Razón fundamental:
Auditoría:

: DefaultInboundAction
Remediación:
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Conexiones entrantes
Impacto:
Valor por defecto:
343 | Página
Página 345
Referencias:
1. CCE-38042-8
Controles CIS:
Versión 6

Versión 7


344 | Página
Página 346
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones salientes' esté
Descripción:

Nota: Si configura las conexiones salientes en Bloquear y luego implementa la política de firewall usando
un GPO, los equipos que reciben la configuración de GPO no pueden recibir la directiva de grupo posterior
actualizaciones a menos que cree e implemente una regla de salida que permita que la Política de grupo funcione.
Las reglas predefinidas para las redes centrales incluyen reglas de salida que permiten que la directiva de grupo
trabajo. Asegúrese de que estas reglas de salida estén activas y pruebe minuciosamente los perfiles de firewall
antes de desplegar.
Razón fundamental:
de todas formas.
Auditoría:

: DefaultOutboundAction
345 | Página
Página 347
Remediación:
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Conexiones salientes
Impacto:
Valor por defecto:
Referencias:
1. CCE-38332-3
Controles CIS:
Versión 6

Versión 7


346 | Página
Página 348
9.2.4 (L1) Asegúrese de 'Firewall de Windows: Privado: Configuración: Mostrar una

Descripción:

También recomienda configurar el Mostrar una notificación ajuste a n . De otra manera,
Razón fundamental:
Las notificaciones de firewall pueden ser complejas y pueden confundir a los usuarios finales, que no lo estarían
capaz de abordar la alerta.
Auditoría:

:Desactivar notificaciones
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Configuración
347 | Página
Página 349
Impacto:

Valor por defecto:
Referencias:
1. CCE-37621-0
Controles CIS:
Versión 7

348 | Página
Página 350
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log' (puntuado)
Descripción:

% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log .
Razón fundamental:
Auditoría:

\ Registro: LogFilePath
Remediación:

% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log :

Seguridad \ Propiedades del Firewall de Windows \ Perfil privado \ Personalizar registro \ Nombre
Impacto:
349 | Página
Página 351
Valor por defecto:
Referencias:
1. CCE-37569-1
Controles CIS:
Versión 6
Versión 7



350 | Página
Página 352
9.2.6 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: límite de tamaño (KB)' sea
Descripción:
Razón fundamental:
Auditoría:

\ Registro: LogFileSize
Remediación:
o mayor :

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Registro Personalizar \ Tamaño
límite (KB)
Impacto:
351 | Página
Página 353
Valor por defecto:
4.096 KB.
Referencias:
1. CCE-38178-0
Controles CIS:
Versión 6
Versión 7

generado.
352 | Página
Página 354
9.2.7 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro eliminado
Descripción:
Razón fundamental:
Auditoría:

\ Registro: LogDroppedPackets
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Registro Personalizar \ Registro
paquetes caídos
Impacto:
353 | Página
Página 355
Valor por defecto:
expediente.)
Referencias:
1. CCE-35972-9
Controles CIS:
Versión 6
Versión 7



354 | Página
Página 356
9.2.8 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro exitoso
Descripción:
Razón fundamental:
Auditoría:

\ Registro: LogSuccessfulConnections
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Registro Personalizar \ Registro
conexiones exitosas
Impacto:
355 | Página
Página 357
Valor por defecto:
Referencias:
1. CCE-37387-8
Controles CIS:
Versión 6
Versión 7



356 | Página
Página 358
9.3 Perfil público

Esta sección contiene recomendaciones para el perfil público del Firewall de Windows.
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado en 'Activado
Descripción:
perfil.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ WindowsFirewall \ PublicProfile:

Habilitar firewall
Remediación:
(recomendado):

Seguridad \ Propiedades del cortafuegos de Windows \ Perfil público \ Estado del cortafuegos
357 | Página
Página 359
Impacto:
Valor por defecto:
perfil.)
Referencias:
1. CCE-37862-0
Controles CIS:
Versión 6

Versión 7


358 | Página
Página 360
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: Público: conexiones entrantes' esté configurado
a 'Bloquear (predeterminado)' (puntuado)
Descripción:

Razón fundamental:
Auditoría:

DefaultInboundAction
Remediación:
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Conexiones entrantes
Impacto:
359 | Página
Página 361
Valor por defecto:
Referencias:
1. CCE-36057-8
Controles CIS:
Versión 6

Versión 7


360 | Página
Página 362
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: público: conexiones salientes' esté
Descripción:

Nota: Si configura las conexiones salientes en Bloquear y luego implementa la política de firewall usando
un GPO, los equipos que reciben la configuración de GPO no pueden recibir la directiva de grupo posterior
actualizaciones a menos que cree e implemente una regla de salida que permita que la Política de grupo funcione.
Las reglas predefinidas para las redes centrales incluyen reglas de salida que permiten que la directiva de grupo
trabajo. Asegúrese de que estas reglas de salida estén activas y pruebe minuciosamente los perfiles de firewall
antes de desplegar.
Razón fundamental:
de todas formas.
Auditoría:

DefaultOutboundAction
361 | Página
Página 363
Remediación:
(predeterminado) :

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Conexiones salientes
Impacto:
Valor por defecto:
Referencias:
1. CCE-37434-8
Controles CIS:
Versión 6

Versión 7


362 | Página
Página 364
9.3.4 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Mostrar un

Descripción:
Razón fundamental:
Algunas organizaciones pueden preferir evitar alarmar a los usuarios cuando las reglas de firewall bloquean ciertos
tipos de actividad de la red. Sin embargo, las notificaciones pueden ser útiles para solucionar problemas
Problemas de red relacionados con el firewall.
Auditoría:

Desactivar notificaciones
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en 'No':

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Configuración
Impacto:

363 | Página
Página 365
Valor por defecto:
Referencias:
1. CCE-38043-6
Controles CIS:
Versión 7

364 | Página
Página 366
9.3.5 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar firewall local
reglas 'se establece en' No '(puntuado)
Descripción:
Esta configuración controla si los administradores locales pueden crear reglas de firewall locales
que se aplican junto con las reglas de firewall configuradas por la Política de grupo.

También recomienda configurar el Mostrar una notificación ajuste a n . De otra manera,
Razón fundamental:
Cuando esté en el perfil público, no debe haber excepciones especiales de firewall local por
computadora. Esta configuración debe administrarse mediante una política centralizada.
Auditoría:

AllowLocalPolicyMerge
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Configuración Personalizar \ Aplicar
reglas de firewall local
Impacto:
Los administradores aún pueden crear reglas de firewall, pero las reglas no se aplicarán.
365 | Página
Página 367
Valor por defecto:
Sí (predeterminado). (Se aplicarán las reglas de firewall creadas por los administradores).
Referencias:
1. CCE-37861-2
Controles CIS:
Versión 6

Versión 7

366 | Página
Página 368
9.3.6 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar local

reglas de seguridad de conexión 'se establece en' No '(puntuado)
Descripción:
Esta configuración controla si los administradores locales pueden crear una conexión
reglas de seguridad que se aplican junto con las reglas de seguridad de conexión configuradas por el grupo
Política.
Razón fundamental:
Los usuarios con privilegios administrativos pueden crear reglas de firewall que expongan el sistema a
ataque remoto.
Auditoría:

AllowLocalIPsecPolicyMerge
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Configuración Personalizar \ Aplicar
reglas de seguridad de conexión local
Impacto:
Los administradores aún pueden crear reglas de seguridad de conexión local, pero las reglas no serán
aplicado.
367 | Página
Página 369
Valor por defecto:
Sí (predeterminado). (Se aplicarán las reglas de seguridad de conexión local creadas por los administradores).
Referencias:
1. CCE-36268-1
Controles CIS:
Versión 6

Versión 7

368 | Página
Página 370
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log' (puntuado)
Descripción:

% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log .
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ WindowsFirewall \ PublicProfile \

Registro: LogFilePath
Remediación:

% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log :

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Personalizar registro \ Nombre
Impacto:
Valor por defecto:
369 | Página
Página 371
Referencias:
1. CCE-37266-4
Controles CIS:
Versión 6
Versión 7



370 | Página
Página 372
9.3.8 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: límite de tamaño (KB)' sea
Descripción:
Razón fundamental:
Auditoría:

Registro: LogFileSize
Remediación:
o mayor :

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Registro Personalizar \ Tamaño
límite (KB)
Impacto:
371 | Página
Página 373
Valor por defecto:
4.096 KB.
Referencias:
1. CCE-36395-2
Controles CIS:
Versión 6
Versión 7

generado.

372 | Página
Página 374
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro eliminado
Descripción:
Razón fundamental:
Auditoría:

Registro: LogDroppedPackets
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Registro Personalizar \ Registro
paquetes caídos
Impacto:
373 | Página
Página 375
Valor por defecto:
expediente.)
Referencias:
1. CCE-37265-6
Controles CIS:
Versión 6
Versión 7



374 | Página
Página 376
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro exitoso
Descripción:
Razón fundamental:
Auditoría:

Registro: LogSuccessfulConnections
Remediación:

Seguridad \ Propiedades de Firewall de Windows \ Perfil público \ Registro Personalizar \ Registro
conexiones exitosas
Impacto:
375 | Página
Página 377
Valor por defecto:
Referencias:
1. CCE-36394-5
Controles CIS:
Versión 6
Versión 7



376 | Página
Página 378
10 políticas de Network List Manager

11 Políticas de red inalámbrica (IEEE 802.11)

12 políticas de clave pública

13 Políticas de restricción de software

14 Configuración del cliente NAP de protección de acceso a la red

15 Políticas de control de aplicaciones

16 Políticas de seguridad IP
377 | Página
Página 379
17 Configuración avanzada de políticas de auditoría

Esta sección contiene recomendaciones para configurar las funciones de auditoría de Windows.
17.1 Inicio de sesión de cuenta

Esta sección contiene recomendaciones para configurar la política de auditoría de inicio de sesión de cuenta.
17.1.1 (L1) Asegúrese de que 'Validación de credenciales de auditoría' esté configurado en 'Éxito y
Fracaso '(puntuado)
Descripción:
Esta subcategoría informa los resultados de las pruebas de validación de las credenciales enviadas para un usuario.
solicitud
cartas de inicio dePara
credenciales. sesión
las de cuenta.
cuentas de Estos eventos
dominio, ocurren ende
el controlador la dominio
computadora
tiene que tiene autoridad
autoridad, mientraspara el las
que para
cuentas, la computadora local tiene autoridad. En entornos de dominio, la mayor parte de la cuenta
Los eventos de inicio de sesión se producen en el registro de seguridad de los controladores de dominio autorizados para
las cuentas de dominio. Sin embargo, estos eventos pueden ocurrir en otras computadoras en el
organización cuando se utilizan cuentas locales para iniciar sesión. Los eventos de esta subcategoría incluyen:
• 4774: se asignó una cuenta para el inicio de sesión.

• 4775: No se pudo asignar una cuenta para el inicio de sesión.
• 4776: el controlador de dominio intentó validar las credenciales de una cuenta.
• 4777: el controlador de dominio no pudo validar las credenciales de una cuenta.
El estado recomendado para esta configuración es: éxito y fracaso .
Razón fundamental:
Auditar estos eventos puede resultar útil al investigar un incidente de seguridad.
Auditoría:
prescrito.
378 | Página
Página 380
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Avanzado

Configuración de políticas de auditoría \ Políticas de auditoría \ Inicio de sesión de cuenta \ Credencial de auditoría
Validación
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Valor por defecto:
Éxito.
Referencias:
1. CCE-37741-6
379 | Página
Página 381
Controles CIS:
Versión 6
16.12 Utilice contraseñas largas para todas las cuentas de usuario

16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
16.8 Registrar intentos para acceder a cuentas desactivadas

Supervise los intentos de acceder a las cuentas desactivadas mediante el registro de auditoría.
Versión 7

16.12 Supervisar los intentos de acceder a las cuentas desactivadas


16.9 Deshabilitar cuentas inactivas

Deshabilite automáticamente las cuentas inactivas después de un período establecido de inactividad.
380 | Página
Página 382
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en
'Éxito y fracaso' (solo DC) (puntuado)
Descripción:
Esta subcategoría informa los resultados de los eventos generados después de una autenticación Kerberos.
Solicitud TGT. Kerberos es un servicio de autenticación distribuido que permite que un cliente ejecute
en nombre de un usuario para demostrar su identidad a un servidor sin enviar datos a través del
red. Esto ayuda a evitar que un atacante o servidor se haga pasar por un usuario.
• 4768: Se solicitó un vale de autenticación Kerberos (TGT).

• 4771: Error de autenticación previa de Kerberos.
• 4772: Error en la solicitud de un vale de autenticación Kerberos.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Inicio de sesión de cuenta \ Auditar Kerberos
Servicio de autenticación
381 | Página
Página 383
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38140-0
Controles CIS:
Versión 6
16.8 Registrar intentos para acceder a cuentas desactivadas

Versión 7




382 | Página
Página 384
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté configurado en
Descripción:
Esta subcategoría informa los resultados de los eventos generados por el ticket de autenticación Kerberos-
concesión de solicitudes de ticket (TGT). Las solicitudes de tickets de servicio Kerberos (solicitudes TGS) ocurren como
parte del uso del servicio y solicitudes de acceso de cuentas específicas. Auditar estos eventos
registrar la dirección IP desde la cual la cuenta solicitó TGS, cuando se solicitó TGS,
y qué tipo de cifrado se utilizó.
• 4769: se solicitó un vale de servicio Kerberos.

• 4770: se renovó un vale de servicio Kerberos.
• 4773: Error en la solicitud de un vale de servicio Kerberos.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Inicio de sesión de cuenta \ Auditar Kerberos
Operaciones de tickets de servicio
383 | Página
Página 385
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-37975-0
Controles CIS:
Versión 7




384 | Página
Página 386
17.2 Gestión de cuentas

Esta sección contiene recomendaciones para configurar la auditoría de administración de cuentas
política.
17.2.1 (L1) Asegúrese de que 'Audit Application Group Management' esté configurado en
'Éxito y fracaso' (puntuado)
Descripción:
Esta configuración de política le permite auditar eventos generados por cambios en grupos de aplicaciones.
como los siguientes:
• Se crea, cambia o elimina el grupo de aplicaciones.

• El miembro se agrega o se elimina de un grupo de aplicaciones.
Los grupos de aplicaciones son utilizados por Windows Authorization Manager, que es una
marco creado por Microsoft para integrar el control de acceso basado en roles (RBAC) en
aplicaciones. Más información sobre el Administrador de autorización de Windows está disponible enMSDN -
Administrador de autorización de Windows .
Razón fundamental:
La auditoría de eventos en esta categoría puede resultar útil al investigar un incidente.
Auditoría:
prescrito.
385 | Página
Página 387
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Gestión de cuentas \ Auditoría
Gestión de grupos de aplicaciones
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-38329-9
Controles CIS:
Versión 6

Versión 7



386 | Página
Página 388
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado en
incluir 'Éxito' (solo DC) (puntuado)
Descripción:
Esta subcategoría informa cada evento de administración de cuentas de computadora, como cuando un
Se crea, cambia, elimina, cambia de nombre, desactiva o activa una cuenta de computadora. Eventos para
esta subcategoría incluye:
• 4741: se creó una cuenta de computadora.

• 4742: se cambió una cuenta de computadora.
• 4743: se eliminó una cuenta de computadora.
El estado recomendado para esta configuración es incluir: Correcto .
Razón fundamental:
La auditoría de eventos en esta categoría puede resultar útil al investigar un incidente.
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Administración de cuentas \ Equipo de auditoría
Administración de cuentas
387 | Página
Página 389
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38004-8
Controles CIS:
Versión 6
1 Inventario de dispositivos autorizados y no autorizados

Inventario de dispositivos autorizados y no autorizados
Versión 7

388 | Página
Página 390
17.2.3 (L1) Asegúrese de que 'Auditar la gestión del grupo de distribución' esté configurado en
Descripción:
Esta subcategoría informa cada evento de la gestión del grupo de distribución, como cuando un
se crea, cambia o elimina un grupo de distribución o cuando un miembro se agrega o
eliminado de un grupo de distribución. Si habilita esta configuración de política de auditoría, los administradores
puede rastrear eventos para detectar la creación maliciosa, accidental y autorizada de cuentas grupales.
Los eventos de esta subcategoría incluyen:
• 4744: se creó un grupo local con seguridad deshabilitada.

• 4745: se cambió un grupo local con seguridad deshabilitada.
• 4746: se agregó un miembro a un grupo local con seguridad deshabilitada.
• 4747: Se eliminó un miembro de un grupo local con seguridad deshabilitada.
• 4748: se eliminó un grupo local con seguridad deshabilitada.
• 4749: Se creó un grupo global con seguridad deshabilitada.
• 4750: se cambió un grupo global con seguridad deshabilitada.
• 4751: se agregó un miembro a un grupo global con seguridad deshabilitada.
• 4752: Se eliminó un miembro de un grupo global con seguridad deshabilitada.
• 4753: se eliminó un grupo global con seguridad deshabilitada.
• 4759: se creó un grupo universal con seguridad deshabilitada.
• 4760: se cambió un grupo universal con seguridad deshabilitada.
• 4761: se agregó un miembro a un grupo universal con seguridad deshabilitada.
• 4762: Se eliminó un miembro de un grupo universal con seguridad deshabilitada.
• 4763: se eliminó un grupo universal con seguridad deshabilitada.
Razón fundamental:
La auditoría de estos eventos puede proporcionar a una organización información al respecto al investigar un
incidente. Por ejemplo, cuando un usuario no autorizado determinado se agregó a un
grupo de distribución.
Auditoría:
prescrito.
389 | Página
Página 391
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Gestión de cuentas \ Auditoría
Gestión de grupos de distribución
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36265-7
Controles CIS:
Versión 6

Versión 7

16.6 Mantener un inventario de cuentas

Mantener un inventario de todas las cuentas organizadas por sistema de autenticación.
390 | Página
Página 392
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado en
Descripción:
Esta subcategoría informa sobre otros eventos de administración de cuentas. Eventos para esta subcategoría
incluir:
• 4782: Se accedió al hash de contraseña de una cuenta.

• 4793: Se llamó a la API de verificación de políticas de contraseñas.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Gestión de cuentas \ Auditoría de otros
Eventos de gestión de cuentas
Impacto:
391 | Página
Página 393
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37855-4
Controles CIS:
Versión 6
Versión 7


392 | Página
Página 394
17.2.5 (L1) Asegúrese de que 'Auditar la gestión del grupo de seguridad' esté configurado para incluir
'Éxito' (puntuado)
Descripción:
Esta subcategoría informa de cada evento de la gestión del grupo de seguridad, como cuando un
se crea, cambia o elimina un grupo de seguridad o cuando se agrega o elimina un miembro
de un grupo de seguridad. Si habilita esta configuración de política de auditoría, los administradores pueden realizar un seguimiento
eventos para detectar la creación maliciosa, accidental y autorizada de cuentas de grupos de seguridad.
• 4727: se creó un grupo global con seguridad habilitada.

• 4728: se agregó un miembro a un grupo global con seguridad habilitada.
• 4729: Se eliminó un miembro de un grupo global con seguridad habilitada.
• 4730: se eliminó un grupo global con seguridad habilitada.
• 4731: se creó un grupo local con seguridad habilitada.
• 4732: se agregó un miembro a un grupo local con seguridad habilitada.
• 4733: Se eliminó un miembro de un grupo local con seguridad habilitada.
• 4734: se eliminó un grupo local con seguridad habilitada.
• 4735: se cambió un grupo local con seguridad habilitada.
• 4737: se cambió un grupo global con seguridad habilitada.
• 4754: se creó un grupo universal con seguridad habilitada.
• 4755: se cambió un grupo universal con seguridad habilitada.
• 4756: se agregó un miembro a un grupo universal con seguridad habilitada.
• 4757: se eliminó un miembro de un grupo universal con seguridad habilitada.
• 4758: se eliminó un grupo universal con seguridad habilitada.
• 4764: se cambió el tipo de un grupo.
Razón fundamental:
Auditoría:
prescrito.
393 | Página
Página 395
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Gestión de cuentas \ Seguridad de auditoría
Manejo de grupo
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38034-5
Controles CIS:
Versión 6

Versión 7


394 | Página
Página 396
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en 'Éxito
and Failure '(puntuado)
Descripción:
Esta subcategoría informa de cada evento de administración de cuentas de usuario, como cuando un usuario
la cuenta se crea, cambia o elimina; una cuenta de usuario cambia de nombre, se deshabilita o habilita; o
se establece o cambia una contraseña. Si habilita esta configuración de política de auditoría, los administradores pueden
rastrear eventos para detectar la creación maliciosa, accidental y autorizada de cuentas de usuario.
• 4720: se creó una cuenta de usuario.

• 4722: se habilitó una cuenta de usuario.
• 4723: se intentó cambiar la contraseña de una cuenta.
• 4724: se intentó restablecer la contraseña de una cuenta.
• 4725: se deshabilitó una cuenta de usuario.
• 4726: se eliminó una cuenta de usuario.
• 4738: se cambió una cuenta de usuario.
• 4740: se bloqueó una cuenta de usuario.
• 4765: Se agregó el historial de SID a una cuenta.
• 4766: Error al intentar agregar el historial de SID a una cuenta.
• 4767: se desbloqueó una cuenta de usuario.
• 4780: la ACL se configuró en cuentas que son miembros de grupos de administradores.
• 4781: se cambió el nombre de una cuenta:
• 4794: se intentó establecer el modo de restauración de servicios de directorio.
• 5376: Se realizó una copia de seguridad de las credenciales de Credential Manager.
• 5377: las credenciales de Credential Manager se restauraron a partir de una copia de seguridad.
Razón fundamental:
Auditoría:
prescrito.
395 | Página
Página 397
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Gestión de cuentas \ Usuario de auditoría
Administración de cuentas
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-37856-2
Controles CIS:
Versión 6
Versión 7


396 | Página
Página 398
17.3 Seguimiento detallado

Esta sección contiene recomendaciones para configurar la política de auditoría de seguimiento detallado.
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito' (puntuado)
Descripción:
Esta configuración de política le permite auditar cuando plug and play detecta un dispositivo externo.
Nota: Se requiere un sistema operativo Windows 10, Server 2016 o más reciente para acceder y configurar este valor en
Política de grupo.
Razón fundamental:
Habilitar esta configuración permitirá a un usuario auditar eventos cuando un dispositivo está conectado a un
sistema. Esto puede ayudar a alertar al personal de TI si se conectan dispositivos no aprobados.
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Seguimiento detallado \ Auditoría PNP
Actividad
397 | Página
Página 399
Impacto:
Valor por defecto:
Sin auditoría.
Controles CIS:
Versión 6
8.3 Limitar el uso de dispositivos externos (es decir, USB)

Limite el uso de dispositivos externos a aquellos con una necesidad comercial documentada y aprobada.
Supervise el uso e intento de uso de dispositivos externos. Configure laptops, estaciones de trabajo,
y servidores para que no ejecuten automáticamente contenido de medios extraíbles, como tokens USB
(es decir, "memorias USB"), discos duros USB, CD / DVD, dispositivos FireWire, puerto serie externo
dispositivos de conexión de tecnología avanzada y recursos compartidos de red montados. Configurar sistemas
para que realicen automáticamente un análisis antimalware de los medios extraíbles cuando
insertado.
Versión 7

8.5 Configurar dispositivos para que no ejecuten contenido automáticamente

Configure los dispositivos para que no ejecuten contenido automáticamente desde medios extraíbles.
13.7 Administrar dispositivos USB

Si se requieren dispositivos de almacenamiento USB, se debe utilizar software empresarial que pueda
configurar sistemas para permitir el uso de dispositivos específicos. Un inventario de tales dispositivos debe
ser mantenido.
398 | Página
Página 400
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir 'Éxito'
(Puntuado)
Descripción:
Esta subcategoría informa la creación de un proceso y el nombre del programa o usuario

que lo creó. Los eventos de esta subcategoría incluyen:
• 4688: Se ha creado un nuevo proceso.

• 4696: se asignó un token principal para procesar.
Consulte el artículo 947226 de Microsoft Knowledge Base: Descripción de los eventos de seguridad en
Windows Vista y Windows Server 2008 para obtener la información más reciente sobre este
ajuste.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Seguimiento detallado \ Proceso de auditoría
Creación
399 | Página
Página 401
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36059-4
Controles CIS:
Versión 7

400 | Página
Página 402
17.4 Acceso DS
Esta sección contiene recomendaciones para configurar la auditoría de acceso a servicios de directorio
política.
17.4.1 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado para incluir
'Fallo' (solo DC) (puntuado)
Descripción:
Esta subcategoría informa cuando se accede a un objeto de AD DS. Solo los objetos con SACL causan
auditar los eventos que se generarán, y solo cuando se acceda a ellos de una manera que coincida
su SACL. Estos eventos son similares a los eventos de acceso al servicio de directorio en anteriores
versiones de Windows Server. Esta subcategoría se aplica solo a los controladores de dominio. Eventos
para esta subcategoría incluyen:
• 4662: Se realizó una operación en un objeto.
El estado recomendado para esta configuración es incluir: Fallo .
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Acceso DS \ Servicio de directorio de auditoría
Acceso
401 | Página
Página 403
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-37433-0
Controles CIS:
Versión 6

Versión 7


402 | Página
Página 404
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado para incluir
'Éxito' (solo DC) (puntuado)
Descripción:
Esta subcategoría informa de los cambios en los objetos de los Servicios de dominio de Active Directory (AD DS).
Los tipos de cambios que se informan son operaciones de creación, modificación, movimiento y recuperación.
que se realizan en un objeto. La auditoría de cambios de DS, cuando corresponda, indica el antiguo
y nuevos valores de las propiedades modificadas de los objetos que se modificaron. Solo objetos
con SACL hacen que se generen eventos de auditoría, y solo cuando se accede a ellos en un
manera que coincida con su SACL. Algunos objetos y propiedades no hacen que los eventos de auditoría
generarse debido a la configuración de la clase de objeto en el esquema. Esta subcategoría se aplica
solo para controladores de dominio. Los eventos de esta subcategoría incluyen:
• 5136: Se modificó un objeto de servicio de directorio.

• 5137: se creó un objeto de servicio de directorio.
• 5138: se ha recuperado un objeto de servicio de directorio.
• 5139: se movió un objeto de servicio de directorio.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Acceso DS \ Servicio de directorio de auditoría
Cambios
403 | Página
Página 405
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37616-0
Controles CIS:
Versión 6

Versión 7


404 | Página
Página 406
17.5 Inicio / Cierre de sesión

Esta sección contiene recomendaciones para configurar la política de auditoría de inicio / cierre de sesión.
17.5.1 (L1) Asegúrese de que 'Bloqueo de cuenta de auditoría' esté configurado para incluir 'Fallo'
(Puntuado)
Descripción:
Esta subcategoría informa cuando la cuenta de un usuario está bloqueada como resultado de demasiados errores.
intentos de inicio de sesión. Los eventos de esta subcategoría incluyen:
• 4625: Error al iniciar sesión en una cuenta.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Inicio / Cierre de sesión \ Bloqueo de cuenta de auditoría
405 | Página
Página 407
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-37133-6
Controles CIS:
Versión 6

Versión 7


406 | Página
Página 408
17.5.2 (L1) Asegúrese de que la 'Membresía del grupo de auditoría' esté configurada para incluir 'Éxito'
(Puntuado)
Descripción:
Esta política le permite auditar la información de pertenencia al grupo en el inicio de sesión del usuario.
simbólico. Los eventos de esta subcategoría se generan en el equipo en el que se inicia una sesión
es creado. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en la computadora
al que el usuario inició sesión. Para un inicio de sesión en la red, como acceder a una carpeta compartida en el
red, el evento de auditoría de seguridad se genera en la computadora que aloja el recurso.
Nota: Se requiere un sistema operativo Windows 10, Server 2016 o más reciente para acceder y configurar este valor en
Política de grupo.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Inicio / Cierre de sesión \ Pertenencia al grupo de auditoría
407 | Página
Página 409
Impacto:
Valor por defecto:
Sin auditoría.
Controles CIS:
Versión 6
4.8 Flujo de trabajo de calificación de riesgo de vulnerabilidad

Establecer un proceso para evaluar las vulnerabilidades en función de la explotabilidad y el potencial
impacto de la vulnerabilidad, y segmentado por grupos apropiados de activos (ejemplo, DMZ
servidores, servidores de red interna, computadoras de escritorio, computadoras portátiles). Aplicar parches para los más arriesgados
vulnerabilidades primero. Se puede utilizar una implementación por fases para minimizar el impacto en el
organización. Establezca los plazos de aplicación de parches esperados según el nivel de calificación de riesgo.

Versión 7


408 | Página
Página 410
17.5.3 (L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado)
Descripción:
Esta subcategoría informa cuando un usuario cierra la sesión del sistema. Estos eventos ocurren en el
computadora accedida. Para inicios de sesión interactivos, la generación de estos eventos ocurre en el
computadora en la que está conectado. Si se realiza un inicio de sesión en la red para acceder a un recurso compartido, estos eventos
generar en la computadora que aloja el recurso accedido. Si configura este ajuste para
Sin auditoría, es difícil o imposible determinar qué usuario ha accedido o intentado
para acceder a las computadoras de la organización. Los eventos de esta subcategoría incluyen:
• 4634: se cerró la sesión de una cuenta.
• 4647: Cierre de sesión iniciado por el usuario.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Inicio / Cierre de sesión \ Cierre de sesión de auditoría
409 | Página
Página 411
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38237-4
Controles CIS:
Versión 6
16.10 Perfil de uso de la cuenta de usuario y supervisión de anomalías

Perfile el uso típico de la cuenta de cada usuario determinando el acceso a la hora normal del día y
duración del acceso. Se deben generar informes que indiquen a los usuarios que han iniciado sesión durante
horas inusuales o han excedido la duración normal de inicio de sesión. Esto incluye marcar el uso
de las credenciales del usuario de una computadora que no sea la computadora en la que el usuario
generalmente funciona.
Versión 7


410 | Página
Página 412
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure' (puntuado)
Descripción:
Esta subcategoría informa cuando un usuario intenta iniciar sesión en el sistema. Estos eventos ocurren
en la computadora accedida. Para inicios de sesión interactivos, la generación de estos eventos ocurre en
la computadora en la que está conectado. Si se realiza un inicio de sesión en la red para acceder a un recurso compartido, estos
Los eventos se generan en la computadora que aloja el recurso al que se accede. Si configura esto
configurando Sin auditoría, es difícil o imposible determinar qué usuario ha accedido o
intentó acceder a las computadoras de la organización. Los eventos de esta subcategoría incluyen:
• 4624: se inició sesión correctamente en una cuenta.

• 4625: Error al iniciar sesión en una cuenta.
• 4648: Se intentó iniciar sesión con credenciales explícitas.
• 4675: Se filtraron los SID.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Inicio de sesión / Cierre de sesión \ Inicio de sesión de auditoría
411 | Página
Página 413
Impacto:
Valor por defecto:
Éxito y fracaso.
Referencias:
1. CCE-38036-0
Controles CIS:
Versión 6

Versión 7



412 | Página
Página 414
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en 'Éxito

Descripción:
Esta subcategoría informa sobre otros eventos relacionados con el inicio / cierre de sesión, como Escritorio remoto
La sesión de servicios se desconecta y se vuelve a conectar, utilizando RunAs para ejecutar procesos bajo un
cuenta diferente y bloqueo y desbloqueo de una estación de trabajo. Eventos para esta subcategoría
incluir:
• 4649: se detectó un ataque de repetición.

• 4778: se volvió a conectar una sesión a una estación de ventana.
• 4779: Se desconectó una sesión de una Window Station.
• 4800: la estación de trabajo estaba bloqueada.
• 4801: la estación de trabajo se desbloqueó.
• 4802: se invocó el protector de pantalla.
• 4803: se descartó el protector de pantalla.
• 5378: la política no permitió la delegación de credenciales solicitada.
• 5632: Se realizó una solicitud para autenticarse en una red inalámbrica.
• 5633: Se realizó una solicitud para autenticarse en una red cableada.
Razón fundamental:
Auditoría:
prescrito.
413 | Página
Página 415
Remediación:
y fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Inicio / Cierre de sesión \ Auditoría Otros
Eventos de inicio / cierre de sesión
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36322-6
414 | Página
Página 416
Controles CIS:
Versión 6

Versión 7



415 | Página
Página 417
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito'
(Puntuado)
Descripción:
Esta subcategoría informa cuando se utiliza un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión que tiene
privilegios equivalentes al administrador y se puede utilizar para elevar un proceso a un nivel superior.
• 4964: Se han asignado grupos especiales a un nuevo inicio de sesión.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Inicio / Cierre de sesión \ Inicio de sesión especial de auditoría
416 | Página
Página 418
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-36266-5
Controles CIS:
Versión 6
5.8 Los administradores no deben iniciar sesión directamente en un sistema (es decir, usar RunAs / sudo)
Se debe solicitar a los administradores que accedan a un sistema mediante un registro completo y sin
cuenta administrativa. Luego, una vez que haya iniciado sesión en la máquina sin administrador
privilegios, el administrador debe pasar a los privilegios administrativos utilizando herramientas como
como Sudo en Linux / UNIX, RunAs en Windows y otras instalaciones similares para otros tipos de
sistemas.
Versión 7


417 | Página
Página 419
17.6 Acceso a objetos

Esta sección contiene recomendaciones para configurar la política de auditoría de acceso a objetos.
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir 'Fa
(Puntuado)
Descripción:
Esta subcategoría le permite auditar los intentos de acceder a archivos y carpetas en una carpeta compartida.
• 5145: se verificó el objeto compartido de red para ver si se puede otorgar al cliente
acceso deseado.
El estado recomendado para esta configuración es incluir: Fallo
Razón fundamental:
La auditoría de fallas registrará qué usuarios no autorizados intentaron (y fallaron) obtener

acceso a un archivo o carpeta en un recurso compartido de red en esta computadora, que posiblemente podría ser un
indicación de mala intención.
Auditoría:
prescrito.
Remediación:
Fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Acceso a objetos \ Archivo detallado de auditoría
Compartir
418 | Página
Página 420
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36878-7
Controles CIS:
Versión 7


419 | Página
Página 421
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y error'
(Puntuado)
Descripción:
Esta configuración de directiva le permite auditar los intentos de acceder a una carpeta compartida.
Nota: No hay listas de control de acceso al sistema (SACL) para carpetas compartidas. Si esta política
está habilitada, se audita el acceso a todas las carpetas compartidas del sistema.
Razón fundamental:
En un entorno gestionado por una empresa, es importante realizar un seguimiento de la eliminación, creación,
eventos de modificación y acceso para recursos compartidos de red. Cualquier actividad inusual para compartir archivos puede
ser útil en una investigación de actividad potencialmente maliciosa.
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Acceso a objetos \ Recurso compartido de archivos de auditoría
420 | Página
Página 422
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37384-5
Controles CIS:
Versión 6

Versión 7


421 | Página
Página 423
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado en 'Éxito
Descripción:
Esta configuración de directiva le permite auditar eventos generados por la administración de tareas
trabajos del programador u objetos COM +.
Para los trabajos del programador, se auditan los siguientes:
• Trabajo creado.
• Trabajo eliminado.
• Trabajo habilitado.
• Trabajo inhabilitado.
• Trabajo actualizado.
Para los objetos COM +, se auditan los siguientes:
• Objeto de catálogo agregado.

• Objeto de catálogo actualizado.
• Objeto de catálogo eliminado.
Razón fundamental:
La creación inesperada de tareas programadas y objetos COM + podría potencialmente ser un

indicación de actividad maliciosa. Dado que este tipo de acciones son generalmente de bajo volumen,
Puede ser útil capturarlos en los registros de auditoría para usarlos durante una investigación.
Auditoría:
prescrito.
422 | Página
Página 424
Remediación:
y fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Acceso a objetos \ Auditar otro objeto
Eventos de acceso
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37620-2
Controles CIS:
Versión 6
Versión 7

423 | Página
Página 425
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y
Fracaso '(puntuado)
Descripción:
Esta configuración de política le permite auditar los intentos de los usuarios de acceder a los objetos del sistema de archivos en un
dispositivo de almacenamiento extraíble. Se genera un evento de auditoría de seguridad solo para todos los objetos para todos
tipos de acceso solicitados. Si configura esta configuración de directiva, se genera un evento de auditoría
cada vez que una cuenta accede a un objeto del sistema de archivos en un almacenamiento extraíble. Auditorías de éxito
registrar los intentos exitosos y las auditorías de fallos registran los intentos fallidos. Si no lo hace
configurar esta configuración de política, no se genera ningún evento de auditoría cuando una cuenta accede a un archivo
objeto del sistema en un almacenamiento extraíble.
Nota: Se requiere un sistema operativo Windows 8.0, Server 2012 (no R2) o más reciente para acceder y configurar este
valor en la directiva de grupo.
Razón fundamental:
La auditoría del almacenamiento extraíble puede resultar útil al investigar un incidente. Por ejemplo, si
se sospecha que una persona copia información confidencial en una unidad USB.
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Acceso a objetos \ Auditoría extraíble
Almacenamiento
424 | Página
Página 426
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37617-8
425 | Página
Página 427
Controles CIS:
Versión 6

insertado.
Versión 7



13.8 Administrar las configuraciones de lectura / escritura de los medios extraíbles externos del sistema
Configure los sistemas para que no escriban datos en medios extraíbles externos, si no hay negocios
necesidad de soportar tales dispositivos.
426 | Página
Página 428
17.7 Cambio de política

Esta sección contiene recomendaciones para configurar la política de auditoría de cambio de política.
17.7.1 (L1) Asegúrese de que 'Auditar cambio de política de auditoría' esté configurado para incluir 'Éxito'
(Puntuado)
Descripción:
Esta subcategoría informa cambios en la política de auditoría, incluidos los cambios de SACL. Eventos para esto
la subcategoría incluye:
• 4715: Se cambió la política de auditoría (SACL) de un objeto.

• 4719: se cambió la política de auditoría del sistema.
• 4902: Se creó la tabla de políticas de auditoría por usuario.
• 4904: Se intentó registrar una fuente de eventos de seguridad.
• 4905: se intentó anular el registro de un origen de eventos de seguridad.
• 4906: El valor de CrashOnAuditFail ha cambiado.
• 4907: Se cambió la configuración de auditoría en el objeto.
• 4908: Tabla de inicio de sesión de grupos especiales modificada.
• 4912: Se cambió la política de auditoría por usuario.
Razón fundamental:
Auditoría:
prescrito.
427 | Página
Página 429
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Cambio de política \ Auditoría Política de auditoría
Cambio
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38028-7
428 | Página
Página 430
Controles CIS:
Versión 6
3.5 Usar herramientas de integridad de archivos para archivos críticos del sistema
Utilice herramientas de verificación de integridad de archivos para asegurarse de que los archivos críticos del sistema (incluidos los
ejecutables del sistema y de la aplicación, bibliotecas y configuraciones) no se han modificado.
El sistema de informes debe: tener la capacidad de contabilizar los cambios rutinarios y esperados;
resaltar y alertar sobre alteraciones inusuales o inesperadas; mostrar el historial de configuración
cambios a lo largo del tiempo e identificar quién hizo el cambio (incluido el inicio de sesión original
cuenta en el caso de un cambio de ID de usuario, como con el comando su o sudo). Estas
Las verificaciones de integridad deben identificar alteraciones sospechosas del sistema, tales como: propietario y
cambios de permisos a archivos o directorios; el uso de flujos de datos alternativos que podrían
utilizarse para ocultar actividades maliciosas; y la introducción de archivos adicionales en el sistema de claves
áreas (que podrían indicar cargas útiles maliciosas dejadas por atacantes o archivos adicionales
agregado de manera inapropiada durante los procesos de distribución por lotes).
Versión 7
5.5 Implementar sistemas de monitoreo de configuración automatizados

Utilice una configuración compatible con el protocolo de automatización de contenido de seguridad (SCAP)
sistema de monitoreo para verificar todos los elementos de configuración de seguridad, catálogo aprobado
excepciones y alerta cuando se producen cambios no autorizados.

Supervisión).
429 | Página
Página 431
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado para incluir
'Éxito' (puntuado)
Descripción:
Esta subcategoría informa cambios en la política de autenticación. Eventos para esta subcategoría
incluir:
• 4706: se creó una nueva confianza para un dominio.

• 4707: se eliminó la confianza de un dominio.
• 4713: se cambió la política de Kerberos.
• 4716: se modificó la información del dominio de confianza.
• 4717: se otorgó acceso de seguridad del sistema a una cuenta.
• 4718: el acceso de seguridad del sistema se eliminó de una cuenta.
• 4739: se cambió la política de dominio.
• 4864: se detectó una colisión de espacio de nombres.
• 4865: se agregó una entrada de información de bosque confiable.
• 4866: se eliminó una entrada de información de bosque de confianza.
• 4867: se modificó una entrada de información de bosque de confianza.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Cambio de política \ Autenticación de auditoría
Cambio de política
430 | Página
Página 432
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38327-3
431 | Página
Página 433
Controles CIS:
Versión 6
Versión 7


Supervisión).
432 | Página
Página 434
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado para incluir
'Éxito' (puntuado)
Descripción:
Esta subcategoría informa cambios en la política de autorización. Eventos para esta subcategoría
incluir:
• 4704: se asignó un derecho de usuario.

• 4705: se eliminó un derecho de usuario.
• 4706: se creó una nueva confianza para un dominio.
• 4707: se eliminó la confianza de un dominio.
• 4714: se modificó la política de recuperación de datos cifrados.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de la política de auditoría \ Políticas de auditoría \ Cambio de política \ Autorización de auditoría
Cambio de política
433 | Página
Página 435
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-36320-0
434 | Página
Página 436
Controles CIS:
Versión 6
Versión 7


Supervisión).
435 | Página
Página 437
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de reglas MPSSVC' esté configurado en
Descripción:
Esta subcategoría determina si el sistema operativo genera eventos de auditoría cuando

se realizan cambios en las reglas de política del Servicio de protección de Microsoft (MPSSVC.exe). Eventos
para esta subcategoría incluyen:
• 4944: La siguiente política estaba activa cuando se inició el Firewall de Windows.

• 4945: se incluyó una regla cuando se inició el Firewall de Windows.
• 4946: Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Una regla era
adicional.
modificado.
eliminado.
• 4949: la configuración del Firewall de Windows se restauró a los valores predeterminados.
• 4950: ha cambiado una configuración de Firewall de Windows.
• 4951: se ha ignorado una regla porque no se reconoció su número de versión principal
por Firewall de Windows.
• 4952: Se han ignorado partes de una regla porque su número de versión secundaria no estaba
reconocido por el Firewall de Windows. Las otras partes de la regla se harán cumplir.
• 4953: Firewall de Windows ha ignorado una regla porque no pudo analizar la
regla.
• 4954: la configuración de la política de grupo del Firewall de Windows ha cambiado. La nueva configuración tiene
sido aplicado.
• 4956: Firewall de Windows ha cambiado el perfil activo.
• 4957: Firewall de Windows no aplicó la siguiente regla.
• 4958: Firewall de Windows no aplicó la siguiente regla porque la regla hacía referencia
a elementos no configurados en esta computadora.
El estado recomendado para esta configuración es: éxito y fracaso
436 | Página
Página 438
Razón fundamental:
Los cambios en las reglas del firewall son importantes para comprender el estado de seguridad del
computadora y qué tan bien está protegida contra ataques de red.
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Cambio de política \ Regla de auditoría MPSSVC-
Cambio de política de nivel
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37852-1
437 | Página
Página 439
Controles CIS:
Versión 7

438 | Página
Página 440
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado para incluir
'Fracaso' (puntuado)
Descripción:
Esta subcategoría contiene eventos sobre cambios en la política del Agente de recuperación de datos de EFS, cambios
en el filtro de la plataforma de filtrado de Windows, el estado de las actualizaciones de configuración de la política de seguridad para
Configuración de la directiva de grupo, cambios en la directiva de acceso central y eventos detallados de solución de problemas
para operaciones criptográficas de próxima generación (CNG).
• 5063: Se intentó una operación de proveedor criptográfico.

• 5064: se intentó una operación de contexto criptográfico.
• 5065: se intentó una modificación del contexto criptográfico.
• 5066: Se intentó una operación de función criptográfica.
• 5067: Se intentó una modificación de la función criptográfica.
• 5068: Se intentó una operación de proveedor de función criptográfica.
• 5069: Se intentó una operación de propiedad de función criptográfica.
• 5070: Se intentó modificar la propiedad de una función criptográfica.
• 6145: Se produjeron uno o más errores al procesar la política de seguridad en el grupo.
objetos de política.
Razón fundamental:
Esta configuración puede ayudar a detectar errores en la configuración de seguridad aplicada que provienen de Group
Políticas y eventos de falla relacionados con las funciones criptográficas de próxima generación (CNG).
Auditoría:
prescrito.
439 | Página
Página 441
Remediación:
Fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Cambio de política \ Auditoría de otra política
Cambiar eventos
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-38029-5
Controles CIS:
Versión 7

440 | Página
Página 442
17.8 Uso de privilegios

Esta sección contiene recomendaciones para configurar la política de auditoría de uso de privilegios.
17.8.1 (L1) Asegúrese de que 'Auditar uso de privilegios sensibles' esté configurado en 'Éxito y
Fracaso '(puntuado)
Descripción:
Esta subcategoría informa cuando una cuenta de usuario o un servicio utiliza un privilegio confidencial. UNA
El privilegio sensible incluye los siguientes derechos de usuario:
• Actuar como parte del sistema operativo

• Hacer copias de seguridad de archivos y directorios
• Crea un objeto token
• Programas de depuración
• Permitir que las cuentas de usuario y de computadora sean confiables para la delegación
• Generar auditorías de seguridad
• Hacerse pasar por un cliente después de la autenticación
• Cargar y descargar controladores de dispositivos
• Administrar el registro de auditoría y seguridad
• Modificar los valores del entorno de firmware
• Reemplazar un token a nivel de proceso
• Restaurar archivos y directorios
• Tomar posesión de archivos u otros objetos
La auditoría de esta subcategoría creará un gran volumen de eventos. Eventos para esta subcategoría
incluir:
• 4672: privilegios especiales asignados a un nuevo inicio de sesión.

• 4673: Se llamó a un servicio privilegiado.
• 4674: Se intentó una operación en un objeto privilegiado.
Razón fundamental:
441 | Página
Página 443
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Uso de privilegios \ Sensible a la auditoría
Uso de privilegios
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36267-3
442 | Página
Página 444
Controles CIS:
Versión 6

Versión 7


443 | Página
Página 445
17.9 Sistema
Esta sección contiene recomendaciones para configurar la política de auditoría del sistema.
17.9.1 (L1) Asegúrese de que 'Auditar el controlador IPsec' esté configurado en 'Éxito y fracaso'
(Puntuado)
Descripción:
Esta subcategoría informa sobre las actividades del controlador de seguridad del protocolo de Internet (IPsec).
• 4960: IPsec eliminó un paquete entrante que no pasó una verificación de integridad. Si esto
El problema persiste, podría indicar un problema de red o que se están enviando paquetes.
modificado en tránsito a esta computadora. Verifique que los paquetes enviados desde el control remoto
computadora son los mismos que los recibidos por esta computadora. Este error también
indican problemas de interoperabilidad con otras implementaciones de IPsec.
• 4961: IPsec eliminó un paquete entrante que falló en una verificación de reproducción. Si este problema
persiste, podría indicar un ataque de repetición contra esta computadora.
• 4962: IPsec eliminó un paquete entrante que falló en una verificación de reproducción. El entrante
El paquete tenía un número de secuencia demasiado bajo para garantizar que no fuera una repetición.
• 4963: IPsec eliminó un paquete de texto sin cifrar entrante que debería haberse protegido.
Esto generalmente se debe a que la computadora remota ha cambiado su política de IPsec sin
informar a esta computadora. Esto también podría ser un intento de ataque de suplantación.
• 4965: IPsec recibió un paquete de una computadora remota con una seguridad incorrecta
Índice de parámetros (SPI). Esto generalmente se debe a un hardware defectuoso que
corromper paquetes. Si estos errores persisten, verifique que los paquetes enviados desde el
equipo remoto son los mismos que los recibidos por este equipo. Este error puede
también indican problemas de interoperabilidad con otras implementaciones de IPsec. En eso
En caso de que la conectividad no se vea obstaculizada, estos eventos pueden ignorarse.
• 5478: Los servicios IPsec se iniciaron correctamente.
• 5479: Los servicios IPsec se han cerrado correctamente. El cierre de IPsec
Los servicios pueden poner a la computadora en mayor riesgo de ataque a la red o exponer la
computadora a posibles riesgos de seguridad.
• 5480: Los servicios IPsec no pudieron obtener la lista completa de interfaces de red en el
computadora. Esto plantea un riesgo potencial de seguridad porque parte de la red
Es posible que las interfaces no obtengan la protección proporcionada por los filtros IPsec aplicados. Utilizar el
Complemento IP Security Monitor para diagnosticar el problema.
444 | Página
Página 446
• 5483:
Los servicios IPsec no pudieron inicializar el servidor RPC. Los servicios IPsec no se pudieron
empezado.
• 5484: IPsec Services ha experimentado una falla crítica y se ha cerrado. los
el apagado de los servicios IPsec puede poner la computadora en mayor riesgo de ataque a la red
o exponer la computadora a posibles riesgos de seguridad.
• 5485: Los servicios IPsec no pudieron procesar algunos filtros IPsec en un evento plug-and-play para
interfaces de red. Esto plantea un riesgo potencial de seguridad porque parte de la red
Es posible que las interfaces no obtengan la protección proporcionada por los filtros IPsec aplicados. Utilizar el
Complemento IP Security Monitor para diagnosticar el problema.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
y fracaso :

Configuración de la política de auditoría \ Políticas de auditoría \ Sistema \ Controlador IPsec de auditoría
Impacto:
Valor por defecto:
Sin auditoría.
445 | Página
Página 447
Referencias:
1. CCE-37853-9
Controles CIS:
Versión 6
Versión 7


generado.

446 | Página
Página 448
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito y
Fracaso '(puntuado)
Descripción:
Esta subcategoría informa sobre otros eventos del sistema. Los eventos de esta subcategoría incluyen:
• 5024: El servicio de Firewall de Windows se ha iniciado correctamente.

• 5025: el servicio de Firewall de Windows se ha detenido.
• 5027: el servicio Firewall de Windows no pudo recuperar la política de seguridad
del almacenamiento local. El servicio seguirá aplicando la política actual.
• 5028: El servicio de Firewall de Windows no pudo analizar la nueva política de seguridad.
El servicio continuará con la política aplicada actualmente.
• 5029: El servicio Firewall de Windows no pudo inicializar el controlador. El servicio
continuar haciendo cumplir la política actual.
• 5030: No se pudo iniciar el servicio Firewall de Windows.
• 5032: Firewall de Windows no pudo notificar al usuario que bloqueó una aplicación
de aceptar conexiones entrantes en la red.
• 5033: el controlador de firewall de Windows se ha iniciado correctamente.
• 5034: Se detuvo el controlador de firewall de Windows.
• 5035: No se pudo iniciar el controlador del firewall de Windows.
• 5037: el controlador de firewall de Windows detectó un error de tiempo de ejecución crítico. Terminando.
• 5058: Operación de archivo de claves.
• 5059: Operación de migración de claves.
Razón fundamental:
La captura de estos eventos de auditoría puede ser útil para identificar cuándo el Firewall de Windows está
no funciona como se esperaba.
Auditoría:
prescrito.
447 | Página
Página 449
Remediación:
y fracaso :

Configuración de políticas de auditoría \ Políticas de auditoría \ Sistema \ Auditar otros eventos del sistema
Impacto:
Valor por defecto:
Éxito y fracaso.
Referencias:
1. CCE-38030-3
448 | Página
Página 450
Controles CIS:
Versión 6

Versión 7


generado.


449 | Página
Página 451
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir
'Éxito' (puntuado)
Descripción:
Esta subcategoría informa cambios en el estado de seguridad del sistema, como cuando la seguridad
el subsistema se inicia y se detiene. Los eventos de esta subcategoría incluyen:
• 4608: Windows se está iniciando.

• 4609: Windows se está cerrando.
• 4616: Se cambió la hora del sistema.
• 4621: el administrador recuperó el sistema de CrashOnAuditFail. Usuarios que no son
los administradores ahora podrán iniciar sesión. Es posible que algunas actividades auditables no
ha sido grabado.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Sistema \ Cambio de estado de seguridad de auditoría
450 | Página
Página 452
Impacto:
Valor por defecto:
Éxito.
Referencias:
1. CCE-38114-5
Controles CIS:
Versión 7

generado.

451 | Página
Página 453
17.9.4 (L1) Asegúrese de que la 'Extensión del sistema de seguridad de auditoría' esté configurada para incluir
'Éxito' (puntuado)
Descripción:
Esta subcategoría informa la carga de código de extensión, como paquetes de autenticación, por
el subsistema de seguridad. Los eventos de esta subcategoría incluyen:
• 4610: la autoridad de seguridad local ha cargado un paquete de autenticación.

• 4611: Se ha registrado un proceso de inicio de sesión confiable con la Autoridad de seguridad local.
• 4614: el administrador de cuentas de seguridad ha cargado un paquete de notificación.
• 4622: la autoridad de seguridad local ha cargado un paquete de seguridad.
• 4697: Se instaló un servicio en el sistema.
Razón fundamental:
Auditoría:
prescrito.
Remediación:
Éxito :

Configuración de políticas de auditoría \ Políticas de auditoría \ Sistema \ Sistema de seguridad de auditoría
Extensión
452 | Página
Página 454
Impacto:
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-36144-4
Controles CIS:
Versión 6

Versión 7


generado.

453 | Página
Página 455
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y fracaso'
(Puntuado)
Descripción:
Esta subcategoría informa sobre violaciones de la integridad del subsistema de seguridad. Eventos para
esta subcategoría incluye:
• 4612: Los recursos internos asignados para la cola de mensajes de auditoría se han
agotado, lo que ha provocado la pérdida de algunas auditorías.
• 4615: uso no válido del puerto LPC.
• 4618: Se ha producido un patrón de evento de seguridad supervisado.
• 4816: RPC detectó una violación de la integridad al descifrar un mensaje entrante.
• 5038: la integridad del código determinó que el hash de la imagen de un archivo no es válido. El archivo
podría estar dañado debido a una modificación no autorizada o el hash no válido podría indicar
un posible error del dispositivo de disco.
• 5056: Se realizó una autoprueba criptográfica.
• 5057: Error en una operación de primitiva criptográfica.
• 5060: Error en la operación de verificación.
• 5061: Operación criptográfica.
• 5062: Se realizó una autoprueba criptográfica en modo kernel.
Razón fundamental:
Auditoría:
prescrito.
454 | Página
Página 456
Remediación:
y fracaso:

Configuración de la política de auditoría \ Políticas de auditoría \ Sistema \ Integridad del sistema de auditoría
Impacto:
Valor por defecto:
Éxito y fracaso.
Referencias:
1. CCE-37132-8
455 | Página
Página 457
Controles CIS:
Versión 6

Versión 7


generado.

456 | Página
Página 458
18 plantillas administrativas (computadora)

Esta sección contiene recomendaciones basadas en computadora de la directiva administrativa de grupo.
Plantillas (ADMX).
18.1 Panel de control

Esta sección contiene recomendaciones para la configuración del Panel de control.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.1.1 Personalización
Esta sección contiene recomendaciones para la configuración de personalización del Panel de control.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo

ControlPanelDisplay.admx / adml que
se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
18.1.1.1 (L1) Asegúrese de que 'Evitar la habilitación de la cámara de pantalla de bloqueo' esté configurado en
Descripción:
Deshabilita el interruptor de palanca de la cámara de la pantalla de bloqueo en la configuración de la PC y evita que una cámara
se invoca en la pantalla de bloqueo.
Razón fundamental:
La desactivación de la cámara de la pantalla de bloqueo amplía la protección que ofrece la pantalla de bloqueo para
características de la cámara.
457 | Página
Página 459
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Personalización: NoLock

ScreenCamera
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Control

Panel \ Personalización \ Impedir que se habilite la cámara de pantalla de bloqueo
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows
8.1 y plantillas administrativas de Server 2012 R2 (o más recientes).
Impacto:
Si habilita esta configuración, los usuarios ya no podrán habilitar o deshabilitar la pantalla de bloqueo
acceso a la cámara en Configuración de PC, y la cámara no se puede invocar en la pantalla de bloqueo.
Valor por defecto:
Discapacitado. (Los usuarios pueden habilitar la invocación de una cámara disponible en la pantalla de bloqueo).
Referencias:
1. CCE-38347-1
Controles CIS:
Versión 7

458 | Página
Página 460
18.1.1.2 (L1) Asegúrese de que 'Evitar la activación de la presentación de diapositivas de la pantalla de bloqueo'
Descripción:
Desactiva la configuración de la presentación de diapositivas de la pantalla de bloqueo en Configuración de PC y evita

jugando en la pantalla de bloqueo.
Razón fundamental:
La desactivación de la presentación de diapositivas de la pantalla de bloqueo amplía la protección que ofrece la pantalla de bloqueo para
contenido de la presentación de diapositivas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Personalización: NoLock

Presentación de diapositivas
Remediación:

Panel \ Personalización \ Evitar habilitar la presentación de diapositivas de la pantalla de bloqueo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows
8.1 y plantillas administrativas de Server 2012 R2 (o más recientes).
Impacto:
Si habilita esta configuración, los usuarios ya no podrán modificar la configuración de la presentación de diapositivas en la PC
Configuración, y nunca se iniciará ninguna presentación de diapositivas.
459 | Página
Página 461
Valor por defecto:
Discapacitado. (Los usuarios pueden habilitar una presentación de diapositivas que se ejecutará después de bloquear la máquina).
Referencias:
1. CCE-38348-9
Controles CIS:
Versión 7

460 | Página
Página 462
18.1.2 Opciones regionales y de idioma

Esta sección contiene la configuración de recomendaciones para las opciones regionales y de idioma.

Globalization.admx / adml que
se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
18.1.2.1 Personalización de la escritura a mano


Globalization.admx / adml que se incluye con Microsoft Windows 8.0 y Server 2012
(no R2) Plantillas administrativas (o más reciente).
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar el reconocimiento de voz en línea
services 'está configurado como' Disabled '(puntuado)
Descripción:
Esta política habilita el componente de aprendizaje automático de la personalización de entrada que

incluye habla, entintado y mecanografía. El aprendizaje automático permite la recopilación de habla y
patrones de escritura a mano, historial de escritura, contactos e información reciente del calendario. Es
requerido para el uso de Cortana. Parte de esta información recopilada puede almacenarse en el
OneDrive del usuario, en el caso de entintar y escribir; parte de la información se cargará
a Microsoft para personalizar el habla.
Razón fundamental:
Si esta configuración está habilitada, la información confidencial podría almacenarse en la nube o enviarse a
Microsoft.
461 | Página
Página 463
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ InputPersonalization: AllowInpu

tPersonalización
Remediación:

Panel \ Opciones regionales y de idioma \ Permitir a los usuarios habilitar el habla en línea
servicios de reconocimiento
plantilla Globalization.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Permitir la personalización de entrada , pero se le cambió el nombre a Permitir que los usuarios habiliten en línea
servicios de reconocimiento de voz a partir de Windows 10 R1809 y Server 2019
Impacto:
El aprendizaje automático del habla, el entintado y la escritura se detiene y los usuarios no pueden cambiar su valor.
a través de Configuración de PC.
Valor por defecto:
Habilitado. (El aprendizaje automático de voz, escritura y escritura está habilitado, pero los usuarios pueden cambiar
este valor a través de la configuración de la PC).
462 | Página
Página 464
Controles CIS:
Versión 6
Versión 7

463 | Página
Página 465
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como 'Deshabilitado' (puntuado)
Descripción:
Esta configuración de política configura la recuperación de sugerencias y ayuda en línea para la aplicación Configuración.
Razón fundamental:
Debido a preocupaciones de privacidad, los datos nunca deben enviarse a terceros, ya que estos datos podrían
contener información sensible.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explore

r: AllowOnlineTips
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Panel de control \ Permitir

Consejos en línea
plantilla ControlPanel.admx / adml que se incluye con la versión de Microsoft Windows 10
1709 Plantillas administrativas (o más reciente).
Impacto:
La configuración no se comunicará con los servicios de contenido de Microsoft para obtener sugerencias y contenido de ayuda.
Valor por defecto:
Habilitado. (La configuración se pondrá en contacto con los servicios de contenido de Microsoft para recuperar sugerencias y contenido de ayuda).
464 | Página
Página 466
Controles CIS:
Versión 6

en cada sistema.
Versión 7
9.3 Realizar exploraciones de puertos automatizadas periódicas

Realice escaneos automatizados de puertos de forma regular en todos los sistemas y avise si
Se detectan puertos no autorizados en un sistema.
465 | Página
Página 467
18.2 VUELTAS
Esta sección contiene recomendaciones para configurar el Administrador local de Microsoft
Solución de contraseña (LAPS).
Esta sección de Política de grupo la proporciona la plantilla de política de grupo AdmPwd.admx / adml que
se incluye con LAPS.
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado (MS
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
466 | Página
Página 468
Razón fundamental:
Debido a la dificultad de administrar las contraseñas de administrador local, muchas organizaciones

elegir usar la misma contraseña en todas las estaciones de trabajo y / o servidores miembro cuando
desplegándolos. Esto crea un riesgo de seguridad de superficie de ataque grave porque si un atacante
logra comprometer un sistema y aprende la contraseña de su administrador local
cuenta, luego pueden aprovechar esa cuenta para obtener acceso instantáneo a todas las demás computadoras
que también usan esa contraseña para su cuenta de administrador local.
Auditoría:
Se puede verificar la instalación de LAPS AdmPwd GPO Extension / CSE mediante la presencia de
el siguiente valor de registro:

NT \ CurrentVersion \ Winlogon \ GPExtensions \ {D76B9641-3288-4f75-942D-
087DE603E3EA}: DllName
Remediación:
Para utilizar LAPS, se requiere una actualización menor del esquema de Active Directory y un grupo
La extensión del lado del cliente de políticas (CSE) debe estar instalada en cada equipo administrado. Cuando
LAPS está instalado, el archivo AdmPwd.dll debe estar presente en la siguiente ubicación y
registrado en Windows (la instalación LAPS AdmPwd GPO Extension / CSE hace esto para
tú):
C: \ Archivos de programa \ LAPS \ CSE \ AdmPwd.dll
Impacto:
Sin impacto. Cuando se instala y registra correctamente, AdmPwd.dll no realiza ninguna acción a menos que
dados los comandos de GPO apropiados durante la actualización de la directiva de grupo. No es un residente de memoria
agente o servicio.
En un escenario de recuperación de desastres donde Active Directory no está disponible, el local

La contraseña del administrador no se podrá recuperar y se restablecerá la contraseña local mediante una herramienta
(como la imagen de recuperación del conjunto de herramientas de recuperación y desastres (DaRT) de Microsoft)
necesario.
Valor por defecto:
No instalado.
467 | Página
Página 469
Controles CIS:
Versión 6

Versión 7


468 | Página
Página 470
18.2.2 (L1) Asegúrese de que 'No permita que la contraseña caduque más de
requerido por la política 'se establece en' Habilitado '(solo MS) (puntuado)
Descripción:
dominio.
469 | Página
Página 471
Razón fundamental:

Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft

Servicios \ AdmPwd: PwdExpirationProtectionEnabled
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ LAPS \ No permitir

el tiempo de caducidad de la contraseña es superior al requerido por la política
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Impacto:
Caducidad planificada de la contraseña más larga que la antigüedad de la contraseña dictada por "Configuración de contraseña"
NO se permite la política.
Valor por defecto:
Discapacitado. (El tiempo de caducidad de la contraseña puede ser mayor que el requerido por la "Contraseña
Configuración "política.)
470 | Página
Página 472
Controles CIS:
Versión 6
16.2 Todas las cuentas tienen una fecha de vencimiento supervisada

Versión 7
471 | Página
Página 473
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté configurado e
'Habilitado' (solo MS) (puntuado)
Descripción:
dominio.
Razón fundamental:

472 | Página
Página 474
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft Services \ AdmPwd: AdmPwdEnabled
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ LAPS \ Activar local

Gestión de contraseñas de administrador
Impacto:
Se administra la contraseña del administrador local (siempre que el GPO LAPS AdmPwd
La extensión / CSE está instalada en la computadora de destino (consulte la Regla 18.2.1), Active Directory
el esquema de dominio y los permisos de la cuenta se han configurado correctamente en el dominio).
En un escenario de recuperación de desastres donde Active Directory no está disponible, el local

La contraseña del administrador no se podrá recuperar y se restablecerá la contraseña local mediante una herramienta
(como la imagen de recuperación del conjunto de herramientas de recuperación y desastres (DaRT) de Microsoft)
necesario.
Valor por defecto:
Discapacitado. (La contraseña de administrador local NO se administra).
473 | Página
Página 475
Controles CIS:
Versión 6

Versión 7


474 | Página
Página 476
18.2.4 (L1) Asegúrese de que 'Configuración de contraseña: Complejidad de contraseña' esté

'Habilitado: letras grandes + letras pequeñas + números + caracteres especiales'
Descripción:
dominio.
El estado recomendado para esta configuración es: Activado: letras grandes + letras pequeñas +
números + caracteres especiales .
475 | Página
Página 477
Razón fundamental:

Auditoría:

Servicios \ AdmPwd: PasswordComplexity
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
y configure la opción Complejidad de la contraseña en letras grandes + letras pequeñas +
números + caracteres especiales :
Configuración del equipo \ Políticas \ Plantillas administrativas \ LAPS \ Contraseña

Configuraciones
Impacto:
Se requerirá que las contraseñas generadas por LAPS contengan letras grandes + letras pequeñas +
números + caracteres especiales.
Valor por defecto:
Letras grandes + letras minúsculas + números + caracteres especiales.
476 | Página
Página 478
Controles CIS:
Versión 6

Versión 7

477 | Página
Página 479
18.2.5 (L1) Asegúrese de que 'Configuración de contraseña: Longitud de contraseña' esté

'Habilitado: 15 o más' (solo MS) (puntuado)
Descripción:
dominio.
El estado recomendado para esta configuración es: Habilitado: 15 o más .
Razón fundamental:

478 | Página
Página 480
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft Services \ AdmPwd: PasswordLength
Remediación:
y configure la opción Longitud de la contraseña en 15 o más :

Configuraciones
Impacto:
Se requerirá que las contraseñas generadas por LAPS tengan una longitud de 15 caracteres (o más, si
seleccionado).
Valor por defecto:
14 caracteres.
Controles CIS:
Versión 6

Versión 7

479 | Página
Página 481
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté
'Habilitado: 30 o menos' (solo MS) (puntuado)
Descripción:
dominio.
El estado recomendado para esta configuración es: Habilitado: 30 o menos .
Razón fundamental:

480 | Página
Página 482
Auditoría:
Servicios \ AdmPwd: PasswordAgeDays
Remediación:
y configure la opción Antigüedad de la contraseña (días) en 30 o menos :

Configuraciones
Impacto:
Las contraseñas generadas por LAPS deberán tener una antigüedad máxima de 30 días (o menos, si
seleccionado).
Valor por defecto:
30 dias.
Controles CIS:
Versión 6
Versión 7

481 | Página
Página 483
18.3 Guía de seguridad de MS

Esta sección contiene ajustes para configurar ajustes adicionales desde MS Security.
Guía.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SecGuide.admx / adml
que está disponible en Microsoft en este enlace.
18.3.1 (L1) Asegúrese de 'Aplicar restricciones de UAC a las cuentas locales en la red
inicios de sesión 'está configurado como' Habilitado '(solo MS) (puntuado)
Descripción:
Esta configuración controla si las cuentas locales se pueden utilizar para la administración remota a través de
inicio de sesión en la red (por ejemplo, NET USE, conectarse a C $, etc.). Las cuentas locales tienen un alto riesgo de
robo de credenciales cuando se configura la misma cuenta y contraseña en varios sistemas.
Habilitar esta política reduce significativamente ese riesgo.
Habilitado: aplica el filtrado de tokens UAC a las cuentas locales en los inicios de sesión en la red. Membresía en
grupo poderoso como los administradores está deshabilitado y se eliminan los privilegios poderosos
del token de acceso resultante. Esto configura LocalAccountTokenFilterPolicy
valor de registro a 0 . Este es el comportamiento predeterminado de Windows.
Deshabilitado: permite que las cuentas locales tengan todos los derechos administrativos al autenticarse mediante
inicio de sesión de red, configurando el valor de registro LocalAccountTokenFilterPolicy en 1 .
Para obtener más información acerca de las cuentas locales y el robo de credenciales, consulte la sección " Mitigación
"Ataques Pass-the-Hash (PtH) y otras técnicas de robo de credenciales " .
Para obtener más información sobre LocalAccountTokenFilterPolicy , consulte Microsoft Knowledge

Artículo de base 951016: Descripción del Control de cuentas de usuario y restricciones remotas en
Windows Vista .
482 | Página
Página 484
Razón fundamental:
Las cuentas locales tienen un alto riesgo de robo de credenciales cuando se utiliza la misma cuenta y contraseña.
configurado en varios sistemas. Asegurarse de que esta política esté habilitada reduce significativamente
riesgo.
Auditoría:

LocalAccountTokenFilterPolicy
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Seguridad de MS

Guía \ Aplicar restricciones de UAC a cuentas locales en inicios de sesión en red
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Impacto:
Valor por defecto:
Habilitado. (El filtrado de tokens UAC se aplica a las cuentas locales en los inicios de sesión en la red.
en grupos poderosos como administradores y discapacitados y privilegios poderosos son
eliminado del token de acceso resultante).
Referencias:
1. CCE-37069-2
483 | Página
Página 485
Controles CIS:
Versión 6
5.8 Los administradores no deben iniciar sesión directamente en un sistema (es decir, usar RunAs / sudo)
Se debe solicitar a los administradores que accedan a un sistema mediante un registro completo y sin
cuenta administrativa. Luego, una vez que haya iniciado sesión en la máquina sin administrador
privilegios, el administrador debe pasar a los privilegios administrativos utilizando herramientas como
como Sudo en Linux / UNIX, RunAs en Windows y otras instalaciones similares para otros tipos de
sistemas.
Versión 7

484 | Página
Página 486
18.3.2 (L1) Asegúrese de que 'Configurar el controlador de cliente SMB v1' esté configurado en 'Habilitado:
Desactivar controlador (recomendado) '(puntuado)
Descripción:
Esta configuración configura el tipo de inicio para el cliente Server Message Block versión 1 (SMBv1)
servicio de controlador ( MRxSmb10 ), que se recomienda desactivar.
El estado recomendado para esta configuración es: Habilitado: deshabilita el controlador (recomendado) .
Nota: No, bajo ninguna circunstancia , configure esta configuración general como Desactivada , como
por lo tanto, eliminará la entrada de registro subyacente por completo, lo que causará problemas graves.
Razón fundamental:
Desde septiembre de 2016, Microsoft ha recomendado encarecidamente que SMBv1 se desactive y no

ya se usa en redes modernas, ya que es un diseño de 30 años que es mucho más vulnerable
para atacar luego diseños mucho más nuevos como SMBv2 y SMBv3.
Puede encontrar más información sobre esto en los siguientes enlaces:
Dejar de utilizar SMB1 | Almacenamiento en Microsoft
Deshabilite SMB v1 en entornos administrados con la política de grupo - Seguridad cibernética "Manténgase seguro"
Blog
Deshabilitar SMBv1 a través de la directiva de grupo - blog de orientación de seguridad de Microsoft
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ mrxsmb10: Iniciar
485 | Página
Página 487
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Desactivar controlador (recomendado) :

Guía \ Configurar controlador de cliente SMB v1
Impacto:
Algunos sistemas operativos heredados (por ejemplo, Windows XP, Server 2003 o anterior), aplicaciones y dispositivos
Es posible que ya no pueda comunicarse con el sistema una vez que SMBv1 esté desactivado. Nosotros
Recomendamos que se realicen pruebas cuidadosas para determinar el impacto antes de configurar este
como un control generalizado y, cuando sea posible, remediar cualquier incompatibilidad encontrada con
el proveedor del sistema incompatible. Microsoft también mantiene un riguroso (aunque
no exhaustivo) lista de incompatibilidades SMBv1 conocidas en este enlace: Producto SMB1
Cámara de compensación | Almacenamiento en Microsoft
Valor por defecto:
Windows Server 2008 (no R2), 2008 R2 y 2012 (no R2): Habilitado: Inicio manual.
Windows Server 2012 R2 y Server 2016 (hasta R1607): habilitado: inicio automático.
Windows Server 2016 R1709 y más reciente: Habilitado: deshabilita el controlador.
486 | Página
Página 488
Controles CIS:
Versión 6

en cada sistema.
Versión 7

487 | Página
Página 489
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado' (puntuado)
Descripción:
Esta configuración configura el procesamiento del lado del servidor del bloque de mensajes del servidor versión 1
(SMBv1) protocolo.
Razón fundamental:
Desde septiembre de 2016, Microsoft ha recomendado encarecidamente que SMBv1 se desactive y no

ya se usa en redes modernas, ya que es un diseño de 30 años que es mucho más vulnerable
para atacar luego diseños mucho más nuevos como SMBv2 y SMBv3.
Puede encontrar más información sobre esto en los siguientes enlaces:
Dejar de utilizar SMB1 | Almacenamiento en Microsoft
Deshabilite SMB v1 en entornos administrados con la política de grupo - Seguridad cibernética "Manténgase seguro"
Blog
Deshabilitar SMBv1 a través de la directiva de grupo - blog de orientación de seguridad de Microsoft
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters:

SMB1
488 | Página
Página 490
Remediación:

Guía \ Configurar servidor SMB v1
Impacto:
Algunos sistemas operativos heredados (por ejemplo, Windows XP, Server 2003 o anterior), aplicaciones y dispositivos
Es posible que ya no pueda comunicarse con el sistema una vez que SMBv1 esté desactivado. Nosotros
Recomendamos que se realicen pruebas cuidadosas para determinar el impacto antes de configurar este
como un control generalizado y, cuando sea posible, remediar cualquier incompatibilidad encontrada con
el proveedor del sistema incompatible. Microsoft también mantiene un riguroso (aunque
no exhaustivo) lista de incompatibilidades SMBv1 conocidas en este enlace: Producto SMB1
Cámara de compensación | Almacenamiento en Microsoft
Valor por defecto:
Windows Server 2016 R1607 y versiones anteriores: habilitado.
Windows Server 2016 R1709 y más reciente: deshabilitado.
Controles CIS:
Versión 6

en cada sistema.
Versión 7

489 | Página
Página 491
18.3.4 (L1) Asegúrese de 'Habilitar sobrescritura de manejo de excepciones estructurado

Protección (SEHOP) 'está configurado como' Habilitado '(puntuado)
Descripción:
Windows incluye soporte para protección de sobrescritura de manejo de excepciones estructurado

(SEHOP). Recomendamos habilitar esta función para mejorar el perfil de seguridad del
computadora.
Razón fundamental:
Esta función está diseñada para bloquear exploits que utilizan el controlador de excepciones estructurado (SEH)
técnica de sobrescritura. Este mecanismo de protección se proporciona en tiempo de ejecución. Por lo tanto
ayuda a proteger las aplicaciones independientemente de si se han compilado con la última
mejoras, como la opción / SAFESEH.
Auditoría:

Administrador \ kernel: DisableExceptionChainValidation
Remediación:

Guide \ Enable Structured Exception Handling Overwrite Protection (SEHOP)
Hay más información disponible en MSKB 956607: Cómo habilitar la excepción estructurada
Manejo de la protección contra sobrescritura (SEHOP) en sistemas operativos Windows
490 | Página
Página 492
Impacto:
Después de habilitar SEHOP, las versiones existentes de Cygwin, Skype y Armadillo protegidas
es posible que las aplicaciones no funcionen correctamente.
Valor por defecto:
Deshabilitado para procesos de 32 bits.
Controles CIS:
Versión 6
8.4 Habilitar funciones anti-explotación (es decir, DEP, ASLR, EMET)

Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP), Dirección
Aleatorización de diseño de espacio (ASLR), virtualización / contenedorización, etc. Para mayor
protección, implemente capacidades como Enhanced Mitigation Experience Toolkit (EMET)
que se puede configurar para aplicar estas protecciones a un conjunto más amplio de aplicaciones y
ejecutables.
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
491 | Página
Página 493
18.3.5 (L1) Garantizar la protección ampliada para la autenticación LDAP

(Solo controladores de dominio) 'se establece en' Habilitado: habilitado, siempre
(recomendado) '(solo DC) (puntuado)
Descripción:
Esta configuración controla la autenticación LDAP sobre SSL / TLS para ayudar a que sea más segura.
El estado recomendado para esta configuración es: Activado: Activado, siempre (recomendado) .
Nota: Todos los clientes LDAP deben tener laActualización de seguridad CVC-2017-8563 para ser compatible
con controladores de dominio que tienen esta configuración habilitada.
Más información sobre esta configuración está disponible en: Use the LdapEnforceChannelBinding
Entrada de registro para hacer más segura la autenticación LDAP sobre SSL-TLS
Razón fundamental:
La configuración del valor de registro LdapEnforceChannelBinding puede ayudar a aumentar la protección

contra los ataques "man-in-the-middle".
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters: LdapEnfo

rceChannelBinding
Remediación:
Habilitado, siempre (recomendado) :

Guía \ Protección ampliada para la autenticación LDAP (solo controladores de dominio)
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace .
492 | Página
Página 494
Impacto:
Todos los clientes LDAP deben proporcionar información de enlace de canal. El servidor rechaza
solicitudes de autenticación de clientes que no lo hacen. Los clientes deben tener elCVC-2017-
8563 actualización de seguridad para admitir esta función y puede tener problemas de compatibilidad con
Controladores de dominio sin la actualización de seguridad. Esto también puede significar que LDAP
Las solicitudes de autenticación a través de SSL / TLS que funcionaron anteriormente pueden dejar de funcionar hasta que
la actualización de seguridad está instalada.
Cuando implemente esta configuración por primera vez, es posible que inicialmente solo desee configurarla en la alternativa
Configuración de Habilitado: Habilitado, cuando se admite (en lugar de Habilitado: Habilitado, siempre
(recomendado) )en todos los controladores de dominio. Esta configuración provisional alternativa permite el apoyo
para el enlace de canal de cliente LDAP pero no lo requiere . Luego configure un DC que no sea
que los clientes LDAP apuntan actualmente a Habilitado: Habilitado, siempre (recomendado) ,
y probar cada uno de los clientes LDAP críticos contra ese DC (y corregirlos según sea necesario),
antes de implementar Habilitado: Habilitado, siempre (recomendado) para el resto de los controladores de dominio.
Sistemas operativos más antiguos como Windows XP, Windows Server 2003, Windows Vista y Windows
Server 2008 (no R2), primero requerirá parches para Microsoft Security Advisory 973811 , como
así como todas las correcciones asociadas, para que sea compatible con los controladores de dominio que tienen este
configuración implementada.
Nota: Solo habilitado: habilitado, siempre (recomendado) se considera realmente compatible con
el punto de referencia CIS.
Más información sobre esta configuración está disponible en: Utilice el LdapEnforceChannelBinding
Entrada de registro para hacer más segura la autenticación LDAP sobre SSL-TLS
Valor por defecto:
Discapacitado. (No se realiza ninguna validación de enlace de canal LDAP).
Controles CIS:
Versión 7

493 | Página
Página 495
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-
nodo (recomendado) '(puntuado)
Descripción:
Esta configuración determina qué método NetBIOS sobre TCP / IP (NetBT) utiliza para registrar y
resolver nombres. Los métodos disponibles son:
• El método de nodo B (difusión) solo utiliza difusiones.

• El método P-node (punto a punto) solo utiliza consultas de nombres a un servidor de nombres
(GANA).
• El método de nodo M (mixto) transmite primero, luego consulta un servidor de nombres (WINS) si
la transmisión falló.
• El método de nodo H (híbrido) consulta primero un servidor de nombres (WINS) y luego difunde si
la consulta falló.
El estado recomendado para esta configuración es: Habilitado: nodo P (recomendado) (punto a
punto).
Nota: La resolución a través de LMHOSTS o DNS sigue estos métodos. Si el registro NodeType
está presente, anula cualquier valor de registro DhcpNodeType . Si ni NodeType ni
DhcpNodeType estápresente, la computadora usa el nodo B (transmisión) si no hay WINS
servidores configurados para la red, o nodo H (híbrido) si hay al menos un servidor WINS
configurado.
Razón fundamental:
Para ayudar a mitigar el riesgo de ataques de envenenamiento del servicio de nombres NetBIOS (NBT-NS),
establecer el tipo de nodo en P-nodo (punto a punto) evitará que el sistema envíe
Difusiones NetBIOS.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters: NodeTyp

mi
494 | Página
Página 496
Remediación:
Nodo P (recomendado) :

Configuración de Guide \ NetBT NodeType
Nota: este cambio no entra en vigor hasta que se reinicia la computadora.

Nota n. ° 2: esta ruta de directiva de grupo no existe de forma predeterminada. Una política de grupo adicional
Se requiere la plantilla ( SecGuide.admx / adml ); está disponible en Microsoft en este enlace .
Tenga en cuenta que esta configuración solo está disponible en la línea de base de seguridad (FINAL) para Windows
10 v1903 y Windows Server v1903 (o más reciente) versión de SecGuide.admx / adml , así que si
descargó previamente esta plantilla, es posible que deba actualizarla desde una versión más reciente de Microsoft
línea de base para obtener esta nueva configuración de NetBT NodeType .
Impacto:
Las consultas de resolución de nombres NetBIOS requerirán un servidor WINS definido y disponible para
resolución de nombres NetBIOS externa. Si un servidor WINS no está definido o no es accesible y el
El nombre de host deseado no está definido en la caché local, archivos LMHOSTS o HOSTS locales, NetBIOS
la resolución de nombres fallará.
Valor por defecto:
Nodo B (solo difusión) si un servidor WINS no está configurado en las propiedades de NIC.
Nodo H (híbrido: punto a punto primero, luego difusión) si un servidor WINS está configurado en NIC
propiedades.
495 | Página
Página 497
Controles CIS:
Versión 6

Versión 7

496 | Página
Página 498
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled' (Scored)
Descripción:
Cuando la autenticación WDigest está habilitada, Lsass.exe conserva una copia del texto sin formato del usuario
contraseña en la memoria, donde puede estar en riesgo de robo. Si este ajuste no está configurado,
La autenticación WDigest está deshabilitada en Windows 8.1 y en Windows Server 2012 R2; es
habilitado de forma predeterminada en versiones anteriores de Windows y Windows Server.
Para obtener más información acerca de las cuentas locales y el robo de credenciales, consulte la sección " Mitigación
"Ataques Pass-the-Hash (PtH) y otras técnicas de robo de credenciales " .
Para obtener más información sobre UseLogonCredential , consulte el artículo de Microsoft Knowledge Base
2871997: Actualización de asesoramiento de seguridad de Microsoft para mejorar la protección de credenciales y
gestión 13 de mayo de 2014 .
Razón fundamental:
Evitar el almacenamiento de texto plano de las credenciales en la memoria puede reducir la oportunidad de
robo de credenciales.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ WDigest

: UseLogonCredential
497 | Página
Página 499
Remediación:

Autenticación Guide \ WDigest (la desactivación puede requerir KB2871997)
Impacto:
Ninguno: esta también es la configuración predeterminada para Server 2012 R2 y versiones posteriores.
Valor por defecto:
En el servidor 2012 (no R2) y anteriores: habilitado. (Lsass.exe conserva una copia del
contraseña de texto sin formato en la memoria, donde existe riesgo de robo).
En Server 2012 R2 y posteriores: deshabilitado. (Lsass.exe no conserva una copia de la

contraseña de texto sin formato en la memoria).
Referencias:
1. CCE-38444-6
Controles CIS:
Versión 6

sistema.
Versión 7

498 | Página
Página 500
18.4 MSS (heredado)

Esta sección contiene recomendaciones para las Soluciones de seguridad de Microsoft (MSS)
ajustes.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSS-legacy.admx / adml
que está disponible en esta publicación de blog de TechNet: La configuración de MSS - Seguridad de Microsoft
Blog de orientación
18.4.1 (L1) Asegúrese de que 'MSS: (AutoAdminLogon) Habilite el inicio de sesión automático
(no recomendado) 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración es independiente de la función de pantalla de bienvenida en Windows XP y Windows

Vista; si esa función está desactivada, esta configuración no está desactivada. Si configura una computadora para
inicio de sesión automático, cualquier persona que pueda acceder físicamente a la computadora también puede obtener
acceso a todo lo que hay en la computadora, incluida cualquier red o redes a las que
la computadora está conectada. Además, si habilita el inicio de sesión automático, la contraseña se almacena en
el registro en texto plano, y la clave de registro específica que almacena este valor es remotamente
legible por el grupo de usuarios autenticados.
Para obtener información adicional, consulte el artículo 324737 de Microsoft Knowledge Base: Cómo encender
inicio de sesión automático en Windows.
Razón fundamental:
Si configura una computadora para el inicio de sesión automático, cualquiera que pueda acceder físicamente a
la computadora también puede obtener acceso a todo lo que está en la computadora, incluyendo cualquier
red o redes a las que está conectada la computadora. Además, si habilita la
inicio de sesión, la contraseña se almacena en el registro en texto sin formato. La clave de registro específica que
almacena esta configuración para que el grupo de usuarios autenticados pueda leerla de forma remota. Como resultado, este
La entrada es apropiada solo si la computadora está protegida físicamente y si se asegura de que
los usuarios que no son de confianza no pueden ver el registro de forma remota.
499 | Página
Página 501
Auditoría:

NT \ CurrentVersion \ Winlogon: AutoAdminLogon
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ MSS (heredado) \ MSS:

(AutoAdminLogon) Habilitar el inicio de sesión automático (no recomendado)
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
Valor por defecto:
Discapacitado.
Referencias:
1. CCE-37067-6
Controles CIS:
Versión 6

Versión 7

500 | Página
Página 502
18.4.2 (L1) Asegúrese de que 'MSS: (Desactivar IPSourceRouting IPv6) enrutamiento de origen IP
nivel de protección (protege contra la suplantación de paquetes) 'se establece en' Habilitado:
Máxima protección, el enrutamiento de origen está completamente deshabilitado '(puntuado)
Descripción:
El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un

El datagrama debe seguir a través de la red.
El estado recomendado para esta configuración es: Activado: máxima protección, fuente
el enrutamiento está completamente deshabilitado .
Razón fundamental:
Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. Fuente
El enrutamiento permite que una computadora que envía un paquete especifique la ruta que toma el paquete.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters: Deshabilitar

eIPSourceRouting
Remediación:
Máxima protección, el enrutamiento de origen está completamente deshabilitado :

(DisableIPSourceRouting IPv6) Nivel de protección de enrutamiento de origen IP (protege
contra la suplantación de paquetes)
501 | Página
Página 503
Impacto:
Se eliminarán todos los paquetes enrutados de origen entrantes.
Valor por defecto:
Sin protección adicional, se permiten paquetes enrutados de origen.
Referencias:
1. CCE-36871-2
Controles CIS:
Versión 6

Versión 7

502 | Página
Página 504
18.4.3 (L1) Asegúrese de que 'MSS: (DisableIPSourceRouting) enrutamiento de origen IP

nivel de protección (protege contra la suplantación de paquetes) 'se establece en' Habilitado:
Máxima protección, el enrutamiento de origen está completamente deshabilitado '(puntuado)
Descripción:
El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un

el datagrama debe pasar por la red. Se recomienda configurar este ajuste para
No definido para entornos empresariales y la máxima protección para alta seguridad
entornos para deshabilitar completamente el enrutamiento de origen.
El estado recomendado para esta configuración es: Activado: máxima protección, fuente
el enrutamiento está completamente deshabilitado .
Razón fundamental:
Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. Fuente
El enrutamiento permite que una computadora que envía un paquete especifique la ruta que toma el paquete.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters: Desactivar

IPSourceRouting
503 | Página
Página 505
Remediación:
Máxima protección, el enrutamiento de origen está completamente deshabilitado :

(DisableIPSourceRouting) Nivel de protección de enrutamiento de origen IP (protege contra
suplantación de paquetes)
Impacto:
Se eliminarán todos los paquetes enrutados de origen entrantes.
Valor por defecto:
Medio, los paquetes enrutados de origen se ignoran cuando el reenvío de IP está habilitado.
Referencias:
1. CCE-36535-3
Controles CIS:
Versión 6

Versión 7

504 | Página
Página 506
18.4.4 (L1) Asegúrese de 'MSS: (EnableICMPRedirect) Permitir redirecciones ICMP a

anular rutas generadas por OSPF 'se establece en' Deshabilitado '(puntuado)
Descripción:
Las redirecciones del Protocolo de mensajes de control de Internet (ICMP) hacen que la pila IPv4 se conecte al host
rutas. Estas rutas anulan las rutas generadas por Open Shortest Path First (OSPF).
Razón fundamental:
Se espera este comportamiento. El problema es que el período de espera de 10 minutos para el ICMP
Las rutas redirigidas crean temporalmente una situación de red en la que el tráfico no
ya se enrutará correctamente para el host afectado. Ignorar tales redireccionamientos ICMP limitará la
la exposición del sistema a ataques que afectarán su capacidad para participar en la red.
Auditoría:
prescrito para su organización. Este objeto de política de grupo está respaldado por lo siguiente
ubicación del registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters: EnableI

CMPRedirect
Remediación:

(EnableICMPRedirect) Permitir que las redirecciones ICMP anulen las rutas generadas por OSPF
505 | Página
Página 507
Impacto:
Cuando el servicio de enrutamiento y acceso remoto (RRAS) está configurado como un sistema autónomo
enrutador de límite (ASBR), no importa correctamente las rutas de subred de la interfaz conectada.
En cambio, este enrutador inyecta rutas de host en las rutas OSPF. Sin embargo, el enrutador OSPF
no se puede utilizar como un enrutador ASBR y cuando las rutas de subred de la interfaz
importado a OSPF, el resultado es tablas de enrutamiento confusas con rutas de enrutamiento extrañas.
Valor por defecto:
Habilitado. (Los redireccionamientos ICMP pueden anular las rutas generadas por OSPF).
Referencias:
1. CCE-37988-3
Controles CIS:
Versión 6

Versión 7

506 | Página
Página 508
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia se mantienen los paquetes
se envían en milisegundos 'se establece en' Habilitado: 300.000 o 5 minutos
Descripción:
Este valor controla la frecuencia con la que TCP intenta verificar que una conexión inactiva aún esté intacta
enviando un paquete de mantener vivo. Si la computadora remota aún es accesible, reconoce
el paquete de mantener vivo.
El estado recomendado para esta configuración es: Activado: 300 000 o 5 minutos
(recomendado) .
Razón fundamental:
Un atacante que pueda conectarse a aplicaciones de red podría establecer numerosos

conexiones para causar una condición DoS.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters: KeepAli

veTime
Remediación:
300.000 o 5 minutos (recomendado) :

(KeepAliveTime) Con qué frecuencia se envían los paquetes de mantenimiento en milisegundos
507 | Página
Página 509
Impacto:
Windows no envía los paquetes Keep-Alive de forma predeterminada. Sin embargo, algunas aplicaciones pueden
configurar el indicador de pila TCP que solicita paquetes de mantenimiento de vida. Para tales configuraciones,
puede reducir este valor de la configuración predeterminada de dos horas a cinco minutos para desconectar
sesiones inactivas más rápidamente.
Valor por defecto:
7.200.000 milisegundos o 120 minutos.
Referencias:
1. CCE-36868-8
Controles CIS:
Versión 6

Versión 7

508 | Página
Página 510
18.4.6 (L1) Asegúrese de que 'MSS: (NoNameReleaseOnDemand) Permita la

computadora para ignorar las solicitudes de liberación de nombre NetBIOS excepto de WINS
servidores 'está configurado como' Habilitado '(puntuado)
Descripción:
NetBIOS sobre TCP / IP es un protocolo de red que, entre otras cosas, proporciona una forma de
Resuelva fácilmente los nombres NetBIOS que están registrados en sistemas basados en Windows a la IP
direcciones que están configuradas en esos sistemas. Este ajuste determina si el
la computadora libera su nombre NetBIOS cuando recibe una solicitud de liberación de nombre.
Razón fundamental:
El protocolo NetBT está diseñado para no utilizar autenticación y, por lo tanto, es vulnerable a
spoofing. La suplantación hace que una transmisión parezca provenir de un usuario que no sea el usuario.
quién realizó la acción. Un usuario malintencionado podría explotar la naturaleza no autenticada del
protocolo para enviar un datagrama de conflicto de nombres a una computadora de destino, lo que
ordenador para renunciar a su nombre y no responder a consultas.
Un atacante podría enviar una solicitud a través de la red y consultar a una computadora para liberar su
Nombre NetBIOS. Al igual que con cualquier cambio que pueda afectar a las aplicaciones, se recomienda que
prueba este cambio en un entorno de no producción antes de cambiar la producción
ambiente.
El resultado de tal ataque podría causar problemas de conectividad intermitentes en el objetivo

computadora, o incluso para evitar el uso de Entorno de red, inicios de sesión de dominio, NET
Comando SEND, o resolución de nombres NetBIOS adicional.
509 | Página
Página 511
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parámetros: NoNameR

eleaseOnDemand
Remediación:

(NoNameReleaseOnDemand) Permitir que la computadora ignore la publicación del nombre NetBIOS
solicitudes excepto de servidores WINS
Impacto:
Valor por defecto:
Habilitado.
Referencias:
1. CCE-36879-5
510 | Página
Página 512
Controles CIS:
Versión 6

Versión 7

511 | Página
Página 513
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP detecte
y configurar las direcciones de puerta de enlace predeterminadas (podría conducir a DoS) 'se establece en
Descripción:
Esta configuración se utiliza para habilitar o deshabilitar el Protocolo de descubrimiento de enrutadores de Internet (IRDP),
que permite al sistema detectar y configurar automáticamente las direcciones de puerta de enlace predeterminadas
como se describe en RFC 1256 por interfaz.
Razón fundamental:
Un atacante que haya obtenido el control de una computadora en el mismo segmento de red podría
configurar una computadora en la red para hacerse pasar por un enrutador. Otras computadoras con IRDP
habilitado intentaría enrutar su tráfico a través de los ya comprometidos
computadora.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters: Realizar

RouterDiscovery
512 | Página
Página 514
Remediación:

(PerformRouterDiscovery) Permitir que IRDP detecte y configure la puerta de enlace predeterminada
direcciones (podría conducir a DoS)
Impacto:
Windows no detectará ni configurará automáticamente las direcciones de puerta de enlace predeterminadas en el
computadora.
Valor por defecto:
Habilite solo si DHCP envía la opción Perform Router Discovery.
Referencias:
1. CCE-38065-9
Controles CIS:
Versión 6

Versión 7

513 | Página
Página 515
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite la búsqueda segura de DLL
mode (recomendado) 'está configurado como' Habilitado '(puntuado)
Descripción:
El orden de búsqueda de DLL se puede configurar para buscar DLL que se soliciten ejecutando
procesos de una de estas dos formas:
• Busque las carpetas especificadas en la ruta del sistema primero, y luego busque el actual
carpeta de trabajo.
• Busque primero la carpeta de trabajo actual y luego busque las carpetas especificadas en el
ruta del sistema.
Cuando está habilitado, el valor del registro se establece en 1. Con una configuración de 1, el sistema busca primero
las carpetas que se especifican en la ruta del sistema y luego busca el trabajo actual
carpeta. Cuando está deshabilitado, el valor del registro se establece en 0 y el sistema busca primero el
carpeta de trabajo y luego busca las carpetas que se especifican en la ruta del sistema.
Las aplicaciones se verán obligadas a buscar archivos DLL en la ruta del sistema primero. Para aplicaciones que
requieren versiones únicas de estas DLL que se incluyen con la aplicación, esta entrada
podría causar problemas de rendimiento o estabilidad.
Nota: En este enlace encontrará más información sobre cómo funciona el modo de búsqueda Safe DLL:
Orden de búsqueda de la biblioteca de vínculos dinámicos - Aplicaciones de Windows | Documentos de Microsoft
Razón fundamental:
Si un usuario, sin saberlo, ejecuta código hostil empaquetado con archivos adicionales que
incluir versiones modificadas de las DLL del sistema, el código hostil podría cargar sus propias versiones de
esos archivos DLL y potencialmente aumentar el tipo y grado de daño que el código puede generar.
514 | Página
Página 516
Auditoría:

Administrador: SafeDllSearchMode
Remediación:

(SafeDllSearchMode) Habilite el modo de búsqueda segura de DLL (recomendado)
Impacto:
Valor por defecto:
Habilitado.
Referencias:
1. CCE-36351-5
515 | Página
Página 517
Controles CIS:
Versión 6
Defensas de malware
Versión 7
8.1 Utilizar software antimalware administrado de forma centralizada

Utilice software anti-malware administrado centralmente para monitorear y defender continuamente
cada una de las estaciones de trabajo y servidores de la organización.
8.2 Asegúrese de que las firmas y el software anti-malware estén actualizados

Asegúrese de que el software anti-malware de la organización actualice su motor de análisis y
base de datos de firmas de forma regular.
516 | Página
Página 518
18.4.9 (L1) Asegúrese de 'MSS: (ScreenSaverGracePeriod) El tiempo en segundos

antes de que expire el período de gracia del protector de pantalla (se recomienda 0) 'se establece en
'Habilitado: 5 segundos o menos' (puntuado)
Descripción:
Windows incluye un período de gracia entre el momento en que se inicia el protector de pantalla y el
la consola se bloquea automáticamente cuando se activa el bloqueo del protector de pantalla.
El estado recomendado para esta configuración es: Activado: 5 segundos o menos .
Razón fundamental:
El período de gracia predeterminado que se permite para el movimiento del usuario antes del bloqueo del protector de pantalla
entra en vigor en cinco segundos. Si deja la configuración predeterminada del período de gracia,
la computadora es vulnerable a un posible ataque de alguien que podría acercarse a la consola
e intente iniciar sesión en la computadora antes de que el bloqueo surta efecto. Una entrada al registro
se puede hacer para ajustar la duración del período de gracia.
Auditoría:

NT \ CurrentVersion \ Winlogon: ScreenSaverGracePeriod
517 | Página
Página 519
Remediación:
5 o menos segundos :

(ScreenSaverGracePeriod) El tiempo en segundos antes de la gracia del protector de pantalla
el período expira (0 recomendado)
Impacto:
Los usuarios deberán ingresar sus contraseñas para reanudar sus sesiones de consola tan pronto como
el período de gracia finaliza después de la activación del protector de pantalla.
Valor por defecto:
5 segundos.
Referencias:
1. CCE-37993-3
Controles CIS:
Versión 6
Versión 7

518 | Página
Página 520
18.4.10 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions IPv6) Cómo

muchas veces se retransmiten datos no reconocidos 'se establece en' Habilitado: 3 '
(Puntuado)
Descripción:
Esta configuración controla la cantidad de veces que TCP retransmite un segmento de datos individual
(segmento sin conexión) antes de que se cancele la conexión. El tiempo de espera de retransmisión es
duplicado con cada retransmisión sucesiva en una conexión. Se restablece cuando las respuestas
currículum. El valor de tiempo de espera base se determina dinámicamente por el viaje de ida y vuelta medido
tiempo en la conexión.
El estado recomendado para esta configuración es: Habilitado: 3 .
Razón fundamental:
Un usuario malintencionado podría agotar los recursos de una computadora de destino si nunca envió ningún
mensajes de confirmación de los datos transmitidos por la computadora de destino.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TCPIP6 \ Parámetros: TcpMax

Retransmisiones de datos
519 | Página
Página 521
Remediación:
3:
Configuración del equipo \ Políticas \ Plantillas administrativas \ MSS

(Legacy) \ MSS: (TcpMaxDataRetransmissions IPv6) Cuántas veces sin reconocimiento
los datos se retransmiten
Impacto:
TCP inicia un temporizador de retransmisión cuando cada segmento de salida se pasa a la IP. Si no
se recibe un acuse de recibo para los datos en un segmento dado antes de que expire el temporizador, luego
el segmento se retransmite hasta tres veces.
Valor por defecto:
5 veces.
Referencias:
1. CCE-37846-3
Controles CIS:
Versión 6

Versión 7

520 | Página
Página 522
18.4.11 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions) ¿Cuántos

veces que se retransmiten datos no reconocidos 'se establece en' Habilitado: 3 '
(Puntuado)
Descripción:
Esta configuración controla la cantidad de veces que TCP retransmite un segmento de datos individual
(segmento sin conexión) antes de que se cancele la conexión. El tiempo de espera de retransmisión es
duplicado con cada retransmisión sucesiva en una conexión. Se restablece cuando las respuestas
currículum. El valor de tiempo de espera base se determina dinámicamente por el viaje de ida y vuelta medido
tiempo en la conexión.
El estado recomendado para esta configuración es: Habilitado: 3 .
Razón fundamental:
Un usuario malintencionado podría agotar los recursos de una computadora de destino si nunca envió ningún
mensajes de confirmación de los datos transmitidos por la computadora de destino.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters: TcpMaxD

ataRetransmissions
521 | Página
Página 523
Remediación:
3:
Configuración del equipo \ Políticas \ Plantillas administrativas \ MSS

(Legacy) \ MSS: (TcpMaxDataRetransmissions) Cuántas veces los datos no reconocidos
se retransmite
Impacto:
TCP inicia un temporizador de retransmisión cuando cada segmento de salida se pasa a la IP. Si no
se recibe un acuse de recibo para los datos en un segmento dado antes de que expire el temporizador, luego
el segmento se retransmite hasta tres veces.
Valor por defecto:
5 veces.
Referencias:
1. CCE-36051-1
Controles CIS:
Versión 6

Versión 7

522 | Página
Página 524
18.4.12 (L1) Asegúrese de 'MSS: (Nivel de advertencia) Umbral de porcentaje para

registro de eventos de seguridad en el que el sistema generará una advertencia 'se establece en
'Habilitado: 90% o menos' (puntuado)
Descripción:
Esta configuración puede generar una auditoría de seguridad en el registro de eventos de seguridad cuando el registro alcanza un
umbral definido por el usuario.
El estado recomendado para esta configuración es: Habilitado: 90% o menos .
Nota: Si la configuración del registro está configurada para sobrescribir eventos según sea necesario o sobrescribir eventos
más de x días, este evento no se generará.
Razón fundamental:
Si el registro de seguridad alcanza el 90 por ciento de su capacidad y la computadora no ha sido

configurado para sobrescribir eventos según sea necesario, los eventos más recientes no se escribirán en el registro.
Si el registro alcanza su capacidad y la computadora se ha configurado para apagarse cuando
ya no puede registrar eventos en el registro de seguridad, la computadora se apagará y no
estar disponible para proporcionar servicios de red.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Eventlog \ Security: Warnin

gLevel
523 | Página
Página 525
Remediación:
90% o menos :

(WarningLevel) Umbral de porcentaje para el registro de eventos de seguridad en el que
el sistema generará una advertencia
Impacto:
Se generará un evento de auditoría cuando el registro de seguridad alcance el 90% de su capacidad.

umbral (o cualquier valor más bajo que se pueda establecer) a menos que el registro esté configurado para sobrescribir
eventos según sea necesario.
Valor por defecto:
0%. (No se genera ningún evento de advertencia).
Referencias:
1. CCE-36880-3
524 | Página
Página 526
Controles CIS:
Versión 6
Versión 7


generado.

525 | Página
Página 527
18.5 Red
Esta sección contiene recomendaciones para la configuración de red.
18.5.1 Servicio de transferencia inteligente en segundo plano (BITS)

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Bits.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
18.5.2 BranchCache

PeerToPeerCaching.admx / adml que
se incluye con Microsoft Windows 7 & Server
Plantillas administrativas de 2008 R2 (o más recientes).
18.5.3 Configuración de la experiencia del cliente de DirectAccess

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo nca.admx / adml que es
incluidas con las plantillas administrativas de Microsoft 8.0 y Server 2012 (no R2) (o
más nuevo).
526 | Página
Página 528
18.5.4 Cliente DNS

Esta sección contiene recomendaciones relacionadas con el cliente DNS.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo DnsClient.admx / adml
18.5.4.1 (L1) Asegúrese de que 'Desactivar resolución de nombre de multidifusión' esté configurado en
Descripción:
LLMNR es un protocolo de resolución de nombres secundario. Con LLMNR, las consultas se envían utilizando
multidifusión a través de un enlace de red local en una sola subred desde una computadora cliente a otra
computadora cliente en la misma subred que también tiene LLMNR habilitado. LLMNR no requiere
un servidor DNS o una configuración de cliente DNS, y proporciona resolución de nombres en escenarios en
cuya resolución de nombres DNS convencional no es posible.
Razón fundamental:
Un atacante puede escuchar en una red estos LLMNR (UDP / 5355) o NBT-NS (UDP / 137)
transmite y responde a ellos, engañando al anfitrión haciéndole creer que conoce la ubicación
del sistema solicitado.
Nota: Para mitigar completamente el envenenamiento de la resolución de nombres local, además de esta configuración,
las propiedades de cada NIC instalada también deben establecerse en Desactivar NetBIOS sobre TCP / IP
(en la pestaña WINS en las propiedades de NIC). Desafortunadamente, no existe un escenario global para lograr
esto se aplica automáticamente a todas las NIC; es una configuración por NIC que varía con diferentes
Instalaciones de hardware NIC.
527 | Página
Página 529
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows

NT \ DNSClient: EnableMulticast
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ DNS

Cliente \ Desactivar la resolución de nombres de multidifusión
plantilla DnsClient.admx / adml que se incluye con Microsoft Windows 8.0 & Server
2012 (no R2) Plantillas administrativas (o más reciente).
Impacto:
En caso de que el DNS no esté disponible, un sistema no podrá solicitarlo a otros sistemas en
la misma subred.
Valor por defecto:
Discapacitado. (LLMNR se habilitará en todos los adaptadores de red disponibles).
Referencias:
1. CCE-37450-4
528 | Página
Página 530
Controles CIS:
Versión 6

Versión 7

529 | Página
Página 531
18.5.5 Fuentes
Esta sección contiene recomendaciones relacionadas con las fuentes.

GroupPolicy.admx / adml quese incluye con Microsoft Windows 10 Release 1607 y
Plantillas administrativas de Server 2016 (o más reciente).
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado en 'Deshabilitado' (puntuado)
Descripción:
Esta configuración de directiva determina si Windows puede descargar fuentes y fuentes

catalogar datos de un proveedor de fuentes en línea.
Razón fundamental:
En un entorno gestionado por la empresa, el departamento de TI debe gestionar los cambios.

a la configuración del sistema, para garantizar que todos los cambios se prueben y aprueben.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: EnableFontProvi

ders
530 | Página
Página 532
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Fuentes \ Activar

Proveedores de fuentes
plantilla GroupPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
Impacto:
Windows no se conectará a un proveedor de fuentes en línea y solo enumerará localmente

fuentes instaladas.
Valor por defecto:
Habilitado. (Las fuentes que se incluyen en Windows pero que no se almacenan localmente se
descargado a pedido de un proveedor de fuentes en línea).
Controles CIS:
Versión 6

Versión 7

531 | Página
Página 533
18.5.6 Autenticación de hotspot


hotspotauth.admx / adml que
se incluye con Microsoft Windows 8.0 & Server 2012
18.5.7 Servidor Lanman


LanmanServer.admx / adml quese incluye con Microsoft Windows 7 y Server 2008 R2
Plantillas administrativas (o más recientes).
532 | Página
Página 534
18.5.8 Estación de trabajo Lanman

Esta sección contiene recomendaciones relacionadas con la estación de trabajo Lanman.

LanmanWorkstation.admx / adml que
se incluye con Microsoft Windows 10 RTM
18.5.8.1 (L1) Asegúrese de que 'Habilitar inicios de sesión de invitados no seguros' esté configurado como 'Desha
(Puntuado)
Descripción:
Esta configuración de directiva determina si el cliente SMB permitirá inicios de sesión de invitados inseguros en una SMB
servidor.
Razón fundamental:
Los servidores de archivos utilizan inicios de sesión de invitados inseguros para permitir el acceso no autenticado a
carpetas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Lanman Estación de trabajo: Allo

wInsecureGuestAuth
533 | Página
Página 535
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Lanman

Estación de trabajo \ Habilitar inicios de sesión de invitados no seguros
plantilla LanmanWorkstation.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1511 (o más reciente).
Impacto:
El cliente SMB rechazará los inicios de sesión de invitados no seguros. Este no era originalmente el predeterminado
comportamiento en versiones anteriores de Windows, pero Microsoft cambió el comportamiento predeterminado comenzando
con Windows Server 2016 R1709: El acceso de invitado en SMB2 está deshabilitado de forma predeterminada en Windows
10 y Windows Server 2016
Valor por defecto:
Server 2016 RTM (R1607) y anteriores: habilitado. (El cliente SMB permitirá a invitados inseguros
inicios de sesión.)
Server 2016 R1709, Server 2019 y más reciente: deshabilitado. (El cliente SMB rechazará inseguro
inicios de sesión de invitado.)
Controles CIS:
Versión 6

en cada sistema.
Versión 7

534 | Página
Página 536
18.5.9 Descubrimiento de topología de capa de enlace

Esta sección contiene recomendaciones para la configuración de descubrimiento de topología de capa de enlace.

LinkLayerTopologyDiscovery.admx / adml que
se incluye con todas las versiones del
Plantillas administrativas de Microsoft Windows.
18.5.9.1 (L2) Asegúrese de que 'Activar controlador Mapper I / O (LLTDIO)' esté configurado en
Descripción:
Esta configuración de política cambia el comportamiento operativo del protocolo de red Mapper I / O
conductor.
LLTDIO permite que una computadora descubra la topología de una red a la que está conectada. También
permite que una computadora inicie solicitudes de calidad de servicio, como estimación de ancho de banda y
análisis de salud de la red.
Razón fundamental:
Para ayudar a proteger contra el descubrimiento potencial y la conexión a dispositivos no autorizados, este
La configuración debe estar desactivada para evitar responder al tráfico de la red para la topología de la red.
descubrimiento.
535 | Página
Página 537
Auditoría:
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ LLTD: AllowLLTDIOOnDoma

en
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ LLTD: AllowLLTDIOOnPubl
icNet
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ LLTD: EnableLLTDIO
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ LLTD: ProhibitLLTDIOOnP
rivateNet
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Capa de enlace

Detección de topología \ Activar controlador Mapper I / O (LLTDIO)
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo.

Impacto:
Valor por defecto:
Discapacitado. (El controlador de protocolo de red Mapper I / O (LLTDIO) está desactivado).
Referencias:
1. CCE-38170-7
536 | Página
Página 538
Controles CIS:
Versión 6

Versión 7

537 | Página
Página 539
18.5.9.2 (L2) Asegúrese de que 'Activar controlador de respuesta (RSPNDR)' esté configurado en
Descripción:
Esta configuración de directiva cambia el comportamiento operativo del protocolo de red Responder
conductor.
El Responder permite que una computadora participe en las solicitudes de descubrimiento de topología de la capa de enlace
para que pueda ser descubierto y localizado en la red. También permite que una computadora
participar en actividades de calidad de servicio tales como estimación de ancho de banda y redes
análisis de salud.
Razón fundamental:
Para ayudar a proteger contra el descubrimiento potencial y la conexión a dispositivos no autorizados, este
La configuración debe estar desactivada para evitar responder al tráfico de la red para la topología de la red.
descubrimiento.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ LLTD: AllowRspndrOnDoma

en
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ LLTD: AllowRspndrOnPubl
icNet
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ LLTD: EnableRspndr
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ LLTD: ProhibitRspndrOnP
rivateNet
538 | Página
Página 540
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Capa de enlace

Detección de topología \ Activar controlador de respuesta (RSPNDR)

Impacto:
Valor por defecto:
Discapacitado. (El controlador de protocolo de red Responder (RSPNDR) está desactivado).
Referencias:
1. CCE-37959-4
Controles CIS:
Versión 6

Versión 7

539 | Página
Página 541
18.5.10 Servicios de red punto a punto de Microsoft

Esta sección contiene recomendaciones para los servicios de red punto a punto de Microsoft
ajustes.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo P2P-pnrp.admx / adml
18.5.10.1 Protocolo de resolución de nombres de pares

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo P2P-pnrp.admx / adml
18.5.10.2 (L2) Asegúrese de 'Desactivar la red punto a punto de Microsoft

Servicios 'está configurado como' Habilitado '(puntuado)
Descripción:
El Protocolo de resolución de nombres de pares (PNRP) permite la resolución distribuida de un nombre a
una dirección IPv6 y un número de puerto. El protocolo opera en el contexto de las nubes . Una nube es
un conjunto de equipos del mismo nivel que pueden comunicarse entre sí mediante el mismo IPv6
alcance.
Los protocolos Peer-to-Peer permiten aplicaciones en las áreas de RTC, colaboración, contenido
distribución y procesamiento distribuido.
Razón fundamental:
Esta configuración mejora la seguridad del medio ambiente y reduce el riesgo general
exposición relacionada con la creación de redes entre pares.
540 | Página
Página 542
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Peernet: deshabilitado
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Microsoft

Servicios de red punto a punto \ Desactivar la red punto a punto de Microsoft
Servicios
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo P2P-
pnrp.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas.
Impacto:
Los servicios de red Microsoft Peer-to-Peer están desactivados en su totalidad, y todos

las aplicaciones que dependen de ellos dejarán de funcionar.
Valor por defecto:
Discapacitado. (Los protocolos peer-to-peer están activados).
Referencias:
1. CCE-37699-6
541 | Página
Página 543
Controles CIS:
Versión 6

en cada sistema.
Versión 7

542 | Página
Página 544
18.5.11 Conexiones de red

Esta sección contiene recomendaciones para la configuración de Conexiones de red.

NetworkConnections.admx / adml que
se incluye con todas las versiones de Microsoft
Plantillas administrativas de Windows.
18.5.11.1 Firewall de Windows Defender (anteriormente Windows

Cortafuegos)

WindowsFirewall.admx / adml que se incluye con todas las versiones de Microsoft Windows
Nota: Esta sección se llamó inicialmente Firewall de Windows, pero Microsoft le cambió el nombre a
Firewall de Windows Defender a partir de Microsoft Windows 10 Release 1709
18.5.11.2 (L1) Asegúrese de 'Prohibir la instalación y configuración de la red

Puente en su red de dominio DNS 'está configurado en' Habilitado '(puntuado)
Descripción:
Puede utilizar este procedimiento para controlar la capacidad del usuario para instalar y configurar una red.
Puente.
543 | Página
Página 545
Razón fundamental:
La configuración de Puente de red, si está habilitada, permite a los usuarios crear un acceso a medios de capa 2
Puente de control (MAC), que les permite conectar dos o más segmentos de red físicos
juntos. Por tanto, un puente de red permite que una computadora que tenga conexiones a dos
redes para compartir datos entre esas redes.
En un entorno gestionado por la empresa, donde es necesario controlar el tráfico de la red para
solo rutas autorizadas, permitir a los usuarios crear un puente de red aumenta el riesgo y
superficie de ataque de la red puenteada.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Red

Conexiones: NC_AllowNetBridge_NLA
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Red

Conexiones \ Prohibir la instalación y configuración de Network Bridge en su
Red de dominio DNS

NetworkConnections.admx / adml que
Impacto:
Los usuarios no pueden crear ni configurar un puente de red.
Valor por defecto:
Discapacitado. (Los usuarios pueden crear y modificar la configuración de puentes de red.

La membresía en el grupo de administradores locales, o equivalente, es el mínimo requerido para
complete este procedimiento.)
Referencias:
1. CCE-38002-2
544 | Página
Página 546
Controles CIS:
Versión 6

Versión 7

545 | Página
Página 547
18.5.11.3 (L1) Asegurar 'Prohibir el uso de Conexión compartida a Internet en

su red de dominio DNS 'está configurada como' Habilitada '(puntuada)
Descripción:
Aunque esta configuración "heredada" se aplicaba tradicionalmente al uso de la conexión a Internet

Compartir (ICS) en Windows 2000, Windows XP y Server 2003, esta configuración ahora recién
se aplica a la función Mobile Hotspot en Windows 10 y Server 2016.
Razón fundamental:
Los que no sean administradores no deberían poder activar la función Mobile Hotspot y abrir
su conectividad a Internet hasta los dispositivos móviles cercanos.
Auditoría:

Conexiones: NC_ShowSharedAccessUI
Remediación:

Conexiones \ Prohibir el uso de Conexión compartida a Internet en su dominio DNS
red
NetworkConnections.admx / adml que se incluye con todas las versiones de Microsoft
546 | Página
Página 548
Impacto:
El hotspot móvil no puede ser habilitado o configurado por administradores y no

Administradores por igual.
Valor por defecto:
Discapacitado. (Todos los usuarios pueden activar Mobile Hotspot).
Controles CIS:
Versión 6

en cada sistema.
Versión 7

547 | Página
Página 549
18.5.11.4 (L1) Asegúrese de 'Requerir que los usuarios de dominio eleven cuando configure un
la ubicación de la red 'está establecida en' Habilitada '(puntuada)
Descripción:
Esta configuración de directiva determina si se requiere que los usuarios de dominio eleven al configurar un
ubicación de la red.
Razón fundamental:
Permitir que los usuarios habituales establezcan una ubicación de red aumenta el riesgo y la superficie de ataque.
Auditoría:

Conexiones: NC_StdDomainUserSetLocation
Remediación:

Conexiones \ Requerir que los usuarios del dominio se eleven al configurar la ubicación de una red
plantilla NetworkConnections.admx / adml que se incluye con Microsoft Windows 7 y
Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Los usuarios de dominio deben elevarse al configurar la ubicación de una red.
Valor por defecto:
Discapacitado. (Los usuarios pueden establecer la ubicación de una red sin elevarla).
548 | Página
Página 550
Referencias:
1. CCE-38188-9
Controles CIS:
Versión 6

Versión 7

18.5.12 Indicador de estado de conectividad de red

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo NCSI.admx / adml que es
18.5.13 Aislamiento de red


NetworkIsolation.admx / adml que
se incluye con Microsoft Windows 8.0 & Server
549 | Página
Página 551
18.5.14 Proveedor de red

Esta sección contiene recomendaciones para la configuración del proveedor de red.

NetworkProvider.admx / adml quese incluye con MS15-011 /MSKB 3000483 seguridad
actualización y las plantillas administrativas de Microsoft Windows 10 RTM (versión 1507) (o
más nuevo).
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con
"Requerir autenticación mutua" y "Requerir integridad" establecidos para todos
Acciones de NETLOGON y SYSVOL '(puntuadas)
Descripción:
Esta configuración de directiva configura el acceso seguro a las rutas UNC.
El estado recomendado para esta configuración es: habilitado, con "Requerir mutuo
Autenticación "y" Requerir integridad "configurados para todos los NETLOGON y SYSVOL
acciones .
Nota: Si el entorno contiene exclusivamente Windows 8.0 / Server 2012 (no R2) o
sistemas más nuevos, la configuración de " Privacidad " también puede configurarse (opcionalmente) para habilitar SMB
cifrado. Sin embargo, el uso de cifrado SMB representará las rutas compartidas de destino
completamente inaccesible para los sistemas operativos más antiguos, así que solo use esta opción adicional con precaución y
pruebas exhaustivas.
550 | Página
Página 552
Razón fundamental:
En febrero de 2015, Microsoft lanzó un nuevo mecanismo de control para mitigar un riesgo de seguridad.
en la directiva de grupo como parte del Actualización de seguridad MS15-011 / MSKB 3000483 . Este mecanismo
Requiere tanto la instalación de la nueva actualización de seguridad como la implementación de
configuración de políticas de grupo específicas para todas las computadoras en el dominio desde Windows Vista / Server
2008 (no R2) o más reciente (el parche de seguridad asociado para habilitar esta función no fue
lanzado para Server 2003). Una nueva plantilla de política de grupo ( NetworkProvider.admx / adml )
también se le proporcionó la actualización de seguridad.
Una vez que la nueva plantilla de GPO esté en su lugar, los siguientes son los requisitos mínimos para
remediar el riesgo de seguridad de la política de grupo:
\\ * \ NETLOGON RequireMutualAuthentication = 1, RequireIntegrity = 1
\\ * \ SYSVOL RequireMutualAuthentication = 1, RequireIntegrity = 1
Nota: Es posible que sea necesario reiniciar después de aplicar la configuración a una máquina cliente para acceder al
por encima de los caminos.
Puede obtener orientación adicional sobre la implementación de esta configuración de seguridad en el

Blog de TechNet de las plataformas Microsoft Premier Field Engineering (PFE) aquí: Orientación sobre
Despliegue de MS15-011 y MS15-014 .
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ NetworkProvider \ Harden

edPaths: \\ * \ NETLOGON
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ NetworkProvider \ Harden
edPaths: \\ * \ SYSVOL
551 | Página
Página 553
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada
con las siguientes rutas configuradas, como mínimo:
\\ * \ NETLOGON RequireMutualAuthentication = 1, RequireIntegrity = 1
\\ * \ SYSVOL RequireMutualAuthentication = 1, RequireIntegrity = 1

Proveedor \ Rutas UNC reforzadas
( NetworkProvider.admx / adml ) es obligatorio; se incluye con elMS15-011 / MSKB
3000483 actualización de seguridad o con Microsoft Windows 10 RTM (versión 1507)
Impacto:
Windows solo permite el acceso a las rutas UNC especificadas después de cumplir con seguridad adicional
requisitos.
Valor por defecto:
Discapacitado. (No se endurecen las rutas UNC).
Controles CIS:
Versión 6

Versión 7
3.1 Ejecute herramientas de análisis de vulnerabilidades automatizadas

Utilice una herramienta de escaneo de vulnerabilidades actualizada compatible con SCAP para escanear automáticamente todos
sistemas en la red semanalmente o con mayor frecuencia para identificar todos los
vulnerabilidades en los sistemas de la organización.
552 | Página
Página 554
18.5.15 Archivos sin conexión


OfflineFiles.admx / adml que
18.5.16 Programador de paquetes QoS

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo QOS.admx / adml que es
18.5.17 SNMP
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Snmp.admx / adml que es
18.5.18 Ajustes de configuración SSL


CipherSuiteOrder.admx / adml que se incluye con todas las versiones de Microsoft Windows
553 | Página
Página 555
18.5.19 Configuración de TCPIP

Esta sección contiene opciones de configuración de TCP / IP.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo tcpip.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
18.5.19.1 Tecnologías de transición IPv6

más nuevo).
554 | Página
Página 556
18.5.19.2 Parámetros
Esta sección contiene los valores de configuración de los parámetros de TCP / IP.
más nuevo).
18.5.19.2.1 (L2) Deshabilite IPv6 (asegúrese de que el parámetro TCPIP6

'DisabledComponents' se establece en '0xff (255)') (puntuado)
Descripción:
El Protocolo de Internet versión 6 (IPv6) es un conjunto de protocolos que utilizan las computadoras para intercambiar
información a través de Internet y redes domésticas y comerciales. IPv6 permite muchos
más direcciones IP para ser asignadas que IPv4. Redes, hosts y funcionamiento más antiguos
Es posible que los sistemas no admitan IPv6 de forma nativa.
El estado recomendado para esta configuración es: DisabledComponents - 0xff (255)
Razón fundamental:
Dado que la gran mayoría de las redes administradas por empresas privadas no necesitan utilizar
IPv6 (porque tienen acceso a direcciones IPv4 privadas), deshabilitando componentes IPv6
elimina una posible superficie de ataque en la que también es más difícil controlar el tráfico. Como resultado,
recomendamos configurar IPv6 en un estado deshabilitado cuando no sea necesario.
Auditoría:
Navegue a la ruta del Registro articulada en la sección Remediación y confirme que esté configurada como
prescrito.
555 | Página
Página 557
Remediación:
Para establecer la configuración recomendada, establezca el siguiente valor de Registro en 0xff

(255) (DWORD) :
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TCPIP6 \ Parameters: Deshabilitar

edComponents
Nota: este cambio no entra en vigor hasta que se reinicia la computadora.

Nota 2: aunque Microsoft no proporciona una plantilla ADMX para configurar este registro
valor, se proporciona una plantilla .ADM personalizada ( Disable-IPv6-Components-KB929852.adm )
el CIS Benchmark Remediation Kit para facilitar su configuración. Pero ten en cuenta que
simplemente desactivar la configuración de la política de grupo en la plantilla .ADM no "deshará" el cambio
una vez aplicado. En su lugar, se debe aplicar la configuración opuesta para cambiar el valor del registro a
el estado opuesto.
Impacto:
La conectividad con otros sistemas que utilizan IPv6 dejará de funcionar y el software que depende
en IPv6 dejará de funcionar. Ejemplos de aplicaciones de Microsoft que pueden usar IPv6
incluyen: Asistencia remota, HomeGroup, DirectAccess, Windows Mail.
Este cambio de registro está documentado en el artículo 929852 de Microsoft Knowledge Base: Cómo
deshabilite IPv6 o sus componentes en Windows .
Nota: este cambio de registro no entra en vigor hasta el próximo reinicio.
Valor por defecto:
Todos los componentes de IPv6 están habilitados y Windows prefiere IPv6 sobre IPv4.
556 | Página
Página 558
Controles CIS:
Versión 6

Versión 7

557 | Página
Página 559
18.5.20 Windows Connect Now

Esta sección contiene recomendaciones para la configuración de Windows Connect Now.

WindowsConnectNow.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.5.20.1 (L2) Asegúrese de 'Configuración de la configuración inalámbrica mediante Windows

Conectar ahora 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de política permite la configuración de la configuración inalámbrica mediante Windows Connect
Ahora (WCN). WCN Registrar permite el descubrimiento y la configuración de dispositivos en
Ethernet (UPnP) sobre Wi-Fi 802.11 en banda a través de la API de dispositivo portátil de Windows
(WPD) y mediante unidades flash USB. Hay opciones adicionales disponibles para permitir el descubrimiento y
configuración sobre un medio específico.
Razón fundamental:
Esta configuración mejora la seguridad del medio ambiente y reduce el riesgo general
exposición relacionada con la configuración del usuario de la configuración inalámbrica.
558 | Página
Página 560
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WCN \ Registrars: EnableR

egistradores
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WCN \ Registrars: Desactivar
UPnPRegistrar
InBand802DOT11Registrar
FlashConfigRegistrar
WPDRegistrar
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Red \ Windows

Connect Now \ Configuración de la configuración inalámbrica mediante Windows Connect Now

WindowsConnectNow.admx / adml que se incluye con todas las versiones de Microsoft Windows
Impacto:
Las operaciones WCN están deshabilitadas en todos los medios.
Valor por defecto:
Las operaciones WCN están habilitadas y permitidas en todos los medios.
Referencias:
1. CCE-37481-9
559 | Página
Página 561
Controles CIS:
Versión 6
15.4 Configurar solo acceso inalámbrico autorizado en equipos cliente

Cuando se haya identificado una necesidad empresarial específica de acceso inalámbrico, configure
acceso inalámbrico en máquinas cliente para permitir el acceso solo a redes inalámbricas autorizadas.
Para dispositivos que no tienen un propósito comercial inalámbrico esencial, desactive el acceso inalámbrico
en la configuración del hardware (sistema básico de entrada / salida o firmware extensible
interfaz).
Versión 7
15.4 Deshabilite el acceso inalámbrico en dispositivos si no es necesario

Desactive el acceso inalámbrico en dispositivos que no tienen un propósito comercial para la conexión inalámbrica.
acceso.
15.5 Limitar el acceso inalámbrico en dispositivos cliente

Configure el acceso inalámbrico en las máquinas cliente que tienen un negocio inalámbrico esencial
propósito, permitir el acceso solo a redes inalámbricas autorizadas y restringir el acceso a
otras redes inalámbricas.
560 | Página
Página 562
18.5.20.2 (L2) Asegúrese de que 'Prohibir el acceso a Windows Connect Now

wizards 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva prohíbe el acceso a los asistentes de Windows Connect Now (WCN).
Razón fundamental:
Permitir que los usuarios estándar accedan al asistente de Windows Connect Now aumenta el riesgo y
superficie de ataque.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WCN \ UI: DisableWcnUi
Remediación:

Connect Now \ Prohibir el acceso de los asistentes de Windows Connect Now
plantilla WindowsConnectNow.admx / adml que se incluye con Microsoft Windows 8.0
& Server 2012 (no R2) Plantillas administrativas (o más recientes).
Impacto:
Los asistentes WCN están desactivados y los usuarios no tienen acceso a ninguna de las tareas del asistente. Todos
tareas relacionadas con la configuración, como "Configurar un enrutador o punto de acceso inalámbrico" y "Agregar un
dispositivo inalámbrico "están desactivados.
561 | Página
Página 563
Valor por defecto:
Discapacitado. (Los usuarios pueden acceder a todas las tareas del asistente WCN).
Referencias:
1. CCE-36109-7
Controles CIS:
Versión 6
15.4 Configurar solo acceso inalámbrico autorizado en equipos cliente

Cuando se haya identificado una necesidad empresarial específica de acceso inalámbrico, configure
acceso inalámbrico en máquinas cliente para permitir el acceso solo a redes inalámbricas autorizadas.
Para dispositivos que no tienen un propósito comercial inalámbrico esencial, desactive el acceso inalámbrico
en la configuración del hardware (sistema básico de entrada / salida o firmware extensible
interfaz).
Versión 7
15.4 Deshabilite el acceso inalámbrico en dispositivos si no es necesario

Desactive el acceso inalámbrico en dispositivos que no tienen un propósito comercial para la conexión inalámbrica.
acceso.

562 | Página
Página 564
18.5.21 Administrador de conexiones de Windows

Esta sección contiene recomendaciones para la configuración del Administrador de conexiones de Windows.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WCM.admx / adml que es
incluido con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
18.5.21.1 (L1) Asegúrese de 'Minimizar el número de

conexiones a Internet o un dominio de Windows 'se establece en' Habilitado: 3 =
Evitar Wi-Fi cuando está en Ethernet '(puntuado)
Descripción:
Esta configuración de directiva evita que las computadoras establezcan múltiples

conexiones a Internet oa un dominio de Windows.
El estado recomendado para esta configuración es: Activado: 3 = Evitar Wi-Fi cuando está encendido
Ethernet .
Razón fundamental:
Evitar las conexiones de red en puente puede ayudar a evitar que un usuario permita sin saberlo
tráfico para enrutar entre redes internas y externas, que corre el riesgo de exposición a sensibles
datos internos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WcmSvc \ GroupPolicy: fMi

nimizeConnections
563 | Página
Página 565
Remediación:
3 = Evitar Wi-Fi cuando está en Ethernet :

Connection Manager \ Minimice el número de conexiones simultáneas al
Internet o un dominio de Windows
plantilla WCM.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas. Se actualizó con una nueva opción de política de minimización.
subconfiguración que comienza con las plantillas administrativas de la versión 1903 de Windows 10.
Impacto:
Mientras esté conectado a una conexión Ethernet, Windows no permitirá el uso de una WLAN
(automática o manualmente) hasta que se desconecte Ethernet. Sin embargo, si un dato celular
conexión está disponible, siempre permanecerá conectado para los servicios que lo requieran, pero no
El tráfico de Internet se enrutará por celular si hay una conexión Ethernet o WLAN.
Valor por defecto:
Habilitado: 1 = Minimizar conexiones simultáneas. (Cualquier nueva conexión automática a Internet

se bloquea cuando la computadora tiene al menos una conexión a Internet activa a un
tipo de red. El orden de preferencia (de más preferido a menos preferido) es:
Ethernet, WLAN, luego celular. Siempre se prefiere Ethernet cuando está conectado. Los usuarios todavía pueden
conectarse manualmente a cualquier red).
Referencias:
1. CCE-38338-0
564 | Página
Página 566
Controles CIS:
Versión 6
12 Defensa de fronteras
Defensa de fronteras
Versión 7

565 | Página
Página 567
18.5.21.2 (L2) Asegúrese de 'Prohibir la conexión a redes que no sean de dominio

cuando se conecta a la red autenticada del dominio 'se establece en' Habilitado '
Descripción:
Esta configuración de política evita que las computadoras se conecten a una red basada en dominios
y una red no basada en dominio al mismo tiempo.
Razón fundamental:
La preocupación potencial es que un usuario, sin saberlo, permita que fluya el tráfico de la red.
entre la red pública insegura y la red administrada por la empresa.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WcmSvc \ GroupPolicy: fBl
ockNonDomain
Remediación:

Connection Manager \ Prohibir la conexión a redes que no sean de dominio cuando esté conectado
a la red autenticada del dominio
plantilla WCM.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
566 | Página
Página 568
Impacto:
La computadora responde a los intentos de conexión de red automáticos y manuales según

las siguientes circunstancias:
Intentos de conexión automática : cuando la computadora ya está conectada a un dominio

red basada, se bloquean todos los intentos de conexión automática a redes que no sean de dominio. -
Cuando la computadora ya está conectada a una red no basada en dominio,
Se bloquean los intentos de conexión a redes basadas en dominios.
Intentos de conexión manual : cuando la computadora ya está conectada a un

red basada en dominio o una red basada en dominio a través de medios que no sean Ethernet, y
el usuario intenta crear una conexión manual a una red adicional en violación de este
configuración de política, la conexión de red existente se desconecta y la conexión manual
esta permitido. - Cuando la computadora ya está conectada a una red no basada en dominio
red o una red basada en dominio sobre Ethernet, y un usuario intenta crear un manual
conexión a una red adicional en violación de esta configuración de política, el Ethernet existente
se mantiene la conexión y se bloquea el intento de conexión manual.
Valor por defecto:
Discapacitado. (Las conexiones a redes de dominio y no de dominio se realizan simultáneamente

permitido.)
Referencias:
1. CCE-37627-7
Controles CIS:
Versión 6
12 Defensa de fronteras
Defensa de fronteras
Versión 7
12.2 Buscar conexiones no autorizadas a través de límites de red confiables

Realice exploraciones periódicas desde fuera de cada límite de red de confianza para detectar cualquier
conexiones no autorizadas a las que se puede acceder a través del límite.
567 | Página
Página 569
18.6 Impresoras
568 | Página
Página 570
18.7 Menú de inicio y barra de tareas

Esta sección contiene recomendaciones para el menú Inicio y la barra de tareas.
que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administrative
18.7.1 Notificaciones
Esta sección contiene recomendaciones para el menú Inicio y las notificaciones de la barra de tareas.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WPN.admx / adml que es
incluido con las plantillas administrativas de Microsoft 10 Release 1803 (o más reciente).
18.7.1.1 (L2) Asegúrese de que 'Desactivar el uso de la red de notificaciones' esté configurado en
Descripción:
Esta configuración de política impide que las aplicaciones usen la red para enviar notificaciones a
actualice mosaicos, insignias de mosaicos, tostadas o notificaciones sin procesar. Esta configuración de política desactiva la
conexión entre Windows y el Servicio de notificaciones push de Windows (WNS). Esta
La configuración de políticas también impide que las aplicaciones puedan sondear los servicios de aplicaciones para actualizar
losas.
Razón fundamental:
Los servicios de notificación push de Windows (WNS) son un mecanismo para recibir
notificaciones y actualizaciones desde la nube / Internet. En un entorno de alta seguridad, externo
Se debe evitar que los sistemas, especialmente aquellos alojados fuera de la organización, tengan
un impacto en las estaciones de trabajo seguras.
569 | Página
Página 571
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ CurrentVersion \ PushNot

ificaciones: NoCloudApplicationNotification
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Menú Inicio y

Barra de tareas \ Desactivar el uso de la red de notificaciones
plantilla WPN.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
Las aplicaciones y las funciones del sistema no podrán recibir notificaciones de la red.
desde WNS o mediante API de sondeo de notificaciones.
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 7

13.1 Mantener un inventario de información confidencial

Mantener un inventario de toda la información confidencial almacenada, procesada o transmitida por
Los sistemas de tecnología de la organización, incluidos los ubicados en el sitio o en un servicio remoto.
proveedor.
570 | Página
Página 572
18.8 Sistema
Esta sección contiene recomendaciones para la configuración del sistema.
18.8.1 Asistencia con acceso denegado

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo srm-fci.admx / adml
que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
18.8.2 Aplicación-V
Esta sección de Política de grupo la proporciona la plantilla de política de grupo appv.admx / adml que es
incluido con Microsoft Windows 10 Release 1607 y Server 2016 Administrativo
571 | Página
Página 573
18.8.3 Creación del proceso de auditoría

Esta sección contiene configuraciones relacionadas con la auditoría de eventos de creación de procesos.

AuditSettings.admx / adml que
se incluye con Microsoft Windows 8.1 y Server 2012
Plantillas administrativas R2 (o más reciente).
18.8.3.1 (L1) Asegúrese de que 'Incluir línea de comando en eventos de creación de proceso' esté
Descripción:
Esta configuración de directiva determina qué información se registra en los eventos de auditoría de seguridad cuando
Se ha creado un nuevo proceso.
Razón fundamental:
Cuando esta configuración de política está habilitada, cualquier usuario que tenga acceso de lectura a los eventos de seguridad puede
lea los argumentos de la línea de comandos para cualquier proceso creado con éxito. Línea de comando
Los argumentos pueden contener información confidencial o privada, como contraseñas o datos de usuario.
Auditoría:
Auditoría: ProcessCreationIncludeCmdLine_Enabled
572 | Página
Página 574
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Proceso de auditoría

Creación \ Incluir línea de comando en eventos de creación de procesos
plantilla AuditSettings.admx / adml que se incluye con Microsoft Windows 8.1 y
Impacto:
Valor por defecto:
Discapacitado. (La información de la línea de comando del proceso no se incluirá en el proceso de auditoría
Eventos de creación.)
Referencias:
1. CCE-36925-6
Controles CIS:
Versión 6

sistema.
Versión 7

573 | Página
Página 575
18.8.4 Delegación de credenciales

Esta sección contiene configuraciones relacionadas con la delegación de credenciales.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredSsp.admx / adml
18.8.4.1 (L1) Asegúrese de que 'Encryption Oracle Remediation' esté configurado en 'Enabled:
Forzar clientes actualizados (puntuados)
Descripción:
Algunas versiones del protocolo CredSSP que utilizan algunas aplicaciones (como Remote
Desktop Connection) son vulnerables a un ataque de cifrado de Oracle contra el cliente. Esta
La política controla la compatibilidad con clientes y servidores vulnerables y le permite configurar el
nivel de protección deseado para la vulnerabilidad de cifrado de Oracle.
El estado recomendado para esta configuración es: Habilitado: Forzar clientes actualizados .
Razón fundamental:
Esta configuración es importante para mitigar la vulnerabilidad del oráculo de cifrado CredSSP, para la cual
La información fue publicada por Microsoft el 13/03/2018 en CVE-2018-0886 | CredSSP
Vulnerabilidad de ejecución remota de código . Todas las versiones de Windows Server desde Server 2008
(no R2) en adelante se ven afectados por esta vulnerabilidad y serán compatibles con esta
recomendación siempre que hayan sido remendados hasta mayo de 2018 (o más tarde).
Auditoría:

CredSSP \ Parámetros: AllowEncryptionOracle
574 | Página
Página 576
Remediación:
Forzar clientes actualizados :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Credenciales

Remediación de Oracle de delegación / cifrado
plantilla CredSsp.admx / adml que se incluye con Microsoft Windows 10 Release 1803
Impacto:
Las aplicaciones cliente que utilizan CredSSP no podrán volver a las versiones inseguras
y los servicios que utilizan CredSSP no aceptarán clientes sin parche. Esta configuración no debe ser
implementado hasta que todos los hosts remotos admitan la versión más reciente, lo que se logra asegurando
que están instaladas todas las actualizaciones de seguridad de Microsoft al menos hasta mayo de 2018.
Valor por defecto:
Sin la actualización de seguridad de mayo de 2018: habilitado: vulnerable (aplicaciones cliente que utilizan
CredSSP expondrá los servidores remotos a los ataques al admitir el respaldo a los inseguros
las versiones y los servicios que utilizan CredSSP aceptarán clientes sin parches).
Con la actualización de seguridad de mayo de 2018: habilitado: mitigado (aplicaciones cliente que utilizan
CredSSP no podrá volver a la versión insegura, pero los servicios que usan CredSSP sí
aceptar clientes sin parche.)
Controles CIS:
Versión 7

575 | Página
Página 577
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de no exportables
credenciales 'está configurado como' Habilitado '(puntuado)
Descripción:
El host remoto permite la delegación de credenciales no exportables. Al usar credencial

delegación, los dispositivos proporcionan una versión exportable de las credenciales al host remoto. Esta
expone a los usuarios al riesgo de robo de credenciales por parte de atacantes en el host remoto. los
El modo de administrador restringido y las funciones de Credential Guard remoto de Windows Defender son dos
opciones para ayudar a protegerse contra este riesgo.
Nota: información más detallada sobre Windows Defender Remote Credential Guard y cómo
se compara con el modo de administrador restringido que se puede encontrar en este enlace: Proteger el escritorio remoto
credenciales con Windows Defender Remote Credential Guard (Windows 10) | Microsoft
Docs
Razón fundamental:
El modo de administrador restringido se diseñó para ayudar a proteger las cuentas de administrador al garantizar
que las credenciales reutilizables no se almacenan en la memoria de dispositivos remotos que podrían
potencialmente estar comprometido. Windows Defender Remote Credential Guard lo ayuda a proteger
sus credenciales a través de una conexión de escritorio remoto redirigiendo las solicitudes de Kerberos
al dispositivo que solicita la conexión. Ambas funciones deben estar habilitadas y
compatibles, ya que reducen la posibilidad de robo de credenciales.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation:

AllowProtectedCreds
576 | Página
Página 578
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Credenciales

Delegación \ El host remoto permite la delegación de credenciales no exportables
plantilla CredSsp.admx / adml que se incluye con Microsoft Windows 10 Release 1703
Impacto:
El host admitirá el modo de administrador restringido y la credencial remota de Windows Defender

Funciones de guardia .
Valor por defecto:
Discapacitado. (El modo de administrador restringido y Windows Defender Remote Credential Guard no son
soportado. Los usuarios siempre deberán pasar sus credenciales al anfitrión).
Controles CIS:
Versión 6

Versión 7

577 | Página
Página 579
18.8.5 Protección del dispositivo

Esta sección contiene la configuración de Device Guard.

DeviceGuard.admx / adml que
se incluye con Microsoft Windows 10 RTM (versión
1507) Plantillas administrativas (o más reciente).
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en
Descripción:
Esta configuración de directiva especifica si la seguridad basada en virtualización está habilitada. Virtualización
La seguridad basada usa el hipervisor de Windows para brindar soporte a los servicios de seguridad.
El estado recomendado para esta configuración es: habilitado
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Requisitos de Credential Guard de Windows Defender (Windows 10) | Documentos de Microsoft
Razón fundamental:
Kerberos, NTLM y Credential Manager aíslan secretos mediante el uso de

seguridad. Versiones anteriores de Windows almacenaban secretos en la Autoridad de seguridad local
(LSA). Antes de Windows 10, la LSA almacenaba secretos utilizados por el sistema operativo en su
memoria de proceso. Con Credential Guard de Windows Defender habilitado, el proceso de LSA en
el sistema operativo habla con un nuevo componente llamado proceso LSA aislado que almacena
y protege esos secretos. Los datos almacenados por el proceso LSA aislado se protegen mediante
seguridad basada en virtualización y no es accesible para el resto del sistema operativo.
578 | Página
Página 580
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DeviceGuard: EnableVirt

ualizationBasedSecurity
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Dispositivo

Guard \ Activar seguridad basada en virtualización
plantilla DeviceGuard.admx / adml que se incluye con Microsoft Windows 10 RTM
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Advertencia # 2: Habilitar Credential Guard de Windows Defender en controladores de dominio no es

soportado. El controlador de dominio aloja servicios de autenticación que se integran con
procesos aislados cuando Windows Defender Credential Guard está habilitado, lo que provoca bloqueos.
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 6

sistema.
Versión 7

579 | Página
Página 581
18.8.5.2 (NG) Asegúrese de 'Activar seguridad basada en virtualización: seleccione

Platform Security Level 'está configurado en' Secure Boot and DMA Protection '
(Puntuado)
Descripción:
Esta configuración de directiva especifica si la seguridad basada en virtualización está habilitada. Virtualización
La seguridad basada usa el hipervisor de Windows para brindar soporte a los servicios de seguridad.
El estado recomendado para esta configuración es: Arranque seguro y protección DMA
Razón fundamental:
El arranque seguro puede ayudar a reducir el riesgo de ataques del gestor de arranque y junto con DMA
protecciones para ayudar a proteger los datos de ser borrados de la memoria.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DeviceGuard: RequirePla

tformSecurityFeatures
580 | Página
Página 582
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Segura
Protección de arranque y DMA :

Guard \ Activar seguridad basada en virtualización: seleccione el nivel de seguridad de la plataforma
Impacto:
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 6

sistema.
Versión 7

581 | Página
Página 583
18.8.5.3 (NG) Asegúrese de 'Activar la seguridad basada en virtualización:

Protección basada en virtualización de la integridad del código 'se establece en' Habilitado con
Bloqueo UEFI '(puntuado)
Descripción:
Esta configuración habilita la protección basada en virtualización de la integridad del código del modo Kernel. Cuando
esto está habilitado, se aplican las protecciones de memoria en modo kernel y la integridad del código
La ruta de validación está protegida por la función de seguridad basada en virtualización.
El estado recomendado para esta configuración es: habilitado con bloqueo UEFI
Razón fundamental:
La opción Activado con bloqueo UEFI garantiza que la protección de código basada en virtualización
La integridad no se puede desactivar de forma remota.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DeviceGuard: Hipervisor

EnforceCodeIntegrity
582 | Página
Página 584
Remediación:
con bloqueo UEFI :

Guard \ Turn On Virtualization Based Security: Protección basada en virtualización
de la integridad del código
Impacto:
Advertencia n. ° 2: una vez que esta configuración está encendida y activa, la seguridad basada en la virtualización
no se puede deshabilitar únicamente a través de GPO o cualquier otro método remoto. Después de quitar el
configuración de GPO, las funciones también deben desactivarse manualmente localmente en la máquina utilizando
los pasos proporcionados en este enlace:
Administrar Credential Guard de Windows Defender (Windows 10) | Documentos de Microsoft
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 6

sistema.
Versión 7

583 | Página
Página 585
18.8.5.4 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Requerir

La tabla de atributos de memoria UEFI 'se establece en' Verdadero (marcado) '(puntuado)
Descripción:
Esta opción solo habilitará la protección basada en virtualización de la integridad del código en los dispositivos
con soporte de firmware UEFI para la tabla de atributos de memoria. Dispositivos sin UEFI
La tabla de atributos de memoria puede tener firmware incompatible con la virtualización
Protección basada en la integridad del código que, en algunos casos, puede provocar bloqueos o pérdida de datos o
incompatibilidad con determinadas tarjetas enchufables. Si no configura esta opción, los dispositivos de destino
debe probarse para asegurar la compatibilidad.
El estado recomendado para esta configuración es: Verdadero (marcado)
Razón fundamental:
Esta configuración ayudará a proteger este control para que no se habilite en un sistema que no
compatible, lo que podría provocar un bloqueo o la pérdida de datos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ DeviceGuard: HVCIMATReq

uired
584 | Página
Página 586
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en TRUE :

Guard \ Turn On Virtualization Based Security: Requiere atributos de memoria UEFI
Mesa
plantilla DeviceGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
Impacto:
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 6

sistema.
Versión 7

585 | Página
Página 587
18.8.5.5 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: credencial

Guard Configuration 'está configurado como' Habilitado con bloqueo UEFI '(solo MS)
(Puntuado)
Descripción:
Esta configuración permite a los usuarios activar Credential Guard con seguridad basada en virtualización para ayudar
proteger las credenciales. La opción "Habilitado con bloqueo UEFI" asegura que Credential Guard
no se puede desactivar de forma remota. Para deshabilitar la función, debe configurar la Política de grupo
ausuario
"Deshabilitado",
físicamenteasí como eliminar
presente, la de
con el fin funcionalidad de seguridadpersistente
borrar la configuración de cada computadora,
en UEFI. con un
El estado recomendado para esta configuración es: habilitado con bloqueo UEFI , pero solo en miembros
Servidores (no controladores de dominio).
Razón fundamental:
La opción Habilitado con bloqueo UEFI asegura que Credential Guard no se pueda deshabilitar
de forma remota.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ DeviceGuard: LsaCfgFlag

s
586 | Página
Página 588
Remediación:
con bloqueo UEFI (solo en servidores miembro):

Guard \ Activar seguridad basada en virtualización: Configuración de Credential Guard
Impacto:
Advertencia # 2: Habilitar Credential Guard de Windows Defender en controladores de dominio no es

Advertencia n. ° 3: una vez que esta configuración está encendida y activa, Credential Guard no se puede
desactivado únicamente a través de GPO o cualquier otro método remoto. Después de quitar el ajuste de
GPO, las funciones también deben deshabilitarse manualmente localmente en la máquina siguiendo los pasos
proporcionado en este enlace:
Valor por defecto:
Discapacitado.
587 | Página
Página 589
Controles CIS:
Versión 6

sistema.
Versión 7

588 | Página
Página 590
18.8.5.6 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: credencial

Guard Configuration 'está establecido en' Disabled '(solo DC) (puntuado)
Descripción:
Esta configuración permite a los usuarios activar Credential Guard con seguridad basada en virtualización para ayudar
proteger las credenciales.
El estado recomendado para esta configuración es: Deshabilitado en controladores de dominio .
Razón fundamental:
Credential Guard no es útil en los controladores de dominio y puede causar bloqueos en ellos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ DeviceGuard: LsaCfgFlag

s
589 | Página
Página 591
Remediación:

Guard \ Activar seguridad basada en virtualización: Configuración de Credential Guard
Impacto:
Advertencia: Habilitar Credential Guard de Windows Defender en controladores de dominio no es

Valor por defecto:
Discapacitado. (Credential Guard está deshabilitado).
Controles CIS:
Versión 6

sistema.
Versión 7

590 | Página
Página 592
18.8.5.7 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: segura

Launch Configuration 'está configurado como' Enabled '(puntuado)
Descripción:
Secure Launch protege el entorno de seguridad basada en virtualización de la explotación

vulnerabilidades en el firmware del dispositivo.
Razón fundamental:
Secure Launch cambia la forma en que Windows se inicia para utilizar la tecnología Intel Trusted Execution
(TXT) y las funciones de resistencia del BIOS en tiempo de ejecución para evitar que las vulnerabilidades de firmware
para afectar la seguridad del entorno de seguridad basada en virtualización de Windows.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DeviceGuard: ConfigureS

ystemGuardLaunch
591 | Página
Página 593
Remediación:

Guard \ Turn On Virtualization Based Security: Configuración de inicio seguro
Plantillas administrativas 1809 y Server 2019 (o más recientes).
Impacto:
Advertencia : todos los controladores del sistema deben ser compatibles con esta función o el sistema
Valor por defecto:
No configurado. (Los usuarios administrativos pueden elegir si habilitar o deshabilitar Secure

Lanzamiento.)
Controles CIS:
Versión 6
sistema.
Versión 7

18.8.6 Servicio de atestación del estado del dispositivo

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo TPM.admx / adml que es
incluidas con las plantillas administrativas de Microsoft Windows 10 Release 1709 (o
más nuevo).
592 | Página
Página 594
18.8.7 Instalación del dispositivo

Esta sección contiene recomendaciones relacionadas con la instalación del dispositivo.

DeviceInstallation.admx / adml que
18.8.7.1 Restricciones de instalación del dispositivo


18.8.8 Redirección de dispositivos


DeviceRedirection.admx / adml que
18.8.9 Caché NV de disco


DiskNVCache.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.8.10 Cuotas de disco

Esta sección de Política de grupo la proporciona la plantilla de política de grupo DiskQuota.admx / adml
593 | Página
Página 595
18.8.11 Pantalla
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Display.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703
(o mas nuevo).
18.8.12 COM distribuido

Esta sección de Política de grupo la proporciona la plantilla de política de grupo DCOM.admx / adml que es
18.8.13 Instalación del controlador


594 | Página
Página 596
18.8.14 Antimalware de lanzamiento anticipado

Esta sección contiene recomendaciones para configurar la inicialización del controlador de arranque.
ajustes.

EarlyLaunchAM.admx / adml que se incluye con Microsoft Windows 8.0 y Server 2012
18.8.14.1 (L1) Asegúrese de que 'Boot-Start Driver Initialization Policy' esté configurado en
'Habilitado: bueno, desconocido y malo pero crítico' (puntuado)
Descripción:
Esta configuración de política le permite especificar qué controladores de arranque se inicializan en función de un
clasificación determinada por un controlador de inicio de arranque de Early Launch Antimalware. El temprano
Launch Antimalware boot-start driver puede devolver las siguientes clasificaciones para cada
controlador de inicio de arranque:
• Bueno : el controlador ha sido firmado y no ha sido manipulado.

• Malo : el controlador se ha identificado como malware. Se recomienda que no
permitir que se inicialicen los controladores defectuosos conocidos.
• Malo, pero necesario para el arranque : el controlador se ha identificado como malware, pero el
la computadora no puede arrancar correctamente sin cargar este controlador.
• Desconocido : la aplicación de detección de malware no ha certificado este controlador.
y no ha sido clasificado por el controlador de inicio de arranque Antimalware Early Launch.
Si habilita esta configuración de política, podrá elegir qué controladores de arranque

inicializar la próxima vez que se inicie la computadora.
Si su aplicación de detección de malware no incluye un arranque Antimalware de inicio temprano,

iniciar el controlador o si su controlador de inicio de inicio Antimalware de inicio temprano ha sido deshabilitado, esto
La configuración no tiene ningún efecto y se inicializan todos los controladores de arranque.
El estado recomendado para esta configuración es: Habilitado: Bueno, desconocido y malo pero
crítico .
595 | Página
Página 597
Razón fundamental:
Esta configuración de política ayuda a reducir el impacto del malware que ya ha infectado su
sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Policies \ EarlyLaunch: DriverLoadPo
picante
Remediación:
Bueno, desconocido y malo pero crítico:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio anticipado

Política de inicialización del controlador Antimalware \ Boot-Start
plantilla EarlyLaunchAM.admx / adml que se incluye con Microsoft Windows 8.0 y
Impacto:
Valor por defecto:
Discapacitado. (Los controladores de arranque que se determinan como buenos, desconocidos o incorrectos, pero
inicializado y se omite la inicialización de los controladores determinados como defectuosos).
Referencias:
1. CCE-37912-3
596 | Página
Página 598
Controles CIS:
Versión 6
Defensas de malware
Versión 7


18.8.15 Acceso al almacenamiento mejorado


EnhancedStorage.admx / adml que

se incluye con Microsoft Windows 7 y Server 2008
18.8.16 Infraestructura de clasificación de archivos

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo srm-fci.admx / adml
18.8.17 Agente de instantáneas de uso compartido de archivos


FileServerVSSAgent.admx / adml que
597 | Página
Página 599
18.8.18 Proveedor de instantáneas de archivos compartidos

Esta sección de Política de grupo es proporcionada por las plantillas de Política de grupo
FileServerVSSProvider.admx / adml que
18.8.19 Sistema de archivos (anteriormente Sistema de archivos NTFS)

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FileSys.admx / adml
Nota: Esta sección se llamó inicialmente Sistema de archivos NTFS, pero Microsoft le cambió el nombre a
Sistema de archivos que comienza con Microsoft Windows 7 y Server 2008 R2 administrativo
Plantillas.
18.8.20 Redirección de carpetas


FolderRedirection.admx / adml que se incluye con todas las versiones de Microsoft Windows
598 | Página
Página 600
18.8.21 Política de grupo

Esta sección contiene recomendaciones para configurar opciones relacionadas con políticas de grupo.

GroupPolicy.admx / adml que
18.8.21.1 Registro y seguimiento


GroupPolicyPreferences.admx / adml que
se incluye con Microsoft Windows Server
18.8.21.2 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: no aplicar

durante el procesamiento en segundo plano periódico 'se establece en' Habilitado: FALSO '
(Puntuado)
Descripción:
La opción "No aplicar durante el procesamiento en segundo plano periódico" evita que el sistema
de actualizar las políticas afectadas en segundo plano mientras la computadora está en uso. Cuando
las actualizaciones en segundo plano están deshabilitadas, los cambios de política no entrarán en vigor hasta el próximo usuario
inicio de sesión o reinicio del sistema.
El estado recomendado para esta configuración es: Habilitado: FALSO (sin marcar ).
Razón fundamental:
Establecer esta opción en falso (sin marcar) garantizará que los cambios en la política de dominio surtan efecto
más rápidamente, en comparación con esperar hasta el próximo inicio de sesión de usuario o reinicio del sistema.
599 | Página
Página 601
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Group

Política \ {35378EAC-683F-11D2-A89A-00C04FBBCFA2} \ NoBackgroundPolicy
Remediación:
luego configure la opción No aplicar durante el procesamiento periódico en segundo plano en FALSO
(desenfrenado):
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Grupo

Política \ Configurar el procesamiento de políticas de registro
plantilla GroupPolicy.admx / adml que se incluye con Microsoft Windows 8.0 y
Impacto:
Las políticas de grupo se volverán a aplicar cada vez que se actualicen, lo que podría tener un ligero
impacto en el rendimiento.
Valor por defecto:
Discapacitado. (Las políticas de grupo no se vuelven a aplicar hasta el próximo inicio de sesión o reinicio).
Referencias:
1. CCE-36169-1
600 | Página
Página 602
Controles CIS:
Versión 6
3.7 Implementar herramientas de gestión de la configuración del sistema (es decir, herramientas de corrección)
Implementar herramientas de administración de la configuración del sistema, como la directiva de grupo de Active Directory
Objetos para sistemas Microsoft Windows o Puppet para sistemas UNIX que automáticamente
Aplicar y volver a implementar los ajustes de configuración en los sistemas a intervalos programados regularmente.
Deben ser capaces de activar la redistribución de los ajustes de configuración en un
programado, manual o basado en eventos.
Versión 7
5.4 Implementar herramientas de administración de configuración del sistema

Implementar herramientas de administración de la configuración del sistema que aplicarán y
volver a implementar los parámetros de configuración en los sistemas a intervalos programados regularmente.

601 | Página
Página 603
18.8.21.3 (L1) Asegúrese de 'Configurar el procesamiento de políticas de registro: Procese incluso

si los objetos de directiva de grupo no han cambiado 'se establece en' Habilitado: VERDADERO '
(Puntuado)
Descripción:
La opción "Procesar incluso si los objetos de directiva de grupo no han cambiado" se actualiza y
vuelve a aplicar políticas incluso si las políticas no han cambiado.
El estado recomendado para esta configuración es: Habilitado: VERDADERO (marcado).
Razón fundamental:
Establecer esta opción en verdadero (marcado) asegurará cambios no autorizados que
configurados localmente se ven obligados a coincidir nuevamente con la configuración de la directiva de grupo basada en el dominio.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Group

Política \ {35378EAC-683F-11D2-A89A-00C04FBBCFA2} \ NoGPOListChanges
Remediación:
luego configure el proceso incluso si los objetos de la directiva de grupo no han cambiado de opción a
VERDADERO (marcado):

Política \ Configurar el procesamiento de políticas de registro
plantilla GroupPolicy.admx / adml que se incluye con Microsoft Windows 8.0 y
602 | Página
Página 604
Impacto:
Las políticas de grupo se volverán a aplicar incluso si no se han cambiado, lo que podría tener un
leve impacto en el rendimiento.
Valor por defecto:
Discapacitado. (Las políticas de grupo no se vuelven a aplicar si no se han modificado).
Referencias:
1. CCE-36169-1
Controles CIS:
Versión 6
Versión 7


603 | Página
Página 605
18.8.21.4 (L1) Asegúrese de que 'Continuar experiencias en este dispositivo' esté configurado en
Descripción:
Esta configuración de directiva determina si el dispositivo Windows puede participar en

experiencias entre dispositivos (experiencias continuas).
Razón fundamental:
Una experiencia entre dispositivos es cuando un sistema puede acceder a la aplicación y enviar mensajes a otros
dispositivos. En un entorno administrado por la empresa, solo los sistemas confiables
comunicarse dentro de la red. Debería prohibirse el acceso a cualquier otro sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: EnableCdp
Remediación:

Política \ Continuar experiencias en este dispositivo
plantilla GroupPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
604 | Página
Página 606
Impacto:
El dispositivo de Windows no será detectable por otros dispositivos y no puede participar en

experiencias entre dispositivos.
Valor por defecto:
El comportamiento predeterminado depende de la edición de Windows.
Controles CIS:
Versión 6

en cada sistema.
Versión 7
605 | Página
Página 607
18.8.21.5 (L1) Asegúrese de que 'Desactivar la actualización en segundo plano de la directiva de grupo' esté conf
a 'Deshabilitado' (puntuado)
Descripción:
Esta configuración de directiva evita que la directiva de grupo se actualice mientras la computadora está en uso.
Esta configuración de directiva se aplica a la directiva de grupo para equipos, usuarios y controladores de dominio.
Razón fundamental:
Esta configuración garantiza que los cambios en la política de grupo surtan efecto más rápidamente, en comparación con
esperando hasta el próximo inicio de sesión de usuario o reinicio del sistema.
Auditoría:
prescrito. Esta configuración de directiva de grupo está en vigor cuando la siguiente ubicación del registro lo hace
no existe:

DisableBkGndGroupPolicy
Remediación:

Política \ Desactivar la actualización en segundo plano de la política de grupo

Impacto:
606 | Página
Página 608
Valor por defecto:
Discapacitado. (Las actualizaciones se pueden aplicar mientras los usuarios están trabajando).
Referencias:
1. CCE-37712-7
Controles CIS:
Versión 6
Versión 7


607 | Página
Página 609
18.8.22 Gestión de comunicaciones de Internet

Esta sección contiene recomendaciones relacionadas con la gestión de las comunicaciones de Internet.
18.8.22.1 Configuración de comunicación de Internet

Esta sección contiene recomendaciones relacionadas con la configuración de la comunicación por Internet.
18.8.22.1.1 (L1) Asegúrese de 'Desactivar la descarga de controladores de impresión a través de HTTP'

Descripción:
Esta configuración de directiva controla si la computadora puede descargar paquetes de controladores de impresión
a través de HTTP. Para configurar la impresión HTTP, los controladores de impresora que no están disponibles en el estándar
Es posible que la instalación del sistema operativo deba descargarse a través de HTTP.
Razón fundamental:
Los usuarios pueden descargar controladores que incluyen código malicioso.
Auditoría:

NT \ Printers: DisableWebPnPDownload
608 | Página
Página 610
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Internet

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar la descarga
de controladores de impresión a través de HTTP
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Los controladores de impresión no se pueden descargar a través de HTTP.
Nota: esta configuración de directiva no impide que el equipo cliente imprima en impresoras en
la intranet o Internet a través de HTTP. Solo prohíbe la descarga de controladores que no
ya instalado localmente.
Valor por defecto:
Discapacitado. (Los usuarios pueden descargar controladores de impresión a través de HTTP).
Referencias:
1. CCE-36625-2
Controles CIS:
Versión 6
2 Inventario de software autorizado y no autorizado

Inventario de software autorizado y no autorizado
Versión 7

manera oportuna

609 | Página
Página 611
18.8.22.1.2 (L2) Asegúrese de 'Desactivar los datos de personalización de escritura a mano

compartir 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración desactiva el intercambio de datos desde la herramienta de personalización de reconocimiento de escritura a mano.
La herramienta de personalización de reconocimiento de escritura a mano permite a los usuarios de Tablet PC adaptarse
reconocimiento de escritura a mano a su propio estilo de escritura al proporcionar muestras de escritura. La herramienta
Opcionalmente, puede compartir muestras de escritura del usuario con Microsoft para mejorar la escritura a mano.
reconocimiento en futuras versiones de Windows. La herramienta genera informes y los transmite
a Microsoft a través de una conexión segura.
Razón fundamental:
La escritura de una persona es información de identificación personal (PII), especialmente cuando

llega a tu firma. Como tal, es inaceptable en muchos entornos
cargar PII en un sitio web sin la aprobación explícita del usuario.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ TabletPC: PreventHandwr

itingDataSharing
610 | Página
Página 612
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar escritura a mano
intercambio de datos de personalización
plantilla ShapeCollector.admx / adml que se incluye con Microsoft Windows 7 y
Impacto:
Los usuarios de Tablet PC no pueden optar por compartir muestras de escritura desde el reconocimiento de escritura a mano.
herramienta de personalización con Microsoft.
Valor por defecto:
Los usuarios de Tablet PC pueden elegir si desean o no compartir sus muestras de escritura de
la herramienta de personalización de reconocimiento de escritura a mano con Microsoft.
Referencias:
1. CCE-37911-5
Controles CIS:
Versión 6
Versión 7

611 | Página
Página 613
18.8.22.1.3 (L2) Asegúrese de 'Desactivar el error de reconocimiento de escritura a mano

informes 'está configurado como' Habilitado '(puntuado)
Descripción:
Desactiva la herramienta de notificación de errores de reconocimiento de escritura a mano.
La herramienta de notificación de errores de reconocimiento de escritura a mano permite a los usuarios informar errores
encontrado en el Panel de entrada de Tablet PC. La herramienta genera informes de errores y los transmite
a Microsoft a través de una conexión segura. Microsoft usa estos informes de error para mejorar
reconocimiento de escritura a mano en futuras versiones de Windows.
Razón fundamental:
La escritura de una persona es información de identificación personal (PII), especialmente cuando

llega a tu firma. Como tal, es inaceptable en muchos entornos
cargar PII en un sitio web sin la aprobación explícita del usuario.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ HandwritingErrorReport

s: PreventHandwritingErrorReports
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar escritura a mano
informe de errores de reconocimiento

InkWatson.admx / adml que
612 | Página
Página 614
Impacto:
Los usuarios no pueden iniciar la herramienta de notificación de errores de reconocimiento de escritura a mano ni enviar informes de errores
a Microsoft.
Valor por defecto:
Discapacitado. (Los usuarios de Tablet PC pueden informar errores de reconocimiento de escritura a mano a Microsoft).
Referencias:
1. CCE-36203-8
Controles CIS:
Versión 6
Versión 7

613 | Página
Página 615
18.8.22.1.4 (L2) Asegúrese de 'Desactivar el asistente de conexión a Internet si la URL

la conexión se refiere a Microsoft.com 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si el Asistente para la conexión a Internet puede conectarse a
Microsoft para descargar una lista de proveedores de servicios de Internet (ISP).
Razón fundamental:
En un entorno gestionado por la empresa, queremos reducir el riesgo de un usuario sin saberlo
exponer datos sensibles.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Conexión a Internet

Asistente: ExitOnMSICW
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar Internet
Asistente de conexión si la conexión URL se refiere a Microsoft.com
Impacto:
La ruta "Elija una lista de proveedores de servicios de Internet" en el Asistente para la conexión a Internet
hace que el asistente se cierre. Esto evita que los usuarios recuperen la lista de ISP, que reside
en los servidores de Microsoft.
614 | Página
Página 616
Valor por defecto:
Discapacitado. (Los usuarios pueden conectarse a Microsoft para descargar una lista de ISP para su área).
Referencias:
1. CCE-37163-3
Controles CIS:
Versión 6
Versión 7

615 | Página
Página 617
18.8.22.1.5 (L1) Asegúrese de 'Desactivar la descarga de Internet para la publicación web

y asistentes de pedidos en línea 'está configurado en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva controla si Windows descargará una lista de proveedores para la Web
asistentes de publicación y pedidos en línea.
Razón fundamental:
Aunque el riesgo es mínimo, habilitar esta configuración reducirá la posibilidad de que un usuario
descargar sin saberlo contenido malicioso a través de esta función.
Auditoría:

r: NoWebServices
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar Internet
descargar para asistentes de publicación web y pedidos en línea
Impacto:
Windows no puede descargar proveedores; solo los proveedores de servicios almacenados en caché
se muestran los registros locales.
616 | Página
Página 618
Valor por defecto:
Discapacitado. (Se descarga una lista de proveedores cuando el usuario utiliza la publicación web o
asistentes de pedidos en línea.)
Referencias:
1. CCE-36096-6
Controles CIS:
Versión 6
7 Protecciones de correo electrónico y navegador web

Protecciones de correo electrónico y navegador web
Versión 7
7.4 Mantener y aplicar filtros de URL basados en red

Aplicar filtros de URL basados en la red que limitan la capacidad de un sistema para conectarse a sitios web que no
aprobado por la organización. Este filtrado se aplicará a cada uno de los
sistemas, ya sea que se encuentren físicamente en las instalaciones de una organización o no.
617 | Página
Página 619
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado en 'Habilitado'
(Puntuado)
Descripción:
Esta configuración de política le permite deshabilitar la capacidad del equipo cliente para imprimir a través de HTTP,
que permite que la computadora imprima en impresoras en la intranet así como en Internet.
Nota: este control afecta la impresión tanto en HTTP como en HTTPS.
Razón fundamental:
La información que se transmite a través de HTTP a través de esta capacidad no está protegida y puede
ser interceptado por usuarios malintencionados. Por esta razón, no se usa a menudo en empresas.
entornos gestionados.
Auditoría:

NT \ Printers: DesactivarHTTPPrinting
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar la impresión
sobre HTTP
618 | Página
Página 620
Impacto:
La computadora cliente no podrá imprimir en impresoras de Internet a través de HTTP o HTTPS.
Nota: esta configuración de política afecta únicamente al lado del cliente de la impresión por Internet. Independientemente de cómo
está configurado, una computadora podría actuar como un servidor de impresión de Internet y hacer su uso compartido
impresoras disponibles a través de HTTP.
Valor por defecto:
Discapacitado. (Los usuarios pueden optar por imprimir en impresoras de Internet a través de HTTP).
Referencias:
1. CCE-36920-7
Controles CIS:
Versión 6
13.1 Evaluar datos para identificar información confidencial

Realizar una evaluación de datos para identificar información sensible que requiere
aplicación de controles de encriptación e integridad.
Versión 7

619 | Página
Página 621
18.8.22.1.7 (L2) Asegúrese de 'Desactivar registro si la conexión URL es

referirse a Microsoft.com 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si el Asistente de registro de Windows se conecta a

Microsoft.com para el registro en línea.
Razón fundamental:
Los usuarios de un entorno gestionado por la empresa no deben registrar sus propias copias de
Windows, proporcionando su propia PII en el proceso.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Registration Wizard

Control: NoRegistration
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar
Registro si la conexión URL se refiere a Microsoft.com
Impacto:
Los usuarios no pueden conectarse a Microsoft.com para registrarse en línea y no pueden

registre su copia de Windows en línea.
620 | Página
Página 622
Valor por defecto:
Discapacitado. (Los usuarios pueden conectarse a Microsoft.com para completar el Windows

Registro.)
Referencias:
1. CCE-36352-3
Controles CIS:
Versión 7

621 | Página
Página 623
18.8.22.1.8 (L2) Asegúrese de 'Desactivar las actualizaciones del archivo de contenido de Search Companion'
Descripción:
Esta configuración de política especifica si Search Companion debe descargarse automáticamente

actualizaciones de contenido durante búsquedas locales e Internet.
Razón fundamental:
Existe un pequeño riesgo de que los usuarios, sin saberlo, revelen información confidencial debido a
los temas que están buscando. Este riesgo es muy bajo porque incluso si esta configuración está habilitada
los usuarios aún deben enviar consultas de búsqueda al motor de búsqueda deseado para realizar
búsquedas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SearchCompanion: DisableContent

Actualizaciones de archivos
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar búsqueda
Actualizaciones de archivos de contenido complementario
622 | Página
Página 624
Impacto:
Search Companion no descarga actualizaciones de contenido durante las búsquedas.
Nota: las búsquedas en Internet seguirán enviando el texto de búsqueda y la información sobre la búsqueda a
Microsoft y el proveedor de búsqueda elegido. Si selecciona Búsqueda clásica, la búsqueda
La función complementaria no estará disponible. Puede seleccionar Búsqueda clásica haciendo clic en Inicio,
Busque, cambie las preferencias y luego cambie el comportamiento de búsqueda en Internet.
Valor por defecto:
Discapacitado. (Search Companion descarga actualizaciones de contenido a menos que el usuario esté usando Classic
Buscar.)
Referencias:
1. CCE-36884-5
Controles CIS:
Versión 6
Versión 7


623 | Página
Página 625
18.8.22.1.9 (L2) Asegúrese de que 'Desactivar la tarea de imagen "Solicitar impresiones" esté configurado en
Descripción:
Esta configuración de directiva especifica si la tarea "Solicitar impresiones en línea" está disponible en
Tareas de imágenes en carpetas de Windows.
El Asistente para pedidos de impresiones en línea se utiliza para descargar una lista de proveedores y permitir a los usuarios
pedir impresiones en línea.
Razón fundamental:
En un entorno gestionado por la empresa, queremos reducir el riesgo de un usuario sin saberlo
exponer datos sensibles.
Auditoría:

r: NoOnlinePrintsWizard
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactive el "Pedido
Imprime "tarea de imagen
624 | Página
Página 626
Impacto:
La tarea "Solicitar impresiones en línea" se elimina de Tareas de imágenes en las carpetas del Explorador de archivos.
Valor por defecto:
Discapacitado. (La tarea "Solicitar impresiones en línea" se muestra en Tareas de imágenes en el Explorador de archivos
carpetas.)
Referencias:
1. CCE-38275-4
Controles CIS:
Versión 6
Versión 7


625 | Página
Página 627
18.8.22.1.10 (L2) Asegúrese de que 'Desactive la tarea "Publicar en Web" para archivos y
carpetas 'está configurado en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si las tareas Publicar este archivo en la Web, Publicar esto
carpeta en la Web y Publicar los elementos seleccionados en la Web están disponibles en Archivo y
Tareas de carpeta en carpetas de Windows.
Razón fundamental:
Los usuarios pueden publicar información confidencial o sensible a un servicio público fuera del
control de la organización.
Auditoría:

r: NoPublishingWizard
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Apague el
Tarea "Publicar en la Web" para archivos y carpetas
Impacto:
La tarea "Publicar en la Web" se elimina de las tareas de Archivo y Carpeta en las carpetas de Windows.
626 | Página
Página 628
Valor por defecto:
Discapacitado. (La tarea "Publicar en la Web" se muestra en las tareas de Archivo y Carpeta en las carpetas de Windows).
Referencias:
1. CCE-37090-8
Controles CIS:
Versión 6
Versión 7


627 | Página
Página 629
18.8.22.1.11 (L2) Asegúrese de 'Desactivar el cliente de Windows Messenger

Programa de mejora de la experiencia 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si Windows Messenger puede recopilar información anónima
información sobre cómo se utiliza el software y el servicio Windows Messenger. Microsoft
utiliza la información recopilada a través del Programa de mejora de la experiencia del cliente para
detectar fallas de software para que puedan corregirse más rápidamente, al habilitar esta configuración
Reducir la cantidad de datos que Microsoft puede recopilar para este propósito.
Razón fundamental:
Es posible que los entornos administrados por grandes empresas no deseen que la información recopile
Microsoft desde equipos cliente administrados.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Messenger \ Cliente: CEIP
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Apague Windows
Programa de mejora de la experiencia del cliente de Messenger
628 | Página
Página 630
Impacto:
Windows Messenger no recopilará información de uso y la configuración del usuario para habilitar la
no se mostrará la recopilación de información de uso.
Valor por defecto:
Los usuarios tienen la opción de participar y permitir que se recopile información.
Referencias:
1. CCE-36628-6
Controles CIS:
Versión 6
Versión 7


629 | Página
Página 631
18.8.22.1.12 (L2) Asegúrese de 'Desactivar la experiencia del cliente de Windows

Programa de mejora 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si Windows Messenger puede recopilar información anónima
información sobre cómo se utiliza el software y el servicio Windows Messenger.
Microsoft usa la información recopilada a través de la experiencia del cliente de Windows

Programa de mejora para detectar fallas de software para que se puedan corregir más rápidamente,
Habilitar esta configuración reducirá la cantidad de datos que Microsoft puede recopilar para este
propósito. El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SQMClient \ Windows: CEIPEnable
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Apagar Windows
Programa de mejora de la experiencia del cliente
630 | Página
Página 632
Impacto:
Todos los usuarios se excluyen del Programa de mejora de la experiencia del cliente de Windows.
Valor por defecto:
El administrador puede utilizar el componente Informes de problemas y soluciones en el Panel de control

para habilitar el Programa de mejora de la experiencia del cliente de Windows para todos los usuarios.
Referencias:
1. CCE-36174-1
Controles CIS:
Versión 6
Versión 7


631 | Página
Página 633
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado en
Descripción:
Esta configuración de directiva controla si los errores se notifican a Microsoft o no.
El informe de errores se utiliza para informar información sobre un sistema o aplicación que ha fallado.
o ha dejado de responder y se utiliza para mejorar la calidad del producto.
Razón fundamental:
Si se produce un error de Windows en un entorno seguro gestionado por la empresa, el error debería
ser informado directamente al personal de TI para la resolución de problemas y reparación. No hay ningún beneficio para
la corporación para informar estos errores directamente a Microsoft, y existe cierto riesgo de
exponer, sin saberlo, datos confidenciales como parte del error.
Auditoría:
Error de HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Windows

Informes: deshabilitado
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ PCHealth \ ErrorReporting: DoRepo
rt
632 | Página
Página 634
Remediación:

Gestión de comunicación \ Configuración de comunicación de Internet \ Apagar Windows
Error al reportar
Impacto:
Los usuarios no tienen la opción de informar errores a Microsoft.
Valor por defecto:
Discapacitado. (Los errores se pueden informar a Microsoft a través de Internet o a un recurso compartido de archivos corporativo).
Referencias:
1. CCE-35964-6
Controles CIS:
Versión 6
Versión 7


633 | Página
Página 635
18.8.23 iSCSI
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo iSCSI.admx / adml que
18.8.24 KDC
Esta sección de Política de grupo la proporciona la plantilla de política de grupo KDC.admx / adml que es
incluidas con las plantillas administrativas de Microsoft Windows Server 2008 (no R2) (o
más nuevo).
634 | Página
Página 636
18.8.25 Kerberos
Esta sección contiene recomendaciones para la configuración de Kerberos.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Kerberos.admx / adml
18.8.25.1 (L2) Asegúrese de que 'Admitir autenticación de dispositivo mediante certificado' esté
establecido en 'Habilitado: Automático' (puntuado)
Descripción:
Esta configuración de política le permite configurar la compatibilidad con Kerberos para intentar la autenticación mediante
el certificado del dispositivo al dominio.
El soporte para la autenticación de dispositivos mediante certificado requerirá conectividad a un DC en el

dominio de la cuenta del dispositivo que admite la autenticación de certificado para cuentas de computadora
El estado recomendado para esta configuración es: Activado: Automático .
Razón fundamental:
Se recomienda encarecidamente tener una autenticación de dispositivo más sólida con el uso de certificados
sobre la autenticación estándar de nombre de usuario y contraseña. Tener esto configurado en Automático
Permita que se utilice la autenticación basada en certificados siempre que sea posible.
Auditoría:

kerberos \ parámetros: DevicePKInitBehavior
kerberos \ parámetros: DevicePKInitEnabled
635 | Página
Página 637
Remediación:
Automático :
Configuración del equipo \ Políticas \ Administrativo

Plantillas \ Sistema \ Kerberos \ Admite autenticación de dispositivo mediante certificado
plantilla Kerberos.admx / adml que se incluye con Microsoft Windows 10 RTM
Impacto:
Valor por defecto:
Automático. (Los dispositivos intentarán autenticarse utilizando su certificado. Si el DC no

Admite la autenticación de la cuenta de la computadora mediante certificados y luego la autenticación con
se intentará la contraseña.)
Controles CIS:
Versión 6
1.6 Uso de certificados de cliente para la autenticación del sistema

Utilice certificados de cliente para validar y autenticar sistemas antes de conectarse al
red privada.
Versión 7
1.6 Abordar activos no autorizados

Asegúrese de que los activos no autorizados se eliminen de la red, se pongan en cuarentena o
el inventario se actualiza de manera oportuna.
1.8 Utilizar certificados de cliente para autenticar activos de hardware

Utilice certificados de cliente para autenticar los activos de hardware que se conectan a los
red de confianza.
636 | Página
Página 638
18.8.26 Protección DMA del núcleo

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo DmaGuard.admx / adml
que se incluye con Microsoft Windows 10 Release 1809 y Server 2019
18.8.26.1 (L1) Asegurar 'Política de enumeración para dispositivos externos

incompatible con Kernel DMA Protection 'está configurado como' Habilitado: Bloquear todo '
(Puntuado)
Descripción:
Esta política está destinada a proporcionar seguridad adicional contra dispositivos externos compatibles con DMA.
dispositivos. Permite un mayor control sobre la enumeración de dispositivos externos compatibles con DMA
que no son compatibles con DMA Remapping / aislamiento de memoria de dispositivo y sandboxing.
El estado recomendado para esta configuración es: Habilitado: Bloquear todo .
Nota : esta política no se aplica a los dispositivos 1394, PCMCIA o ExpressCard. La proteccion
también solo se aplica a Windows 10 R1803 o superior, y también requiere un BIOS UEFI para
función.
Nota n. ° 2 : hay más información disponible sobre esta función en este enlace:Protección de Kernel DMA
para Thunderbolt ™ 3 (Windows 10) | Documentos de Microsoft.
Razón fundamental:
El espacio aislado de la memoria del dispositivo permite que el sistema operativo aproveche la unidad de administración de memoria de E / S
(IOMMU) de un dispositivo para bloquear E / S no permitidas, o acceso a memoria, por parte del periférico.
637 | Página
Página 639
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Kernel DMA

Protección: DeviceEnumerationPolicy
Remediación:
Bloquear todo :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Kernel DMA
Protección \ Política de enumeración para dispositivos externos incompatibles con Kernel
Protección DMA
plantilla DmaGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
Plantillas administrativas 1809 y Server 2019 (o más recientes).
Impacto:
Los dispositivos externos que no son compatibles con la reasignación DMA no se enumerarán y
no funcionará a menos que / hasta que el usuario haya iniciado sesión correctamente y tenga un usuario desbloqueado
sesión. Una vez enumerados, estos dispositivos seguirán funcionando, independientemente del estado de
La sesión. Se enumerarán los dispositivos que son compatibles con la reasignación DMA
inmediatamente, con la memoria de su dispositivo aislada.
Valor por defecto:
Windows Server 2019 y versiones posteriores: habilitado si UEFI BIOS está presente. Deshabilitado si usa heredado
BIOS.
Sistemas operativos más antiguos: no admitidos (es decir, deshabilitados).
Controles CIS:
Versión 7

638 | Página
Página 640
18.8.27 Servicios locales

Esta sección contiene recomendaciones para la configuración de los servicios locales.

Globalization.admx / adml que
18.8.27.1 (L2) Asegúrese de 'No permitir la copia de métodos de entrada de usuario al

cuenta del sistema para iniciar sesión 'está configurada como' Habilitada '(puntuada)
Descripción:
Esta política evita la copia automática de los métodos de entrada del usuario a la cuenta del sistema para su uso
en la pantalla de inicio de sesión. El usuario está restringido al conjunto de métodos de entrada que están habilitados en
la cuenta del sistema.
Razón fundamental:
Esta es una forma de aumentar la seguridad de la cuenta del sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Control

Panel \ International: BlockUserInputMethodsForSignIn
639 | Página
Página 641
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Configuración regional

Servicios \ No permitir la copia de los métodos de entrada del usuario a la cuenta del sistema para
registrarse
plantilla Globalization.admx / adml que se incluye con Microsoft Windows 8.0 y
Impacto:
Los usuarios tendrán los métodos de entrada habilitados para la cuenta del sistema en la página de inicio de sesión.
Valor por defecto:
Discapacitado. (Los usuarios podrán utilizar métodos de entrada habilitados para su cuenta de usuario en el
página de inicio de sesión.)
Referencias:
1. CCE-36343-2
Controles CIS:
Versión 6
Versión 7

640 | Página
Página 642
18.8.28 Inicio de sesión

Esta sección contiene recomendaciones relacionadas con el proceso de inicio de sesión y la pantalla de bloqueo.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Logon.admx / adml que
18.8.28.1 (L1) Asegúrese de 'Bloquear al usuario para que no muestre los detalles de la cuenta al iniciar sesión
in 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta política evita que el usuario muestre detalles de la cuenta (dirección de correo electrónico o nombre de usuario)
en la pantalla de inicio de sesión.
Razón fundamental:
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o
alguien que pueda conectarse al servidor a través de Servicios de escritorio remoto) podría
ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar
adivine la contraseña, use un diccionario o use un ataque de fuerza bruta para intentar iniciar sesión.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: BlockUserFromSh

owingAccountDetailsOnSignin
641 | Página
Página 643
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Bloque
que el usuario muestre los detalles de la cuenta al iniciar sesión
plantilla Logon.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Impacto:
El usuario no puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión.
Valor por defecto:
Discapacitado. (El usuario puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión).
Controles CIS:
Versión 6
Versión 7

642 | Página
Página 644
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado en
Descripción:
Esta configuración de política le permite controlar si alguien puede interactuar con los
UI de redes en la pantalla de inicio de sesión.
Razón fundamental:
Un usuario no autorizado podría desconectar la PC de la red o puede conectar la PC a

otras redes disponibles sin iniciar sesión en Windows.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: DontDisplayNetw

orkSelectionUI
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ No

mostrar la interfaz de usuario de selección de red
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.1 y Server 2012
Impacto:
El estado de conectividad de red de la PC no se puede cambiar sin iniciar sesión en Windows.
643 | Página
Página 645
Valor por defecto:
Discapacitado. (Cualquier usuario puede desconectar la PC de la red o puede conectar la PC a otra

redes disponibles sin iniciar sesión en Windows).
Referencias:
1. CCE-38353-9
Controles CIS:
Versión 6
5 Uso controlado de los privilegios de administración

Uso controlado de privilegios de administración
Versión 7

644 | Página
Página 646
18.8.28.3 (L1) Asegúrese de que 'No enumere los usuarios conectados en el dominio
equipos unidos 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de política evita que los usuarios conectados se enumeren en un dominio
ordenadores.
Razón fundamental:
Un usuario malintencionado podría utilizar esta función para recopilar los nombres de cuenta de otros usuarios, que
La información podría usarse junto con otros tipos de ataques, como adivinar
contraseñas o ingeniería social. El valor de esta contramedida es pequeño porque un usuario
con credenciales de dominio podría recopilar la misma información de cuenta utilizando otros métodos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: DontEnumerateCo

nnectedUsers
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ No

enumerar los usuarios conectados en equipos unidos a un dominio
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
645 | Página
Página 647
Impacto:
La IU de inicio de sesión no enumerará a ningún usuario conectado en equipos unidos a un dominio.
Valor por defecto:
Discapacitado. (Los usuarios conectados se enumerarán en equipos unidos a un dominio).
Referencias:
1. CCE-37838-0
Controles CIS:
Versión 6

Versión 7

646 | Página
Página 648
18.8.28.4 (L1) Asegúrese de 'Enumerar usuarios locales en dominios unidos

computadoras 'está configurado como' Desactivado '(solo MS) (puntuado)
Descripción:
Esta configuración de directiva permite enumerar a los usuarios locales en equipos unidos a un dominio.
Razón fundamental:
Un usuario malintencionado podría utilizar esta función para recopilar los nombres de cuenta de otros usuarios, que
La información podría usarse junto con otros tipos de ataques, como adivinar
contraseñas o ingeniería social. El valor de esta contramedida es pequeño porque un usuario
con credenciales de dominio podría recopilar la misma información de cuenta utilizando otros métodos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: EnumerateLocalU

sers
Remediación:

Plantillas \ Sistema \ Inicio de sesión \ Enumerar usuarios locales en equipos unidos a un dominio
Impacto:
647 | Página
Página 649
Valor por defecto:
Discapacitado. (La IU de inicio de sesión no enumerará a los usuarios locales en equipos unidos a un dominio).
Referencias:
1. CCE-35894-5
Controles CIS:
Versión 6

Versión 7

648 | Página
Página 650
18.8.28.5 (L1) Asegúrese de que esté configurado 'Desactivar notificaciones de aplicaciones en la pantalla de blo
Descripción:
Esta configuración de política le permite evitar que las notificaciones de la aplicación aparezcan en el candado
pantalla.
Razón fundamental:
Las notificaciones de la aplicación pueden mostrar datos comerciales o personales confidenciales.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Sistema: DisableLockScre

enAppNotifications
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Turn
desactivar las notificaciones de la aplicación en la pantalla de bloqueo
Impacto:
No se muestran notificaciones de aplicaciones en la pantalla de bloqueo.
649 | Página
Página 651
Valor por defecto:
Discapacitado. (Los usuarios pueden elegir qué aplicaciones muestran notificaciones en la pantalla de bloqueo).
Referencias:
1. CCE-35893-7
Controles CIS:
Versión 6
Versión 7

650 | Página
Página 652
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en
Descripción:
Esta configuración de política le permite controlar si un usuario de dominio puede iniciar sesión con una imagen
contraseña.
Nota: Si se permite la función de contraseña de imagen, la contraseña de dominio del usuario se almacena en caché
la bóveda del sistema cuando lo use.
Razón fundamental:
Las contraseñas de imagen omiten el requisito de una contraseña compleja escrita. En un trabajo compartido
entorno, un simple surf de hombro donde alguien observó los gestos en pantalla
permitiría a esa persona acceder al sistema sin necesidad de conocer el complejo
contraseña. Las pantallas de monitores verticales con una imagen son mucho más visibles a distancia que
pulsaciones de teclas horizontales, lo que aumenta la probabilidad de una observación exitosa del mouse
gestos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: BlockDomainPict

urePassword
651 | Página
Página 653
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Turn
inicio de sesión de contraseña sin imagen
plantilla CredentialProviders.admx / adml que se incluye con Microsoft Windows
8.0 & Server 2012 (no R2) Plantillas administrativas (o más recientes).
Impacto:
Los usuarios no podrán configurar o iniciar sesión con una contraseña de imagen.
Valor por defecto:
Discapacitado. (Los usuarios pueden configurar y utilizar una contraseña de imagen).
Referencias:
1. CCE-37830-7
Controles CIS:
Versión 6
Versión 7

652 | Página
Página 654
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado en
Descripción:
Esta configuración de política le permite controlar si un usuario de dominio puede iniciar sesión con un
PIN de conveniencia. En Windows 10, el PIN de conveniencia se reemplazó por Passport, que tiene
propiedades de seguridad más fuertes. Para configurar Passport para usuarios de dominio, use las políticas
en Configuración del equipo \ Plantillas administrativas \ Windows
Componentes \ Microsoft Passport for Work.
Nota: La contraseña de dominio del usuario se almacenará en caché en la bóveda del sistema cuando se utilice esta
característica.
Razón fundamental:
Un PIN se crea a partir de una selección de caracteres mucho más pequeña que una contraseña, por lo que en la mayoría
casos, un PIN será mucho menos robusto que una contraseña.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: AllowDomainPINL

ogon
653 | Página
Página 655
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Activar
inicio de sesión con PIN de conveniencia
plantilla CredentialProviders.admx / adml que se incluye con Microsoft Windows
8.0 & Server 2012 (no R2) Plantillas administrativas (o más recientes).
llamado Activar inicio de sesión con PIN , pero se le cambió el nombre a partir de Windows 10 Release 1511
Impacto:
Valor por defecto:
Discapacitado. (Un usuario de dominio no puede configurar y usar un PIN de conveniencia).
Referencias:
1. CCE-37528-7
Controles CIS:
Versión 6
Versión 7

654 | Página
Página 656
18.8.29 Opciones de mitigación


18.8.30 Inicio de sesión neto

Esta sección de Política de grupo la proporciona la plantilla de política de grupo Netlogon.admx / adml
655 | Página
Página 657
18.8.31 Políticas del sistema operativo

Esta sección contiene recomendaciones relacionadas con las políticas del sistema operativo.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OSPolicy.admx / adml
(o mas nuevo).
18.8.31.1 (L2) Asegúrese de que 'Permitir sincronización del portapapeles entre dispositivos' esté
Descripción:
Esta configuración de directiva determina si el contenido del Portapapeles se puede sincronizar entre
dispositivos.
Razón fundamental:
Debido a problemas de privacidad, los datos del portapapeles deben permanecer locales en el sistema y no sincronizados
en todos los dispositivos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Sistema: AllowCrossDevic

eClipboard
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ SO

Políticas \ Permitir la sincronización del Portapapeles entre dispositivos
656 | Página
Página 658
Impacto:
Si deshabilita esta configuración de directiva, el contenido del Portapapeles no se puede compartir con otros dispositivos.
Valor por defecto:
Habilitado.
Controles CIS:
Versión 7

13.5 Supervisar y detectar cualquier uso no autorizado de cifrado

Monitorear todo el tráfico que sale de la organización y detectar cualquier uso no autorizado de
cifrado.
657 | Página
Página 659
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado como 'Deshabilita
(Puntuado)
Descripción:
Esta configuración de directiva determina si las actividades de usuario publicadas se pueden cargar en el
nube.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System: UploadUserActiv

ities
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ SO

Políticas \ Permitir la carga de actividades del usuario
plantilla OSPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
658 | Página
Página 660
Impacto:
Las actividades de tipo Actividad del usuario no pueden cargarse en la nube. La línea de tiempo
La función no funcionará en todos los dispositivos.
Valor por defecto:
Habilitado. (Las actividades del tipo Actividad del usuario pueden cargarse en la nube).
Controles CIS:
Versión 7

13.5 Supervisar y detectar cualquier uso no autorizado de cifrado

Monitorear todo el tráfico que sale de la organización y detectar cualquier uso no autorizado de
cifrado.
18.8.32 Panel de control de rendimiento


PerfCenterCPL.admx / adml quesolo se incluye con Microsoft Windows Vista a través de
las plantillas administrativas de Windows 8.0 y Server 2012 (no R2).
18.8.33 Complejidad de PIN

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Passport.admx / adml
(o mas nuevo).
659 | Página
Página 661
18.8.34 Gestión de energía

Esta sección contiene recomendaciones para la configuración de administración de energía.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
18.8.34.1 Configuración de botones

18.8.34.2 Configuración de ahorro de energía

se incluye con Microsoft Windows 10 Release 1607 & Server 2016 Administrative
18.8.34.3 Configuración del disco duro

18.8.34.4 Configuración de notificaciones

660 | Página
Página 662
18.8.34.5 Configuración de regulación de potencia

se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1709 (o
más nuevo).
661 | Página
Página 663
18.8.34.6 Configuración de suspensión

Esta sección contiene recomendaciones relacionadas con el modo de suspensión de administración de energía.
18.8.34.6.1 (L2) Asegúrese de 'Permitir la conectividad de red durante la conexión

en espera (con batería) 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva le permite controlar el estado de conectividad de la red en espera en

sistemas modernos con capacidad de reserva.
Razón fundamental:
La desactivación de esta configuración garantiza que los atacantes no puedan acceder a la computadora durante
Red WLAN mientras se deja desatendida, con batería y en estado de suspensión.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Power \ PowerSettings \ f15576e8-

98b7-4186-b944-eafa664402d9: DCSettingIndex
662 | Página
Página 664
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Energía

Administración \ Configuración de suspensión \ Permitir la conectividad de red durante el modo de espera conectado
(en la batería)
plantilla Power.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Impacto:
No se garantiza la conectividad de red en modo de espera (con batería). Esta conectividad

Actualmente, la restricción solo se aplica a las redes WLAN, pero está sujeta a cambios.
(según Microsoft).
Valor por defecto:
Habilitado. (La conectividad de red se mantendrá en modo de espera mientras esté en batería).
Controles CIS:
Versión 6

Versión 7

663 | Página
Página 665

standby (enchufado) 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva le permite controlar el estado de conectividad de la red en espera en
sistemas modernos con capacidad de reserva.
Razón fundamental:
La desactivación de esta configuración garantiza que los atacantes no puedan acceder a la computadora durante
Red WLAN mientras se deja desatendida, enchufada y en estado de suspensión.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Power \ PowerSettings \ f15576e8-

98b7-4186-b944-eafa664402d9: ACSettingIndex
Remediación:

Administración \ Configuración de suspensión \ Permitir la conectividad de red durante el modo de espera conectado
(conectado)
plantilla Power.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
664 | Página
Página 666
Impacto:
No se garantiza la conectividad de red en modo de espera (mientras está conectado). Esta conectividad
Actualmente, la restricción solo se aplica a las redes WLAN, pero está sujeta a cambios.
(según Microsoft).
Valor por defecto:
Habilitado. (La conectividad de red se mantendrá en modo de espera mientras esté enchufada).
Controles CIS:
Versión 6

Versión 7

665 | Página
Página 667
18.8.34.6.3 (L1) Asegúrese de 'Requerir una contraseña cuando se active una computadora
(con batería) 'está configurado como' Habilitado '(puntuado)
Descripción:
Especifica si se solicita una contraseña al usuario cuando se reanuda el sistema

del sueño.
Razón fundamental:
Habilitar esta configuración asegura que cualquier persona que despierte una computadora desatendida desde la suspensión
El estado tendrá que proporcionar credenciales de inicio de sesión antes de que puedan acceder al sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Power \ PowerSettings \ 0e796bdb-

100d-47d6-a2d5-f7d2daa51f51: DCSettingIndex
Remediación:

Administración \ Configuración de suspensión \ Requerir una contraseña cuando se activa una computadora (en
batería)
plantilla Power.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
666 | Página
Página 668
Valor por defecto:
Habilitado. (Al usuario se le solicita una contraseña cuando el sistema sale de la suspensión mientras
en la batería.)
Referencias:
1. CCE-36881-1
Controles CIS:
Versión 6
Versión 7

667 | Página
Página 669
18.8.34.6.4 (L1) Asegúrese de 'Requerir una contraseña cuando se active una computadora
(enchufado) 'está configurado como' Habilitado '(puntuado)
Descripción:
Especifica si se solicita una contraseña al usuario cuando se reanuda el sistema

del sueño.
Razón fundamental:
Habilitar esta configuración asegura que cualquier persona que despierte una computadora desatendida desde la suspensión
El estado tendrá que proporcionar credenciales de inicio de sesión antes de que puedan acceder al sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Power \ PowerSettings \ 0e796bdb-

100d-47d6-a2d5-f7d2daa51f51: ACSettingIndex
Remediación:

Administración \ Configuración de suspensión \ Requerir una contraseña cuando una computadora se activa (enchufada
en)
plantilla Power.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
668 | Página
Página 670
Valor por defecto:
Habilitado. (Al usuario se le solicita una contraseña cuando el sistema sale de la suspensión mientras
conectado.)
Referencias:
1. CCE-37066-8
Controles CIS:
Versión 6
Versión 7

18.8.35 Recuperación
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo ReAgent.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
669 | Página
Página 671
18.8.36 Asistencia remota

Esta sección contiene recomendaciones relacionadas con la Asistencia remota.

RemoteAssistance.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado en
Descripción:
Esta configuración de directiva le permite activar o desactivar la asistencia remota (no solicitada) de la oferta
en esta computadora.
La mesa de ayuda y el personal de soporte no podrán ofrecer asistencia de manera proactiva, aunque
aún pueden responder a las solicitudes de asistencia al usuario.
Razón fundamental:
Un usuario puede ser engañado y aceptar una oferta de asistencia remota no solicitada de un
usuario.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows NT \ Terminal

Servicios: fAllowUnsolicited
670 | Página
Página 672
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Remoto

Asistencia \ Configurar oferta de asistencia remota
plantilla RemoteAssistance.admx / adml que se incluye con Microsoft Windows 8.0 y
Impacto:
Valor por defecto:
Discapacitado. (Los usuarios de esta computadora no pueden obtener ayuda de su soporte técnico corporativo
personal que utiliza la oferta de asistencia remota (no solicitada)).
Referencias:
1. CCE-36388-7
Controles CIS:
Versión 6

en cada sistema.
Versión 7
671 | Página
Página 673
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté establecido en
Descripción:
Esta configuración de directiva le permite activar o desactivar la Asistencia remota solicitada (Solicitar)
en esta computadora.
Razón fundamental:
Existe un ligero riesgo de que un administrador deshonesto obtenga acceso al escritorio de otro usuario.
sesión, sin embargo, no pueden conectarse a la computadora de un usuario sin previo aviso o controlarla
sin permiso del usuario. Cuando un experto intenta conectarse, el usuario aún puede
elija denegar la conexión o otorgar privilegios de solo lectura al experto. El usuario debe
haga clic explícitamente en el botón Sí para permitir que el experto controle de forma remota la estación de trabajo.
Auditoría:

Servicios: fAllowToGetHelp
Remediación:

Asistencia \ Configurar asistencia remota solicitada
plantilla RemoteAssistance.admx / adml que se incluye con Microsoft Windows 8.0 y
672 | Página
Página 674
Impacto:
Los usuarios de esta computadora no pueden usar el correo electrónico o la transferencia de archivos para pedir ayuda a alguien. También,
los usuarios no pueden utilizar programas de mensajería instantánea para permitir conexiones a esta computadora.
Valor por defecto:
Los usuarios pueden activar o desactivar la asistencia remota solicitada (solicitar) ellos mismos en el sistema
Propiedades en el Panel de control. Los usuarios también pueden configurar los ajustes de Asistencia remota.
Referencias:
1. CCE-37281-3
Controles CIS:
Versión 6

Versión 7

673 | Página
Página 675
18.8.37 Llamada a procedimiento remoto

Esta sección contiene recomendaciones relacionadas con la llamada a procedimiento remoto.
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo RPC.admx / adml que es
18.8.37.1 (L1) Asegúrese de 'Habilitar el cliente RPC Endpoint Mapper

Autenticación 'está configurada como' Habilitada '(solo MS) (puntuada)
Descripción:
Esta configuración de política controla si los clientes RPC se autentican con Endpoint Mapper
Servicio cuando la llamada que están realizando contiene información de autenticación. El punto final
Mapper Service en equipos que ejecutan Windows NT4 (todos los paquetes de servicio) no puede procesar
información de autenticación proporcionada de esta manera. Esta configuración de directiva puede provocar una
problema con las confianzas de bosque unidireccionales si se aplica a los controladores de dominio de dominio que confían (consulte Microsoft
KB3073942 ) , por lo que no recomendamos aplicarlo a los controladores de dominio.
Nota: esta política no estará en vigor hasta que se reinicie el sistema.
Razón fundamental:
El acceso anónimo a los servicios de RPC podría resultar en la divulgación accidental de información a
usuarios no autenticados.
Auditoría:

NT \ Rpc: EnableAuthEpResolution
674 | Página
Página 676
Remediación:

Procedimiento Llamar \ Habilitar la autenticación del cliente del asignador de extremos de RPC
plantilla RPC.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
Los clientes RPC se autenticarán en Endpoint Mapper Service para llamadas que contengan
información de autenticación. Los clientes que realicen tales llamadas no podrán comunicarse con
el servicio de mapeador de extremos de Windows NT4 Server.
Valor por defecto:
Discapacitado. (Los clientes RPC no se autenticarán en Endpoint Mapper Service, pero lo harán
poder comunicarse con el servicio de mapeador de extremos de Windows NT4 Server.)
Referencias:
1. CCE-37346-4
Controles CIS:
Versión 6

en cada sistema.
Versión 7
675 | Página
Página 677
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado en
'Habilitado: autenticado' (solo MS) (puntuado)
Descripción:
Esta configuración de directiva controla cómo el tiempo de ejecución del servidor RPC maneja RPC no autenticado
clientes que se conectan a servidores RPC.
Esta configuración de directiva afecta a todas las aplicaciones RPC. En un entorno de dominio, esta política
La configuración debe usarse con precaución, ya que puede afectar una amplia gama de funciones, incluidas
procesamiento de políticas de grupo en sí. Revertir un cambio en esta configuración de política puede requerir una
intervención en cada máquina afectada. Esta configuración de directiva nunca debe aplicarse a un
Controlador de dominio.
Un cliente se considerará un cliente autenticado si utiliza una canalización con nombre para comunicarse
con el servidor o si usa RPC Security. Interfaces RPC que han solicitado específicamente
ser accesible para clientes no autenticados puede estar exento de esta restricción, dependiendo de
el valor seleccionado para esta configuración de directiva.
- " Ninguno " permite que todos los clientes RPC se conecten a los servidores RPC que se ejecutan en la máquina en la que
se aplica la configuración de política.
- " Autenticado " permite que solo los Clientes RPC autenticados (según la definición anterior)
conectarse a los servidores RPC que se ejecutan en la máquina en la que se aplica la configuración de política.
Se otorgan exenciones a las interfaces que las han solicitado.
- " Autenticado sin excepciones " permite solo Clientes RPC autenticados (según el
definición anterior) para conectarse a los servidores RPC que se ejecutan en la máquina en la que la política
se aplica el ajuste. No se permiten excepciones. Este valor tiene el potencial de causar
problemas graves y no se recomienda.
Nota: esta configuración de política no se aplicará hasta que se reinicie el sistema.
El estado recomendado para esta configuración es: Habilitado: autenticado .
Razón fundamental:
La comunicación RPC no autenticada puede crear una vulnerabilidad de seguridad.
676 | Página
Página 678
Auditoría:

NT \ Rpc: RestrictRemoteClients
Remediación:
Autenticado :

Llamada a procedimiento \ Restringir clientes RPC no autenticados
plantilla RPC.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
Solo los Clientes RPC autenticados podrán conectarse a los servidores RPC que se ejecutan en el
máquina en la que se aplica la configuración de directiva. Se otorgan exenciones a las interfaces que
los he solicitado.
Valor por defecto:
Habilitado: Ninguno. (Todos los clientes RPC pueden conectarse a servidores RPC que se ejecutan en
máquina.)
Referencias:
1. CCE-36559-3
677 | Página
Página 679
Controles CIS:
Versión 6

en cada sistema.
Versión 7
18.8.38 Acceso a almacenamiento extraíble


RemovableStorage.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.8.39 Scripts
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Scripts.admx / adml
18.8.40 Administrador del servidor


ServerManager.admx / adml que se incluye con todas las versiones de Microsoft Windows
678 | Página
Página 680
18.8.41 Configuración del administrador de control de servicios

ServiceControlManager.admx / adml que
se incluye con Microsoft Windows 10
18.8.42 Apagado
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinInit.admx / adml
18.8.43 Opciones de apagado

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Winsrv.admx / adml que
18.8.44 Estado de almacenamiento


StorageHealth.admx / adml que
se incluye con Microsoft Windows 10 Release 1709
679 | Página
Página 681
18.8.45 Sentido de almacenamiento


StorageSense.admx / adml quese incluye con Microsoft Windows 10 Release 1903
18.8.46 Restaurar sistema

SystemRestore.admx / adml que se incluye con todas las versiones de Microsoft Windows
680 | Página
Página 682
18.8.47 Diagnóstico y resolución de problemas

Esta sección contiene recomendaciones relacionadas con la resolución de problemas y el diagnóstico.
18.8.47.1 Diagnóstico de compatibilidad de aplicaciones

Esta sección de Política de grupo la proporciona la plantilla de política de grupo pca.admx / adml que es
18.8.47.2 Recuperación de archivos dañados


FileRecovery.admx / adml que
18.8.47.3 Diagnóstico de disco

DiskDiagnostic.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.8.47.4 Montón tolerante a fallas

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo fthsvc.admx / adml que
más nuevo).
681 | Página
Página 683
18.8.47.5 Herramienta de diagnóstico de soporte de Microsoft

Esta sección contiene recomendaciones relacionadas con la herramienta de diagnóstico de soporte de Microsoft.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo MSDT.admx / adml que es
18.8.47.5.1 (L2) Asegúrese de que 'Herramienta de diagnóstico de soporte de Microsoft: encienda

La comunicación interactiva de MSDT con el proveedor de soporte 'está configurada para
Descripción:
Esta configuración de directiva configura la herramienta de diagnóstico de soporte de Microsoft (MSDT)

comunicación con el proveedor de soporte. MSDT recopila datos de diagnóstico para su análisis por
profesionales de apoyo.
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ ScriptedDiagnosticsPro

vider \ Policy: DisableQueryRemoteServer
682 | Página
Página 684
Remediación:

Plantillas \ Sistema \ Diagnóstico y resolución de problemas \ Diagnóstico de soporte de Microsoft
Herramienta \ Herramienta de diagnóstico de soporte de Microsoft: active MSDT interactivo
comunicación con el proveedor de soporte
plantilla MSDT.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
MSDT no se puede ejecutar en modo de soporte y no se pueden recopilar ni enviar datos al soporte
proveedor.
Valor por defecto:
Habilitado. (Los usuarios pueden usar MSDT para recopilar y enviar datos de diagnóstico a un profesional de soporte
para resolver un problema. De forma predeterminada, el proveedor de soporte está configurado en Microsoft Corporation).
Referencias:
1. CCE-38161-6
Controles CIS:
Versión 6
Versión 7

683 | Página
Página 685
18.8.47.6 Recuperación de archivos dañados MSI

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Msi-
FileRecovery.admx / adml que
se incluye con Microsoft Windows 7 y Server 2008 R2
18.8.47.7 Mantenimiento programado

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo sdiagschd.admx / adml
(o mas nuevo).
18.8.47.8 Diagnósticos con script

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo sdiageng.admx / adml
(o mas nuevo).
18.8.47.9 Diagnóstico de rendimiento de arranque de Windows


PerformanceDiagnostics.admx / adml que
684 | Página
Página 686
18.8.47.10 Diagnóstico de pérdida de memoria de Windows


LeakDiagnostic.admx / adml que se incluye con todas las versiones de Microsoft Windows
685 | Página
Página 687
18.8.47.11 PerfTrack de rendimiento de Windows

Esta sección contiene recomendaciones relacionadas con Windows Performance PerfTrack.

PerformancePerftrack.admx / adml que
18.8.47.11.1 (L2) Asegúrese de que 'Habilitar / Deshabilitar PerfTrack' esté configurado en 'Deshabilitado'
(Puntuado)
Descripción:
Esta configuración de directiva especifica si habilitar o deshabilitar el seguimiento de eventos de capacidad de respuesta.
Razón fundamental:
Cuando está habilitado, los datos agregados de un evento determinado se transmitirán a Microsoft. los
Existe una opción para restringir esta función para un usuario específico, establecer el nivel de consentimiento y designar
programas específicos para los que se pueden enviar informes de errores. Sin embargo, restringir centralmente
capacidad de ejecutar PerfTrack para limitar la posibilidad de uso no autorizado o no deseado, datos
fugas o comunicaciones no intencionales se recomienda encarecidamente.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WDI \ {9c5a40da-b965-

4fc3-8781-88dd50a6299d}: ScenarioExecutionEnabled
686 | Página
Página 688
Remediación:

Plantillas \ Sistema \ Solución de problemas y diagnóstico \ Rendimiento de Windows
PerfTrack \ Activar / desactivar PerfTrack
plantilla PerformancePerftrack.admx / adml que se incluye con Microsoft Windows 7
& Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Los eventos de capacidad de respuesta no se procesan.
Valor por defecto:
Habilitado. (Los eventos de capacidad de respuesta se procesan y agregan. Los datos agregados
transmitirse a Microsoft a través de SQM).
Referencias:
1. CCE-36648-4
Controles CIS:
Versión 6
Versión 7

687 | Página
Página 689
18.8.48 Servicios del módulo de plataforma segura

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo TPM.admx / adml que es
688 | Página
Página 690
18.8.49 Perfiles de usuario

Esta sección contiene recomendaciones relacionadas con los perfiles de usuario.

UserProfiles.admx / adml que
18.8.49.1 (L2) Asegúrese de que 'Desactivar el ID de publicidad' esté configurado en 'Habilitado'

(Puntuado)
Descripción:
Esta configuración de política desactiva el ID de publicidad, lo que evita que las aplicaciones utilicen el ID para
experiencias en todas las aplicaciones.
Razón fundamental:
El seguimiento de la actividad del usuario con fines publicitarios, incluso de forma anónima, puede ser una cuestión de privacidad.
preocupación. En un entorno administrado por una empresa, las aplicaciones no deberían necesitar ni requerir
seguimiento para publicidad dirigida.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ AdvertisingInfo: Desactivar

edByGroupPolicy
689 | Página
Página 691
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Usuario

Perfiles \ Desactivar el ID de publicidad
plantilla UserProfiles.admx / adml que se incluye con Microsoft Windows 8.1 y
Impacto:
El ID de publicidad está desactivado. Las aplicaciones no pueden usar el ID para experiencias entre aplicaciones.
Valor por defecto:
Discapacitado. (Los usuarios pueden controlar si las aplicaciones pueden usar el ID de publicidad para experiencias
entre aplicaciones.)
Referencias:
1. CCE-36931-4
Controles CIS:
Versión 6
Versión 7

690 | Página
Página 692
18.8.50 Protección de archivos de Windows


WindowsFileProtection.admx / adml que
18.8.51 Inicio en caliente de Windows

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo HotStart.admx / adml
que solo se incluye con Microsoft Windows Vista a través de Windows 8.0 y Server
2012 (no R2) Plantillas administrativas.
691 | Página
Página 693
18.8.52 Servicio de hora de Windows

Esta sección contiene recomendaciones relacionadas con el servicio de hora de Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo W32Time.admx / adml
18.8.52.1 Proveedores de tiempo

Esta sección contiene recomendaciones relacionadas con los proveedores de tiempo.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo W32Time.admx / adml
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado en 'Habilitado'
(Puntuado)
Descripción:
Esta configuración de directiva especifica si el cliente NTP de Windows está habilitado. Habilitando el
El cliente NTP de Windows permite que su computadora sincronice el reloj de su computadora con otros
Servidores NTP. Es posible que desee deshabilitar este servicio si decide utilizar un tiempo de terceros
proveedor.
Razón fundamental:
Una cuenta del tiempo confiable y precisa es importante para una serie de servicios y seguridad.
requisitos, que incluyen, entre otros, aplicaciones distribuidas, servicios de autenticación,
Bases de datos multiusuario y servicios de registro. El uso de un cliente NTP (con operación segura)
establece la precisión funcional y es un punto focal al revisar la seguridad relevante

eventos
692 | Página
Página 694
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ W32Time \ TimeProviders \ NtpClien

t: habilitado
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Hora de Windows

Servicio \ Proveedores de tiempo \ Habilitar cliente NTP de Windows
Nota: esta ruta de política de grupo la proporciona la plantilla de política de grupo W32Time.admx / adml
Impacto:
Puede configurar el reloj de la computadora local para sincronizar la hora con los servidores NTP.
Valor por defecto:
Discapacitado. (El reloj de la computadora local no sincroniza la hora con los servidores NTP).
Referencias:
1. CCE-37843-0
Controles CIS:
Versión 6
6.1 Utilice al menos dos fuentes de tiempo sincronizadas para todos los servidores y la red
Equipo
Incluya al menos dos fuentes de tiempo sincronizadas desde las cuales todos los servidores y la red
El equipo recupera información de tiempo de forma regular para que las marcas de tiempo en los registros sean
consistente.
Versión 7
6.1 Utilice tres fuentes de tiempo sincronizadas

Utilice al menos tres fuentes de tiempo sincronizadas desde las que todos los servidores y dispositivos de red
recuperar información de tiempo de forma regular para que las marcas de tiempo en los registros sean coherentes.
693 | Página
Página 695
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado como 'Deshabilitado'
Descripción:
Esta configuración de política le permite especificar si el servidor NTP de Windows está habilitado.
Nota: En la mayoría de los entornos empresariales administrado, se debe no desactivar la NTP de Windows
Servidor en controladores de dominio, ya que es muy importante para el funcionamiento de NT5DS (dominio
basado en jerarquía) sincronización de tiempo.
Razón fundamental:
La configuración de una sincronización horaria adecuada es de vital importancia en una empresa.

entorno gestionado debido a la sensibilidad de las marcas de tiempo de autenticación Kerberos
y también para garantizar un registro de seguridad preciso.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ W32Time \ TimeProviders \ NtpServe

r: habilitado
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Hora de Windows

Servicio \ Proveedores de tiempo \ Habilitar servidor NTP de Windows
Nota: esta ruta de política de grupo la proporciona la plantilla de política de grupo W32Time.admx / adml
694 | Página
Página 696
Impacto:
Valor por defecto:
Discapacitado. (La computadora no puede atender las solicitudes NTP de otras computadoras).
Referencias:
1. CCE-37319-1
Controles CIS:
Versión 6

en cada sistema.
Versión 7
695 | Página
Página 697
18.9 Componentes de Windows

Esta sección contiene recomendaciones para la configuración de componentes de Windows.
18.9.1 Servicios de federación de Active Directory

Esta sección de Política de grupo es proporcionada por la plantilla de política de grupo adfs.admx / adml que es
solo se incluye con Microsoft Windows Vista a través de Windows 8.0 y Server 2012
(no R2) Plantillas administrativas.
18.9.2 Servicio de instalación de ActiveX

ActiveXInstallService.admx / adml que
18.9.3 Agregar funciones a Windows 8 / 8.1 / 10 (anteriormente

Actualización de Windows cuando quieras)

WindowsAnytimeUpgrade.admx / adml que se incluye con Microsoft Windows 7 y
Nota: Esta sección inicialmente se llamó Windows Anytime Upgrade, pero fue renombrada por
Microsoft agregará funciones a Windows x a partir de Microsoft Windows 8.0 y Server
696 | Página
Página 698
18.9.4 Implementación de paquetes de aplicaciones

Esta sección contiene recomendaciones para la configuración de implementación de paquetes de aplicaciones.

AppxPackageManager.admx / adml que
18.9.4.1 (L2) Asegúrese de 'Permitir que una aplicación de Windows comparta datos de aplicaciones
entre usuarios 'está configurado como' Desactivado '(puntuado)
Descripción:
Administra la capacidad de una aplicación de Windows para compartir datos entre usuarios que han instalado la aplicación.
Los datos se comparten a través de la carpeta SharedLocal . Esta carpeta está disponible a través del
API de Windows.Storage .
Razón fundamental:
Los usuarios de un sistema podrían compartir accidentalmente datos confidenciales con otros usuarios en el mismo
sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ CurrentVersion \ AppMode

l \ StateManager: AllowSharedLocalAppData
697 | Página
Página 699
Remediación:
Configuración del equipo \ Políticas \ Plantillas administrativas \ Windows

Componentes \ Implementación del paquete de aplicaciones \ Permitir que una aplicación de Windows comparta la aplicación
datos entre usuarios
plantilla AppxPackageManager.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas RTM (versión 1507) (o más reciente).
Impacto:
Valor por defecto:
Discapacitado. (Las aplicaciones de Windows no podrán compartir datos de aplicaciones con otras instancias de esa aplicación).
Controles CIS:
Versión 6

Versión 7

698 | Página
Página 700
18.9.5 Privacidad de la aplicación

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo AppPrivacy.admx / adml
(o mas nuevo).
699 | Página
Página 701
18.9.6 Tiempo de ejecución de la aplicación

Esta sección contiene recomendaciones para la configuración del tiempo de ejecución de la aplicación.
AppXRuntime.admx
(no adml que se incluye
R2) Plantillas/ administrativas conreciente).
(o más Microsoft Windows 8.0 y Server 2012
18.9.6.1 (L1) Asegúrese de que 'Permitir que las cuentas de Microsoft sean opcionales' esté configurado en
Descripción:
Esta configuración de directiva le permite controlar si las cuentas de Microsoft son opcionales para Windows
Aplicaciones de la tienda que requieren una cuenta para iniciar sesión. Esta política solo afecta a las aplicaciones de la Tienda Windows
que lo apoyan.
Razón fundamental:
Habilitar esta configuración permite que una organización use sus cuentas de usuario empresariales en lugar de
usando sus cuentas de Microsoft al acceder a las aplicaciones de la tienda de Windows. Esto proporciona el
organización con mayor control sobre las credenciales relevantes. Las cuentas de Microsoft no pueden
administrado centralmente y, como tal, las políticas de seguridad de credenciales empresariales no se pueden aplicar a
ellos, lo que podría poner en riesgo cualquier información a la que se acceda mediante el uso de cuentas de Microsoft.
Auditoría:

MSA Opcional
700 | Página
Página 702
Remediación:

Componentes \ Tiempo de ejecución de la aplicación \ Permitir que las cuentas de Microsoft sean opcionales
plantilla AppXRuntime.admx / adml que se incluye con Microsoft Windows 8.1 y
Impacto:
Las aplicaciones de la Tienda Windows que normalmente requieren una cuenta de Microsoft para iniciar sesión permitirán a los usuarios
en su lugar, inicie sesión con una cuenta empresarial.
Valor por defecto:
Discapacitado. (Los usuarios deberán iniciar sesión con una cuenta de Microsoft).
Referencias:
1. CCE-38354-7
Controles CIS:
Versión 6

Versión 7

701 | Página
Página 703
18.9.7 Compatibilidad de aplicaciones

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo AppCompat.admx / adml
702 | Página
Página 704
18.9.8 Políticas de reproducción automática

Esta sección contiene recomendaciones para las políticas de reproducción automática.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo AutoPlay.admx / adml
18.9.8.1 (L1) Asegúrese de que 'No permitir reproducción automática para dispositivos sin volumen' esté configur
Descripción:
Esta configuración de política no permite la reproducción automática para dispositivos MTP como cámaras o teléfonos.
Razón fundamental:
Un atacante podría usar esta función para iniciar un programa que dañe un equipo cliente o datos
en la computadora.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Explorer: NoAutoplayfor

nonVolume
Remediación:

Componentes \ Políticas de reproducción automática \ No permitir la reproducción automática para dispositivos sin volumen
plantilla AutoPlay.admx / adml que se incluye con Microsoft Windows 8.0 & Server
703 | Página
Página 705
Impacto:
No se permitirá la reproducción automática para dispositivos MTP como cámaras o teléfonos.
Valor por defecto:
Discapacitado. (La reproducción automática está habilitada para dispositivos sin volumen).
Referencias:
1. CCE-37636-8
Controles CIS:
Versión 6

insertado.
Versión 7


704 | Página
Página 706
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en
'Habilitado: no ejecutar ningún comando de ejecución automática' (puntuado)
Descripción:
Esta configuración de política establece el comportamiento predeterminado de los comandos de ejecución automática. Comandos de ejecución automática
generalmente se almacenan en archivos autorun.inf . A menudo inician el programa de instalación o
otras rutinas.
El estado recomendado para esta configuración es: Habilitado: no ejecuta ninguna ejecución automática.
comandos .
Razón fundamental:
Antes de Windows Vista, cuando se inserta un medio que contiene un comando de ejecución automática,
El sistema ejecutará automáticamente el programa sin la intervención del usuario. Esto crea una
preocupación de seguridad importante ya que el código puede ejecutarse sin el conocimiento del usuario. El valor por defecto
El comportamiento a partir de Windows Vista es preguntar al usuario si el comando de ejecución automática está
para ejecutarse. El comando de ejecución automática se representa como un controlador en el cuadro de diálogo Reproducción automática.
Auditoría:

r: NoAutorun
705 | Página
Página 707
Remediación:
No ejecute ningún comando de ejecución automática :

Componentes \ Políticas de reproducción automática \ Establecer el comportamiento predeterminado para la ejecución automática
plantilla AutoPlay.admx / adml que se incluye con Microsoft Windows 8.0 & Server
Impacto:
Los comandos de ejecución automática se desactivarán por completo.
Valor por defecto:

Discapacitado. (Windows le preguntará al usuario si se debe ejecutar el comando de ejecución automática).
Referencias:
1. CCE-38217-6
Controles CIS:
Versión 6

insertado.
Versión 7


706 | Página
Página 708
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las u
(Puntuado)
Descripción:
La reproducción automática comienza a leer desde una unidad tan pronto como inserta el medio en la unidad, lo que causa
el archivo de instalación para que los programas o medios de audio se inicien inmediatamente. Un atacante podría usar esto
característica para iniciar un programa que dañe la computadora o los datos en la computadora. La reproducción automática es
deshabilitado de forma predeterminada en algunos tipos de unidades extraíbles, como disquetes y unidades de red,
pero no en unidades de CD-ROM.
Nota: No puede usar esta configuración de política para habilitar la reproducción automática en las unidades de computadora en las que
está deshabilitado de forma predeterminada, como disquete y unidades de red.
El estado recomendado para esta configuración es: Activado: todas las unidades .
Razón fundamental:
Un atacante podría usar esta función para iniciar un programa que dañe un equipo cliente o datos
en la computadora.
Auditoría:

r: NoDriveTypeAutoRun
707 | Página
Página 709
Remediación:
Todas las unidades :

Componentes \ Políticas de reproducción automática \ Desactivar reproducción automática

AutoPlay.admx / adml que
Impacto:
La reproducción automática se desactivará: los usuarios deberán iniciar manualmente la configuración o la instalación
programas que se proporcionan en medios extraíbles.
Valor por defecto:
Discapacitado. (La reproducción automática está habilitada).
Referencias:
1. CCE-36875-3
708 | Página
Página 710
Controles CIS:
Versión 6

insertado.
Versión 7


18.9.9 Copia de seguridad


UserDataBackup.admx / adml que solo se incluye con Microsoft Windows Vista
a través de las plantillas administrativas de Windows 10 Release 1511 (excepto para Microsoft
Plantillas administrativas de Windows 8.1 y Server 2012 R2).
709 | Página
Página 711
18.9.10 Biometría
Esta sección contiene recomendaciones relacionadas con la biometría.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Biometrics.admx / adml
(o mas nuevo).
18.9.10.1 Características faciales

Esta sección contiene recomendaciones relacionadas con la biometría de características faciales.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Biometrics.admx / adml
(o mas nuevo).
18.9.10.1.1 (L1) Asegúrese de que 'Configurar anti-spoofing mejorado' esté establecido en

Descripción:
Esta configuración de directiva determina si la protección contra la suplantación de identidad mejorada está configurada para dispositivos
que lo apoyan.
Razón fundamental:
Los entornos gestionados por empresas ahora admiten una gama más amplia de dispositivos móviles,
aumentar la seguridad en estos dispositivos ayudará a proteger contra el acceso no autorizado en
Tu red.
710 | Página
Página 712
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Biometrics \ FacialFeatures: Enha

ncedAntiSpoofing
Remediación:

Componentes \ Biometría \ Funciones faciales \ Configurar anti-spoofing mejorado
plantilla Biometrics.admx / adml que se incluye con la versión de Microsoft Windows 10
Nota n. ° 2: en Windows 10 Release 1511 y Windows 10 Release 1607 y Server 2016
Plantillas administrativas, esta configuración se denominó inicialmente Usar anti-spoofing mejorado cuando
disponible . Se le cambió el nombre a Configurar anti-spoofing mejorado comenzando con Windows
10 Plantillas administrativas de la versión 1703.
Impacto:
Windows requerirá que todos los usuarios del dispositivo usen anti-spoofing para rasgos faciales, en
dispositivos que lo soportan.
Valor por defecto:
Los usuarios pueden elegir si usar o no anti-spoofing mejorado en

dispositivos.
Controles CIS:
Versión 6

Versión 7

711 | Página
Página 713
18.9.11 Cifrado de unidad BitLocker


VolumeEncryption.admx / adml que se incluye con todas las versiones de Microsoft Windows
712 | Página
Página 714
18.9.12 Cámara
Esta sección contiene recomendaciones relacionadas con la cámara.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Camera.admx / adml que
18.9.12.1 (L2) Asegúrese de que 'Permitir el uso de la cámara' esté configurado como 'Deshabilitado' (puntuado)
Descripción:
Esta configuración de política controla si el uso de dispositivos de cámara en la máquina es

permitido.
Razón fundamental:
Las cámaras en un entorno de alta seguridad pueden presentar graves riesgos de exfiltración de datos y privacidad
- Deben desactivarse para ayudar a mitigar ese riesgo.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Camera: AllowCamera
Remediación:
Componentes \ Cámara \ Permitir el uso de la cámara
plantilla Camera.admx / adml que se incluye con Microsoft Windows 10 Release 1607
& Plantillas administrativas de Server 2016 (o más reciente).
713 | Página
Página 715
Impacto:
Los usuarios no podrán utilizar la cámara en un sistema.
Valor por defecto:
Habilitado. (Los dispositivos de cámara están habilitados).
Controles CIS:
Versión 6
Versión 7

714 | Página
Página 716
18.9.13 Contenido en la nube

Esta sección contiene recomendaciones relacionadas con el contenido de la nube.

CloudContent.admx / adml quese incluye con Microsoft Windows 10 Release 1511
18.9.13.1 (L1) Asegúrese de que 'Desactivar las experiencias del consumidor de Microsoft' esté configurado en
Descripción:
Esta configuración de política desactiva las experiencias que ayudan a los consumidores a aprovechar al máximo sus
dispositivos y cuenta de Microsoft.
Nota: según Microsoft TechNet, esta configuración de política solo se aplica a Windows 10 Enterprise y
Ediciones de Windows 10 Education.
Razón fundamental:
Tener aplicaciones instaladas silenciosamente en un entorno administrado por la empresa no es una buena seguridad
práctica, especialmente si las aplicaciones envían datos a un tercero.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ CloudContent: DisableWi

ndowsConsumerFeatures
715 | Página
Página 717
Remediación:

Componentes \ Contenido en la nube \ Desactivar las experiencias del consumidor de Microsoft
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
Impacto:
Los usuarios ya no verán recomendaciones ni notificaciones personalizadas de Microsoft.
sobre su cuenta de Microsoft.
Valor por defecto:
Discapacitado. (Los usuarios pueden ver sugerencias de Microsoft y notificaciones sobre sus
Cuenta de Microsoft.)
Controles CIS:
Versión 6
Versión 7

716 | Página
Página 718
18.9.14 Conectar
Esta sección contiene recomendaciones relacionadas con Connect.

WirelessDisplay.admx / adml que
18.9.14.1 (L1) Asegúrese de que 'Requerir pin para emparejamiento' esté configurado en 'Habilitado: primero
Hora 'O' Habilitado: Siempre '(puntuado)
Descripción:
Esta configuración de directiva controla si se requiere o no un PIN para emparejar a una red inalámbrica
dispositivo de demostracion.
El estado recomendado para esta configuración es: Activado: Primera vez O Activado: Siempre .
Razón fundamental:
Si esta configuración no está configurada o deshabilitada, no se requerirá un PIN al emparejar

dispositivos de visualización inalámbricos al sistema, lo que aumenta el riesgo de uso no autorizado.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Connect: RequirePinForP

ventilación
717 | Página
Página 719
Remediación:
Primera vez O habilitado: Siempre :

Componentes \ Conectar \ Requiere pin para emparejamiento
plantilla WirelessDisplay.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Impacto:
La ceremonia de emparejamiento para conectarse a nuevos dispositivos de visualización inalámbricos siempre requerirá un
ALFILER.
Valor por defecto:
Discapacitado. (No se requiere un PIN para emparejar a un dispositivo de visualización inalámbrico).
Controles CIS:
Versión 6
15.8 Deshabilitar el acceso periférico inalámbrico (es decir, Bluetooth) a menos que sea necesario
Desactive el acceso periférico inalámbrico de dispositivos (como Bluetooth), a menos que dicho acceso sea
requerido para una necesidad comercial documentada.
Versión 7
15.9 Deshabilitar el acceso periférico inalámbrico de dispositivos

Desactive el acceso periférico inalámbrico de dispositivos (como Bluetooth y NFC), a menos que
El acceso es necesario para fines comerciales.
718 | Página
Página 720
18.9.15 Interfaz de usuario de credenciales

Esta sección contiene recomendaciones relacionadas con la interfaz de usuario de credenciales.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredUI.admx / adml que
18.9.15.1 (L1) Asegúrese de que esté configurado 'No mostrar el botón de revelación de contraseña'
Descripción:
Esta configuración de política le permite configurar la visualización del botón de revelación de contraseña en
experiencias de usuario de introducción de contraseña.
Razón fundamental:
Esta es una función útil cuando se ingresa una contraseña larga y compleja, especialmente cuando se usa
una pantalla táctil. El riesgo potencial es que alguien más pueda ver su contraseña mientras
observando subrepticiamente su pantalla.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredUI: DisablePassword

Revelar
719 | Página
Página 721
Remediación:

Componentes \ Interfaz de usuario de credenciales \ No mostrar la contraseña
botón
plantilla CredUI.admx / adml que se incluye con Microsoft Windows 8.0 & Server
Impacto:
El botón de revelación de contraseña no se mostrará después de que un usuario ingrese una contraseña en el
cuadro de texto de entrada de contraseña.
Valor por defecto:
Discapacitado. (El botón de revelación de contraseña se muestra después de que un usuario escribe una contraseña en el
cuadro de texto de entrada de contraseña. Si el usuario hace clic en el botón, se muestra la contraseña escrita
en pantalla en texto sin formato.)
Referencias:
1. CCE-37534-5
Controles CIS:
Versión 6

Versión 7

720 | Página
Página 722
18.9.15.2 (L1) Asegúrese de 'Enumerar cuentas de administrador en elevación'

está configurado como 'Desactivado' (puntuado)
Descripción:
Esta configuración de directiva controla si las cuentas de administrador se muestran cuando un usuario
intenta elevar una aplicación en ejecución.
Razón fundamental:
Los usuarios pueden ver la lista de cuentas de administrador, lo que facilita un poco la tarea de
usuario que ha iniciado sesión en una sesión de consola para intentar descifrar las contraseñas de esas cuentas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ CredUI:

Enumerar administradores
Remediación:

Componentes \ Interfaz de usuario de credenciales \ Enumerar cuentas de administrador en
elevación
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo CredUI.admx / adml
Impacto:
721 | Página
Página 723
Valor por defecto:
Discapacitado. (Los usuarios deberán escribir siempre un nombre de usuario y contraseña para elevar).
Referencias:
1. CCE-36512-2
Controles CIS:
Versión 6

Versión 7

acceso.
722 | Página
Página 724
18.9.16 Recopilación de datos y compilaciones de vista previa

Esta sección contiene la configuración para la recopilación de datos y las compilaciones de vista previa.
que se incluye con Microsoft Windows 10 RTM (versión 1507)
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad
[Solo para empresas] 'o' Habilitado: 1 - Básico '(puntuado)
Descripción:
Esta configuración de directiva determina la cantidad de datos de uso y diagnóstico informados a

Microsoft:
• Un valor de 0 - Security [Enterprise Only] enviará datos mínimos a Microsoft.

Estos datos incluyen la Herramienta de eliminación de software malintencionado (MSRT) y Windows Defender
datos, si está habilitado, y configuración del cliente de telemetría. Establecer un valor de 0 se aplica a
solo dispositivos empresariales, EDU, IoT y de servidor. Establecer un valor de 0 para otros dispositivos es
equivalente a elegir un valor de 1.
• Un valor de 1: Básico envía solo una cantidad básica de datos de diagnóstico y uso. Nota
que los valores de configuración de 0 o 1 degradarán ciertas experiencias en el dispositivo.
• Un valor de 2: mejorado envía datos de uso y diagnóstico mejorados.
• Un valor de 3: Completo envía los mismos datos que un valor de 2, más diagnósticos adicionales
datos, incluidos los archivos y el contenido que pueden haber causado el problema.
La configuración de telemetría de Windows 10 se aplica al sistema operativo Windows y algunas
aplicaciones de fiesta. Esta configuración no se aplica a aplicaciones de terceros que se ejecutan en Windows 10.
El estado recomendado para esta configuración es: Habilitado: 0 - Seguridad [Solo para empresas] o
Habilitado: 1 - Básico .
723 | Página
Página 725
Nota: Si la opción Permitir telemetría está configurada en 0: seguridad [solo para empresas] ,
entonces, las opciones de Windows Update para aplazar actualizaciones y actualizaciones no tendrán ningún efecto.
Nota # 2: En las plantillas administrativas de Microsoft Windows 10 RTM (versión 1507), el

El valor cero se llamó inicialmente 0 - Desactivado [Solo para empresas] , pero se cambió el nombre a 0 -
Seguridad [solo para empresas] a partir de la versión administrativa de Windows 10 1511
Plantillas.
Razón fundamental:
Enviar cualquier dato a un proveedor externo es un problema de seguridad y solo debe hacerse en un
según sea necesario.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DataCollection: AllowTe

lemetría
Remediación:
0: seguridad [solo para empresas] o habilitado: 1: básico :

Componentes \ Recopilación de datos y compilaciones de vista previa \ Permitir telemetría
plantilla DataCollection.admx / adml que se incluye con Microsoft Windows 10 RTM
Impacto:
Tenga en cuenta que los valores de configuración de 0 o 1 degradarán ciertas experiencias en el dispositivo.
Valor por defecto:
Discapacitado. (Los usuarios pueden configurar el nivel de telemetría en Configuración).
724 | Página
Página 726
Controles CIS:
Versión 6
Versión 7

725 | Página
Página 727
18.9.16.2 (L2) Asegúrese de 'Configurar el uso del proxy autenticado para el

El servicio de telemetría y experiencia de usuario conectado 'está configurado como' Habilitado:
Deshabilitar el uso de proxy autenticado '(puntuado)
Descripción:
Esta configuración de directiva controla si el servicio de telemetría y experiencia del usuario conectado
puede utilizar automáticamente un proxy autenticado para enviar datos a Microsoft.
El estado recomendado para esta configuración es: Habilitado: deshabilita el proxy autenticado
uso .
Razón fundamental:
Enviar cualquier dato a un proveedor externo es un problema de seguridad y solo debe hacerse en un
según sea necesario.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DataCollection: Desactivar

EnterpriseAuthProxy
Remediación:
Deshabilitar el uso de proxy autenticado :

Componentes \ Recopilación de datos y compilaciones de vista previa \ Configurar proxy autenticado
uso para el servicio de experiencia de usuario conectado y telemetría
plantilla DataCollection.admx / adml que se incluye con Microsoft Windows 10
726 | Página
Página 728
Impacto:
El servicio de telemetría y experiencia de usuario conectado se bloqueará automáticamente

utilizando un proxy autenticado.
Valor por defecto:
Discapacitado. (El servicio de experiencia de usuario conectado y telemetría utilizará automáticamente un

proxy autenticado para enviar datos a Microsoft).
Controles CIS:
Versión 6
Versión 7
727 | Página
Página 729
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en
Descripción:
Esta configuración de directiva permite a una organización evitar que sus dispositivos muestren comentarios
preguntas de Microsoft.
Razón fundamental:
Los usuarios no deben enviar comentarios a proveedores externos en una empresa administrada
ambiente.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DataCollection: DoNotSh

owFeedbackNotifications
Remediación:

Componentes \ Recopilación de datos y compilaciones de vista previa \ No mostrar comentarios
notificaciones
plantilla FeedbackNotifications.admx / adml que se incluye con Microsoft Windows
10 Plantillas administrativas de la versión 1511 (o más reciente).
Impacto:
Los usuarios ya no verán notificaciones de comentarios a través de la aplicación Windows Feedback.
728 | Página
Página 730
Valor por defecto:
Discapacitado. (Los usuarios pueden ver notificaciones a través de la aplicación Windows Feedback solicitando a los usuarios
realimentación. Los usuarios pueden controlar la frecuencia con la que reciben preguntas de retroalimentación).
Controles CIS:
Versión 6
Versión 7

729 | Página
Página 731
18.9.16.4 (L1) Asegúrese de que 'Alternar control de usuario sobre compilaciones de Insider' esté configurado en
Descripción:
Esta configuración de directiva determina si los usuarios pueden acceder a los controles de compilación de Insider en el
Opciones avanzadas para Windows Update. Estos controles se encuentran en "Obtener información privilegiada
compila "y permite a los usuarios hacer que sus dispositivos estén disponibles para descargar e instalar
Software de vista previa de Windows.
Nota: Esta configuración de política se aplica solo a dispositivos que ejecutan Windows Server 2016, hasta
Versión 1703. Para la versión 1709 o posterior, Microsoft recomienda usar la vista previa Administrar
configuración de compilaciones (Regla 18.9.102.1.1). Hemos mantenido esta configuración en el punto de referencia para garantizar
que aún se aplican las versiones anteriores de Windows Server 2016 en el entorno.
Razón fundamental:
Puede ser arriesgado que se permitan funciones experimentales en una empresa administrada
entorno porque esto puede introducir errores y agujeros de seguridad en los sistemas, lo que
más fácil para un atacante obtener acceso. Por lo general, se prefiere usar solo productos listos para producción.
construye.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ PreviewBuilds: AllowBui

ldPreview
730 | Página
Página 732
Remediación:

Componentes \ Recopilación de datos y compilaciones de vista previa \ Alternar el control del usuario sobre
Compilaciones internas
plantilla AllowBuildPreview.admx / adml que se incluye con Microsoft Windows 10
Impacto:
El elemento "Obtener compilaciones de Insider" no estará disponible.
Valor por defecto:
Habilitado. (Los usuarios pueden descargar e instalar el software de vista previa de Windows en sus dispositivos).
Controles CIS:
Versión 6

731 | Página
Página 733
18.9.17 Optimización de la entrega


DeliveryOptimization.admx / adml que
18.9.18 Gadgets de escritorio

Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sidebar.admx / adml
(o mas nuevo).
18.9.19 Administrador de ventanas de escritorio

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo DWM.admx / adml que es
18.9.20 Compatibilidad de controladores y dispositivos


DeviceCompat.admx / adml quese incluye con Microsoft Windows 8.0 y Server 2012
732 | Página
Página 734
18.9.21 Registro de dispositivo (anteriormente Workplace Join)


WorkplaceJoin.admx / adml que
se incluye con Microsoft Windows 8.1 y Server 2012
Nota: Esta sección se denominó inicialmente Unión al lugar de trabajo, pero Microsoft la renombró
Registro del dispositivo a partir de Microsoft Windows 10 RTM (versión 1507)
18.9.22 Casillero digital


DigitalLocker.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.23 Interfaz de usuario de Edge

Esta sección de Política de grupo la proporciona la plantilla de política de grupo EdgeUI.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 8.1 y Server 2012 R2
(o mas nuevo).
733 | Página
Página 735
18.9.24 EMET
Esta sección de Política de grupo la proporciona la plantilla de política de grupo EMET.admx / adml que es
incluido con Microsoft EMET.
EMET es un software de seguridad gratuito y compatible desarrollado por Microsoft que permite
empresa para aplicar mitigaciones de vulnerabilidades a las aplicaciones que se ejecutan en Windows. Muchos de estos
Posteriormente, las mitigaciones se codificaron directamente en Windows 10 y Server 2016.
Nota: aunque EMET es bastante eficaz para mejorar la protección contra vulnerabilidades en el servidor Windows
En sistemas operativos anteriores a Server 2016, se recomienda encarecidamente realizar pruebas de compatibilidad en
configuraciones de servidor típicas (incluidas todas las configuraciones de EMET recomendadas por CIS) antes
despliegue generalizado en su entorno.
Nota n. ° 2: Se ha informado que EMET es muy problemático en sistemas operativos de 32 bits; solo
recomiendo usarlo con sistemas operativos de 64 bits.
Nota n. ° 3: Microsoft ha anunciado que EMET estará al final de su vida útil (EOL) el 31 de julio de 2018.
Esto no significa que el software dejará de funcionar, solo que Microsoft no lo actualizará
más allá de esa fecha, ni solucionar nuevos problemas con él. Ellos son en cambio
recomendando que los servidores se actualicen a Server 2016.
18.9.25 Reenvío de eventos


EventForwarding.admx / adml que
se incluye con Microsoft Windows Server 2008
734 | Página
Página 736
18.9.26 Servicio de registro de eventos

Esta sección contiene recomendaciones para configurar el servicio de registro de eventos.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
18.9.26.1 Aplicación
Esta sección contiene recomendaciones para configurar el registro de eventos de la aplicación.
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando
el archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo.
Nota: los eventos antiguos pueden o no conservarse de acuerdo con el registro de copia de seguridad automáticamente
cuando se establece la política completa .
Razón fundamental:
Si no se registran nuevos eventos, puede ser difícil o imposible determinar la causa raíz.
de problemas del sistema o actividades no autorizadas de usuarios malintencionados.
735 | Página
Página 737
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Aplicación: R

atención
Remediación:

Componentes \ Servicio de registro de eventos \ Aplicación \ Control Comportamiento del registro de eventos cuando
el archivo de registro alcanza su tamaño máximo

EventLog.admx / adml quese incluye con todas las versiones de Microsoft Windows
llamado Retener eventos antiguos , pero se renombró a partir de Windows 8.0 y Server 2012
Impacto:
Valor por defecto:
Discapacitado. (Cuando un archivo de registro alcanza su tamaño máximo, los eventos nuevos sobrescriben los eventos antiguos).
Referencias:
1. CCE-37775-4
736 | Página
Página 738
Controles CIS:
Versión 6
Versión 7

generado.
737 | Página
Página 739
18.9.26.1.2 (L1) Asegúrese de 'Aplicación: especifique el tamaño máximo del archivo de registro
(KB) 'se establece en' Habilitado: 32.768 o más '(puntuado)
Descripción:
Esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. El registro máximo
el tamaño del archivo se puede configurar entre 1 megabyte (1024 kilobytes) y 4 terabytes
(4,194,240 kilobytes) en incrementos de kilobytes.
El estado recomendado para esta configuración es: Habilitado: 32.768 o superior .
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Aplicación: M
axSize
738 | Página
Página 740
Remediación:
32,768 o más :

Componentes \ Servicio de registro de eventos \ Aplicación \ Especifique el tamaño máximo del archivo de registro
(KB)

llamado Tamaño máximo de registro (KB) , pero se le cambió el nombre a partir de Windows 8.0 y Server
Impacto:
Cuando los registros de eventos se llenen al máximo, dejarán de registrar información a menos que la retención
El método para cada uno está configurado de modo que la computadora sobrescriba las entradas más antiguas con las
recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar la retención
método para que los eventos más antiguos se sobrescriban según sea necesario.
La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros.
Los atacantes pueden aprovechar esta configuración, porque pueden generar una gran
número de eventos extraños para sobrescribir cualquier evidencia de su ataque. Estos riesgos pueden ser
algo reducido si automatiza el archivo y la copia de seguridad de los datos del registro de eventos.
Idealmente, todos los eventos monitoreados específicamente deben enviarse a un servidor que utilice Microsoft
System Center Operations Manager (SCOM) o alguna otra herramienta de supervisión automatizada.
Esta configuración es particularmente importante porque un atacante que
compromete un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un monitor
servidor, entonces podrá recopilar información forense sobre las actividades del atacante.
Valor por defecto:
Discapacitado. (El tamaño de registro predeterminado es 20,480 KB; este valor lo puede cambiar el
administrador mediante el cuadro de diálogo Propiedades del registro).
Referencias:
1. CCE-37948-7
739 | Página
Página 741
Controles CIS:
Versión 6
Versión 7

generado.
740 | Página
Página 742
18.9.26.2 Seguridad
Esta sección contiene recomendaciones para configurar el registro de eventos de seguridad.
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Descripción:
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Security: Rete

ncion
741 | Página
Página 743
Remediación:

Componentes \ Servicio de registro de eventos \ Seguridad \ Control del comportamiento del registro de eventos cuando el registro
el archivo alcanza su tamaño máximo

EventLog.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas
Nota n. ° Administrativas.
2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
Impacto:
Valor por defecto:
Referencias:
1. CCE-37145-0
Controles CIS:
Versión 6
Versión 7

generado.
742 | Página
Página 744
18.9.26.2.2 (L1) Asegúrese de 'Seguridad: especifique el tamaño máximo del archivo de registro (KB)'
está configurado en 'Habilitado: 196,608 o más' (puntuado)
Descripción:
El estado recomendado para esta configuración es: Activado: 196,608 o superior .
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Security: MaxS

tamaño
743 | Página
Página 745
Remediación:
196,608 o más :

Componentes \ Servicio de registro de eventos \ Seguridad \ Especifique el tamaño máximo del archivo de registro (KB)

Impacto:
Valor por defecto:
Referencias:
1. CCE-37695-4
744 | Página
Página 746
Controles CIS:
Versión 6
Versión 7

generado.
745 | Página
Página 747
18.9.26.3 Configuración
Esta sección contiene recomendaciones para configurar el registro de eventos de configuración.
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando el regi
el archivo alcanza su tamaño máximo 'se establece en' Deshabilitado '(puntuado)
Descripción:
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Setup: Retenti

en
746 | Página
Página 748
Remediación:

Componentes \ Servicio de registro de eventos \ Configuración \ Controlar el comportamiento del registro de eventos cuando el registro
EventLog.admx / adml que se incluye con todas las versiones de Microsoft Windows
Impacto:
Valor por defecto:
Referencias:
1. CCE-38276-2
Controles CIS:
Versión 6
Versión 7

generado.
747 | Página
Página 749
18.9.26.3.2 (L1) Asegúrese de que 'Configuración: Especifique el tamaño máximo del archivo de registro (KB)'
establecido en 'Habilitado: 32,768 o mayor' (puntuado)
Descripción:
Razón fundamental:
problemas del sistema o actividades no autorizadas de usuarios malintencionados
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Setup: MaxSize
Remediación:
32,768 o más :

Componentes \ Servicio de registro de eventos \ Configuración \ Especifique el tamaño máximo del archivo de registro (KB)

748 | Página
Página 750
Impacto:
Valor por defecto:
Referencias:
1. CCE-37526-1
Controles CIS:
Versión 6
Versión 7

generado.
749 | Página
Página 751
18.9.26.4 Sistema
Esta sección contiene recomendaciones para configurar el registro de eventos del sistema.
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Descripción:
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ System: Retent

ion
750 | Página
Página 752
Remediación:

Componentes \ Servicio de registro de eventos \ Sistema \ Control del comportamiento del registro de eventos cuando el registro

Impacto:
Valor por defecto:
Referencias:
1. CCE-36160-0
Controles CIS:
Versión 6
Versión 7

generado.
751 | Página
Página 753
18.9.26.4.2 (L1) Asegúrese de 'Sistema: especifique el tamaño máximo del archivo de registro (KB)'
está configurado en 'Habilitado: 32.768 o más' (puntuado)
Descripción:
Razón fundamental:
problemas del sistema o actividades no autorizadas de usuarios malintencionados
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ EventLog \ Sistema: MaxSiz

mi
Remediación:
32,768 o más :

Componentes \ Servicio de registro de eventos \ Sistema \ Especifique el tamaño máximo del archivo de registro (KB)

752 | Página
Página 754
Impacto:
Valor por defecto:
Referencias:
1. CCE-36092-5
Controles CIS:
Versión 6
Versión 7

generado.
753 | Página
Página 755
18.9.27 Registro de eventos


EventLogging.admx / adml que
18.9.28 Visor de eventos


EventViewer.admx / adml que
18.9.29 Seguridad familiar (anteriormente controles parentales)


ParentalControls.admx / adml que
solo se incluye con Microsoft Windows Vista
a través de las plantillas administrativas de Windows 10 RTM (versión 1507).
Nota: Inicialmente, esta sección se denominó Controles parentales, pero Microsoft le cambió el nombre a
Protección infantil a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
754 | Página
Página 756
18.9.30 Explorador de archivos (anteriormente Explorador de Windows)

Esta sección contiene recomendaciones para controlar la disponibilidad de opciones como menú
elementos y pestañas en cuadros de diálogo.

WindowsExplorer.admx / adml que se incluye con todas las versiones de Microsoft Windows
Nota: Esta sección se llamó inicialmente Explorador de Windows, pero Microsoft le cambió el nombre a
Explorador de archivos a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
18.9.30.1 Versiones anteriores


PreviousVersions.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.30.2 (L1) Asegúrese de que 'Desactivar la prevención de ejecución de datos para Explorer' esté
Descripción:
La desactivación de la Prevención de ejecución de datos puede permitir que ciertas aplicaciones de complementos heredados
funcionar sin terminar Explorer.
Nota: Es posible que algunas aplicaciones de complemento heredadas y otro software no funcionen con Data
Prevención de ejecución y requerirá que se defina una excepción para ese complemento específico
en / software.
755 | Página
Página 757
Razón fundamental:
La prevención de ejecución de datos es una función de seguridad importante compatible con Explorer que
ayuda a limitar el impacto de ciertos tipos de malware.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Explorer: NoDataExecuti

onPrevention
Remediación:

Componentes \ Explorador de archivos \ Desactivar la prevención de ejecución de datos para el Explorador
plantilla Explorer.admx / adml que se incluye con Microsoft Windows 7 & Server
Impacto:
Valor por defecto:
Discapacitado. (La Prevención de ejecución de datos evitará que ciertos tipos de malware exploten
Explorador.)
Referencias:
1. CCE-37809-1
756 | Página
Página 758
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
757 | Página
Página 759
18.9.30.3 (L1) Asegúrese de que 'Desactivar la terminación del montón en caso de corrupción' esté configurado e
Descripción:
Sin la terminación del montón por corrupción, las aplicaciones de complementos heredados pueden continuar
funcionar cuando una sesión del Explorador de archivos se haya dañado. Asegurarse de que la terminación del montón
sobre la corrupción está activo evitará esto.
Razón fundamental:
Permitir que una aplicación funcione después de que su sesión se haya corrompido aumenta el riesgo
postura al sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Explorer: NoHeapTermina

tionOnCorruption
Remediación:

Componentes \ Explorador de archivos \ Desactivar la terminación del montón en caso de corrupción

Explorer.admx / adml que
Impacto:
758 | Página
Página 760
Valor por defecto:
Discapacitado. (La terminación de montón en caso de corrupción está habilitada).
Referencias:
1. CCE-36660-9
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
759 | Página
Página 761
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado en
Descripción:
Esta configuración de política le permite configurar la cantidad de funcionalidad que el shell

protocolo puede tener. Cuando se utiliza la funcionalidad completa de este protocolo, las aplicaciones pueden abrir
carpetas y archivos de lanzamiento. El modo protegido reduce la funcionalidad de este protocolo
permitiendo que las aplicaciones solo abran un conjunto limitado de carpetas. Las aplicaciones no se pueden abrir
archivos con este protocolo cuando está en modo protegido. Se recomienda dejar este
protocolo en el modo protegido para aumentar la seguridad de Windows.
Razón fundamental:
Limitar la apertura de archivos y carpetas a un conjunto limitado reduce la superficie de ataque del
sistema.
Auditoría:

r: PreXPSP2ShellProtocolBehavior
Remediación:

Componentes \ Explorador de archivos \ Desactivar el modo protegido del protocolo de shell
WindowsExplorer.admx / adml que se incluye con todas las versiones de Microsoft Windows
760 | Página
Página 762
Impacto:
Valor por defecto:
Discapacitado. (El protocolo está en modo protegido, lo que permite que las aplicaciones solo abran un
conjunto limitado de carpetas.)
Referencias:
1. CCE-36809-2
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
18.9.31 Historial de archivos


FileHistory.admx / adml que
761 | Página
Página 763
18.9.32 Buscar mi dispositivo

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FindMy.admx / adml que
más nuevo).
18.9.33 Explorador de juegos


GameExplorer.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.34 Escritura a mano


Handwriting.admx / adml quese incluye con Microsoft Windows 10 Release 1709
18.9.35 Grupo Hogar

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Sharing.admx / adml
(o mas nuevo).
762 | Página
Página 764
18.9.36 Importar video


CaptureWizard.admx / adml quesolo se incluye con Microsoft Windows Vista y
Plantillas administrativas de Windows Server 2008 (no R2).
18.9.37 Internet Explorer
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo InetRes.admx / adml
18.9.38 Servicios de información de Internet

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo IIS.admx / adml que es
763 | Página
Página 765
18.9.39 Ubicación y sensores

Esta sección contiene configuraciones para ubicaciones y sensores.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sensors.admx / adml
(o mas nuevo).
18.9.39.1 Proveedor de ubicación de Windows


LocationProviderAdm.admx / adml que
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado en 'Habilitado' (puntuado)
Descripción:
Esta configuración de directiva desactiva la función de ubicación del equipo.
Razón fundamental:
Esta configuración afecta la función de ubicación (por ejemplo, GPS u otro seguimiento de ubicación). A partir de una
perspectiva de seguridad, no es una buena idea revelar su ubicación al software en la mayoría de los casos,
pero existen usos legítimos, como el software de mapas. Sin embargo, no deben usarse
en entornos de alta seguridad.
764 | Página
Página 766
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ LocationAndSensors: Dis

ableLocation
Remediación:

Componentes \ Ubicación y sensores \ Apagar ubicación
plantilla Sensors.admx / adml que se incluye con Microsoft Windows 7 y Server 2008
Impacto:
La función de ubicación está desactivada y todos los programas de la computadora no pueden

utilizando la información de ubicación de la función de ubicación.
Valor por defecto:
Discapacitado. (Los programas en la computadora pueden usar información de ubicación del

función de ubicación.)
Referencias:
1. CCE-36886-0
Controles CIS:
Versión 6
Versión 7

765 | Página
Página 767
18.9.40 Programador de mantenimiento

Esta sección de Política de grupo la proporciona la plantilla de política de grupo msched.admx / adml que
se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
18.9.41 Mapas
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinMaps.admx / adml
(o mas nuevo).
18.9.42 MDM
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MDM.admx / adml que es
incluido con Microsoft Windows 10 Release 1607 y Server 2016 Administrativo
766 | Página
Página 768
18.9.43 Mensajería
Esta sección contiene configuraciones de mensajería.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Messaging.admx / adml
(o mas nuevo).
18.9.43.1 (L2) Asegúrese de que 'Permitir sincronización en la nube del servicio de mensajes' esté configurado en
Descripción:
Esta configuración de política permite realizar copias de seguridad y restaurar mensajes de texto móviles en la nube de Microsoft.
servicios.
Razón fundamental:
En un entorno de alta seguridad, los datos nunca deben enviarse a terceros, ya que estos datos
podría contener información sensible.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Messaging: AllowMessage

Sincronizar
767 | Página
Página 769
Remediación:

Componentes \ Messaging \ Allow Message Service Cloud Sync
plantilla Messaging.admx / adml que se incluye con la versión de Microsoft Windows 10
Impacto:
Los mensajes de texto celulares no se respaldarán (ni se restaurarán desde) la nube de Microsoft
servicios.
Valor por defecto:
Habilitado. (Los mensajes de texto móviles se pueden respaldar y restaurar en la nube de Microsoft
servicios.)
Controles CIS:
Versión 6

en cada sistema.
Versión 7

768 | Página
Página 770
18.9.44 cuenta de Microsoft

Esta sección contiene recomendaciones relacionadas con las cuentas de Microsoft.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSAPolicy.admx / adml
(o mas nuevo).
18.9.44.1 (L1) Asegúrese de 'Bloquear todos los usuarios de cuentas de Microsoft

autenticación 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración determina si las aplicaciones y los servicios del dispositivo pueden utilizar nuevos
Autenticación de cuenta de Microsoft de consumidor a través de Windows OnlineID y
API de WebAccountManager .
Razón fundamental:
Organizaciones que desean implementar políticas de gestión de identidad y

mantener un control firme de qué cuentas se utilizan en sus computadoras probablemente querrán
bloquear cuentas de Microsoft. Las organizaciones también pueden necesitar bloquear cuentas de Microsoft para
para cumplir con los requisitos de las normas de cumplimiento que se aplican a sus sistemas de información.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Microsoft Cuenta: DisableUserAu

th
769 | Página
Página 771
Remediación:

Componentes \ cuentas de Microsoft \ Bloquear todos los usuarios de cuentas de Microsoft para consumidores
autenticación
plantilla MSAPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
Impacto:
Todas las aplicaciones y servicios en el dispositivo no podrán realizar nuevas autenticaciones.

utilizando cuentas de consumidor de Microsoft a través de Windows OnlineID y WebAccountManager
API. Autenticaciones realizadas directamente por el usuario en navegadores web o en aplicaciones que utilizan
OAuth no se verá afectado.
Valor por defecto:
Discapacitado. (Las aplicaciones y servicios del dispositivo podrán autenticarse usando

cuentas de consumidor de Microsoft a través de las API de Windows OnlineID y WebAccountManager ).
Controles CIS:
Versión 6

Versión 7

propietario.
770 | Página
Página 772
18.9.45 Microsoft Edge


MicrosoftEdge.admx / adml que
18.9.46 Autenticación FIDO de Microsoft

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FidoAuth.admx / adml
(o mas nuevo).
18.9.47 Factor de autenticación secundario de Microsoft


DeviceCredential.admx / adml que
se incluye con la versión de Microsoft Windows 10
18.9.48 Virtualización de la experiencia del usuario de Microsoft


UserExperienceVirtualization.admx / adml que
se incluye con Microsoft Windows
10 Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
771 | Página
Página 773
18.9.49 NetMeeting
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Conf.admx / adml que es
18.9.50 Protección de acceso a la red

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo NAPXPQec.admx / adml
que solo se incluye con Microsoft Windows Server 2008 (no R2) a través del
Plantillas administrativas de actualización de Windows 8.1 y Server 2012 R2 Update.
18.9.51 Proyector de red


NetworkProjection.admx / adml que
a través de las plantillas administrativas de Windows 8.1 Update y Server 2012 R2 Update.
772 | Página
Página 774
18.9.52 OneDrive (anteriormente SkyDrive)

Esta sección contiene recomendaciones relacionadas con OneDrive.
La configuración de la Política de grupo contenida en esta sección es proporcionada por la Política de grupo
plantilla SkyDrive.admx / adml que se incluye con Microsoft Windows 8.1 & Server
Nota: Esta sección se llamó inicialmente SkyDrive, pero Microsoft le cambió el nombre a OneDrive
comenzando con las plantillas administrativas de Microsoft Windows 10 RTM (versión 1507).
18.9.52.1 (L1) Asegúrese de que 'Evitar el uso de OneDrive para almacenamiento de archivos' esté
establecido en 'Habilitado' (puntuado)
Descripción:
Esta configuración de directiva le permite evitar que las aplicaciones y funciones funcionen con archivos en OneDrive
utilizando el cliente de sincronización de próxima generación.
Razón fundamental:
Habilitar esta configuración evita que los usuarios carguen accidentalmente (o intencionalmente)
información corporativa confidencial o sensible al servicio en la nube de OneDrive utilizando el
Cliente de sincronización de próxima generación.
Nota: Este problema de seguridad se aplica a cualquier aplicación de almacenamiento de archivos basada en la nube instalada en
un servidor, no solo el suministrado con Windows Server.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ OneDrive: DisableFileSy

ncNGSC
773 | Página
Página 775
Remediación:

Componentes \ OneDrive \ Prevenir el uso de OneDrive para el almacenamiento de archivos
plantilla SkyDrive.admx / adml que se incluye con Microsoft Windows 8.1 & Server
Plantillas administrativas de 2012 R2 (o más recientes). Sin embargo, le recomendamos encarecidamente que solo
use la versión incluida con Microsoft Windows 10 Release 1607 y Server 2016
Plantillas administrativas (o más recientes). Las versiones anteriores de las plantillas tenían conflictos
configuraciones en diferentes archivos de plantilla para OneDrive y SkyDrive, hasta que se limpió
correctamente en la versión anterior.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se llamaba
Evitar el uso de SkyDrive para el almacenamiento de archivos , pero se le cambió el nombre a partir de Windows
10 Plantillas administrativas de RTM (versión 1507).
Impacto:
Los usuarios no pueden acceder a OneDrive desde la aplicación OneDrive y el selector de archivos. Aplicaciones de la Tienda Windows
no puede acceder a OneDrive mediante la API de WinRT . OneDrive no aparece en el panel de navegación
en el Explorador de archivos. Los archivos de OneDrive no se mantienen sincronizados con la nube. Los usuarios no pueden automáticamente
cargue fotos y videos de la carpeta del carrete de la cámara.
Nota: Si su organización usa Office 365, tenga en cuenta que esta configuración evitará que los usuarios
desde guardar archivos en OneDrive / SkyDrive.
Nota n. ° 2: si su organización ha decidido implementar OneDrive for Business y

por lo tanto, debe eximirse de esta recomendación, le recomendamos encarecidamente que también
obtener y utilizar la plantilla OneDrive.admx / adml que se incluye con la última
Cliente de OneDrive, como se señaló en este enlace (esta plantilla no se incluye con Windows
Plantillas Administrativas). Dos configuraciones alternativas de OneDrive en particular de eso
vale la pena considerar la plantilla:
• Permitir la sincronización de cuentas de OneDrive solo para organizaciones específicas : una computadora
configuración que restringe las conexiones de cliente de OneDrive a solo ID de inquilinos aprobados .
• Evitar que los usuarios sincronicen cuentas personales de OneDrive : una configuración basada en el usuario
que evita el uso de OneDrive para el consumidor (es decir, no comercial).
774 | Página
Página 776
Valor por defecto:
Discapacitado. (Las aplicaciones y características pueden funcionar con el almacenamiento de archivos de OneDrive usando el Siguiente
Cliente de sincronización de generación.)
Referencias:
1. CCE-36939-7
Controles CIS:
Versión 6
Versión 7
13.4 Permitir solo el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados
Solo permita el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados.
18.9.53 Asistencia en línea


HelpAndSupport.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.54 OOBE
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OOBE.admx / adml que es
incluido con Microsoft Windows 10 Release 1809 y Server 2019 Administrative
775 | Página
Página 777
18.9.55 Sincronización de contraseña

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo PswdSync.admx / adml
que solo se incluye con Microsoft Windows Vista a través de la actualización de Windows 8.1 y
Plantillas administrativas de actualización de Server 2012 R2.
18.9.56 Sistema operativo portátil


ExternalBoot.admx / adml que
18.9.57 Configuración de presentación


MobilePCPresentationSettings.admx / adml que
18.9.58 Empujar para instalar


PushToInstall.admx / adml que
776 | Página
Página 778
18.9.59 Servicios de escritorio remoto (anteriormente Terminal Services)

Esta sección contiene recomendaciones relacionadas con los servicios de escritorio remoto.

TerminalServer.admx / adml que se incluye con todas las versiones de Microsoft Windows
Nota: Esta sección se llamó inicialmente Terminal Services, pero Microsoft le cambió el nombre a
Servicios de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
18.9.59.1 Licencias de RD (anteriormente Licencias de TS)


Nota: Esta sección se denominó inicialmente Licencia de TS, pero Microsoft la renombró a RD
Licencias a partir de Microsoft Windows 7 & Server 2008 R2 Administrative
Plantillas.
777 | Página
Página 779
18.9.59.2 Cliente de conexión a escritorio remoto

Esta sección contiene recomendaciones para el cliente de conexión a escritorio remoto.

18.9.59.2.1 Redirección de dispositivo USB RemoteFX


TerminalServer.admx / adml que
18.9.59.2.2 (L1) Asegúrese de que 'No permitir que se guarden contraseñas' esté configurado en
Descripción:
Esta configuración de directiva ayuda a evitar que los clientes de Escritorio remoto guarden contraseñas en un
computadora.
Nota: Si esta configuración de directiva se configuró previamente como Desactivada o No configurada, cualquier
Las contraseñas guardadas previamente se eliminarán la primera vez que un cliente de Escritorio remoto
se desconecta de cualquier servidor.
Razón fundamental:
Un atacante con acceso físico a la computadora puede romper la protección.

proteger las contraseñas guardadas. Un atacante que pone en peligro la cuenta de un usuario y se conecta a
su computadora podría usar contraseñas guardadas para obtener acceso a hosts adicionales.
778 | Página
Página 780
Auditoría:

Servicios: DisablePasswordSaving
Remediación:

Componentes \ Servicios de escritorio remoto \ Cliente de conexión a escritorio remoto \ No
permitir que se guarden las contraseñas

Impacto:
La casilla de verificación para guardar la contraseña se desactivará para los clientes de Escritorio remoto y los usuarios
no poder guardar contraseñas.
Valor por defecto:
Discapacitado. (Los usuarios podrán guardar contraseñas mediante Conexión a escritorio remoto).
Referencias:
1. CCE-36223-6
Controles CIS:
Versión 6
Versión 7

779 | Página
Página 781
18.9.59.3 Host de sesión de escritorio remoto (anteriormente Terminal

Servidor)
Esta sección contiene recomendaciones para el host de sesión de escritorio remoto.

Nota: Esta sección se llamó inicialmente Terminal Server, pero Microsoft le cambió el nombre a
Host de sesión de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
18.9.59.3.1 Compatibilidad de aplicaciones

Esta sección de directiva de grupo es proporcionada por la plantilla de directiva de grupo TerminalServer-
Server.admx / adml que
se incluye con Microsoft Windows 7 y Server 2008 R2
780 | Página
Página 782
18.9.59.3.2 Conexiones
Esta sección contiene recomendaciones para las conexiones a la sesión de escritorio remoto
Anfitrión.

18.9.59.3.2.1 (L2) Asegúrese de 'Restringir los usuarios de Servicios de escritorio remoto a un

sesión única de Servicios de Escritorio remoto 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva le permite restringir a los usuarios a una sola sesión de Servicios de Escritorio remoto.
Razón fundamental:
Esta configuración garantiza que los usuarios y administradores que tengan un escritorio remoto en un servidor
continuar usando la misma sesión; si se desconectan y se vuelven a conectar, volverán a la
misma sesión que estaban usando antes, evitando la creación de una segunda sesión simultánea
sesión. Esto evita el uso innecesario de recursos al hacer que el servidor
sesiones adicionales innecesarias (que pondrían una carga adicional en el servidor) y también
garantiza una experiencia coherente para el usuario.
Auditoría:

Servicios: fSingleSessionPerUser
781 | Página
Página 783
Remediación:

Componentes \ Servicios de escritorio remoto \ Sesión de escritorio remoto
Host \ Connections \ Restringir a los usuarios de Servicios de escritorio remoto a un único
Sesión de servicios de escritorio

Restringir a los usuarios de Terminal Services a una sola sesión remota , pero se le cambió el nombre a partir de
las plantillas administrativas de Windows 7 y Server 2008 R2.
Impacto:
Valor por defecto:
Habilitado. (Los usuarios que inicien sesión de forma remota mediante los Servicios de escritorio remoto estarán restringidos
a una sola sesión (activa o desconectada) en ese servidor. Si el usuario deja el
sesión en un estado desconectado, el usuario se vuelve a conectar automáticamente a esa sesión en el
siguiente inicio de sesión.)
Referencias:
1. CCE-37708-5
Controles CIS:
Versión 7

acceso.

782 | Página
Página 784
18.9.59.3.3 Redirección de dispositivos y recursos

Esta sección contiene recomendaciones relacionadas con el dispositivo host de sesión de escritorio remoto
y redirección de recursos.

18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto COM' esté configurado en
Descripción:
Esta configuración de directiva especifica si se debe evitar la redirección de datos a los puertos COM del cliente.
desde la computadora remota en una sesión de Servicios de Escritorio remoto.
Razón fundamental:
En un entorno más sensible a la seguridad, es deseable reducir el posible ataque

superficie. La necesidad de redireccionar el puerto COM dentro de una sesión de Escritorio remoto es muy rara,
por lo que tiene sentido reducir la cantidad de vías inesperadas para la exfiltración de datos y / o
transferencia de código malicioso.
Auditoría:

Servicios: fDisableCcm
783 | Página
Página 785
Remediación:

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Dispositivo y
Redirección de recursos \ No permitir la redirección de puertos COM

Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir los datos del servidor a
(cliente) puertos COM.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto permiten la redirección del puerto COM).
Referencias:
1. CCE-37696-2
Controles CIS:
Versión 6

en cada sistema.
Versión 7
784 | Página
Página 786
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado en
Descripción:
Esta configuración de política evita que los usuarios compartan las unidades locales en sus equipos cliente para
Servidores de escritorio remoto a los que acceden. Las unidades asignadas aparecen en el árbol de carpetas de la sesión
en el Explorador de Windows en el siguiente formato:
\\ TSClient \ <carta de impulsión> $
Si las unidades locales se comparten, quedan vulnerables a los intrusos que quieren explotar los datos.
que se almacena en ellos.
Razón fundamental:
Los datos se pueden reenviar desde la sesión de Servicios de escritorio remoto del usuario al usuario
computadora local sin ninguna interacción directa del usuario. Software malicioso ya presente en un
El servidor comprometido tendría acceso directo y sigiloso al disco local del usuario.
computadora durante la sesión de Escritorio remoto.
Auditoría:

Servicios: fDisableCdm
785 | Página
Página 787
Remediación:

Redirección de recursos \ No permitir la redirección de unidades

Impacto:
La redirección de unidades no será posible. En la mayoría de situaciones, la unidad de red tradicional

mapeo a recursos compartidos de archivos (incluidos los recursos compartidos administrativos) realizado manualmente por el
El usuario conectado servirá como un sustituto capaz para permitir transferencias de archivos cuando sea necesario.
Valor por defecto:
Discapacitado. (Un host de sesión de RD asigna las unidades del cliente automáticamente al conectarse).
Referencias:
1. CCE-36509-8
Controles CIS:
Versión 6
Versión 7

786 | Página
Página 788
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto LPT' esté configurado en
Descripción:
Esta configuración de directiva especifica si se debe evitar la redirección de datos a los puertos LPT del cliente.
durante una sesión de Servicios de Escritorio remoto.
Razón fundamental:

superficie. La necesidad de redireccionar el puerto LPT dentro de una sesión de Escritorio remoto es muy poco común, por lo que
tiene sentido reducir la cantidad de vías inesperadas para la exfiltración de datos y / o
transferencia de código malicioso.
Auditoría:

Servicios: fDisableLPT
Remediación:

Redirección de recursos \ No permitir la redirección del puerto LPT

787 | Página
Página 789
Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir los datos del servidor a
(cliente) puertos LPT.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto permiten la redirección del puerto LPT).
Referencias:
1. CCE-37778-8
Controles CIS:
Versión 6

en cada sistema.
Versión 7
788 | Página
Página 790
redirección 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de política le permite controlar la redirección de dispositivos Plug and Play compatibles,
como dispositivos portátiles de Windows, a la computadora remota en un servicio de escritorio remoto
sesión.
Razón fundamental:

superficie. La necesidad de redirección de dispositivos Plug and Play dentro de una sesión de Escritorio remoto es
muy raro, por lo que tiene sentido reducir el número de vías inesperadas para la exfiltración de datos
y / o transferencia de código malicioso.
Auditoría:

Servicios: fDisablePNPRedir
Remediación:

Redirección de recursos \ No permitir la redirección de dispositivos Plug and Play admitidos

789 | Página
Página 791
Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir sus
(cliente local) Dispositivos Plug and Play a la computadora remota.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto permiten la redirección de dispositivos Plug and Play compatibles).
Referencias:
1. CCE-37477-7
Controles CIS:
Versión 6

en cada sistema.
Versión 7
18.9.59.3.4 Licencia

18.9.59.3.5 Redirección de la impresora


790 | Página
Página 792
18.9.59.3.6 Perfiles

18.9.59.3.7 Agente de conexión RD (anteriormente TS Connection

Corredor)

Nota: Esta sección se denominó inicialmente Agente de conexión de TS, pero Microsoft la renombró
a RD Connection Broker comenzando con Microsoft Windows 7 y Server 2008 R2
18.9.59.3.8 Entorno de sesión remota


791 | Página
Página 793
18.9.59.3.9 Seguridad
Esta sección contiene recomendaciones relacionadas con la seguridad del host de sesión de escritorio remoto.

18.9.59.3.9.1 (L1) Asegúrese de que 'Solicitar siempre la contraseña

conexión 'se establece en' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva especifica si los Servicios de escritorio remoto siempre preguntan al cliente
computadora para obtener una contraseña al conectarse. Puede utilizar esta configuración de directiva para hacer cumplir una
solicitud de contraseña para los usuarios que inician sesión en Servicios de escritorio remoto, incluso si ya
proporcionó la contraseña en el cliente de Conexión a Escritorio remoto.
Razón fundamental:
Los usuarios tienen la opción de almacenar tanto su nombre de usuario como su contraseña cuando crean un nuevo
Acceso directo a la conexión a escritorio remoto. Si el servidor que ejecuta Servicios de escritorio remoto
permite a los usuarios que han utilizado esta función iniciar sesión en el servidor pero no ingresar su
contraseña, entonces es posible que un atacante que haya obtenido acceso físico al usuario
la computadora podría conectarse a un servidor de escritorio remoto a través del escritorio remoto
Atajo de conexión, aunque no conozcan la contraseña del usuario.
Auditoría:

Servicios: fPromptForPassword
792 | Página
Página 794
Remediación:

Host \ Security \ Solicitar siempre la contraseña al conectarse

Nota # 2: En las Plantillas administrativas de Microsoft Windows Vista, esta configuración fue
llamado Siempre solicitar al cliente la contraseña al conectarse , pero se le cambió el nombre al comenzar
con las plantillas administrativas de Windows Server 2008 (no R2).
Impacto:
Los usuarios no pueden iniciar sesión automáticamente en los Servicios de escritorio remoto proporcionando su
contraseñas en el cliente de Conexión a Escritorio remoto. Se les pedirá una contraseña
para iniciar sesión.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto permiten a los usuarios iniciar sesión automáticamente si ingresan un
contraseña en el cliente de Conexión a Escritorio remoto.)
Referencias:
1. CCE-37929-7
793 | Página
Página 795
Controles CIS:
Versión 6

sistema.
Versión 7


794 | Página
Página 796
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en
Descripción:
Esta configuración de directiva le permite especificar si los Servicios de Escritorio remoto requieren seguridad
La comunicación de llamada a procedimiento remoto (RPC) con todos los clientes o permite
comunicación.
Puede usar esta configuración de directiva para fortalecer la seguridad de la comunicación RPC con
clientes al permitir solo solicitudes autenticadas y cifradas.
Razón fundamental:
Permitir una comunicación RPC no segura puede exponer al servidor a ataques de intermediarios.
y ataques de divulgación de datos.
Auditoría:

Servicios: fEncryptRPCTraffic
Remediación:

Host \ Seguridad \ Requiere comunicación RPC segura

795 | Página
Página 797
Impacto:
Los servicios de escritorio remoto aceptan solicitudes de clientes RPC que admiten solicitudes seguras,
y no permite la comunicación no segura con clientes que no son de confianza.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto siempre solicitan seguridad para todo el tráfico RPC. Sin embargo,
Se permite la comunicación no segura para los clientes RPC que no responden a la solicitud).
Referencias:
1. CCE-37567-5
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7

acceso.
796 | Página
Página 798
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para
conexiones remotas (RDP) 'se establece en' Habilitado: SSL '(puntuado)
Descripción:
Esta configuración de directiva especifica si se requiere el uso de una capa de seguridad específica para proteger
comunicaciones entre clientes y servidores de host de sesión de Escritorio remoto durante el escritorio remoto
Conexiones de protocolo (RDP).
El estado recomendado para esta configuración es: Activado: SSL .
Nota: a pesar de que esta configuración está etiquetada como SSL , en realidad está aplicando la capa de transporte
Security (TLS) versión 1.0, no el protocolo SSL más antiguo (y menos seguro).
Razón fundamental:
El cifrado nativo del Protocolo de escritorio remoto (RDP) ahora se considera un protocolo débil,
por lo tanto, hacer cumplir el uso de un cifrado de seguridad de la capa de transporte (TLS) más fuerte para todos los RDP
Se prefieren las comunicaciones entre los clientes y los servidores Host de sesión de RD.
Auditoría:

Servicios: SecurityLayer
797 | Página
Página 799
Remediación:
SSL :

Host \ Security \ Requiere el uso de una capa de seguridad específica para remoto (RDP)
conexiones

Impacto:
Se requerirá TLS 1.0 para autenticarse en el servidor Host de sesión de Escritorio remoto. Si TLS no es
compatible, la conexión falla.
Valor por defecto:
Negociar. (Se aplica el método más seguro que admite el cliente. Si TLS es
compatible, se utiliza para autenticar el servidor Host de sesión de Escritorio remoto. Si TLS no es compatible,
Se utiliza el cifrado RDP nativo, pero el servidor host de sesión de RD no está autenticado).
Referencias:
1. CCE-36598-1
Controles CIS:
Versión 6
Versión 7

acceso.
798 | Página
Página 800
18.9.59.3.9.4 (L1) Asegúrese de 'Requerir autenticación de usuario para

conexiones mediante autenticación de nivel de red 'se establece en' Habilitado '
(Puntuado)
Descripción:
Esta configuración de directiva le permite especificar si se requiere autenticación de usuario para

conexiones al servidor Host de sesión de Escritorio remoto mediante autenticación de nivel de red.
Razón fundamental:
Requerir que la autenticación del usuario ocurra antes en el proceso de conexión remota
mejora la seguridad.
Auditoría:

Servicios: UserAuthentication
Remediación:

Host \ Security \ Requerir autenticación de usuario para conexiones remotas usando
Autenticación a nivel de red

Nota # 2: En las Plantillas administrativas de Microsoft Windows Vista, esta configuración fue
inicialmente llamado Requerir autenticación de usuario usando RDP 6.0 para conexiones remotas , pero fue
renombrado comenzando con las Plantillas administrativas de Windows Server 2008 (no R2).
799 | Página
Página 801
Impacto:
Solo los equipos cliente que admiten la autenticación de nivel de red pueden conectarse al RD
Servidor de host de sesión.
Nota: Algunas soluciones de autenticación de dos factores de terceros (por ejemplo, agente de autenticación RSA)
puede verse afectado negativamente por esta configuración, ya que la autenticación de nivel de red esperará
contraseña de Windows del usuario y, una vez autenticado correctamente, pasar la credencial
a la sesión de Windows en el host RDP (para completar el inicio de sesión). Si un agente de dos factores es
presente y esperando una credencial diferente en la pantalla de inicio de sesión de RDP, esta conexión inicial
puede resultar en un intento fallido de inicio de sesión.
Valor por defecto:
Windows Server 2008 R2 y versiones anteriores: deshabilitado.
Windows Server 2012 (no R2) y más reciente: habilitado.
Referencias:
1. CCE-37330-8
Controles CIS:
Versión 6
Versión 7

acceso.
800 | Página
Página 802
'Habilitado: nivel alto' (puntuado)
Descripción:
Esta configuración de directiva especifica si se requiere el uso de un nivel de cifrado específico para
comunicaciones seguras entre los equipos cliente y los servidores host de sesión de RD durante
Conexiones de Protocolo de escritorio remoto (RDP). Esta política solo se aplica cuando está utilizando
cifrado RDP nativo. Sin embargo, el cifrado RDP nativo (a diferencia del cifrado SSL) es
no recomendado. Esta política no se aplica al cifrado SSL.
El estado recomendado para esta configuración es: Activado: Nivel alto .
Razón fundamental:
Si se permiten las conexiones de cliente de Escritorio remoto que usan cifrado de bajo nivel, es más
es probable que un atacante pueda descifrar cualquier servicio de escritorio remoto capturado
tráfico de red.
Auditoría:
Servicios: MinEncryptionLevel
Remediación:
Nivel alto :

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Seguridad \ Conjunto
nivel de cifrado de la conexión del cliente

801 | Página
Página 803
Impacto:
Valor por defecto:
Habilitado: nivel alto. (Todas las comunicaciones entre clientes y servidores de host de sesión de RD
durante las conexiones remotas que utilizan el cifrado RDP nativo debe ser de 128 bits. Clientela
que no admiten el cifrado de 128 bits no podrán establecer el servidor de escritorio remoto
sesiones.)
Referencias:
1. CCE-36627-8
Controles CIS:
Versión 6
Versión 7

acceso.
802 | Página
Página 804
18.9.59.3.10 Límites de tiempo de sesión

Esta sección contiene recomendaciones relacionadas con la sesión del host de la sesión de escritorio remoto
Límites de tiempo.

18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para control remoto activo pero inactivo
Sesiones de servicios de escritorio 'está configurado en' Habilitado: 15 minutos o menos '(puntuado)
Descripción:
Esta configuración de directiva le permite especificar la cantidad máxima de tiempo que un activo
La sesión de Servicios de escritorio remoto puede estar inactiva (sin intervención del usuario) antes de que se active automáticamente
desconectado.
El estado recomendado para esta configuración es: Activado: 15 minutos o menos .
Razón fundamental:
Esta configuración ayuda a evitar que las sesiones activas de Escritorio remoto inmovilicen la computadora
durante largos períodos de tiempo mientras no están en uso, evitando que los recursos informáticos se
consumido por un gran número de sesiones inactivas. Además, el viejo y olvidado Remote
Las sesiones de escritorio que aún están activas pueden causar bloqueos de contraseña si la contraseña del usuario
ha cambiado pero la sesión anterior aún se está ejecutando. Para sistemas que limitan el número de
usuarios conectados (por ejemplo, servidores en el modo administrativo predeterminado, solo 2 sesiones), otros
Las sesiones antiguas pero aún activas de los usuarios pueden evitar que otro usuario se conecte, lo que
negación efectiva de servicio.
803 | Página
Página 805
Auditoría:

Servicios: MaxIdleTime
Remediación:
15 minutos o menos :

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Hora de sesión
Límites \ Establecer límite de tiempo para sesiones de Servicios de Escritorio remoto activas pero inactivas

Establezca un límite de tiempo para las sesiones de Terminal Services activas pero inactivas , pero se le cambió el nombre a partir de
las plantillas administrativas de Windows 7 y Server 2008 R2.
Impacto:
Los servicios de escritorio remoto desconectarán automáticamente las sesiones activas pero inactivas después de 15
minutos (o la cantidad de tiempo especificada). El usuario recibe una advertencia dos minutos antes
la sesión se desconecta, lo que permite al usuario presionar una tecla o mover el mouse para mantener
la sesión activa. Tenga en cuenta que los límites de tiempo de las sesiones inactivas no se aplican a las sesiones de la consola.
Valor por defecto:
Discapacitado. (Los servicios de escritorio remoto permiten que las sesiones permanezcan activas pero inactivas durante un
cantidad de tiempo ilimitada.)
Referencias:
1. CCE-37562-6
804 | Página
Página 806
Controles CIS:
Versión 6
Versión 7

805 | Página
Página 807
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté
establecido en 'Habilitado: 1 minuto' (puntuado)
Descripción:
Esta configuración de política le permite configurar un límite de tiempo para el Escritorio remoto desconectado
Sesiones de servicios.
El estado recomendado para esta configuración es: Activado: 1 minuto .
Razón fundamental:
Esta configuración ayuda a evitar que las sesiones activas de Escritorio remoto inmovilicen la computadora
durante largos períodos de tiempo mientras no están en uso, evitando que los recursos informáticos se
consumido por un gran número de sesiones desconectadas pero aún activas. Además, viejo,
Las sesiones de Escritorio remoto olvidadas que aún están activas pueden causar bloqueos de contraseña si el
la contraseña del usuario ha cambiado pero la sesión anterior aún se está ejecutando. Para sistemas que limitan
número de usuarios conectados (por ejemplo, servidores en el modo administrativo predeterminado - 2 sesiones
solamente), las sesiones antiguas pero aún activas de otros usuarios pueden evitar que otro usuario se conecte,
resultando en una denegación de servicio efectiva. Esta configuración es importante para garantizar una desconexión
la sesión finaliza correctamente.
Auditoría:

Servicios: MaxDisconnectionTime
806 | Página
Página 808
Remediación:
1 minuto :

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Hora de sesión
Límites \ Establecer límite de tiempo para sesiones desconectadas

Impacto:
Las sesiones de Escritorio remoto desconectadas se eliminan del servidor después de 1 minuto. Nota
que los límites de tiempo de las sesiones desconectadas no se aplican a las sesiones de la consola.
Valor por defecto:
Discapacitado. (Las sesiones de Escritorio remoto desconectadas se mantienen por tiempo ilimitado en
el servidor.)
Referencias:
1. CCE-37949-5
Controles CIS:
Versión 6
Versión 7

807 | Página
Página 809
18.9.59.3.11 Carpetas temporales

Esta sección contiene recomendaciones relacionadas con la sesión del host de la sesión de escritorio remoto
Carpetas temporales.

18.9.59.3.11.1 (L1) Asegúrese de que esté configurado 'No eliminar carpetas temporales al salir'
Descripción:
Esta configuración de directiva especifica si los Servicios de escritorio remoto retienen la sesión de un usuario
carpetas temporales al cerrar la sesión.
Razón fundamental:
La información confidencial podría estar contenida dentro de las carpetas temporales y ser visible para otros
administradores que inician sesión en el sistema.
Auditoría:

Servicios: DeleteTempDirsOnSalir
808 | Página
Página 810
Remediación:

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Temporal
Carpetas \ No elimine las carpetas temporales al salir

Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se llamaba Do
no eliminar la carpeta temporal al salir , pero se le cambió el nombre a partir de Windows 8.0 & Server
Impacto:
Valor por defecto:
Discapacitado. (Las carpetas temporales se eliminan cuando un usuario cierra la sesión).
Referencias:
1. CCE-37946-1
Controles CIS:
Versión 6

Versión 7

809 | Página
Página 811
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté
Descripción:
De forma predeterminada, los Servicios de escritorio remoto crean una carpeta temporal separada en la sesión de Escritorio remoto
Servidor host para cada sesión activa que mantiene un usuario en el servidor Host de sesión de Escritorio remoto. los
La carpeta temporal se crea en el servidor Host de sesión de Escritorio remoto en una carpeta Temp bajo el
carpeta de perfil del usuario y se nombra con el id de sesión . Esta carpeta temporal se utiliza para
almacenar archivos temporales individuales.
Para recuperar espacio en disco, la carpeta temporal se elimina cuando el usuario cierra la sesión
sesión.
Razón fundamental:
La desactivación de esta configuración mantiene los datos en caché independientes para cada sesión, lo que reduce
la posibilidad de problemas de datos compartidos en caché entre sesiones, y posiblemente mantener
datos sensibles separados para cada sesión de usuario.
Auditoría:

Servicios: PerSessionTempDir
810 | Página
Página 812
Remediación:

Componentes \ Servicios de escritorio remoto \ Host de sesión de escritorio remoto \ Temporal
Carpetas \ No utilice carpetas temporales por sesión

Impacto:
Valor por defecto:
Discapacitado. (Se crean carpetas temporales por sesión).
Referencias:
1. CCE-38180-6
Controles CIS:
Versión 6

Versión 7

811 | Página
Página 813
18.9.60 Fuentes RSS

Esta sección contiene recomendaciones relacionadas con las fuentes RSS.
18.9.60.1 (L1) Asegúrese de que 'Evitar la descarga de gabinetes' esté configurado en

Descripción:
Esta configuración de política evita que el usuario tenga adjuntos (archivos adjuntos)
descargado de una fuente RSS a la computadora del usuario.
Razón fundamental:
Permitir que los archivos adjuntos se descarguen a través de la fuente RSS puede introducir archivos que podrían
tener intenciones maliciosas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Internet

Explorer \ Feeds: DisableEnclosureDownload
812 | Página
Página 814
Remediación:

Componentes \ Fuentes RSS \ Evitar la descarga de adjuntos
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo InetRes.admx / adml
Desactive la descarga de gabinetes , pero se cambió el nombre a partir de Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2).
Impacto:
Los usuarios no pueden configurar Feed Sync Engine para descargar un gabinete a través de Feed
página de propiedades. Los desarrolladores no pueden cambiar la configuración de descarga a través de las API de feeds.
Valor por defecto:
Discapacitado. (Los usuarios pueden configurar Feed Sync Engine para descargar un gabinete a través de Feed
página de propiedades. Los desarrolladores pueden cambiar la configuración de descarga a través de las API de feeds).
Referencias:
1. CCE-37126-0
Controles CIS:
Versión 6
7.2 Desinstalar / Desactivar complementos de cliente de correo electrónico o navegador innecesarios o no autorizados
Desinstale o deshabilite cualquier navegador o complemento de cliente de correo electrónico innecesario o no autorizado o
aplicaciones complementarias. Cada complemento utilizará la lista blanca de aplicaciones / URL y solo permitirá
el uso de la aplicación para dominios preaprobados.
Versión 7
7.2 Deshabilitar complementos de cliente de correo electrónico o navegador innecesarios o no autorizados

Desinstale o deshabilite cualquier navegador o complemento o complemento de cliente de correo electrónico no autorizado
aplicaciones.
813 | Página
Página 815
18.9.61 Buscar
Esta sección contiene recomendaciones para la configuración de búsqueda.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Search.admx / adml que
18.9.61.1 OCR
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo SearchOCR.admx / adml
que solo se incluye con Microsoft Windows 7 y Server 2008 R2 a través del
Plantillas administrativas de la versión 1511 de Windows 10.
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Activado: Desactivar
Cloud Search '(puntuado)
Descripción:
Esta configuración de política permite que la búsqueda y Cortana busquen fuentes en la nube como OneDrive y
SharePoint.
El estado recomendado para esta configuración es: Habilitado: deshabilita la búsqueda en la nube .
Razón fundamental:
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Windows

Buscar: AllowCloudSearch
814 | Página
Página 816
Remediación:
Desactivar la búsqueda en la nube :

Componentes \ Búsqueda \ Permitir búsqueda en la nube
plantilla Search.admx / adml que se incluye con Microsoft Windows 10 Release 1709
Impacto:
Search y Cortana no podrán buscar fuentes en la nube como OneDrive y

SharePoint.
Valor por defecto:
Habilitado: habilita la búsqueda en la nube. (Permita que la búsqueda y Cortana busquen fuentes en la nube como
OneDrive y SharePoint.)
Controles CIS:
Versión 6

en cada sistema.
Versión 7
13.4 Permitir solo el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados
Solo permita el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados.
815 | Página
Página 817
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en
Descripción:
Esta configuración de directiva controla si se permite indexar los elementos cifrados. Cuando esto
se cambia la configuración, el índice se reconstruye por completo. Cifrado de volumen completo (como
Cifrado de unidad BitLocker o una solución que no sea de Microsoft) para la ubicación de
el índice para mantener la seguridad de los archivos cifrados.
Razón fundamental:
Indexar y permitir a los usuarios buscar archivos cifrados podría revelar información confidencial
datos almacenados dentro de los archivos cifrados.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Windows

Buscar: AllowIndexingEncryptedStoresOrItems
Remediación:

Componentes \ Búsqueda \ Permitir la indexación de archivos cifrados
Nota: esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo Search.admx / adml
Impacto:
816 | Página
Página 818
Valor por defecto:
Discapacitado. (Se esperan componentes del servicio de búsqueda (incluidos los componentes que no son de Microsoft)
no indexar elementos cifrados o tiendas cifradas).
Referencias:
1. CCE-38277-0
Controles CIS:
Versión 6
13.1 Evaluar datos para identificar información confidencial

Realizar una evaluación de datos para identificar información sensible que requiere
aplicación de controles de encriptación e integridad.
Versión 7

817 | Página
Página 819
18.9.62 Centro de seguridad


SecurityCenter.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.63 Servidor para NIS

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Snis.admx / adml que es
solo se incluye con Microsoft Windows Vista a través de Windows 8.1 Update & Server
Plantillas administrativas de actualización de 2012 R2.

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinInit.admx / adml
18.9.65 Tarjeta inteligente

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SmartCard.admx / adml
818 | Página
Página 820
18.9.66 Plataforma de protección de software

Esta sección contiene recomendaciones relacionadas con la plataforma de protección de software.

AVSValidationGP.admx / adml que
18.9.66.1 (L2) Asegúrese de que 'Desactivar la validación AVS en línea del cliente KMS' esté configurado
Descripción:
El Servicio de administración de claves (KMS) es un método de activación de licencias de Microsoft que implica
configurar un servidor local para almacenar las licencias de software. El propio servidor KMS necesita
conectarse a Microsoft para activar el servicio KMS, pero los clientes subsiguientes en la red pueden
activar el sistema operativo Microsoft Windows y / o su Microsoft Office a través del servidor KMS en lugar de
conectarse directamente a Microsoft. Esta configuración de política le permite optar por no enviar el cliente KMS
datos de activación a Microsoft automáticamente.
Razón fundamental:
Aunque el método de licencia de KMS no requiere que los clientes de KMS se conecten a
Microsoft, todavía envían datos de estado de activación del cliente KMS a Microsoft automáticamente.
Evitar que se envíe esta información puede ayudar a reducir los problemas de privacidad en
entornos de seguridad.
Auditoría:

NT \ CurrentVersion \ Plataforma de protección de software: NoGenTicket
819 | Página
Página 821
Remediación:

Componentes \ Plataforma de protección de software \ Desactivar KMS Client Online AVS
Validación
plantilla AVSValidationGP.admx / adml que se incluye con Microsoft Windows 10
Impacto:
Se impide que la computadora envíe datos a Microsoft sobre su cliente KMS

estado de activación.
Valor por defecto:
Discapacitado. (Los datos de activación del cliente KMS se enviarán automáticamente a Microsoft cuando
dispositivo se activa.)
Controles CIS:
Versión 7

18.9.67 Grabador de sonido

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SoundRec.admx / adml
820 | Página
Página 822
18.9.68 Habla
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Speech.admx / adml que
más nuevo).
18.9.69 Tienda
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo WinStoreUI.admx / adml
que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administrative
Plantillas, o por la plantilla de directiva de grupo WindowsStore.admx / adml que se incluye con
las Plantillas administrativas de Microsoft Windows 10 Release 1511 (o más reciente).
18.9.70 Sincronizar su configuración


SettingSync.admx / adml que
18.9.71 Tablet PC
821 | Página
Página 823
18.9.72 Programador de tareas


TaskScheduler.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.73 Entrada de texto

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo TextInput.admx / adml
que solo se incluye con Microsoft Windows 10 RTM (Release 1507) Administrative
Plantillas y plantillas administrativas de Microsoft Windows 10 Release 1511.
18.9.74 Calendario de Windows

Esta sección de Política de grupo la proporciona la plantilla de política de grupo WinCal.admx / adml que
18.9.75 Sistema de color de Windows


WindowsColorSystem.admx / adml quese incluye con todas las versiones de Microsoft

18.9.76 Programa de mejora de la experiencia del cliente de Windows

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo CEIPEnable.admx / adml
822 | Página
Página 824
18.9.77 Antivirus de Windows Defender (anteriormente Windows

Defensor)
Esta sección contiene recomendaciones relacionadas con el antivirus de Windows Defender.

WindowsDefender.admx / adml que se incluye con todas las versiones de Microsoft Windows
Nota: Esta sección originalmente se llamaba Windows Defender, pero Microsoft la renombró
a Windows Defender Antivirus a partir de Microsoft Windows 10 Release 1703
18.9.77.1 Interfaz de cliente


WindowsDefender.admx / adml quese incluye con Microsoft Windows 8.1 & Server
18.9.77.2 Exclusiones

823 | Página
Página 825
18.9.77.3 MAPAS
Esta sección contiene recomendaciones relacionadas con Microsoft Active Protection Service
(MAPAS).

18.9.77.3.1 (L1) Asegúrese de 'Configurar anulación de configuración local para informar a

Microsoft MAPS 'está configurado como' Deshabilitado '(puntuado)
Descripción:
Esta configuración de directiva configura una anulación local para que la configuración se una a Microsoft Active
Protection Service (MAPS), que ahora Microsoft ha cambiado de nombre a "Windows Defender
Servicio de protección antivirus en la nube ". Esta configuración solo se puede establecer mediante la directiva de grupo.
Razón fundamental:
La decisión de participar o no en Microsoft MAPS / Windows Defender

Se debe realizar el servicio de protección antivirus en la nube para informes de software malicioso
centralmente en un entorno administrado por la empresa, de modo que todas las computadoras dentro de él se comporten
consistentemente en ese sentido. Configurar este ajuste en Desactivado asegura que la decisión
permanece gestionado de forma centralizada.
Auditoría:

Defender \ Spynet: LocalSettingOverrideSpynetReporting
824 | Página
Página 826
Remediación:
Componentes \ Windows Defender Antivirus \ MAPS \ Configure la anulación de la configuración local
para informar a Microsoft MAPS
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Impacto:
Valor por defecto:
Discapacitado. (La directiva de grupo tendrá prioridad sobre la configuración de preferencia local).
Referencias:
1. CCE-36940-5
Controles CIS:
Versión 6
Defensas de malware
Versión 7



825 | Página
Página 827
18.9.77.3.2 (L2) Asegúrese de que 'Unirse a Microsoft MAPS' esté configurado como 'Deshabilitado'
(Puntuado)
Descripción:
Esta configuración de directiva le permite unirse a Microsoft Active Protection Service (MAPS), que
Microsoft ahora ha cambiado de nombre a "Servicio de protección en la nube antivirus de Windows Defender".
Microsoft MAPS / Windows Defender Antivirus Cloud Protection Service es el servicio en línea
comunidad que le ayuda a elegir cómo responder a posibles amenazas. La comunidad también
ayuda a detener la propagación de nuevas infecciones de software malintencionado. Puede elegir enviar básico o
información adicional sobre el software detectado. La información adicional ayuda a Microsoft
cree nuevas definiciones y ayúdelo a proteger su computadora.
Las posibles opciones son:
• (0x0) Desactivado (predeterminado)

• (0x1) Membresía básica
• (0x2) Membresía avanzada
La membresía básica enviará información básica a Microsoft sobre el software que ha sido
detectado, incluido el origen del software, las acciones que aplica o que son
aplicado automáticamente y si las acciones fueron exitosas.
La membresía avanzada además de la información básica enviará más información a

Microsoft sobre software malintencionado, software espía y software potencialmente no deseado, incluido
la ubicación de los nombres de los archivos de software cómo funciona el software y cómo ha afectado
tu computadora.
826 | Página
Página 828
Razón fundamental:
La información que se enviaría puede incluir cosas como la ubicación de los elementos detectados en
su computadora si se eliminó el software dañino. La información sería automáticamente
recogido y enviado. En algunos casos, la información personal podría enviarse involuntariamente a
Microsoft. Sin embargo, Microsoft declara que no utilizará esta información para identificarlo a usted o
contactarte.
Por motivos de privacidad en entornos de alta seguridad, es mejor evitar que estos datos
presentaciones en conjunto.
Auditoría:
prescrito. Esta configuración de directiva de grupo está en vigor cuando el siguiente valor de registro no
existe, o cuando existe con un valor de 0 :

Defender \ Spynet: SpynetReporting
Remediación:

Componentes \ Windows Defender Antivirus \ MAPS \ Unirse a Microsoft MAPS
Impacto:
Valor por defecto:
Discapacitado. (Microsoft MAPS / Windows Defender Antivirus Cloud Protection Service no

unirse.)
827 | Página
Página 829
Controles CIS:
Versión 7

18.9.77.4 MpEngine

WindowsDefender.admx / adml quese incluye con Microsoft Windows 10 Release 1703
18.9.77.5 Sistema de inspección de red


18.9.77.6 Cuarentena

828 | Página
Página 830
18.9.77.7 Protección en tiempo real

Esta sección contiene configuraciones relacionadas con la protección en tiempo real.

18.9.77.7.1 (L1) Asegúrese de que 'Activar monitoreo de comportamiento' esté configurado en 'Habilitado'
(Puntuado)
Descripción:
Esta configuración de política le permite configurar la supervisión del comportamiento para Windows Defender
Antivirus.
Razón fundamental:
Al ejecutar una solución antivirus como Windows Defender Antivirus, es importante

asegúrese de que esté configurado para monitorear heurísticamente en tiempo real para sospechosos y conocidos
actividad maliciosa.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender \ Real-Time

Protección: DisableBehaviorMonitoring
829 | Página
Página 831
Remediación:

Componentes \ Antivirus de Windows Defender \ Protección en tiempo real \ Activar comportamiento
supervisión
Impacto:
Ninguno: esta es la configuración predeterminada.
Valor por defecto:
Habilitado. (Se habilitará la supervisión del comportamiento).
Referencias:
1. CCE-38389-3
830 | Página
Página 832
Controles CIS:
Versión 6
8.1 Implementar herramientas de protección de endpoints automatizadas

Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles.
dispositivos con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host.
Todos los eventos de detección de malware deben enviarse a la administración antimalware empresarial
herramientas y servidores de registro de eventos.
Versión 7


8.6 Centralizar el registro de antimalware

Envíe todos los eventos de detección de malware a las herramientas empresariales de administración antimalware y
servidores de registro de eventos para análisis y alertas.
18.9.77.8 Remediación

831 | Página
Página 833
18.9.77.9 Informes
Esta sección contiene configuraciones relacionadas con los informes de Windows Defender.

18.9.77.9.1 (L2) Asegúrese de que 'Configurar eventos de Watson' esté configurado en 'Deshabilitado'
(Puntuado)
Descripción:
Esta configuración de política le permite configurar si se envían o no eventos de Watson.
Razón fundamental:
Los eventos de Watson son los informes que se envían a Microsoft cuando un programa o servicio falla
o falla, incluida la posibilidad de envío automático. Evitar que esta información
El envío puede ayudar a reducir los problemas de privacidad.
Auditoría:

Defender \ Reporting: DisableGenericRePorts
832 | Página
Página 834
Remediación:

Componentes \ Windows Defender Antivirus \ Informes \ Configurar eventos de Watson
Impacto:
Los eventos de Watson no se enviarán a Microsoft automáticamente cuando un programa o servicio

se bloquea o falla.
Valor por defecto:
Habilitado. (Los eventos de Watson se enviarán a Microsoft automáticamente cuando un programa o servicio
se bloquea o falla.)
Referencias:
1. CCE-36950-4
Controles CIS:
Versión 6
Versión 7

833 | Página
Página 835
18.9.77.10 Escanear
Esta sección contiene configuraciones relacionadas con el análisis de Windows Defender.

18.9.77.10.1 (L1) Asegúrese de que 'Analizar unidades extraíbles' esté configurado en 'Activado'
(Puntuado)
Descripción:
Esta configuración de directiva le permite administrar si desea o no buscar software malintencionado y

software no deseado en el contenido de unidades extraíbles, como unidades flash USB, cuando
ejecutando un escaneo completo.
Razón fundamental:
Es importante asegurarse de que todas las unidades extraíbles presentes se incluyan siempre en cualquier tipo
del análisis, ya que es más probable que las unidades extraíbles contengan software malicioso
entorno gestionado por la empresa desde un equipo externo no gestionado.
Auditoría:

Defender \ Scan: DisableRemovableDriveScanning
834 | Página
Página 836
Remediación:

Componentes \ Antivirus de Windows Defender \ Analizar \ Analizar unidades extraíbles
Impacto:
Las unidades extraíbles se analizarán durante cualquier tipo de análisis por parte del Antivirus de Windows Defender.
Valor por defecto:
Discapacitado. (Las unidades extraíbles no se analizarán durante un análisis completo. Las unidades extraíbles pueden
aún se puede escanear durante el escaneo rápido y el escaneo personalizado).
Referencias:
1. CCE-38409-9
Controles CIS:
Versión 6
Versión 7

835 | Página
Página 837
18.9.77.10.2 (L1) Asegúrese de que 'Activar el análisis de correo electrónico' esté configurado como 'Activado'
(Puntuado)
Descripción:
Esta configuración de directiva le permite configurar el análisis de correo electrónico. Cuando el escaneo de correo
habilitado, el motor analizará el buzón y los archivos de correo, de acuerdo con su formato específico,
para analizar el cuerpo del correo y los archivos adjuntos. Actualmente hay varios formatos de correo electrónico
soportado, por ejemplo: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac).
Razón fundamental:
Los correos electrónicos entrantes deben ser analizados por una solución antivirus como Windows Defender
Antivirus, ya que los archivos adjuntos de correo electrónico son un vector de ataque comúnmente utilizado para infiltrarse en las computadoras
con software malintencionado.
Auditoría:

Defender \ Scan: Desactivar
Remediación:

Componentes \ Antivirus de Windows Defender \ Analizar \ Activar el análisis de correo electrónico
836 | Página
Página 838
Impacto:
Se habilitará el análisis de correo electrónico por el antivirus de Windows Defender.
Valor por defecto:
Discapacitado. (Se desactivará el análisis de correo electrónico por parte del antivirus de Windows Defender).
Referencias:
1. CCE-36958-7
Controles CIS:
Versión 6
Versión 7

837 | Página
Página 839
18.9.77.11 Actualizaciones de inteligencia de seguridad (anteriormente Signature

Actualizaciones)

Nota: Esta sección se denominó inicialmente Actualizaciones de firmas, pero Microsoft le cambió el nombre a
Actualizaciones de inteligencia de seguridad a partir de Microsoft Windows 10 Release 1903
18.9.77.12 Amenazas

838 | Página
Página 840
18.9.77.13 Protección contra exploits de Windows Defender

Esta sección contiene la configuración de Windows Defender Exploit Guard.

18.9.77.13.1 Reducción de la superficie de ataque

Esta sección contiene la configuración de Reducción de superficie de ataque.

18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté
Descripción:
Esta configuración de directiva controla el estado de las reglas de Reducción de la superficie de ataque (ASR).
Razón fundamental:
La reducción de la superficie de ataque ayuda a prevenir acciones y aplicaciones que suelen ser utilizadas por exploit-
buscando malware para infectar máquinas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender \ Windows

Defender Exploit Guard \ ASR: ExploitGuard_ASR_Rules
839 | Página
Página 841
Remediación:

Componentes \ Windows Defender Antivirus \ Windows Defender Exploit Guard \ Attack
Reducción de superficie \ Configurar reglas de reducción de superficie de ataque
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 10
Impacto:
Cuando se activa una regla, se mostrará una notificación del Centro de actividades.
Valor por defecto:
Discapacitado. (No se configurarán reglas de ASR).
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
840 | Página
Página 842
18.9.77.13.1.2 (L1) Asegúrese de 'Configurar reglas de reducción de superficie de ataque: Establecer

el estado de cada regla de ASR 'está' configurado '(puntuado)
Descripción:
Esta configuración de directiva establece las reglas de Reducción de la superficie de ataque.
26190899-1602-49e8-8b27-eb1d0a1ce869 - 1 (Aplicación de comunicación Block Office

de crear procesos secundarios)
3b576869-a4ec-4529-8536-b80a7769e899 - 1 (Bloquear la creación de aplicaciones de Office
contenido ejecutable)
5beb7efe-fd9a-4556-801d-275e5ffc04cc - 1 (Bloquear la ejecución de
guiones)
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 - 1 ( Impedir que las aplicaciones de Office inyecten
codificar en otros procesos)
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c - 1 ( Evite que Adobe Reader cree
procesos)
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b - 1 (Bloquear llamadas a la API de Win32 desde la macro de Office)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 - 1 (Bloquear
el robo de credenciales del
Subsistema de autoridad de seguridad local de Windows (lsass.exe))
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 - 1 (Bloquear procesos no confiables y sin firmar
que se ejecutan desde USB)
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 - 1 (Bloquear contenido ejecutable del cliente de correo electrónico
y webmail)
d3e037e1-3eb8-44c8-a917-57927947596d - 1 (Bloquear JavaScript o VBScript de
lanzar contenido ejecutable descargado)
d4f940ab-401b-4efc-aadc-ad5f3c50688a - 1 (Bloquear la creación de aplicaciones de Office
procesos secundarios)
Nota: Puede encontrar más información sobre las reglas de ASR en el siguiente enlace:Usar superficie de ataque
reglas de reducción para prevenir la infección por malware | Documentos de Microsoft
841 | Página
Página 843
Razón fundamental:
La reducción de la superficie de ataque ayuda a prevenir acciones y aplicaciones que suelen ser utilizadas por exploit-
buscando malware para infectar máquinas.
Auditoría:

Defender Exploit Guard \ ASR \ Rules: 26190899-1602-49e8-8b27-eb1d0a1ce869
Defender Exploit Guard \ ASR \ Rules: 3b576869-a4ec-4529-8536-b80a7769e899
Defender Exploit Guard \ ASR \ Rules: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Defender Exploit Guard \ ASR \ Rules: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Defender Exploit Guard \ ASR \ Rules: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Defender Exploit Guard \ ASR \ Rules: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Defender Exploit Guard \ ASR \ Rules: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Defender Exploit Guard \ ASR \ Rules: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Defender Exploit Guard \ ASR \ Rules: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Defender Exploit Guard \ ASR \ Rules: d3e037e1-3eb8-44c8-a917-57927947596d
Defender Exploit Guard \ ASR \ Rules: d4f940ab-401b-4efc-aadc-ad5f3c50688a
842 | Página
Página 844
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para que
26190899-1602-49e8-8b27-eb1d0a1ce869 , 3b576869-a4ec-4529-8536-b80a7769e899 ,
5beb7efe-fd9a-4556-801d-275e5ffc04cc , 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 ,
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c , 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b ,
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 , b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 ,
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 , d3e037e1-3eb8-44c8-a917-57927947596d y
d4f940ab-401b-4efc-aadc-ad5f3c50688a tienen cada uno un valor de 1 :

Componentes \ Windows Defender Antivirus \ Windows Defender Exploit Guard \ Attack
Reducción de superficie \ Configurar reglas de Reducción de superficie de ataque: Establezca el estado para
cada regla ASR
Impacto:
Cuando se activa una regla, se mostrará una notificación del Centro de actividades.
Valor por defecto:
Discapacitado. (No se configurarán reglas de ASR).
843 | Página
Página 845
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
18.9.77.13.2 Acceso controlado a carpetas


844 | Página
Página 846
18.9.77.13.3 Protección de red

Esta sección contiene la configuración de Protección de red de Windows.

sitios web peligrosos 'está configurado en' Habilitado: Bloquear '(puntuado)
Descripción:
Esta configuración de directiva controla la protección de red de Windows Defender Exploit Guard.
El estado recomendado para esta configuración es: Activado: Bloquear .
Razón fundamental:
Esta configuración puede ayudar a evitar que los empleados utilicen cualquier aplicación para acceder
dominios que pueden albergar estafas de phishing, sitios de alojamiento de exploits y otro contenido malicioso
En Internet.
Auditoría:

Defender Exploit Guard \ Network Protection: EnableNetworkProtection
845 | Página
Página 847
Remediación:
Bloque :

Componentes \ Windows Defender Antivirus \ Windows Defender Exploit Guard \ Red
Protección \ Evite que los usuarios y las aplicaciones accedan a sitios web peligrosos
Impacto:
Los usuarios y las aplicaciones no podrán acceder a dominios peligrosos.
Valor por defecto:
Discapacitado. (No se impedirá que los usuarios y las aplicaciones se conecten a

dominios.)
Controles CIS:
Versión 6

Versión 7

7.6 Registrar todas las solicitudes de URL

Registre todas las solicitudes de URL de cada uno de los sistemas de la organización, ya sea en el sitio o en un dispositivo móvil
dispositivo, con el fin de identificar actividad potencialmente maliciosa y ayudar a los manejadores de incidentes con
Identificar sistemas potencialmente comprometidos.
7.7 Uso de servicios de filtrado de DNS

Utilice los servicios de filtrado de DNS para ayudar a bloquear el acceso a dominios maliciosos conocidos.
846 | Página
Página 848
18.9.77.14 (L1) Asegúrese de que 'Configure la detección para aplicaciones potencialmente no deseadas
aplicaciones 'está configurado como' Habilitado: Bloquear '(puntuado)
Descripción:
Esta configuración de directiva controla la detección y la acción de aplicaciones potencialmente no deseadas

(PUA), que son paquetes de aplicaciones furtivos no deseados o sus aplicaciones empaquetadas, que
puede entregar adware o malware.
El estado recomendado para esta configuración es: Activado: Bloquear .
Para obtener más información, consulte este enlace: Bloquea aplicaciones potencialmente no deseadas con Windows
Defender Antivirus | Documentos de Microsoft
Razón fundamental:
Las aplicaciones potencialmente no deseadas pueden aumentar el riesgo de que su red se infecte
con malware, hacen que las infecciones de malware sean más difíciles de identificar y pueden desperdiciar TI
recursos en la limpieza de las aplicaciones. Deben estar bloqueados para la instalación.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender: PUAProtection
Remediación:
Bloque :

Componentes \ Antivirus de Windows Defender \ Configurar la detección de posibles
aplicaciones no deseadas

847 | Página
Página 849
Impacto:
Las aplicaciones identificadas por Microsoft como PUA se bloquearán durante la descarga e instalación.
hora.
Valor por defecto:
Discapacitado. (Las aplicaciones identificadas por Microsoft como PUA no se bloquearán).
Controles CIS:
Versión 7



848 | Página
Página 850
18.9.77.15 (L1) Asegúrese de que 'Desactivar Windows Defender AntiVirus' esté configurado en
Descripción:
Esta configuración de directiva desactiva el antivirus de Windows Defender. Si el ajuste está configurado para
Deshabilitado, el antivirus de Windows Defender se ejecuta y los equipos se analizan en busca de malware y
otro software potencialmente no deseado.
Razón fundamental:
Es importante asegurarse de que un producto antivirus actualizado y actualizado esté escaneando cada computadora
para la actividad de archivos maliciosos. Microsoft proporciona una solución competente lista para usar en
Antivirus de Windows Defender.
Las organizaciones que opten por comprar una solución antivirus de terceros de buena reputación pueden elegir
eximirse de esta recomendación en lugar de la alternativa comercial.
Auditoría:

Defensor: DisableAntiSpyware
849 | Página
Página 851
Remediación:

Componentes \ Antivirus de Windows Defender \ Desactivar Antivirus de Windows Defender

WindowsDefender.admx / adml que se incluye con todas las versiones de Microsoft Windows
llamado Apagar Windows Defender , pero se le cambió el nombre a partir de Windows 10
Plantillas administrativas de la versión 1703.
Impacto:
Valor por defecto:
Discapacitado. (El antivirus de Windows Defender se ejecuta y los equipos se analizan en busca de malware y
otro software potencialmente no deseado).
Referencias:
1. CCE-36082-6
850 | Página
Página 852
Controles CIS:
Versión 6
8.1 Implementar herramientas de protección de endpoints automatizadas
Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles.
dispositivos con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host.
Todos los eventos de detección de malware deben enviarse a la administración antimalware empresarial
herramientas y servidores de registro de eventos.
Versión 7


18.9.78 Protección de aplicaciones de Windows Defender

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo AppHVSI.admx / adml
(o mas nuevo).
18.9.79 Protección contra exploits de Windows Defender


ExploitGuard.admx / adml quese incluye con Microsoft Windows 10 Release 1709
851 | Página
Página 853
18.9.80 SmartScreen de Windows Defender

Esta sección contiene la configuración de SmartScreen de Windows Defender.

SmartScreen.admx / adml quese incluye con Microsoft Windows 10 Release 1703
18.9.80.1 Explorador
Esta sección contiene recomendaciones para Windows Defender relacionado con el Explorador
Configuración de SmartScreen.
La configuración de la Política de grupo contenida en esta sección es proporcionada por la Política de grupo
plantilla WindowsExplorer.admx / adml que se incluye con Microsoft Windows 10
18.9.80.1.1 (L1) Asegúrese de que 'Configurar SmartScreen de Windows Defender' esté

establecido en 'Habilitado: advertir y evitar omisión' (puntuado)
Descripción:
Esta configuración de política le permite administrar el comportamiento de Windows SmartScreen. Ventanas

SmartScreen ayuda a mantener las PC más seguras al advertir a los usuarios antes de ejecutar programas no reconocidos
descargado de Internet. Se envía cierta información a Microsoft sobre archivos y
Los programas se ejecutan en PC con esta función habilitada.
El estado recomendado para esta configuración es: Habilitado: advierte y evita la omisión .
Razón fundamental:
Windows SmartScreen ayuda a mantener las PC más seguras al advertir a los usuarios antes de que se ejecuten sin ser reconocidos
programas descargados de Internet. Sin embargo, debido al hecho de que cierta información
enviado a Microsoft sobre archivos y programas que se ejecutan en PC, algunas organizaciones pueden preferir
desactivarlo.
852 | Página
Página 854
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Sistema: EnableSmartScre

en
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Sistema: ShellSmartScree
nLevel
Remediación:
Advertir y prevenir bypass :

Componentes \ Windows Defender SmartScreen \ Explorer \ Configurar Windows Defender
Pantalla inteligente
plantilla WindowsExplorer.admx / adml que se incluye con Microsoft Windows 8.0 y
llamado Configurar Windows SmartScreen , pero se le cambió el nombre a partir de Windows 10
Plantillas administrativas de la versión 1703.
Impacto:
Los usuarios serán advertidos antes de que se les permita ejecutar programas descargados no reconocidos.
desde Internet.
Valor por defecto:
Discapacitado. (El comportamiento de Windows SmartScreen lo gestionan los administradores de la PC

usando la configuración de Windows SmartScreen en el Centro de actividades).
Referencias:
1. CCE-35859-8
853 | Página
Página 855
Controles CIS:
Versión 6

Versión 7

manera oportuna

7.2 Deshabilitar complementos de cliente de correo electrónico o navegador innecesarios o no autorizados

Desinstale o deshabilite cualquier navegador o complemento o complemento de cliente de correo electrónico no autorizado
aplicaciones.
7.3 Limitar el uso de lenguajes de secuencias de comandos en navegadores web y clientes de correo electrónico
Asegúrese de que solo los lenguajes de secuencias de comandos autorizados puedan ejecutarse en todos los navegadores web y
clientes de correo electrónico.
854 | Página
Página 856
18.9.81 Informe de errores de Windows


ErrorReporting.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.82 Grabación y transmisión de juegos de Windows

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo GameDVR.admx / adml
18.9.83 Windows Hello para empresas (anteriormente Microsoft

Pasaporte para el trabajo)
Nota: Esta sección se llamó inicialmente Microsoft Passport for Work, pero fue renombrada por
Microsoft a Windows Hello para empresas a partir de la versión de Microsoft Windows 10
Plantillas administrativas 1607 y Server 2016.
855 | Página
Página 857
18.9.84 Espacio de trabajo de Windows Ink

Esta sección contiene recomendaciones relacionadas con el área de trabajo de Windows Ink.

WindowsInkWorkspace.admx / adml quese incluye con la versión de Microsoft Windows 10
18.9.84.1 (L2) Asegúrese de 'Permitir aplicaciones sugeridas en el área de trabajo de Windows Ink'
está configurado como 'Desactivado' (puntuado)
Descripción:
Esta configuración de directiva determina si las aplicaciones sugeridas en Windows Ink Workspace son
permitido.
Razón fundamental:
Esta función de Microsoft está diseñada para recopilar datos y sugerir aplicaciones basadas en esos datos.
recogido. Deshabilitar esta configuración ayudará a garantizar que sus datos no se compartan con terceros.
partido.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ WindowsInkWorkspace: AllowSugge

stedAppsInWindowsInkWorkspace
856 | Página
Página 858
Remediación:

Componentes \ Área de trabajo de Windows Ink \ Permitir aplicaciones sugeridas en Windows Ink
Espacio de trabajo
plantilla WindowsInkWorkspace.admx / adml que se incluye con Microsoft Windows 10
Impacto:
No se permitirán las aplicaciones sugeridas en Windows Ink Workspace.
Valor por defecto:
Habilitado. (Se permitirán las aplicaciones sugeridas en Windows Ink Workspace).
Controles CIS:
Versión 6
Versión 7


857 | Página
Página 859
18.9.84.2 (L1) Asegúrese de que 'Permitir el espacio de trabajo de Windows Ink' esté configurado como 'Habilitad
Activado, pero no permite el acceso por encima del bloqueo 'O' Desactivado 'pero no' Activado: Activado '
(Puntuado)
Descripción:
Esta configuración de directiva determina si los elementos de Windows Ink están permitidos por encima del candado
pantalla.
El estado recomendado para esta configuración es: Activado: Activado, pero no permite el acceso anterior
bloquear O inhabilitado .
Razón fundamental:
No se recomienda permitir el acceso a las aplicaciones mientras el sistema está bloqueado. Si esto
La función está permitida, solo debe ser accesible una vez que el usuario se autentica con el
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ WindowsInkWorkspace: AllowWindo

wsInkWorkspace
858 | Página
Página 860
Remediación:
Activado, pero no permite el acceso por encima del bloqueo O Desactivado :

Componentes \ Espacio de trabajo de Windows Ink \ Permitir espacio de trabajo de Windows Ink
plantilla WindowsInkWorkspace.admx / adml que se incluye con Microsoft Windows 10
Impacto:
No se permitirá el espacio de trabajo de Windows Ink sobre la pantalla de bloqueo.
Valor por defecto:
Habilitado. (Se permite el espacio de trabajo de Windows Ink encima de la pantalla de bloqueo).
Controles CIS:
Versión 6
Versión 7

859 | Página
Página 861
18.9.85 Instalador de Windows

Esta sección contiene recomendaciones relacionadas con Windows Installer.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSI.admx / adml que es
18.9.85.1 (L1) Asegúrese de que 'Permitir el control del usuario sobre las instalaciones' esté configurado como 'D
(Puntuado)
Descripción:
Esta configuración controla si los usuarios pueden cambiar las opciones de instalación que
normalmente están disponibles solo para administradores de sistemas. Las funciones de seguridad de Windows
El instalador normalmente evita que los usuarios cambien las opciones de instalación que normalmente son
reservado para los administradores del sistema, como especificar el directorio en el que se
instalado. Si Windows Installer detecta que un paquete de instalación ha permitido al usuario
para cambiar una opción protegida, detiene la instalación y muestra un mensaje. Estas
Las funciones de seguridad funcionan solo cuando el programa de instalación se ejecuta en un entorno privilegiado.
contexto de seguridad en el que tiene acceso a directorios denegados al usuario.
Razón fundamental:
En un entorno gestionado por la empresa, solo el personal de TI con derechos administrativos debe
instalar o cambiar software en un sistema. Permitir a los usuarios la capacidad de tener cualquier control
las instalaciones excesivas pueden correr el riesgo de que se instale o elimine software no aprobado de un sistema,
lo que podría hacer que el sistema se volviera vulnerable a compromisos.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer: EnableUserCo

ntrol
860 | Página
Página 862
Remediación:

Componentes \ Windows Installer \ Permitir que el usuario controle las instalaciones
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo MSI.admx / adml que
Habilite el control del usuario sobre las instalaciones , pero se le cambió el nombre a partir de Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2).
Impacto:
Valor por defecto:
Discapacitado. (Las funciones de seguridad de Windows Installer evitarán que los usuarios cambien
opciones de instalación normalmente reservadas para los administradores del sistema, como especificar el
directorio en el que se instalan los archivos).
Referencias:
1. CCE-36400-0
861 | Página
Página 863
Controles CIS:
Versión 6

Versión 7


862 | Página
Página 864
18.9.85.2 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado en
Descripción:
Esta configuración controla si Windows Installer debe usar los permisos del sistema o no
cuando instala cualquier programa en el sistema.
Nota: esta configuración aparece tanto en la configuración del equipo como en la configuración del usuario
carpetas. Para que esta configuración sea efectiva, debe habilitar la configuración en ambas carpetas.
Precaución: si está habilitado, los usuarios capacitados pueden aprovechar los permisos que otorga esta configuración
para cambiar sus privilegios y obtener acceso permanente a archivos y carpetas restringidos. Nota
que no se garantiza que la versión de configuración de usuario de esta configuración sea segura.
Razón fundamental:
Los usuarios con privilegios limitados pueden aprovechar esta función creando un instalador de Windows
paquete de instalación que crea una nueva cuenta local que pertenece al local integrado
Grupo de administradores, agrega su cuenta actual al grupo de administradores integrado local,
instala software malintencionado o realiza otras actividades no autorizadas.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Installer: AlwaysInstal

elevado
863 | Página
Página 865
Remediación:

Componentes \ Windows Installer \ Instalar siempre con privilegios elevados
Impacto:
Valor por defecto:
Discapacitado. (Windows Installer aplicará los permisos del usuario actual cuando se instale
programas que un administrador del sistema no distribuye ni ofrece. Esto evitará
que los usuarios estándar instalen aplicaciones que afecten a los elementos de configuración de todo el sistema).
Referencias:
1. CCE-36919-9
Controles CIS:
Versión 6

Versión 7

864 | Página
Página 866
18.9.85.3 (L2) Asegúrese de 'Evitar el mensaje de seguridad de Internet Explorer para

Los scripts de Windows Installer 'están configurados como' Deshabilitados '(puntuados)
Descripción:
Esta configuración de directiva controla si los programas basados en web pueden instalar software
en la computadora sin notificar al usuario.
Razón fundamental:
Suprimir la advertencia del sistema puede suponer un riesgo de seguridad y aumentar la superficie de ataque en
el sistema.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer: SafeForScrip

tintineo
Remediación:

Componentes \ Windows Installer \ Prevenir el mensaje de seguridad de Internet Explorer para
Secuencias de comandos de Windows Installer
llamado Deshabilitar el indicador de seguridad de IE para los scripts de Windows Installer , pero se cambió el nombre al comenzar
con las plantillas administrativas de Windows 8.0 y Server 2012 (no R2).
865 | Página
Página 867
Impacto:
Valor por defecto:
Discapacitado. (Cuando un script alojado en un navegador de Internet intenta instalar un programa en el

sistema, el sistema advierte a los usuarios y les permite seleccionar o rechazar la instalación).
Referencias:
1. CCE-37524-6
Controles CIS:
Versión 6

Versión 7
7.3 Limitar el uso de lenguajes de secuencias de comandos en navegadores web y clientes de correo electrónico
Asegúrese de que solo los lenguajes de secuencias de comandos autorizados puedan ejecutarse en todos los navegadores web y
clientes de correo electrónico.
866 | Página
Página 868
18.9.86 Opciones de inicio de sesión de Windows

Esta sección contiene recomendaciones relacionadas con las opciones de inicio de sesión de Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinLogon.admx / adml
18.9.86.1 (L1) Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo

automáticamente después de un reinicio 'se establece en' Desactivado '(puntuado)

Descripción:
Esta configuración de directiva controla si un dispositivo iniciará sesión automáticamente en la última

usuario después de que Windows Update reinicie el sistema.
Razón fundamental:
La desactivación de esta función evitará el almacenamiento en caché de las credenciales del usuario y el uso no autorizado de
el dispositivo y también asegúrese de que el usuario esté al tanto del reinicio.
Auditoría:
prescrito.
Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:

DisableAutomaticRestartSignOn
867 | Página
Página 869
Remediación:

Componentes \ Opciones de inicio de sesión de Windows \ Iniciar sesión y bloquear el último usuario interactivo
automáticamente después de un reinicio
plantilla WinLogon.admx / adml que se incluye con Microsoft Windows 8.1 & Server
llamado Iniciar sesión como último usuario interactivo automáticamente después de un reinicio iniciado por el sistema , pero fue
renombrado a partir de las plantillas administrativas de Windows 10 Release 1903.
Impacto:
El dispositivo no almacena las credenciales del usuario para el inicio de sesión automático después de una
Reinicio de actualización. Las aplicaciones de la pantalla de bloqueo de los usuarios no se reinician después de que se reinicia el sistema. los
El usuario debe presentar las credenciales de inicio de sesión para continuar después del reinicio.
Valor por defecto:

Habilitado. (El dispositivo guarda de forma segura las credenciales del usuario (incluido el nombre de usuario,
dominio y contraseña cifrada) para configurar el inicio de sesión automático después de una actualización de Windows
reiniciar. Después de reiniciar Windows Update, el usuario inicia sesión automáticamente y el
la sesión se bloquea automáticamente con todas las aplicaciones de la pantalla de bloqueo configuradas para ese usuario).
Referencias:
1. CCE-36977-7
Notas:
Deshabilite esta configuración de política para que el dispositivo no almacene las credenciales del usuario para
el inicio de sesión automático después de un reinicio de Windows Update y las aplicaciones de la pantalla de bloqueo de los usuarios no son
reiniciado después de que el sistema se reinicia.
868 | Página
Página 870
Controles CIS:
Versión 6
Versión 7

18.9.87 Correo de Windows


WindowsMail.admx / adml que solo se incluye con Microsoft Windows Vista hasta
las plantillas administrativas de la versión 1703 de Windows 10.
18.9.88 Windows Media Center


MediaCenter.admx / adml quesolo se incluye con Microsoft Windows Vista a través de
18.9.89 Administración de derechos digitales de Windows Media


WindowsMediaDRM.admx / adml que se incluye con todas las versiones de Microsoft Windows
869 | Página
Página 871
18.9.90 Reproductor de Windows Media


WindowsMediaPlayer.admx / adml que
18.9.91 Espacio para reuniones de Windows


WindowsCollaboration.admx / adml que
y Plantillas administrativas de Server 2008 (no R2).
18.9.92 Windows Messenger


WindowsMessenger.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.93 Centro de movilidad de Windows


MobilePCMobilityCenter.admx / adml que
870 | Página
Página 872
18.9.94 Windows Movie Maker

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MovieMaker.admx / adml
que solo se incluye con Microsoft Windows Vista y Server 2008 (no R2)
871 | Página
Página 873
18.9.95 Windows PowerShell

Esta sección contiene recomendaciones relacionadas con Windows PowerShell.
PowerShellExecutionPolicy.admx / adml que
se incluye con Microsoft Windows 8.0
& Server 2012 (no R2) Plantillas administrativas (o más recientes).
18.9.95.1 (L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté co
Descripción:
Esta configuración de directiva habilita el registro de todas las entradas del script de PowerShell en Microsoft-Windows-
Registro de eventos de PowerShell / Operational.
Nota: En la propia guía de refuerzo de Microsoft, recomiendan el valor opuesto,

Habilitado ,
porque tener estos datos registrados mejora las investigaciones de ataques de PowerShell
incidentes. Sin embargo, la ACL predeterminada en el registro operativo de PowerShell permite
Usuario (es decir, cualquier usuario que haya iniciado sesión) para leerlo y, por lo tanto, posiblemente exponer contraseñas u otros
información sensible a usuarios no autorizados. Si Microsoft bloquea la ACL predeterminada en
que inicie sesión en el futuro (por ejemplo, para restringirlo solo a los administradores), luego volveremos a visitar este
recomendación en una versión futura.
Razón fundamental:
Existen riesgos potenciales de capturar contraseñas en los registros de PowerShell. Esta configuración debería
solo se necesita para fines de depuración, y no en funcionamiento normal, es importante
asegúrese de que esté configurado como Desactivado .
872 | Página
Página 874
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ PowerShell \ ScriptBlock

Registro: EnableScriptBlockLogging
Remediación:

Componentes \ Windows PowerShell \ Activar el registro de bloques de secuencias de comandos de PowerShell
plantilla PowerShellExecutionPolicy.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 10 RTM (versión 1507) (o más reciente).
Impacto:
El registro de la entrada del script de PowerShell está deshabilitado.
Valor por defecto:
Habilitado. (PowerShell registrará los bloques de scripts la primera vez que se utilicen).
Controles CIS:
Versión 6
Versión 7

873 | Página
Página 875
18.9.95.2 (L1) Asegúrese de que 'Activar la transcripción de PowerShell' esté configurado en

Descripción:
Esta configuración de directiva le permite capturar la entrada y salida de Windows PowerShell

comandos en transcripciones basadas en texto.
Razón fundamental:
Si esta configuración está habilitada, existe el riesgo de que las contraseñas se almacenen en texto sin formato en la
Archivo de salida de PowerShell_transcript .
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ PowerShell \ Transcripti

on: EnableTranscripting
Remediación:

Componentes \ Windows PowerShell \ Activar la transcripción de PowerShell
plantilla PowerShellExecutionPolicy.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 10 RTM (versión 1507) (o más reciente).
Impacto:
874 | Página
Página 876
Valor por defecto:
Discapacitado. (La transcripción de aplicaciones basadas en PowerShell está deshabilitada de forma predeterminada, aunque
la transcripción aún se puede habilitar a través del cmdlet Start-Transcript ).
Controles CIS:
Versión 6
Versión 7

18.9.96 Análisis de confiabilidad de Windows

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo RacWmiProv.admx / adml
(o mas nuevo).
875 | Página
Página 877
18.9.97 Administración remota de Windows (WinRM)

Esta sección contiene recomendaciones relacionadas con la administración remota de Windows
(WinRM).

WindowsRemoteManagement.admx / adml que se incluye con todas las versiones de Microsoft
18.9.97.1 Cliente WinRM

(WinRM) cliente.

18.9.97.1.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado como 'Deshabilitado'
(Puntuado)
Descripción:
Esta configuración de política le permite administrar si la Administración remota de Windows

El cliente (WinRM) utiliza la autenticación básica.
Razón fundamental:
La autenticación básica es menos robusta que otros métodos de autenticación disponibles en WinRM
porque las credenciales, incluidas las contraseñas, se transmiten en texto sin formato. Un atacante que es
capaz de capturar paquetes en la red donde se ejecuta WinRM puede ser capaz de determinar
las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
876 | Página
Página 878
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WinRM \ Cliente: AllowBasi

C
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Cliente WinRM \ Permitir básico
autenticación

Impacto:
Valor por defecto:
Discapacitado. (El cliente WinRM no utiliza la autenticación básica).
Referencias:
1. CCE-36310-1
877 | Página
Página 879
Controles CIS:
Versión 6
16.13 La autenticación de usuario / cuenta debe realizarse a través de canales cifrados

Versión 7
14.4 Cifrar toda la información confidencial en tránsito

Cifre toda la información confidencial en tránsito.

878 | Página
Página 880
18.9.97.1.2 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado'
(Puntuado)
Descripción:

(WinRM) envía y recibe mensajes sin cifrar a través de la red.
Razón fundamental:
Cifrar el tráfico de la red WinRM reduce el riesgo de que un atacante vea o modifique
Mensajes WinRM a medida que transitan por la red.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WinRM \ Client: AllowUnen

tráfico cifrado
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Cliente WinRM \ Permitir sin cifrar
tráfico

Impacto:
879 | Página
Página 881
Valor por defecto:
Discapacitado. (El cliente WinRM envía o recibe solo mensajes encriptados a través de la red).
Referencias:
1. CCE-37726-7
Controles CIS:
Versión 6

Versión 7


880 | Página
Página 882
18.9.97.1.3 (L1) Asegúrese de que 'No permitir autenticación implícita' esté configurado en
Descripción:

El cliente (WinRM) no utilizará la autenticación implícita.
Razón fundamental:
La autenticación implícita es menos robusta que otros métodos de autenticación disponibles en WinRM,
un atacante que pueda capturar paquetes en la red donde se ejecuta WinRM puede ser
capaz de determinar las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WinRM \ Cliente: AllowDige

St
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Cliente WinRM \ Disallow Digest
autenticación

881 | Página
Página 883
Impacto:
El cliente WinRM no utilizará la autenticación implícita.
Valor por defecto:
Discapacitado. (El cliente WinRM utilizará la autenticación implícita).
Referencias:
1. CCE-38318-2
Controles CIS:
Versión 6

Versión 7


882 | Página
Página 884
18.9.97.2 Servicio WinRM

(WinRM) servicio.

(Puntuado)
Descripción:

El servicio (WinRM) acepta la autenticación básica de un cliente remoto.
Razón fundamental:
La autenticación básica es menos robusta que otros métodos de autenticación disponibles en WinRM
porque las credenciales, incluidas las contraseñas, se transmiten en texto sin formato. Un atacante que es
capaz de capturar paquetes en la red donde se ejecuta WinRM puede ser capaz de determinar
las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WinRM \ Servicio: AllowBas

ic
883 | Página
Página 885
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Servicio WinRM \ Permitir básico
autenticación

Impacto:
Valor por defecto:
Discapacitado. (El servicio WinRM no aceptará la autenticación básica de un cliente remoto).
Referencias:
1. CCE-36254-1
Controles CIS:
Versión 6
Versión 7


884 | Página
Página 886
18.9.97.2.2 (L2) Asegúrese de 'Permitir la administración remota del servidor

WinRM 'está configurado como' Desactivado '(puntuado)
Descripción:

(WinRM) el servicio escucha automáticamente en la red las solicitudes en el transporte HTTP
a través del puerto HTTP predeterminado.
Razón fundamental:
Cualquier característica es una vía potencial de ataque, aquellas que permiten conexiones de red entrantes.
son particularmente riesgosos. Solo habilite el uso de la administración remota de Windows (WinRM)
servicio en redes confiables y, cuando sea posible, emplee controles adicionales como IPsec.
Auditoría:
prescrito. Este objeto de política de grupo está respaldado por la siguiente ubicación de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WinRM \ Servicio: AllowAut

oConfig
Remediación:
Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Windows

Administración remota (WinRM) \ Servicio WinRM \ Permitir la administración remota del servidor
a través de WinRM
llamado Permitir la configuración automática de oyentes , pero se le cambió el nombre comenzando con el
Plantillas administrativas de Windows 8.0 y Server 2012 (no R2).
885 | Página
Página 887
Impacto:
Valor por defecto:
Discapacitado. (El servicio WinRM no responderá a las solicitudes de una computadora remota,
independientemente de si se han configurado o no oyentes de WinRM).
Referencias:
1. CCE-37927-1
Controles CIS:
Versión 6
9.3 Realizar escaneo de puertos automatizado regular

Realice análisis de puertos automatizados de forma regular en todos los servidores clave y compare con
una línea de base efectiva conocida. Si un cambio que no figura en la lista aprobada de la organización
se descubre la línea de base, se debe generar y revisar una alerta.
Versión 7
886 | Página
Página 888
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado'
(Puntuado)
Descripción:

(WinRM) envía y recibe mensajes sin cifrar a través de la red.
Razón fundamental:
Cifrar el tráfico de la red WinRM reduce el riesgo de que un atacante vea o modifique
Mensajes WinRM a medida que transitan por la red.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WinRM \ Service: AllowUne

ncryptedTraffic
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Servicio WinRM \ Permitir sin cifrar
tráfico

Impacto:
887 | Página
Página 889
Valor por defecto:
Discapacitado. (El servicio WinRM envía o recibe solo mensajes cifrados a través del
red.)
Referencias:
1. CCE-38223-4
Controles CIS:
Versión 6

Versión 7


888 | Página
Página 890
18.9.97.2.4 (L1) Asegúrese de 'No permitir que WinRM almacene RunAs

Descripción:

El servicio (WinRM) permitirá que las credenciales RunAs se almacenen para cualquier complemento.
Nota: Si habilita y luego deshabilita esta configuración de directiva, cualquier valor que
configurado para RunAsPassword deberá restablecerse.
Razón fundamental:
Aunque la capacidad de almacenar credenciales RunAs es una característica conveniente, aumenta el riesgo
del compromiso de la cuenta levemente. Por ejemplo, si olvida bloquear su escritorio antes
dejándolo desatendido durante unos minutos, otra persona podría acceder no solo al escritorio
de su computadora, pero también cualquier host que administre a través de WinRM con RunAs en caché
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WinRM \ Service: DisableR

unAs
889 | Página
Página 891
Remediación:

Componentes \ Administración remota de Windows (WinRM) \ Servicio WinRM \ Disallow WinRM
de almacenar credenciales RunAs
plantilla WindowsRemoteManagement.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 8.0 y Server 2012 (no R2) (o más reciente).
Impacto:
El servicio WinRM no permitirá que los valores de configuración RunAsUser o RunAsPassword

configurarse para cualquier complemento. Si un complemento ya ha configurado RunAsUser y RunAsPassword
valores de configuración, el valor de configuración RunAsPassword se borrará de la
almacenamiento de credenciales en la computadora.
Si esta configuración se vuelve a deshabilitar más tarde, cualquier valor que se haya configurado previamente para
RunAsPassword deberá reiniciarse.
Valor por defecto:
Discapacitado. (El servicio WinRM permitirá la configuración RunAsUser y RunAsPassword

valores que se establecerán para los complementos y el valor de RunAsPassword se almacenará de forma segura).
Referencias:
1. CCE-36000-8
Controles CIS:
Versión 6
Versión 7
14.3 Deshabilitar la comunicación entre estaciones de trabajo

Desactive todas las comunicaciones entre estaciones de trabajo para limitar la capacidad de un atacante de
moverse lateralmente y comprometer los sistemas vecinos, a través de tecnologías como Private
VLAN o microsegmentación.
890 | Página
Página 892
18.9.98 Shell remoto de Windows

Esta sección contiene configuraciones relacionadas con Windows Remote Shell (WinRS).

WindowsRemoteShell.admx / adml que
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado en 'Deshabilitado'
(Puntuado)
Descripción:
Esta configuración de política le permite administrar la configuración del acceso remoto a todos los
shells para ejecutar scripts y comandos.
Nota: El texto de ayuda de GPME para esta configuración está redactado incorrectamente, lo que implica que configurarlo
a Habilitado rechazará nuevas conexiones Shell remoto, y se establece para minusválidos permitirá
Conexiones de Shell remoto. Lo contrario es cierto (y es consistente con el título de la
ajuste). Este es un error de redacción de Microsoft en la plantilla administrativa.
Razón fundamental:
Cualquier característica es una vía potencial de ataque, aquellas que permiten conexiones de red entrantes.
son particularmente riesgosos. Solo habilite el uso de Windows Remote Shell en confiables
redes y, cuando sea posible, emplee controles adicionales como IPsec.
Auditoría:
prescrito. Este objeto de política de grupo está respaldado por la siguiente ubicación de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WinRM \ Service \ WinRS: Al

lowRemoteShellAccess
891 | Página
Página 893
Remediación:
Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Windows

Shell remoto \ Permitir acceso a Shell remoto

WindowsRemoteShell.admx / adml que
Impacto:
No se permiten nuevas conexiones de Shell remoto y el servidor las rechaza.
Nota: en el servidor 2012 (no R2) y más reciente, debido a cambios de diseño en el sistema operativo después del servidor
2008 R2, configurar esta configuración según lo prescrito evitará la capacidad de agregar o quitar
Funciones y funciones (incluso localmente) a través de la GUI. Por lo tanto, recomendamos que la necesaria
Los roles y características deben instalarse antes de configurar esta opción en un servidor de nivel 2.
Alternativamente, los roles y características aún se pueden agregar o eliminar usando PowerShell
comandos Add-WindowsFeature o Remove-WindowsFeature en el Administrador del servidor
módulo, incluso con este ajuste configurado.
Valor por defecto:
Habilitado. (Se permiten nuevas conexiones de Shell remoto).
Referencias:
1. CCE-36499-2
892 | Página
Página 894
Controles CIS:
Versión 6
Versión 7

acceso.

893 | Página
Página 895
18.9.99 Seguridad de Windows (anteriormente Windows Defender

Centro de Seguridad)
Esta sección contiene recomendaciones relacionadas con la consola del Centro de seguridad de Windows
ajustes.

WindowsDefenderSecurityCenter.admx / adml que
Nota: Esta sección originalmente se llamaba Centro de seguridad de Windows Defender, pero se
renombrado por Microsoft a Seguridad de Windows a partir de la versión de Microsoft Windows 10
18.9.99.1 Protección de la cuenta

WindowsDefenderSecurityCenter.admx / adml que se incluye con Microsoft Windows
894 | Página
Página 896
18.9.99.2 Protección de aplicaciones y navegadores

Esta sección contiene la configuración de protección del navegador y la aplicación.

WindowsDefenderSecurityCenter.admx / adml que
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté establecido en
Descripción:
Esta configuración de política evita que los usuarios realicen cambios en la configuración de protección contra vulnerabilidades
área en la configuración de seguridad de Windows.
Razón fundamental:
Solo el personal de TI autorizado debe poder realizar cambios en la configuración de protección contra vulnerabilidades en
para asegurar que la configuración específica de la organización no se modifique.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender Security

Centro \ Protección de aplicaciones y navegador: DisallowExploitProtectionOverride
895 | Página
Página 897
Remediación:

Componentes \ Seguridad de Windows \ Protección de aplicaciones y navegadores \ Evitar que los usuarios
modificar la configuración
plantilla WindowsDefenderSecurityCenter.admx / adml que se incluye con Microsoft
Plantillas administrativas de la versión 1709 de Windows 10 (o más reciente).
Impacto:
Los usuarios locales no pueden realizar cambios en el área de configuración de protección contra vulnerabilidades.
Valor por defecto:
Discapacitado. (Los usuarios locales pueden realizar cambios en el área de configuración de protección contra vulnerabilidades).
Controles CIS:
Versión 6

ejecutables.
Versión 7
Tecnologías
896 | Página
Página 898
18.9.100 SideShow de Windows

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo SideShow.admx / adml
que solo se incluye con las Plantillas administrativas de Microsoft Windows Vista a través de
Plantillas administrativas de Microsoft Windows 8.0 y Server 2012 (no R2).
18.9.101 Administrador de recursos del sistema de Windows


SystemResourceManager.admx / adml que
solo se incluye con Microsoft Windows
Vista a través de Windows 8.0 y Server 2012 (no R2) Plantillas administrativas.
897 | Página
Página 899
18.9.102 Actualización de Windows

Esta sección contiene recomendaciones relacionadas con Windows Update.

WindowsUpdate.admx / adml que se incluye con todas las versiones de Microsoft Windows
18.9.102.1 Windows Update para empresas (anteriormente Aplazar

Actualizaciones de Windows)
Esta sección contiene recomendaciones relacionadas con Windows Update para empresas.

WindowsUpdate.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Nota: Esta sección se llamó inicialmente Aplazar actualizaciones de Windows, pero fue renombrada por
Actualización de Microsoft a Windows para empresas a partir de la versión de Microsoft Windows 10
1709 Plantillas administrativas.
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado en 'Habilitado:
Deshabilitar compilaciones de vista previa '(puntuadas)
Descripción:
Esta configuración de directiva determina si los usuarios pueden acceder al programa Windows Insider
controles en Configuración -> Actualización y seguridad. Estos controles permiten a los usuarios hacer su
dispositivos disponibles para descargar e instalar versiones preliminares (beta) de Windows
software.
El estado recomendado para esta configuración es: Habilitado: deshabilita las compilaciones de vista previa .
898 | Página
Página 900
Razón fundamental:
Puede ser arriesgado que se permitan funciones experimentales en una empresa administrada
entorno porque esto puede introducir errores y agujeros de seguridad en los sistemas, lo que
más fácil para un atacante obtener acceso. Por lo general, se prefiere usar solo productos listos para producción.
construye.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate: ManagePr

eviewBuilds
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate: ManagePr
eviewBuildsPolicyValue
Remediación:
Deshabilitar compilaciones de vista previa :

Componentes \ Windows Update \ Windows Update para empresas \ Administrar compilaciones de vista previa
plantilla WindowsUpdate.admx / adml que se incluye con Microsoft Windows 10
Impacto:
Las compilaciones de vista previa no se pueden instalar en el dispositivo.
Valor por defecto:
Discapacitado. (Las compilaciones de vista previa no se instalan en el dispositivo, a menos que el usuario opte por
Configuración -> Actualización y seguridad)
899 | Página
Página 901
Controles CIS:
Versión 6

Versión 7
2.3 Utilizar herramientas de inventario de software

Utilice herramientas de inventario de software en toda la organización para automatizar la
documentación de todo el software en los sistemas comerciales.

manera oportuna
900 | Página
Página 902
18.9.102.1.2 (L1) Asegúrese de 'Seleccionar cuando obtenga una vista previa de las compilaciones y característic
Se reciben actualizaciones 'está configurado como' Habilitado: Canal semianual, 180 o
más días '(puntuados)
Descripción:
Esta configuración de directiva determina el nivel de la versión preliminar o las actualizaciones de funciones que se recibirán, y
cuando.
El nivel de preparación de Windows para cada nueva actualización de funciones de Windows 10 se clasifica en una
de 5 categorías, dependiendo del nivel de comodidad de su organización al recibirlos:
• Vista previa de compilación - Rápido: los dispositivos configurados en este nivel serán los primeros en recibir nuevas compilaciones
de Windows con funciones que aún no están disponibles para el público en general. Seleccione Rápido para
participar en la identificación y notificación de problemas a Microsoft y proporcionar sugerencias
sobre nuevas funciones.
• Vista previa de compilación - Lento: los dispositivos configurados en este nivel reciben nuevas compilaciones de Windows
antes de que estén disponibles para el público en general, pero a una cadencia más lenta que las
establecido en Rápido, y con los cambios y correcciones identificados en versiones anteriores.
• Vista previa de la versión: reciba versiones de Windows justo antes de que Microsoft las publique
el público general.
• Canal semianual (dirigido): reciba actualizaciones de funciones cuando se publiquen
al público en general.
• Canal semianual : las actualizaciones de funciones llegarán cuando se declaren semianuales.
Canal anual. Esto suele ocurrir aproximadamente 4 meses después del canal semianual.
(Dirigido), que indica que Microsoft, proveedores de software independientes (ISV),
los socios y el cliente creen que la versión está lista para una amplia implementación.
El estado recomendado para esta configuración es: Habilitado: Canal semianual, 180 o más
días .
901 | Página
Página 903
Nota: Si la política "Permitir telemetría" se establece en 0, esta política no tendrá efecto.
Nota n. ° 2: a partir de Windows Server 2016 RTM (versión 1607), Microsoft introdujo un
nuevo comportamiento del cliente de Windows Update (WU) llamado Dual Scan , con miras a la nube
Gestión de actualizaciones. En algunos casos, esta función de escaneo dual puede interferir con Windows
Actualizaciones de Windows Server Update Services (WSUS) y / o actualizaciones manuales de WU. Si tu
está utilizando WSUS en su entorno, es posible que deba establecer la configuración anterior en No
Configurado o configura el ajuste No permitir que las políticas de aplazamiento de actualizaciones provoquen análisis
contra Windows Update (agregado en la versión 1709 administrativa de Windows 10
Plantillas) para evitar que la función de escaneo dual interfiera. Más información sobre
Dual Scan está disponible en estos enlaces:
• Desmitificando el “escaneo dual” - Blog del equipo de productos de WSUS

• Mejora de la exploración dual en 1607 - Blog del equipo de productos de WSUS
Nota n. ° 3: antes de Windows Server 2016 R1709, los valores superiores a 180 días no se reconocen
por el SO. A partir de Windows Server 2016 R1709, el número máximo de días que
puede diferir es de 365 días.
Razón fundamental:
Forzar nuevas funciones sin pruebas previas en su entorno podría causar que el software
incompatibilidades, así como la introducción de nuevos errores en el sistema operativo. En un
entorno administrado por la empresa, generalmente se prefiere retrasar las actualizaciones de funciones hasta
Se han realizado pruebas exhaustivas y un plan de implementación. Esta recomendación retrasa la
instalación automática de nuevas funciones el mayor tiempo posible.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate: DeferFea

tureUpdates
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate: DeferFea
tureUpdatesPeriodInDays
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ Windows Actualización: BranchRe
adinessLevel
902 | Página
Página 904
Remediación:
Canal semianual, 180 días o más :

Componentes \ Windows Update \ Windows Update para empresas \ Seleccionar al obtener una vista previa
Se reciben versiones y actualizaciones de funciones
plantilla WindowsUpdate.admx / adml que se incluye con Microsoft Windows 10
llamado Seleccionar cuando se reciben las actualizaciones de características , pero se le cambió el nombre a Seleccionar al obtener una vista previa
Las compilaciones y las actualizaciones de funciones se reciben a partir de la versión 1709 de Windows 10
Impacto:
Las actualizaciones de funciones se retrasarán hasta 180 días o más después de que se declare que tienen un
Nivel de preparación de Windows del "Canal semianual".
Valor por defecto:
Discapacitado. (Las actualizaciones de funciones no se retrasarán cuando las publique Microsoft).
Controles CIS:
Versión 6

Versión 7

903 | Página
Página 905
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté
establecido en 'Habilitado: 0 días' (puntuado)
Descripción:
Esta configuración controla cuándo se reciben las actualizaciones de calidad.
El estado recomendado para esta configuración es: Habilitado: 0 días .
Nota: Si la política "Permitir telemetría" se establece en 0, esta política no tendrá efecto.
Nota n. ° 2: a partir de Windows Server 2016 RTM (versión 1607), Microsoft introdujo un
nuevo comportamiento del cliente de Windows Update (WU) llamado Dual Scan , con miras a la nube
Gestión de actualizaciones. En algunos casos, esta función de escaneo dual puede interferir con Windows
Actualizaciones de Windows Server Update Services (WSUS) y / o actualizaciones manuales de WU. Si tu
está utilizando WSUS en su entorno, es posible que deba establecer la configuración anterior en No
Configurado o
configura el ajuste No permitir que las políticas de aplazamiento de actualizaciones provoquen análisis
contra Windows Update (agregado en la versión 1709 administrativa de Windows 10
Plantillas) para evitar que la función de escaneo dual interfiera. Más información sobre
Dual Scan está disponible en estos enlaces:
• Desmitificando el “escaneo dual” - Blog del equipo de productos de WSUS

• Mejora de la exploración dual en 1607 - Blog del equipo de productos de WSUS
Razón fundamental:
Las actualizaciones de calidad pueden contener importantes correcciones de errores y / o parches de seguridad, y deben
instalado lo antes posible.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate: DeferQua

lityUpdates
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate: DeferQua
lityUpdatesPeriodInDays
904 | Página
Página 906
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada: 0
días :

Componentes \ Windows Update \ Windows Update para empresas \ Seleccione cuando la calidad
Se reciben actualizaciones
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de política de grupo actualizada
( WindowsUpdate.admx / adml ) es necesario; se incluye con Microsoft Windows 10
Impacto:
Valor por defecto:
Habilitado: 0 días. (Instale nuevas actualizaciones de calidad tan pronto como estén disponibles).
Controles CIS:
Versión 6
4.5 Utilice herramientas automatizadas de actualización de software y administración de parches

Implemente herramientas de administración de parches automatizadas y herramientas de actualización de software para operar
sistema y software / aplicaciones en todos los sistemas para los que dichas herramientas están disponibles y
seguro. Los parches deben aplicarse a todos los sistemas, incluso a los sistemas que tienen los espacios de aire adecuados.
Versión 7
3.4 Implementar herramientas automatizadas de administración de parches del sistema operativo

Implemente herramientas de actualización de software automatizadas para garantizar que los sistemas operativos
están ejecutando las actualizaciones de seguridad más recientes proporcionadas por el proveedor de software.
3.5 Implementar herramientas de administración de parches de software automatizadas

Implemente herramientas de actualización de software automatizadas para garantizar que el software de terceros
todos los sistemas ejecutan las actualizaciones de seguridad más recientes proporcionadas por el proveedor del software.
905 | Página
Página 907
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado en 'Habilitado'
(Puntuado)
Descripción:
Esta configuración de política especifica si los equipos de su entorno recibirán seguridad

actualizaciones de Windows Update o WSUS. Si configura esta configuración de directiva en Habilitada, la
El sistema operativo reconocerá cuando haya una conexión de red disponible y luego usará el
conexión de red para buscar Windows Update o su sitio de intranet designado para
actualizaciones que se aplican a ellos.
Después de configurar esta configuración de directiva en Habilitada, seleccione una de las siguientes tres opciones
en el cuadro de diálogo Configurar propiedades de actualizaciones automáticas para especificar cómo funcionará el servicio.
trabajo:
•2 - Notificar para descarga e instalación automática (notificar antes de descargar actualizaciones)

• 3: descarga automática y notificación de instalación (descargue las actualizaciones automáticamente y
notificar cuando estén listos para ser instalados.) (Configuración predeterminada)
• 4: descarga automática y programa la instalación (descarga automáticamente actualizaciones y
instálelos en el horario especificado a continuación.))
• 5 - Permitir que el administrador local elija la configuración (deje la decisión sobre las opciones anteriores hasta el
administradores locales (no recomendado))
Nota: El subconjunto " Configurar actualización automática: " tiene 4 valores posibles, todos ellos
son válidos dependiendo de las necesidades organizativas específicas, sin embargo, si es posible, sugerimos utilizar un
valor de 4: descarga automática y programa la instalación . Esta sugerencia no se puntúa
requisito.
Nota n. ° 2: las organizaciones que utilizan una solución de terceros para parchear pueden optar por eximir
ellos mismos de esta recomendación, y en su lugar configúrelo como Desactivado para que el
El mecanismo nativo de Windows Update no interfiere con el proceso de parcheo de terceros.
906 | Página
Página 908
Razón fundamental:
Aunque cada versión de Windows se prueba exhaustivamente antes del lanzamiento, es posible que
Los problemas se descubrirán después de que se envíen los productos. La configuración automática
La configuración de actualizaciones puede ayudarlo a asegurarse de que las computadoras de su entorno siempre
tener instalados los paquetes de servicio y las actualizaciones críticas del sistema operativo más recientes.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate \ AU: NoAut

oActualizar
Remediación:

Componentes \ Windows Update \ Configurar actualizaciones automáticas

Impacto:
Las actualizaciones críticas del sistema operativo y los paquetes de servicios se instalarán según sea necesario.
Valor por defecto:
Habilitado: 3: descarga automática y notificación de instalación. (Windows encuentra actualizaciones que se aplican a
computadora y los descarga en segundo plano (el usuario no es notificado ni interrumpido
Durante este proceso). Cuando se completen las descargas, se notificará a los usuarios que están
listo para instalar. Después de ir a Windows Update, los usuarios pueden instalarlos).
Referencias:
1. CCE-36172-5
907 | Página
Página 909
Controles CIS:
Versión 6

Versión 7


908 | Página
Página 910
18.9.102.3 (L1) Asegúrese de 'Configurar actualizaciones automáticas: instalación programada

día 'se establece en' 0 - Todos los días '(puntuado)
Descripción:
Esta configuración de política especifica cuándo los equipos de su entorno recibirán seguridad
actualizaciones de Windows Update o WSUS.
El estado recomendado para esta configuración es: 0: todos los días .
Nota: Este ajuste sólo es aplicable si 4 - Descargar automáticamente y programar la instalación es

seleccionado en la Regla 18.9.102.2. No tendrá ningún impacto si se selecciona cualquier otra opción.
Razón fundamental:
Aunque cada versión de Windows se prueba exhaustivamente antes del lanzamiento, es posible que
Los problemas se descubrirán después de que se envíen los productos. La configuración automática
La configuración de actualizaciones puede ayudarlo a asegurarse de que las computadoras de su entorno siempre
tener instalados los paquetes de servicio y las actualizaciones críticas del sistema operativo más recientes.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU: programado

uledInstallDay
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 0 - Cada
día :

Componentes \ Windows Update \ Configurar actualizaciones automáticas: día de instalación programado

909 | Página
Página 911
Impacto:
Si se selecciona 4 - Descarga automática y programar la instalación en la Regla 18.9.102.2, crítico

Las actualizaciones del sistema operativo y los paquetes de servicios se descargarán automáticamente todos los días (en
3:00 AM, por defecto).
Valor por defecto:
No definida. (Dado que el valor predeterminado de Configurar actualizaciones automáticas es 3 - Descarga automática
y notificar para la instalación , esta configuración no es aplicable de forma predeterminada).
Referencias:
1. CCE-36172-5
Controles CIS:
Versión 6

Versión 7

910 | Página
Página 912
18.9.102.4 (L1) Asegúrese de que 'Sin reinicio automático con usuarios conectados para
instalaciones de actualizaciones automáticas programadas 'se establece en' Desactivado '(puntuado)
Descripción:
Esta configuración de directiva especifica que las actualizaciones automáticas esperarán a que se reinicien las computadoras
por los usuarios que han iniciado sesión para completar una instalación programada.
Nota: Esta configuración se aplica solo cuando configura Actualizaciones automáticas para realizar
instalaciones de actualización programadas. Si configura la opción Configurar actualizaciones automáticas para
Desactivada, esta configuración no tiene ningún efecto.
Razón fundamental:
Algunas actualizaciones de seguridad requieren que la computadora se reinicie para completar la instalación. Si
la computadora no se puede reiniciar automáticamente, entonces la actualización más reciente no
instalar y no se descargarán nuevas actualizaciones en la computadora hasta que se reinicie. Sin el
función de reinicio automático, los usuarios que no son conscientes de la seguridad pueden elegir indefinidamente
retrasa el reinicio, por lo que mantiene la computadora en un estado menos seguro.
Auditoría:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows \ WindowsUpdate \ AU: NoAut

oRebootWithLoggedOnUsers
911 | Página
Página 913
Remediación:

Componentes \ Actualización de Windows \ Sin reinicio automático con usuarios conectados para
instalaciones de actualizaciones automáticas

llamado Sin reinicio automático para instalaciones programadas de Actualizaciones automáticas , pero se le cambió el nombre
comenzando con las plantillas administrativas de Windows 7 y Server 2008 R2.
Impacto:
Valor por defecto:
Discapacitado. (Actualizaciones automáticas notificará al usuario que la computadora automáticamente

reinicie en 5 minutos para completar la instalación de las actualizaciones de seguridad).
Referencias:
1. CCE-37027-0
912 | Página
Página 914
Controles CIS:
Versión 6

Versión 7


913 | Página
Página 915
19 Plantillas administrativas (usuario)

Esta sección contiene recomendaciones basadas en el usuario de la directiva administrativa de grupo.
Plantillas (ADMX).
19.1 Panel de control

Esta sección contiene recomendaciones para la configuración del Panel de control.
19.1.1 Agregar o quitar programas


AddRemovePrograms.admx / adml que se incluye con todas las versiones de Microsoft Windows
19.1.2 Pantalla

914 | Página
Página 916
19.1.3 Personalización (anteriormente, temas de escritorio)

Esta sección contiene recomendaciones para la configuración de personalización.

Nota: Esta sección se llamó inicialmente Temas de escritorio, pero Microsoft la renombró a
Personalización a partir de Microsoft Windows 7 & Server 2008 R2 Administrative
Plantillas.
19.1.3.1 (L1) Asegúrese de que 'Activar protector de pantalla' esté configurado como 'Activado' (puntuado)
Descripción:
Esta configuración de política habilita / deshabilita el uso de protectores de pantalla de escritorio.
Razón fundamental:
Si un usuario olvida bloquear su computadora cuando se aleja, es posible que un transeúnte

lo secuestrará. Configurar un protector de pantalla temporizado con bloqueo de contraseña ayudará a proteger
contra estos secuestros.
Auditoría:
HKEY_USERS \ [USER SID] \ Software \ Policies \ Microsoft \ Windows \ Control

Panel \ Escritorio: ScreenSaveActive
915 | Página
Página 917
Remediación:
Configuración de usuario \ Políticas \ Plantillas administrativas \ Control

Panel \ Personalización \ Activar protector de pantalla
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows 7
Impacto:
Se ejecuta un protector de pantalla, siempre que se cumplan las dos condiciones siguientes: Primero, una pantalla válida
El protector en el cliente se especifica a través de la configuración de protector de pantalla específico Forzar (Regla 19.1.3.2)
oa través del Panel de control en la computadora cliente. En segundo lugar, la configuración del tiempo de espera del protector de pantalla
(Regla 19.1.3.4) se establece en un valor distinto de cero mediante la configuración o mediante el Panel de control.
Valor por defecto:
La activación / desactivación del protector de pantalla es administrada localmente por el usuario.
Referencias:
1. CCE-37970-1
Controles CIS:
Versión 6
Versión 7

916 | Página
Página 918
19.1.3.2 (L1) Asegúrese de 'Forzar protector de pantalla específico: protector de pantalla

nombre del ejecutable 'se establece en' Habilitado: scrnsave.scr '(puntuado)
Descripción:
Esta configuración de política especifica el protector de pantalla para el escritorio del usuario.
El estado recomendado para esta configuración es: Habilitado: scrnsave.scr .
Nota: Si el protector de pantalla especificado no está instalado en una computadora en la que esta configuración
se aplica, la configuración se ignora.
Razón fundamental:

Auditoría:

Panel \ Escritorio: SCRNSAVE.EXE
Remediación:
scrnsave.scr :

Panel \ Personalización \ Forzar protector de pantalla específico
917 | Página
Página 919
Impacto:
El sistema muestra el protector de pantalla especificado en el escritorio del usuario. La lista desplegable de
protectores de pantalla en el cuadro de diálogo Protector de pantalla en Personalización o Panel de control de pantalla
desactivado, evitando que los usuarios cambien el protector de pantalla.
Valor por defecto:
Discapacitado. (Los usuarios pueden seleccionar cualquier protector de pantalla).
Referencias:
1. CCE-37907-3
Controles CIS:
Versión 6
Versión 7

918 | Página
Página 920
19.1.3.3 (L1) Asegúrese de que 'Proteger el protector de pantalla con contraseña' esté configurado en
Descripción:
Esta configuración determina si los protectores de pantalla usados en la computadora son contraseña
protegido.
Razón fundamental:

Auditoría:

Panel \ Escritorio: ScreenSaverIsSecure
Remediación:

Panel \ Personalización \ Contraseña proteger el protector de pantalla

919 | Página
Página 921
Impacto:
Todos los protectores de pantalla están protegidos con contraseña. La casilla de verificación "Protegido con contraseña" en el
El cuadro de diálogo Protector de pantalla en Personalización o Panel de control de pantalla se desactivará,
evitar que los usuarios cambien la configuración de protección con contraseña.
Valor por defecto:
El usuario gestiona localmente si proteger o no con contraseña cada protector de pantalla.
Referencias:
1. CCE-37658-2
Controles CIS:
Versión 6
Versión 7

920 | Página
Página 922
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Habilitado: 900
segundos o menos, pero no 0 '(puntuados)
Descripción:
Esta configuración especifica cuánto tiempo de inactividad del usuario debe transcurrir antes de que se active el protector de pantalla.
lanzado.
El estado recomendado para esta configuración es: Habilitado: 900 segundos o menos, pero no 0 .
Nota: esta configuración no tiene ningún efecto en las siguientes circunstancias:
• Eltiempo de espera se establece en cero.

• Elajuste "Activar protector de pantalla" está desactivado.
• Un protector de pantalla existente válido no se selecciona manualmente o mediante el "Protector de pantalla
configuración de nombre ejecutable
Razón fundamental:

Auditoría:

Panel \ Escritorio: ScreenSaveTimeOut
921 | Página
Página 923
Remediación:
900 o menos, pero no 0 :

Panel \ Personalización \ Tiempo de espera del protector de pantalla
Impacto:
El protector de pantalla se activará automáticamente cuando la computadora se haya dejado desatendida

durante el tiempo especificado, y los usuarios no podrán cambiar el valor del tiempo de espera.
Valor por defecto:
15 minutos. (Posteriormente, el usuario puede volver a configurarlo localmente).
Referencias:
1. CCE-37908-1
Controles CIS:
Versión 6
Versión 7

922 | Página
Página 924
19.2 Escritorio
19.3 Red
19.4 Carpetas compartidas


SharedFolders.admx / adml que se incluye con todas las versiones de Microsoft Windows
923 | Página
Página 925
19.5 Menú de inicio y barra de tareas

Esta sección contiene recomendaciones para la configuración del menú Inicio y la barra de tareas.
Esta sección contiene recomendaciones para la configuración de notificaciones.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WPN.admx / adml que es
incluido con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
19.5.1.1 (L1) Asegúrese de que esté configurado 'Desactivar notificaciones de tostadas en la pantalla de bloqueo'
Descripción:
Esta configuración de política desactiva las notificaciones de tostadas en la pantalla de bloqueo.
El estado recomendado para esta configuración es Activado .
Razón fundamental:
Si bien esta función puede ser útil para los usuarios, las aplicaciones que brindan notificaciones
puede mostrar datos personales o comerciales confidenciales mientras el dispositivo se deja desatendido.
Auditoría:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CurrentVersion \ PushNotifications: NoT
oastApplicationNotificationOnLockScreen
924 | Página
Página 926
Remediación:
Configuración de usuario \ Políticas \ Plantillas administrativas \ Menú Inicio y

Barra de tareas \ Notificaciones \ Desactivar las notificaciones tostadas en la pantalla de bloqueo
plantilla WPN.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
Impacto:
Las aplicaciones no podrán generar notificaciones de brindis en la pantalla de bloqueo.
Valor por defecto:
Discapacitado. (Las notificaciones de brindis en la pantalla de bloqueo están habilitadas y pueden desactivarse
administrador o usuario.)
Referencias:
1. CCE-36332-5
Controles CIS:
Versión 6
Versión 7

925 | Página
Página 927
19.6 Sistema
Esta sección contiene recomendaciones para la configuración del sistema.
19.6.1 Opciones de Ctrl + Alt + Supr

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CtrlAltDel.admx / adml
19.6.2 Pantalla
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Display.admx / adml
(o mas nuevo).



FolderRedirection.admx / adml que se incluye con todas las versiones de Microsoft Windows
926 | Página
Página 928


927 | Página
Página 929
19.6.6 Gestión de comunicaciones de Internet

Esta sección contiene recomendaciones relacionadas con la gestión de las comunicaciones de Internet.

Esta sección contiene recomendaciones relacionadas con la configuración de la comunicación por Internet.
19.6.6.1.1 (L2) Asegúrese de 'Desactivar el programa de mejora de la experiencia de ayuda'

Descripción:
Esta configuración de directiva especifica si los usuarios pueden participar en la experiencia de ayuda
Programa de mejora. El programa de mejora de la experiencia de ayuda recopila información
sobre cómo los clientes utilizan la Ayuda de Windows para que Microsoft pueda mejorarla.
Razón fundamental:
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Assistance \ Client \ 1.0: NoFeedback implícito
928 | Página
Página 930
Remediación:
Configuración de usuario \ Políticas \ Plantillas administrativas \ Sistema \ Internet

Gestión de comunicación \ Configuración de comunicación de Internet \ Desactivar la ayuda
Programa de mejora de la experiencia

HelpAndSupport.admx / adml que se incluye con todas las versiones de Microsoft Windows
Impacto:
Los usuarios no pueden participar en el programa de mejora de la experiencia de ayuda.
Valor por defecto:
Discapacitado. (Los usuarios pueden activar la función del programa Mejora de la experiencia de ayuda desde el
Página de configuración de Ayuda y soporte).
Referencias:
1. CCE-37542-8
Controles CIS:
Versión 6
Versión 7

929 | Página
Página 931
19.7 Componentes de Windows

Esta sección contiene recomendaciones para la configuración de componentes de Windows.
19.7.1 Agregar funciones a Windows 8 / 8.1 / 10 (anteriormente

Actualización de Windows cuando quieras)
WindowsAnytimeUpgrade.admx / adml que se incluye con Microsoft Windows 7 y
Nota: Esta sección inicialmente se llamó Windows Anytime Upgrade, pero fue renombrada por
Microsoft agregará funciones a Windows x a partir de Microsoft Windows 8.0 y Server


AppXRuntime.admx / adml que se incluye con Microsoft Windows 8.0 y Server 2012

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo AppCompat.admx / adml
930 | Página
Página 932
19.7.4 Administrador de archivos adjuntos

Esta sección contiene recomendaciones relacionadas con Attachment Manager.

AttachmentManager.admx / adml que se incluye con todas las versiones de Microsoft Windows
19.7.4.1 (L1) Asegúrese de 'No conservar la información de la zona en el archivo

adjuntos 'está configurado como' Desactivado '(puntuado)
Descripción:
Esta configuración de política le permite administrar si Windows marca los archivos adjuntos con
información sobre su zona de origen (como restringida, Internet, intranet, local). Esta
requiere NTFS para funcionar correctamente y fallará sin previo aviso en FAT32. Por no
preservando la información de la zona, Windows no puede realizar evaluaciones de riesgo adecuadas.
Nota: La función Attachment Manager advierte a los usuarios cuando abren o ejecutan archivos que
están marcados como de una fuente no confiable, a menos que / hasta que la información de la zona del archivo haya
eliminado mediante el botón "Desbloquear" en las propiedades del archivo o mediante una herramienta independiente como
como Secuencias de Microsoft Sysinternals .
Razón fundamental:
Un archivo que se descarga de una computadora en Internet o en la zona de Sitios restringidos puede ser
movido a una ubicación que lo hace parecer seguro, como un archivo compartido de intranet, y ejecutado por un
usuario desprevenido. La función Attachment Manager advertirá a los usuarios al abrir o
ejecutar archivos que están marcados como de una fuente no confiable, a menos que / hasta que el archivo
se ha eliminado la información de la zona.
931 | Página
Página 933
Auditoría:
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments: SaveZoneI
información
Remediación:
Configuración de usuario \ Políticas \ Plantillas administrativas \ Windows

Componentes \ Administrador de archivos adjuntos \ No conservar la información de la zona en el archivo
archivos adjuntos

Impacto:
Valor por defecto:
Discapacitado. (Windows marca los archivos adjuntos con su información de zona).
Referencias:
1. CCE-37424-9
Controles CIS:
Versión 6

Versión 7
7.1 Asegure el uso de navegadores y clientes de correo electrónico totalmente compatibles
Asegúrese de que solo los navegadores web y los clientes de correo electrónico totalmente compatibles puedan ejecutar
en la organización, idealmente utilizando solo la última versión de los navegadores y clientes de correo electrónico
proporcionado por el proveedor.
932 | Página
Página 934
19.7.4.2 (L1) Asegúrese de 'Notificar a los programas antivirus al abrir

adjuntos 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de directiva administra el comportamiento de notificación a los programas antivirus registrados. Si
se registran varios programas, todos serán notificados.
Nota: Se debe instalar un programa antivirus actualizado para que funcione esta configuración de directiva.
correctamente.
Razón fundamental:
Es posible que los programas antivirus que no realizan comprobaciones de acceso no puedan escanear
archivos descargados.
Auditoría:
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments: ScanWithA
ntiVirus
Remediación:

Componentes \ Administrador de archivos adjuntos \ Notificar a los programas antivirus al abrir
archivos adjuntos

933 | Página
Página 935
Impacto:
Windows le dice a los programas antivirus registrados que escaneen el archivo cuando un usuario abre un archivo
adjunto archivo. Si el programa antivirus falla, se bloquea la apertura del archivo adjunto.
Valor por defecto:
Discapacitado. (Windows no llama a los programas antivirus registrados cuando el archivo

los archivos adjuntos están abiertos.)
Referencias:
1. CCE-36622-9
Controles CIS:
Versión 6
7.8 Analizar todos los archivos adjuntos de correo electrónico entrante en busca de código malicioso
Escanee y bloquee todos los archivos adjuntos de correo electrónico que ingresan a la puerta de enlace de correo electrónico de la organización si
contienen códigos maliciosos o tipos de archivos que no son necesarios para el negocio de la organización.
Este escaneo debe realizarse antes de que el correo electrónico se coloque en la bandeja de entrada del usuario. Esto incluye
filtrado de contenido de correo electrónico y filtrado de contenido web.
Versión 7
7.10 Sandbox de todos los archivos adjuntos de correo electrónico

Utilice sandboxing para analizar y bloquear archivos adjuntos de correo electrónico entrantes con
comportamiento.
7.9 Bloquear tipos de archivos innecesarios

Bloquear todos los archivos adjuntos de correo electrónico que ingresan a la puerta de enlace de correo electrónico de la organización si los tipos de archiv
son innecesarios para el negocio de la organización.


934 | Página
Página 936

Esta sección de Política de grupo la proporciona la plantilla de política de grupo AutoPlay.admx / adml
19.7.6 Copia de seguridad


UserDataBackup.admx / adml que se incluye solo con Microsoft Windows Vista
a través de las plantillas administrativas de Windows 8.0 y Server 2012 (no R2), así como las
Microsoft Windows 10 RTM (versión 1507) y Windows 10 versión 1511 administrativa
Plantillas.
935 | Página
Página 937
19.7.7 Contenido de la nube

Esta sección contiene recomendaciones para contenido en la nube.

CloudContent.admx / adml quese incluye con Microsoft Windows 10 Release 1607 y
19.7.7.1 (L1) Asegúrese de que 'Configurar el reflector de Windows en la pantalla de bloqueo' esté configurado
a discapacitados '(puntuados)
Descripción:
Esta configuración de política le permite configurar Windows Spotlight en la pantalla de bloqueo.
Razón fundamental:
Habilitar esta configuración ayudará a garantizar que sus datos no se compartan con ningún tercero. los
La función Windows Spotlight recopila datos y usa esos datos para mostrar las aplicaciones sugeridas como
así como imágenes de Internet.
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: ConfigureWindowsSpotlig
ht
936 | Página
Página 938
Remediación:
Configuración de usuario \ Políticas \ Plantillas administrativas \ Componentes de Windows \ Nube

Contenido \ Configurar el reflector de Windows en la pantalla de bloqueo
Impacto:
Windows Spotlight se apagará y los usuarios ya no podrán seleccionarlo como su

bloquear pantalla.
Valor por defecto:
Habilitado. (Windows Spotlight está configurado como proveedor de pantalla de bloqueo).
Controles CIS:
Versión 6
Versión 7

937 | Página
Página 939
19.7.7.2 (L1) Asegúrese de que 'No sugiera contenido de terceros en Windows

Spotlight 'está configurado como' Habilitado '(puntuado)
Descripción:
Esta configuración de política determina si Windows sugerirá aplicaciones y contenido de terceros.

editores de software para fiestas.
Razón fundamental:
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: DisableThirdPartySugges
ciones
Remediación:

Contenido \ No sugiera contenido de terceros en Windows Spotlight
938 | Página
Página 940
Impacto:
Windows Spotlight en la pantalla de bloqueo, consejos de Windows, funciones para consumidores de Microsoft y otros
las funciones relacionadas ya no sugerirán aplicaciones y contenido de software de terceros
editores. Es posible que los usuarios sigan viendo sugerencias y consejos para que sean más productivos con
Funciones y aplicaciones de Microsoft.
Valor por defecto:
Discapacitado. (Las aplicaciones y el contenido de los editores de software de terceros se sugerirá en

además de las aplicaciones y el contenido de Microsoft).
Controles CIS:
Versión 6
Versión 7

939 | Página
Página 941
19.7.7.3 (L2) Asegúrese de que 'No utilice datos de diagnóstico para experiencias personalizadas'
Descripción:
Esta configuración determina si Windows puede usar datos de diagnóstico para brindar experiencias personalizadas
al usuario.
Razón fundamental:
El seguimiento, la recopilación y la utilización de datos personalizados es un problema de privacidad y seguridad que

es motivo de preocupación para muchas organizaciones.
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: DisableTailoredExperien
cesWithDiagnosticData
Remediación:

Contenido \ No utilice datos de diagnóstico para experiencias personalizadas
940 | Página
Página 942
Impacto:
Windows no utilizará datos de diagnóstico de este dispositivo (estos datos pueden incluir navegador, aplicación
y uso de funciones, según el valor de configuración "Datos de diagnóstico y uso") para
personalizar el contenido que se muestra en la pantalla de bloqueo, consejos de Windows, funciones para el consumidor de Microsoft
y otras características relacionadas. Si estas funciones están habilitadas, los usuarios seguirán viendo
recomendaciones, consejos y ofertas, pero pueden ser menos personalizados.
Valor por defecto:
Discapacitado. (Microsoft utilizará datos de diagnóstico para proporcionar recomendaciones personalizadas,

consejos y ofertas.)
Controles CIS:
Versión 6
Versión 7
941 | Página
Página 943
19.7.7.4 (L2) Asegúrese de que 'Desactivar todas las funciones del reflector de Windows' esté configurado en
Descripción:
Esta configuración de política le permite desactivar todas las funciones de Windows Spotlight a la vez.
Razón fundamental:
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: Desactivar WindowsSpotlight
Caracteristicas
Remediación:

Contenido \ Desactivar todas las funciones de Windows Spotlight
942 | Página
Página 944
Impacto:
Windows Spotlight en la pantalla de bloqueo, consejos de Windows, funciones para consumidores de Microsoft y otros
las funciones relacionadas se desactivarán.
Valor por defecto:
Discapacitado. (Se permiten las funciones de Windows Spotlight).
Controles CIS:
Versión 6
Versión 7

943 | Página
Página 945

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredUI.admx / adml que


DataCollection.admx / adml que

Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sidebar.admx / adml
(o mas nuevo).

Esta sección de Política de grupo la proporciona la plantilla de Política de grupo DWM.admx / adml que es
944 | Página
Página 946


DigitalLocker.admx / adml que se incluye con todas las versiones de Microsoft Windows

Esta sección de Política de grupo la proporciona la plantilla de política de grupo EdgeUI.admx / adml que

Nota: Esta sección se llamó inicialmente Explorador de Windows, pero Microsoft le cambió el nombre a
Explorador de archivos a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
19.7.15 Revocación de archivos


FileRevocation.admx / adml que
se incluye con Microsoft Windows 8.1 y Server
945 | Página
Página 947
19.7.16 IME
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo EAIME.admx / adml que
19.7.17 Importar video


CaptureWizard.admx / adml quesolo se incluye con Microsoft Windows Vista y
Plantillas administrativas de Windows Server 2008 (no R2).
19.7.18 Búsqueda instantánea

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WordWheel.admx / adml
19.7.19 Internet Explorer


Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sensors.admx / adml
(o mas nuevo).
946 | Página
Página 948


MicrosoftEdge.admx / adml que
19.7.22 Microsoft Management Console

Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo MMC.admx / adml que es


UserExperienceVirtualization.admx / adml que
10 Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
19.7.24 NetMeeting
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Conf.admx / adml que es


NetworkProjection.admx / adml que
a través de las plantillas administrativas de Windows 8.1 Update y Server 2012 R2 Update.
947 | Página
Página 949
19.7.26 Compartir red

Esta sección contiene recomendaciones relacionadas con la red compartida.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Sharing.admx / adml
19.7.26.1 (L1) Asegúrese de 'Evitar que los usuarios compartan archivos dentro de sus
perfil.' está configurado en 'Habilitado' (puntuado)
Descripción:
Esta configuración de directiva determina si los usuarios pueden compartir archivos dentro de su perfil. Por defecto,
Los usuarios pueden compartir archivos dentro de su perfil con otros usuarios en su red después de un
el administrador opta por la computadora. Un administrador puede optar por la computadora usando el
asistente para compartir para compartir un archivo dentro de su perfil.
Razón fundamental:
Si no se configura correctamente, un usuario podría compartir accidentalmente datos confidenciales con personas no autorizadas.
usuarios. En un entorno gestionado por la empresa, la empresa debe proporcionar un
ubicación para compartir archivos, como un servidor de archivos o SharePoint, en lugar de los archivos compartidos por el usuario
directamente desde su propio perfil de usuario.
Auditoría:
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer: NoInplaceSha
anillo
948 | Página
Página 950
Remediación:

Componentes \ Red compartida \ Evitar que los usuarios compartan archivos dentro de su
perfil.
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo Sharing.admx / adml
Impacto:
Los usuarios no pueden compartir archivos dentro de su perfil mediante el asistente para compartir. Además, el compartir
el asistente no puede crear un recurso compartido en % root% \ Users y solo se puede utilizar para crear recursos compartidos SMB
en carpetas.
Valor por defecto:
Discapacitado. (Los usuarios pueden compartir archivos fuera de su perfil de usuario después de que un administrador haya aceptado
el ordenador.)
Referencias:
1. CCE-38070-9
Controles CIS:
Versión 6

Versión 7

949 | Página
Página 951
19.7.27 OOBE
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OOBE.admx / adml que es
incluido con Microsoft Windows 10 Release 1809 y Server 2019 Administrative


MobilePCPresentationSettings.admx / adml que


Nota: Esta sección se llamó inicialmente Terminal Services, pero Microsoft le cambió el nombre a
Servicios de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
19.7.30 Fuentes RSS

950 | Página
Página 952
19.7.31 Buscar
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Search.admx / adml que
más nuevo).
19.7.32 Grabador de sonido

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SoundRec.admx / adml
19.7.33 Tienda
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo WinStoreUI.admx / adml
Plantillas y Plantillas administrativas de Microsoft Windows 8.1 y Server 2012 R2, o por
la plantilla de directiva de grupo WindowsStore.admx / adml que se incluye con Microsoft
Plantillas administrativas de la versión 1511 de Windows 10 (o más reciente).
19.7.34 Tablet PC
951 | Página
Página 953


TaskScheduler.admx / adml que se incluye con todas las versiones de Microsoft Windows

Esta sección de Política de grupo la proporciona la plantilla de política de grupo WinCal.admx / adml que


WindowsColorSystem.admx / adml quese incluye con todas las versiones de Microsoft


SmartScreen.admx / adml quese incluye con Microsoft Windows 10 Release 1703
952 | Página
Página 954


ErrorReporting.admx / adml que se incluye con todas las versiones de Microsoft Windows
19.7.40 Windows Hello para empresas (anteriormente Microsoft

Pasaporte para el trabajo)
Nota: Esta sección se llamó inicialmente Microsoft Passport for Work, pero fue renombrada por
Microsoft a Windows Hello para empresas a partir de la versión de Microsoft Windows 10
953 | Página
Página 955
19.7.41 Instalador de Windows

Esta sección contiene recomendaciones relacionadas con Windows Installer.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSI.admx / adml que es
Descripción:
Esta configuración controla si Windows Installer debe usar los permisos del sistema o no
cuando instala cualquier programa en el sistema.
Nota: esta configuración aparece tanto en la configuración del equipo como en la configuración del usuario
carpetas. Para que esta configuración sea efectiva, debe habilitar la configuración en ambas carpetas.
Precaución: si está habilitado, los usuarios capacitados pueden aprovechar los permisos que otorga esta configuración
para cambiar sus privilegios y obtener acceso permanente a archivos y carpetas restringidos. Nota
que no se garantiza que la versión de configuración de usuario de esta configuración sea segura.
Razón fundamental:
Los usuarios con privilegios limitados pueden aprovechar esta función creando un instalador de Windows
paquete de instalación que crea una nueva cuenta local que pertenece al local integrado
Grupo de administradores, agrega su cuenta actual al grupo de administradores integrado local,
instala software malintencionado o realiza otras actividades no autorizadas.
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ Windows \ Installer: AlwaysInstallElevated
954 | Página
Página 956
Remediación:

Componentes \ Windows Installer \ Instalar siempre con privilegios elevados
Impacto:
Valor por defecto:
Discapacitado. (Windows Installer aplicará los permisos del usuario actual cuando se instale
programas que un administrador del sistema no distribuye ni ofrece. Esto evitará
que los usuarios estándar instalen aplicaciones que afecten a los elementos de configuración de todo el sistema).
Referencias:
1. CCE-37490-0
Controles CIS:
Versión 6

Versión 7


955 | Página
Página 957

Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinLogon.admx / adml

WindowsMail.admx / adml que solo se incluye con Microsoft Windows Vista hasta
las plantillas administrativas de la versión 1703 de Windows 10.


MediaCenter.admx / adml quesolo se incluye con Microsoft Windows Vista a través de
956 | Página
Página 958
19.7.45 Reproductor de Windows Media

Esta sección contiene recomendaciones relacionadas con Windows Media Player.

19.7.45.1 Redes

957 | Página
Página 959
19.7.45.2 Reproducción
Esta sección contiene recomendaciones relacionadas con la reproducción de Windows Media Player.

19.7.45.2.1 (L2) Asegúrese de que 'Prevenir descarga de códec' esté configurado en 'Habilitado'
(Puntuado)
Descripción:
Esta configuración controla si Windows Media Player puede descargar archivos adicionales.
códecs para decodificar archivos multimedia que aún no comprende.
Razón fundamental:
Esto tiene cierto riesgo potencial si se abre un archivo de datos malicioso en Media Player que
requiere la instalación de un códec adicional. Si se requiere un códec especial para un
función de trabajo, entonces ese códec debe probarse primero para asegurarse de que es legítimo, y debe
Ser suministrado por el departamento de TI de la organización.
Auditoría:
SID] \ Software \ Políticas \ Microsoft \ WindowsMediaPlayer: PreventCodecDownload
958 | Página
Página 960
Remediación:

Componentes \ Reproductor de Windows Media \ Reproducción \ Evitar la descarga del códec

Impacto:
Se evita que Windows Media Player descargue códecs automáticamente a su

computadora. Además, la casilla de verificación Descargar códecs automáticamente en la pestaña Reproductor en
el reproductor no está disponible.
Valor por defecto:
Los usuarios pueden cambiar la configuración de la casilla de verificación Descargar códecs automáticamente .
Referencias:
1. CCE-37445-4
Controles CIS:
Versión 6

Versión 7
2.3 Utilizar herramientas de inventario de software

Utilice herramientas de inventario de software en toda la organización para automatizar la
documentación de todo el software en los sistemas comerciales.

manera oportuna
959 | Página
Página 961
Apéndice: Tabla resumen

Controlar Conjunto
Correctamente
sí No
1 Políticas de cuenta
1.1 Política de contraseñas
1.1.1 (L1) Asegúrese de que 'Aplicar historial de contraseñas' esté configurado en '24 o más
□ □
contraseña (s) '(puntuados)
1.1.2 (L1) Asegúrese de que la 'Antigüedad máxima de la contraseña' esté establecida en '60 o menos
□ □
días, pero no 0 '(puntuados)
1.1.3 (L1) Asegúrese de que la 'Antigüedad mínima de la contraseña' esté establecida en '1 o más
□ □
día (s) '(puntuados)
1.1.4 (L1) Asegúrese de que la 'Longitud mínima de la contraseña' esté establecida en '14 o
□ □
más carácter (s) '(puntuados)
1.1.5 (L1) Asegúrese de que 'La contraseña debe cumplir con los requisitos de complejidad'
□ □
1.1.6 (L1) Asegúrese de que 'Almacenar contraseñas con cifrado reversible' esté
□ □
1.2 Política de bloqueo de cuenta
1.2.1 (L1) Asegúrese de que la 'Duración del bloqueo de la cuenta' esté establecida en '15 o más
□ □
1.2.2 (L1) Asegúrese de que 'Umbral de bloqueo de cuenta' esté configurado en '10 o
□ □
menos intentos de inicio de sesión no válidos, pero no 0 '(puntuados)
1.2.3 (L1) Asegúrese de que 'Restablecer contador de bloqueo de cuenta después de' esté configurado en
□ □
'15 o más minuto (s) '(puntuados)
2 Políticas locales
2.1 Política de auditoría
2.2 Asignación de derechos de usuario
2.2.1 (L1) Asegúrese de 'Acceder al administrador de credenciales como una persona que llama de confianza'
□ □
está configurado en 'Nadie' (puntuado)
2.2.2 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado
a 'Administradores, Usuarios autenticados, EMPRESA □ □
CONTROLADORES DE DOMINIO (solo DC) (puntuados)
2.2.3 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado
□ □
a 'Administradores, usuarios autenticados' (solo MS) (puntuados)
2.2.4 (L1) Asegúrese de que 'Actuar como parte del sistema operativo' esté configurado en 'No
□ □
Uno '(puntuado)
2.2.5 (L1) Asegúrese de que 'Agregar estaciones de trabajo al dominio' esté configurado en
□ □
'Administradores' (solo DC) (puntuados)
2.2.6 (L1) Asegúrese de que 'Ajustar cuotas de memoria para un proceso' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED' □ □
(Puntuado)
960 | Página
Página 962
Controlar Conjunto
Correctamente
sí No
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores'
□ □
(Puntuado)
2.2.8 (L1) Asegúrese de 'Permitir el inicio de sesión a través de Servicios de escritorio remoto'
□ □
está configurado en 'Administradores' (solo DC) (puntuado)
2.2.9 (L1) Asegúrese de 'Permitir el inicio de sesión a través de Servicios de escritorio remoto'
está configurado en 'Administradores, usuarios de escritorio remoto' (solo MS)□ □
(Puntuado)
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado en
'Administradores' (puntuados) □ □
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en
□ □
'Administradores, SERVICIO LOCAL' (puntuado)
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores,
□ □
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores'
□ □
(Puntuado)
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie'
□ □
(Puntuado)
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores,
□ □
SERVICIO LOCAL, SERVICIO DE RED, SERVICIO '(puntuado)
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'No
□ □
Uno '(puntuado)
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores'
□ □
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores,
NT VIRTUAL MACHINE \ Virtual Machines '(solo MS) □ □
(Puntuado)
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado en 'Administradores'
□ □
(Puntuado)
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde el
□ □
network 'para incluir' Invitados '(solo DC) (puntuado)
2.2.21 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde el
red 'para incluir' invitados, cuenta local y miembro de □ □
Grupo de administradores '(solo MS) (puntuado)
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados'
□ □
(Puntuado)
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados'
□ □
(Puntuado)
2.2.24 (L1) Asegúrese de 'Denegar inicio de sesión localmente' para incluir 'Invitados' (puntuados)
□ □
2.2.25 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto'
□ □
para incluir 'Invitados' (solo DC) (puntuados)
961 | Página
Página 963
Controlar Conjunto
Correctamente
sí No
2.2.26 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto'
□ □
está configurado en 'Invitados, cuenta local' (solo MS) (puntuado)
2.2.27 (L1) Asegúrese de 'Habilitar cuentas de usuario y de computadora
de confianza para la delegación 'se establece en' Administradores '(solo DC)□ □
(Puntuado)
2.2.28 (L1) Asegúrese de 'Habilitar cuentas de usuario y de computadora
□ □
confiable para delegación 'está configurado como' Nadie '(solo MS) (puntuado)
□ □
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'LOCAL
□ □
2.2.31 (L1) Asegúrese de que esté configurado 'Suplantar a un cliente después de la autenticación'
a 'Administradores, SERVICIO LOCAL, SERVICIO DE RED, □ □
SERVICIO '(solo DC) (puntuado)
2.2.32 (L1) Asegúrese de que esté configurado 'Suplantar a un cliente después de la autenticación'
a 'Administradores, SERVICIO LOCAL, SERVICIO DE RED,
SERVICE 'y (cuando el rol del servidor web (IIS) con Web □ □
Services Role Service está instalado) 'IIS_IUSRS' (solo MS)
(Puntuado)
2.2.33 (L1) Asegúrese de que 'Aumentar prioridad de programación' esté configurado en
'Administradores, Administrador de ventanas \ Administrador de ventanas □ □
Grupo '(puntuado)
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivo' esté configurado en
□ □
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado en 'Nadie'
□ □
(Puntuado)
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores'
□ □
'Administradores' y (cuando Exchange se ejecuta en □ □
entorno) 'Exchange Servers' (solo DC) (puntuado)
□ □
'Administradores' (solo MS) (puntuados)
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie'
□ □
(Puntuado)
□ □
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en
□ □
2.2.42 (L1) Asegúrese de que 'Proceso único de perfil' esté configurado como 'Administradores'
□ □
(Puntuado)
962 | Página
Página 964
Controlar Conjunto
Correctamente
sí No
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en
□ □
'Administradores, NT SERVICE \ WdiServiceHost' (puntuado)
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'LOCAL
□ □
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado en
□ □
2.2.46 (L1) Asegúrese de que 'Apagar el sistema' esté configurado en
□ □
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'No
□ □
One '(solo DC) (puntuado)
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado
□ □
a 'Administradores' (puntuados)
2.3 Opciones de seguridad
2.3.1 Cuentas
2.3.1.1 (L1) Asegúrese de que 'Cuentas: estado de cuenta de administrador' esté configurado
□ □
a 'Deshabilitado' (solo MS) (puntuado)
2.3.1.2 (L1) Asegúrese de que 'Cuentas: Bloquear cuentas de Microsoft' esté configurado en
□ □
'Los usuarios no pueden agregar o iniciar sesión con cuentas de Microsoft' (puntuado)
2.3.1.3 (L1) Asegúrese de que 'Cuentas: estado de cuenta de invitado' esté configurado en
□ □
2.3.1.4 (L1) Asegúrese de 'Cuentas: Limite el uso de cuentas locales de espacios en blanco
□ □
las contraseñas solo para el inicio de sesión de la consola 'se establece en' Habilitado '(puntuado)
2.3.1.5 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de administrador'
□ □
(Puntuado)
2.3.1.6 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de invitado' (puntuado)□ □
2.3.2 Auditoría
2.3.2.1 (L1) Asegurar 'Auditoría: Forzar configuración de subcategoría de política de auditoría
(Windows Vista o posterior) para anular la categoría de política de auditoría □ □
settings 'está establecido en' Enabled '(puntuado)
2.3.2.2 (L1) Asegúrese de 'Auditoría: apague el sistema inmediatamente si no puede
□ □
para registrar auditorías de seguridad 'está configurado como' Desactivado '(puntuado)
2.3.3 DCOM
2.3.4 Dispositivos
2.3.4.1 (L1) Asegúrese de que 'Dispositivos: se permita formatear y expulsar □ □
medios extraíbles 'se establece en' Administradores '(puntuados)
2.3.4.2 (L1) Asegúrese de 'Dispositivos: evite que los usuarios instalen la impresora
□ □
drivers 'está configurado en' Habilitado '(puntuado)
2.3.5 Controlador de dominio
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor
□ □
programar tareas 'está configurado como' Desactivado '(solo DC) (puntuado)
963 | Página
Página 965
Controlar Conjunto
Correctamente
sí No
2.3.5.2 (L1) Asegúrese de 'Controlador de dominio: firma del servidor LDAP
□ □
requisitos 'se establece en' Requerir firma '(solo DC) (puntuado)
2.3.5.3 (L1) Asegúrese de 'Controlador de dominio: rechazar la cuenta de la máquina
□ □
cambios de contraseña 'está configurado como' Desactivado '(solo DC) (puntuado)
2.3.6 Miembro de dominio
2.3.6.1 (L1) Asegúrese de que 'Miembro del dominio: cifre o firme digitalmente
□ □
datos de canal seguro (siempre) 'se establece en' Habilitado '(puntuado)
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente
□ □
datos del canal (cuando sea posible) 'se establece en' Habilitado '(puntuado)
2.3.6.3 (L1) Asegúrese de 'Miembro del dominio: firmar digitalmente un canal seguro
□ □
datos (cuando sea posible) 'se establece en' Habilitado '(puntuado)
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la cuenta de la máquina
□ □
cambios de contraseña 'se establece en' Desactivado '(puntuado)
2.3.6.5 (L1) Asegúrese de 'Miembro de dominio: cuenta de máquina máxima
□ □
la antigüedad de la contraseña 'se establece en '30 días o menos, pero no en 0' (puntuado)
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: requiera un fuerte (Windows
□ □
2000 o posterior) clave de sesión 'está configurada como' Habilitada '(puntuada)
2.3.7 Inicio de sesión interactivo
2.3.7.1 (L1) Asegúrese de 'Inicio de sesión interactivo: no requiere
□ □
CTRL + ALT + SUPR 'está configurado como' Desactivado '(puntuado)
2.3.7.2 (L1) Asegúrese de 'Inicio de sesión interactivo: no mostrar el último inicio de sesión'
□ □
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' sea
□ □
establecido en '900 o menos segundo (s), pero no 0' (puntuado)
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios
□ □
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios
□ □
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores
□
a la caché (en caso de que el controlador de dominio no esté disponible) 'se establece □ en
'4 inicios de sesión o menos' (solo MS) (puntuados)
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: solicitar al usuario que cambie
contraseña antes de la expiración 'se establece en' entre 5 y 14 □ □
días '(puntuados)
2.3.7.8 (L1) Asegúrese de 'Inicio de sesión interactivo: Requiere controlador de dominio
Autenticación para desbloquear la estación de trabajo 'está configurada como' □ Habilitada
□ '(MS
2.3.7.9 (L1) Asegúrese de 'Inicio de sesión interactivo: extracción de la tarjeta inteligente
□ □
comportamiento 'está configurado en' Bloquear estación de trabajo 'o superior (puntuado)
2.3.8 Cliente de red de Microsoft
964 | Página
Página 966
Controlar Conjunto
Correctamente
sí No
□ □
comunicaciones (si el servidor está de acuerdo) 'está configurado como' Habilitado
□ '□
(Puntuado)
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe sin cifrar
la contraseña para servidores SMB de terceros 'está configurada como' Deshabilitada
□ □'
(Puntuado)
2.3.9 Servidor de red de Microsoft
2.3.9.1 (L1) Asegúrese de que el servidor de red de Microsoft: cantidad de tiempo de inactividad
obligatorio antes de suspender la sesión 'se establece en '15 o menos □ □
2.3.9.2 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente
□ □
2.3.9.3 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente
comunicaciones (si el cliente está de acuerdo) 'está configurado como' Habilitado
□ ' □
(Puntuado)
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes
□ □
cuando expiren las horas de inicio de sesión 'se establece en' Habilitado '(puntuado)
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: destino SPN del servidor
nivel de validación de nombre 'se establece en' Aceptar si lo proporciona el cliente
□ '□
o superior (solo MS) (puntuado)
2.3.10 Acceso a la red
2.3.10.1 (L1) Asegúrese de 'Acceso a la red: Permitir SID / Nombre anónimos
□ □
traducción 'se establece en' Desactivado '(puntuado)
2.3.10.2 (L1) Asegúrese de 'Acceso a la red: no permita
enumeración de cuentas SAM 'se establece en' Habilitado '(solo MS) □ □
(Puntuado)
2.3.10.3 (L1) Asegúrese de 'Acceso a la red: no permita
enumeración de cuentas y recursos compartidos de SAM 'se establece en' Habilitado
□ □'
2.3.10.4 (L2) Asegúrese de 'Acceso a la red: no permita el almacenamiento de
contraseñas y credenciales para la autenticación de red 'está configurado □ □
2.3.10.5 (L1) Asegurar 'Acceso a la red: Permitir que todos los permisos
□ □
aplicar a usuarios anónimos 'está configurado como' Deshabilitado '(puntuado)
2.3.10.6 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que se pueden
□ □
accedido de forma anónima '(solo DC) (puntuado)
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que se pueden
□ □
accedido de forma anónima '(solo MS) (puntuado)
965 | Página
Página 967
Controlar Conjunto
Correctamente
sí No
2.3.10.8 (L1) Configurar 'Acceso a la red: accesible de forma remota
□ □
rutas de registro '(puntuadas)
2.3.10.9 (L1) Configurar 'Acceso a la red: accesible de forma remota
□ □
rutas de registro y subrutas '(puntuadas)
2.3.10.10 (L1) Garantizar 'Acceso a la red: restringir el acceso anónimo a
Canalizaciones y recursos compartidos con nombre 'está configurado como' □ Habilitado
□ '(puntuado)
2.3.10.11 (L1) Garantizar 'Acceso a la red: Restrinja a los clientes autorizados a
realizar llamadas remotas a SAM 'está configurado en' Administradores: Remoto □ □
Acceso: Permitir '(solo MS) (puntuado)
2.3.10.12 (L1) Asegúrese de 'Acceso a la red: recursos compartidos a los que se puede acceder
□ □
anónimamente 'se establece en' Ninguno '(puntuado)
2.3.10.13 (L1) Garantizar 'Acceso a la red: modelo de seguridad y uso compartido
para cuentas locales 'se establece en' Clásico: los usuarios locales se autentican
□ □
como ellos mismos '(puntuados)
2.3.11 Seguridad de la red
2.3.11.1 (L1) Garantizar la seguridad de la red: permitir que el sistema local utilice
□ □
la identidad de la computadora para NTLM 'se establece en' Habilitado '(puntuado)
2.3.11.2 (L1) Asegúrese de 'Seguridad de la red: Permitir LocalSystem NULL
□ □
el respaldo de la sesión 'está configurado como' Desactivado '(puntuado)
2.3.11.3 (L1) Asegúrese de 'Seguridad de red: Permita la autenticación PKU2U
solicitudes a esta computadora para usar identidades en línea 'se establece en□ □
2.3.11.4 (L1) Asegúrese de 'Seguridad de red: configure los tipos de cifrado
permitido para Kerberos 'se establece en' AES128_HMAC_SHA1, □ □
AES256_HMAC_SHA1, tipos de cifrado futuros '(puntuados)
2.3.11.5 (L1) Asegúrese de 'Seguridad de red: no almacene LAN Manager
valor hash en el próximo cambio de contraseña 'se establece en' Habilitado ' □ □
(Puntuado)
2.3.11.6 (L1) Garantizar 'Seguridad de red: Forzar cierre de sesión al iniciar sesión
□ □
las horas caducan 'se establece en' Habilitado '(sin puntuación)
2.3.11.7 (L1) Asegúrese de 'Seguridad de red: autenticación de LAN Manager
level 'se establece en' Enviar solo respuesta NTLMv2. Rechazar LM & □ □
NTLM '(puntuado)
2.3.11.8 (L1) Garantizar la seguridad de la red: firma del cliente LDAP
□ □
requisitos 'se establece en' Negociar firma 'o superior (puntuado)
2.3.11.9 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión
para clientes basados en NTLM SSP (incluido RPC seguro) 'está configurado en
□ □
'Requiere seguridad de sesión NTLMv2, requiere 128 bits
cifrado '(puntuado)
966 | Página
Página 968
Controlar Conjunto
Correctamente
sí No
2.3.11.10 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión
para servidores basados en NTLM SSP (incluido RPC seguro) 'está configurado en
□ □
'Requiere seguridad de sesión NTLMv2, requiere 128 bits
cifrado '(puntuado)
2.3.12 Consola de recuperación
2.3.13 Apagar
2.3.13.1 (L1) Asegúrese de 'Apagar: Permita que el sistema se apague
□ □
sin tener que iniciar sesión 'está configurado como' Desactivado '(puntuado)
2.3.14 Criptografía del sistema
2.3.15 Objetos del sistema
2.3.15.1 (L1) Asegúrese de que 'Objetos del sistema: requiera no diferenciar mayúsculas y minúsculas para
□ □
subsistemas que no son de Windows 'se establece en' Habilitado '(puntuado)
2.3.15.2 (L1) Asegúrese de 'Objetos del sistema: fortalezca los permisos predeterminados
de objetos internos del sistema (por ejemplo, enlaces simbólicos) 'se establece
□ en □
2.3.16 Ajustes del sistema
2.3.17 Control de cuentas del usuario
2.3.17.1 (L1) Asegúrese de 'Control de cuentas de usuario: Modo de aprobación de administrador
para la cuenta de administrador integrada 'está configurado como' Habilitado□' □
(Puntuado)
2.3.17.2 (L1) Garantizar el 'Control de cuentas de usuario: comportamiento del
solicitud de elevación para administradores en Aprobación de administrador
□ □
Mode 'está configurado en' Solicitar consentimiento en el escritorio seguro '
(Puntuado)
2.3.17.3 (L1) Garantizar el 'Control de cuentas de usuario: comportamiento del
solicitud de elevación para usuarios estándar 'se establece en' Automáticamente
□ □
denegar solicitudes de elevación '(puntuado)
2.3.17.4 (L1) Asegúrese de 'Control de cuentas de usuario: Detectar aplicación
instalaciones y solicitud de elevación 'se establece en' Habilitado ' □ □
(Puntuado)
2.3.17.5 (L1) Asegúrese de 'Control de cuentas de usuario: solo eleve UIAccess
□
aplicaciones que están instaladas en ubicaciones seguras 'está configurado para □
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en
□ □
Modo de aprobación de administrador 'está configurado como' Habilitado '(puntuado)
2.3.17.7 (L1) Asegúrese de 'Control de cuentas de usuario: cambie a la
escritorio cuando se solicita elevación 'está configurado en' Habilitado ' □ □
(Puntuado)
2.3.17.8 (L1) Asegúrese de 'Control de cuentas de usuario: virtualizar archivo y
errores de escritura del registro en ubicaciones por usuario 'se establece en □ □
967 | Página
Página 969
Controlar Conjunto
Correctamente
sí No
3 Registro de eventos
4 Grupos restringidos
5 Servicios del sistema
6 Registro
7 Sistema de archivos
8 Políticas de red cableada (IEEE 802.3)
9 Firewall de Windows con seguridad avanzada
9.1 Perfil de dominio
9.1.1 (L1) Asegúrese de que 'Firewall de Windows: Dominio: estado del firewall' sea
□ □
establecido en 'Activado (recomendado)' (puntuado)
9.1.2 (L1) Asegúrese de 'Firewall de Windows: Dominio: Entrante
□ □
conexiones 'está configurado en' Bloquear (predeterminado) '(puntuado)
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Saliente
□ □
conexiones 'está configurado en' Permitir (predeterminado) '(puntuado)
9.1.4 (L1) Asegúrese de 'Firewall de Windows: Dominio: Configuración: Mostrar un
□ □
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log'
(Puntuado)
9.1.6 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Límite de tamaño
□ □
(KB) 'se establece en '16, 384 KB o superior' (puntuado)
9.1.7 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro
□ □
paquetes descartados 'se establece en' Sí '(puntuado)
9.1.8 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro
□ □
conexiones correctas 'se establece en' Sí '(puntuado)
9.2 Perfil privado
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' sea
□ □
establecido en 'Activado (recomendado)' (puntuado)
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: privado: entrante
□ □
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: Saliente
□ □
9.2.4 (L1) Asegúrese de 'Firewall de Windows: Privado: Configuración: Mostrar un
□ □
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log'
(Puntuado)
9.2.6 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: límite de tamaño
□ □
968 | Página
Página 970
Controlar Conjunto
Correctamente
sí No
9.2.7 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: Registro
□ □
9.2.8 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: Registro
□ □
9.3 Perfil público
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado
□ □
a 'Activado (recomendado)' (puntuado)
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: público: entrante
□ □
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: público: saliente
□ □
9.3.4 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Mostrar un
□ □
□ □
reglas de firewall 'se establece en' No '(puntuado)
□ □
reglas de seguridad de conexión 'se establece en' No '(puntuado)
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' sea
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log'
(Puntuado)
9.3.8 (L1) Asegúrese de 'Firewall de Windows: Público: Registro: límite de tamaño
□ □
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro
□ □
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro
□ □
10 Políticas de Network List Manager
11 Políticas de red inalámbrica (IEEE 802.11)
12 Políticas de clave pública
13 Políticas de restricción de software
14 Configuración del cliente NAP de protección de acceso a la red
15 Políticas de control de aplicaciones
dieciséis Políticas de seguridad IP
17 Configuración avanzada de políticas de auditoría
17.1 Inicio de sesión de cuenta
17.1.1 (L1) Asegúrese de que 'Validación de credenciales de auditoría' esté configurado en 'Éxito
□ □
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en
□ □
969 | Página
Página 971
Controlar Conjunto
Correctamente
sí No
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté
□ □
establecido en 'Éxito y fracaso' (solo DC) (puntuado)
17.2 Administración de cuentas
17.2.1 (L1) Asegúrese de que 'Audit Application Group Management' esté configurado en
□ □
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado en
□ □
17.2.3 (L1) Asegúrese de que 'Auditar la gestión del grupo de distribución' esté configurado en
□ □
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado
□ □
para incluir 'Éxito' (solo DC) (puntuado)
17.2.5 (L1) Asegúrese de que 'Auditar la administración del grupo de seguridad' esté configurado en
□ □
incluir 'Éxito' (puntuado)
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en
□ □
17.3 Seguimiento detallado
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito'
□ □
(Puntuado)
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17,4 Acceso DS
17.4.1 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado para incluir
□ □
'Fallo' (solo DC) (puntuado)
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado en
□ □
17,5 Iniciar sesión / Cerrar sesión
17.5.1 (L1) Asegúrese de que 'Auditar bloqueo de cuenta' esté configurado para incluir
□ □
17.5.2 (L1) Asegúrese de que 'Membresía del grupo de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.5.3 □
(L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado) □
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure'
□ □
(Puntuado)
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en
□ □
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito'
□ □
(Puntuado)
17,6 Acceso a objetos
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir
□ □
970 | Página
Página 972
Controlar Conjunto
Correctamente
sí No
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y fracaso'
□ □
(Puntuado)
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado
□ en
□
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
17,7 Cambio de política
17.7.1 (L1) Asegúrese de que 'Auditar cambio de política de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado en
□ □
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado en
□ □
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de regla MPSSVC' esté configurado
□ □
a 'Éxito y fracaso' (puntuado)
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado en
□ □
incluir 'Fallo' (puntuado)
17,8 Uso de privilegios
17.8.1 (L1) Asegúrese de que 'Auditar uso de privilegios sensibles' esté configurado en 'Éxito
□ □
17,9 Sistema
17.9.1 (L1) Asegúrese de que 'Auditar controlador IPsec' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito
□ □
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.9.4 (L1) Asegúrese de que 'Auditar extensión del sistema de seguridad' esté configurado en
□ □
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
18 Plantillas administrativas (computadora)
18,1 Panel de control
18.1.1 Personalización
18.1.1.1 (L1) Asegúrese de que 'Evitar la activación de la cámara de pantalla de bloqueo' esté configurado en
□ □
18.1.1.2 (L1) Asegúrese de que esté configurado "Impedir que se habilite la presentación de diapositivas en la pantalla de bloqueo"
□ □
18.1.2 Configuración regional y de idioma
18.1.2.1 Personalización de escritura a mano
971 | Página
Página 973
Controlar Conjunto
Correctamente
sí No
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar el habla en línea
□ □
servicios de reconocimiento 'está configurado como' Desactivado '(puntuado)
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como□'Deshabilitado'
□ (puntuado)
18,2 VUELTAS
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado
□ □
18.2.2 (L1) Asegúrese de que 'No permita que el tiempo de caducidad de la contraseña sea mayor
de lo requerido por la política 'se establece en' Habilitado '(solo MS) □ □
(Puntuado)
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté
□ □
establecido en 'Habilitado' (solo MS) (puntuado)
18.2.4 (L1) Asegúrese de que 'Configuración de contraseña: complejidad de contraseña' esté establecida
a 'Habilitado: letras grandes + letras pequeñas + números + especial □ □
caracteres '(solo MS) (puntuados)
18.2.5 (L1) Asegúrese de que 'Configuración de contraseña: Longitud de contraseña' esté
'Habilitado: 15 o más' (solo MS) (puntuado) □ □
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté establecida
□ □
a 'Habilitado: 30 o menos' (solo MS) (puntuado)
18,3 Guía de seguridad de MS
18.3.1 (L1) Asegúrese de 'Aplicar restricciones de UAC a cuentas locales en
□ □
inicios de sesión de red 'está configurado como' Habilitado '(solo MS) (puntuado)
18.3.2 (L1) Asegúrese de que 'Configurar controlador de cliente SMB v1' esté configurado en
□ □
'Habilitado: deshabilitar el controlador (recomendado)' (puntuado)
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.3.4 (L1) Asegúrese de 'Habilitar el manejo de excepciones estructurado
□ □
Protección de sobrescritura (SEHOP) 'está configurada como' Habilitada '(puntuada)
18.3.5 (L1) Garantizar la protección ampliada para la autenticación LDAP
(Solo controladores de dominio) 'está configurado como' Habilitado: Habilitado,
□ □
siempre (recomendado) '(solo DC) (puntuado)
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en
□ □
'Habilitado: nodo P (recomendado)' (puntuado)
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled'
□ □
(Puntuado)
18,4 MSS (heredado)
18.4.1 (L1) Asegúrese de 'MSS: (AutoAdminLogon) Habilitar automático
□ □
Inicio de sesión (no recomendado) 'está configurado como' Desactivado '(puntuado)
18.4.2 (L1) Asegúrese de 'MSS: (Deshabilitar IPv6 de enrutamiento de fuente) Fuente IP
nivel de protección de enrutamiento (protege contra la suplantación de paquetes) '
□ □
está configurado en 'Habilitado: la protección más alta, el enrutamiento de origen es
completamente discapacitado '(puntuado)
972 | Página
Página 974
Controlar Conjunto
Correctamente
sí No
18.4.3 (L1) Asegúrese de que 'MSS: (DisableIPSourceRouting) IP source
nivel de protección de enrutamiento (protege contra la suplantación de paquetes) '
□ □
está configurado en 'Habilitado: la protección más alta, el enrutamiento de origen es
completamente discapacitado '(puntuado)
18.4.4 (L1) Asegúrese de 'MSS: (Habilitar ICMPRedirect) Permitir ICMP
redirecciona para anular las rutas generadas por OSPF 'se establece en □ □
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia Keep-Alive
los paquetes se envían en milisegundos 'se establece en' Habilitado: 300.000□ □
o 5 minutos (recomendado) '(puntuado)
18.4.6 (L1) Asegúrese de 'MSS: (NoNameReleaseOnDemand) Permitir
computadora para ignorar las solicitudes de liberación de nombre NetBIOS excepto
□ □
de los servidores WINS 'está configurado como' Habilitado '(puntuado)
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP
detectar y configurar direcciones de puerta de enlace predeterminadas (podría□ conducir
□
to DoS) 'está configurado como' Desactivado '(puntuado)
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite la DLL segura
□ □
modo de búsqueda (recomendado) 'está configurado como' Habilitado '(puntuado)
18.4.9 (L1) Asegúrese de 'MSS: (ScreenSaverGracePeriod) El tiempo en
segundos antes de que expire el período de gracia del protector de pantalla (0
□ □
recomendado) 'está configurado en' Habilitado: 5 segundos o menos '
(Puntuado)
18.4.10 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions IPv6) Cómo
muchas veces se retransmiten datos no reconocidos 'se establece en □ □
'Habilitado: 3' (puntuado)
18.4.11 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions) Cómo
muchas veces se retransmiten datos no reconocidos 'se establece en □ □
'Habilitado: 3' (puntuado)
18.4.12 (L1) Asegúrese de 'MSS: (Nivel de advertencia) Umbral de porcentaje para
el registro de eventos de seguridad en el que el sistema generará un □ □
advertencia 'se establece en' Habilitado: 90% o menos '(puntuado)
18,5 Red
18.5.1 Servicio de transferencia inteligente en segundo plano (BITS)
18.5.2 BranchCache
18.5.3 Configuración de la experiencia del cliente de DirectAccess
18.5.4 Cliente DNS
18.5.4.1 (L1) Asegúrese de que 'Desactivar resolución de nombre de multidifusión' esté configurado en
□ □
18.5.5 Fuentes
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
973 | Página
Página 975
Controlar Conjunto
Correctamente
sí No
18.5.6 Autenticación de hotspot
18.5.7 Servidor Lanman
18.5.8 Estación de trabajo Lanman
18.5.8.1 (L1) Asegúrese de que 'Habilitar inicios de sesión de invitados no seguros' esté configurado en
□ □
18.5.9 Descubrimiento de topología de capa de enlace
18.5.9.1 (L2) Asegúrese de que 'Activar controlador Mapper I / O (LLTDIO)' esté configurado en
□ □
18.5.9.2 (L2) Asegúrese de que 'Activar controlador de respuesta (RSPNDR)' esté configurado en
□ □
18.5.10 Servicios de red punto a punto de Microsoft
18.5.10.1 Protocolo de resolución de nombres de pares
18.5.10.2 (L2) Asegúrese de 'Desactivar la red punto a punto de Microsoft
□ □
Servicios 'está configurado como' Habilitado '(puntuado)
18.5.11 Conexiones de red
18.5.11.1 Firewall de Windows Defender (anteriormente Firewall de Windows)
18.5.11.2 (L1) Asegúrese de 'Prohibir la instalación y configuración de
Puente de red en su red de dominio DNS 'está configurado en □ □
18.5.11.3 (L1) Garantizar 'Prohibir el uso de conexión compartida a Internet en
□ □
su red de dominio DNS 'está configurada como' Habilitada '(puntuada)
18.5.11.4 (L1) Asegúrese de 'Requerir que los usuarios de dominio eleven al configurar un
□ □
la ubicación de la red 'está establecida en' Habilitada '(puntuada)
18.5.12 Indicador de estado de conectividad de red
18.5.13 Aislamiento de red
18.5.14 Proveedor de red
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con
Conjunto "Requerir autenticación mutua" y "Requerir integridad" □ □
para todos los recursos compartidos de NETLOGON y SYSVOL '(puntuados)
18.5.15 Archivos sin conexión
18.5.16 agendador de paquetes de QoS
18.5.17 SNMP
18.5.18 Ajustes de configuración SSL
18.5.19 Configuración de TCPIP
18.5.19.1 Tecnologías de transición IPv6
18.5.19.2 Parámetros
18.5.19.2.1 (L2) Deshabilite IPv6 (asegúrese de que el parámetro TCPIP6
□ □
'DisabledComponents' se establece en '0xff (255)') (puntuado)
18.5.20 Windows Connect Now
974 | Página
Página 976
Controlar Conjunto
Correctamente
sí No
18.5.20.1 (L2) Asegúrese de 'Configuración de la configuración inalámbrica mediante
□ □
Windows Connect Now 'está configurado como' Deshabilitado '(puntuado)
18.5.20.2 (L2) Asegúrese de 'Prohibir el acceso a Windows Connect Now
□ □
wizards 'está configurado como' Habilitado '(puntuado)
18.5.21 Administrador de conexiones de Windows
18.5.21.1 (L1) Asegúrese de 'Minimizar el número de
conexiones a Internet o un dominio de Windows 'está configurado en □ □
'Habilitado: 3 = Evitar Wi-Fi cuando está en Ethernet' (puntuado)
18.5.21.2 (L2) Asegúrese de 'Prohibir la conexión a redes que no sean de dominio
cuando está conectado a una red autenticada de dominio 'se establece en □ □
'Habilitado' (solo MS) (puntuado)
18,6 Impresoras
18,7 Menú de inicio y barra de tareas
18.7.1.1 (L2) Asegúrese de que 'Desactivar el uso de la red de notificaciones' esté configurado en
□ □
18,8 Sistema
18.8.1 Asistencia de acceso denegado
18.8.2 App-V
18.8.3 Creación de procesos de auditoría
18.8.3.1 (L1) Asegúrese de 'Incluir línea de comando en la creación del proceso
□ □
events 'está configurado como' Disabled '(puntuado)
18.8.4 Delegación de Credenciales
18.8.4.1 (L1) Asegúrese de que 'Encryption Oracle Remediation' esté configurado en
□ □
'Habilitado: Forzar clientes actualizados' (puntuados)
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de
□ □
credenciales exportables 'se establece en' Habilitado '(puntuado)
18.8.5 Guardia del dispositivo
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en
□ □
18.8.5.2 (NG) Asegúrese de 'Activar seguridad basada en virtualización: seleccione
Nivel de seguridad de la plataforma 'está configurado en' Arranque seguro y □DMA □
Protección '(puntuado)
Protección basada en virtualización de la integridad del código 'se establece □
en □
'Habilitado con bloqueo UEFI' (puntuado)
18.8.5.4 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Requerir
La tabla de atributos de memoria UEFI 'se establece en' Verdadero (marcado)□ ' □
(Puntuado)
975 | Página
Página 977
Controlar Conjunto
Correctamente
sí No
Configuración de Credential Guard 'está configurada como' Habilitada con UEFI □ □
lock '(solo MS) (puntuado)
Configuración de Credential Guard 'se establece en' Desactivado '(DC □ □
Solo) (puntuado)
18.8.5.7 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: segura
□ □
Launch Configuration 'está configurado como' Enabled '(puntuado)
18.8.6 Servicio de atestación de estado del dispositivo
18.8.7 Instalación del dispositivo
18.8.7.1 Restricciones de instalación del dispositivo
18.8.8 Redirección de dispositivos
18.8.9 Caché NV de disco
18.8.10 Cuotas de disco
18.8.11 Monitor
18.8.12 COM distribuido
18.8.14 Antimalware de lanzamiento temprano
18.8.14.1 (L1) Asegúrese de que 'Boot-Start Driver Initialization Policy' esté configurado en
□ □
'Habilitado: bueno, desconocido y malo pero crítico' (puntuado)
18.8.15 Acceso de almacenamiento mejorado
18.8.16 Infraestructura de clasificación de archivos
18.8.17 Agente de instantáneas de archivos compartidos
18.8.18 Proveedor de instantáneas de archivos compartidos
18.8.19 Sistema de archivos (anteriormente sistema de archivos NTFS)
18.8.21.1 Registro y seguimiento
18.8.21.2 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: no
aplicar durante el procesamiento en segundo plano periódico 'se establece en□ □
'Habilitado: FALSO' (puntuado)
18.8.21.3 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: proceso
incluso si los objetos de la directiva de grupo no han cambiado 'se establece □
en □
'Habilitado: VERDADERO' (puntuado)
18.8.21.4 (L1) Asegúrese de que 'Continuar experiencias en este dispositivo' esté configurado en
□ □
18.8.21.5 (L1) Asegúrese de que 'Desactivar la actualización en segundo plano de la directiva de grupo' esté
□ □
18.8.22 Gestión de la comunicación por Internet
976 | Página
Página 978
Controlar Conjunto
Correctamente
sí No
18.8.22.1.1 (L1) Asegúrese de 'Desactivar la descarga de controladores de impresión
□ □
HTTP 'está configurado como' Habilitado '(puntuado)
18.8.22.1.2 (L2) Asegúrese de 'Desactivar los datos de personalización de escritura a mano
□ □
compartir 'está configurado como' Habilitado '(puntuado)
18.8.22.1.3 (L2) Asegúrese de 'Desactivar el error de reconocimiento de escritura a mano
□ □
informes 'está configurado como' Habilitado '(puntuado)
18.8.22.1.4 (L2) Asegúrese de 'Desactivar el asistente de conexión a Internet si la URL
la conexión se refiere a Microsoft.com 'está configurado en' Habilitado ' □ □
(Puntuado)
18.8.22.1.5 (L1) Asegúrese de 'Desactivar la descarga de Internet para la publicación web
□ □
y asistentes de pedidos en línea 'está configurado en' Habilitado '(puntuado)
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado como 'Activado'
□ □
(Puntuado)
18.8.22.1.7 (L2) Asegúrese de 'Desactivar registro si la conexión URL es
□ □
referirse a Microsoft.com 'está configurado como' Habilitado '(puntuado)
18.8.22.1.8 (L2) Asegúrese de 'Desactivar el archivo de contenido de Search Companion
□ □
actualizaciones 'está configurado en' Habilitado '(puntuado)
18.8.22.1.9 (L2) Asegúrese de que esté configurada la opción 'Desactivar la tarea de imagen "Solicitar impresiones"
□ □
18.8.22.1.10 (L2) Asegúrese de "Desactivar la tarea" Publicar en la Web "para archivos y
□ □
carpetas 'está configurado en' Habilitado '(puntuado)
18.8.22.1.11 (L2) Asegúrese de 'Apagar Windows Messenger Customer
Programa de mejora de la experiencia 'está configurado como' Habilitado ' □ □
(Puntuado)
18.8.22.1.12 (L2) Asegúrese de 'Desactivar la experiencia del cliente de Windows
□ □
Programa de mejora 'está configurado como' Habilitado '(puntuado)
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado en
□ □
18.8.23 iSCSI
18.8.24 KDC
18.8.25 Kerberos
18.8.25.1 (L2) Asegúrese de 'Admitir autenticación de dispositivo mediante certificado'
□ □
está configurado en 'Habilitado: Automático' (puntuado)
18.8.26 Protección de Kernel DMA
18.8.26.1 (L1) Garantizar la política de enumeración para dispositivos externos
incompatible con Kernel DMA Protection 'se establece en' Habilitado: □ □
Bloquear todo '(puntuado)
18.8.27 Servicios locales
18.8.27.1 (L2) Asegúrese de 'No permitir la copia de métodos de entrada de usuario al
□ □
cuenta del sistema para iniciar sesión 'está configurada como' Habilitada '(puntuada)
18.8.28 Iniciar sesión
977 | Página
Página 979
Controlar Conjunto
Correctamente
sí No
18.8.28.1 (L1) Asegúrese de 'Bloquear al usuario para que no muestre detalles de la cuenta en
□ □
inicio de sesión 'está configurado en' Habilitado '(puntuado)
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado en
□ □
18.8.28.3 (L1) Asegúrese de que 'No enumere los usuarios conectados en el dominio-
□ □
equipos unidos 'está configurado como' Habilitado '(puntuado)
18.8.28.4 (L1) Asegúrese de 'Enumerar usuarios locales en dominios unidos
□ □
computadoras 'está configurado como' Desactivado '(solo MS) (puntuado)
18.8.28.5 (L1) Asegúrese de que 'Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo' esté
□ □
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en
□ □
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado en
□ □
18.8.29 Opciones de mitigación
18.8.30 Inicio de sesión neto
18.8.31 Políticas de SO
18.8.31.1 (L2) Asegúrese de 'Permitir la sincronización del portapapeles en
□ □
dispositivos 'está configurado como' Desactivado '(puntuado)
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado en
□ □
18.8.32 Panel de control de rendimiento
18.8.33 Complejidad del PIN
18.8.34 Gestión de energía
18.8.34.1 Configuración de botones
18.8.34.2 Configuración de ahorro de energía
18.8.34.3 Configuración del disco duro
18.8.34.4 Configuración de las notificaciones
18.8.34.5 Configuración de regulación de potencia
18.8.34.6 Configuración de sueño
□ □
en espera (con batería) 'está configurado como' Desactivado '(puntuado)
□ □
standby (enchufado) 'está configurado como' Desactivado '(puntuado)
18.8.34.6.3 (L1) Asegúrese de 'Solicitar una contraseña cuando se active una computadora
□ □
(con batería) 'está configurado como' Habilitado '(puntuado)
18.8.34.6.4 (L1) Asegúrese de 'Solicitar una contraseña cuando se active una computadora
□ □
(enchufado) 'está configurado como' Habilitado '(puntuado)
18.8.35 Recuperación
18.8.36 Asistencia remota
978 | Página
Página 980
Controlar Conjunto
Correctamente
sí No
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado en
□ □
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté establecido en
□ □
18.8.37 Llamada a procedimiento remoto
18.8.37.1 (L1) Asegúrese de 'Habilitar cliente RPC Endpoint Mapper
□ □
Autenticación 'está configurada como' Habilitada '(solo MS) (puntuada)
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado en
□ □
'Habilitado: autenticado' (solo MS) (puntuado)
18.8.38 Acceso a almacenamiento extraíble
18.8.39 Guiones
18.8.40 Administrador del servidor
18.8.41 Configuración del administrador de control de servicios
18.8.42 Apagar
18.8.44 Estado de almacenamiento
18.8.45 Sentido de almacenamiento
18.8.46 Restauración del sistema
18.8.47 Diagnóstico y resolución de problemas
18.8.47.1 Diagnóstico de compatibilidad de aplicaciones
18.8.47.2 Recuperación de archivos dañados
18.8.47.3 Diagnóstico de disco
18.8.47.4 Montón tolerante a fallas
18.8.47.5 Herramienta de diagnóstico de soporte de Microsoft
18.8.47.5.1 (L2) Asegúrese de que 'Herramienta de diagnóstico de soporte de Microsoft: encienda
La comunicación interactiva de MSDT con el proveedor de soporte 'es □ □
18.8.47.6 Recuperación de archivos dañados MSI
18.8.47.7 Mantenimiento Programado
18.8.47.8 Diagnósticos con guión
18.8.47.9 Diagnóstico de rendimiento de arranque de Windows
18.8.47.10 Diagnóstico de pérdida de memoria de Windows
18.8.47.11 PerfTrack de rendimiento de Windows
18.8.47.11.1 (L2) Asegúrese de que 'Habilitar / deshabilitar PerfTrack' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.8.48 Servicios de módulo de plataforma confiable
18.8.49 Perfiles de usuario
18.8.49.1 (L2) Asegúrese de que "Desactivar el ID de publicidad" esté configurado como
□ "Activado"
□
(Puntuado)
18.8.50 Protección de archivos de Windows
979 | Página
Página 981
Controlar Conjunto
Correctamente
sí No
18.8.51 Inicio en caliente de Windows
18.8.52 Servicio de hora de Windows
18.8.52.1 Proveedores de tiempo
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado como 'Habilitado'
□ □
(Puntuado)
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado en
□ □
18,9 Componentes de Windows
18.9.1 Servicios de federación de Active Directory
18.9.2 Servicio de instalador de ActiveX
18.9.3 Agregue funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime
Potenciar)
18.9.4 Implementación de paquetes de aplicaciones
18.9.4.1 (L2) Asegúrese de 'Permitir que una aplicación de Windows comparta datos de aplicaciones
□ □
entre usuarios 'está configurado como' Desactivado '(puntuado)
18.9.5 Privacidad de la aplicación
18.9.6.1 (L1) Asegúrese de que 'Permitir que las cuentas de Microsoft sean opcionales' esté configurado
□ □
18.9.8.1 (L1) Asegúrese de que 'No permitir reproducción automática para dispositivos sin volumen' esté
□ □
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en
□ □
'Habilitado: no ejecutar ningún comando de ejecución automática' (puntuado)
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las unidades'
□ □
(Puntuado)
18.9.9 Apoyo
18.9.10 Biometria
18.9.10.1 Rasgos faciales
18.9.10.1.1 (L1) Asegúrese de que 'Configurar anti-spoofing mejorado' esté establecido en
□ □
18.9.11 Cifrado de unidad BitLocker
18.9.12 Cámara
18.9.12.1 (L2) Asegúrese de que 'Permitir el uso de la cámara' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.13.1 (L1) Asegúrese de que esté configurado "Desactivar las experiencias del consumidor de Microsoft"
□ □
18.9.14 Conectar
980 | Página
Página 982
Controlar Conjunto
Correctamente
sí No
18.9.14.1 (L1) Asegúrese de que 'Requerir pin para emparejamiento' esté configurado como 'Habilitado: primero
□ □
Hora 'O' Habilitado: Siempre '(puntuado)
18.9.15.1 (L1) Asegúrese de que 'No mostrar el botón de revelación de contraseña' esté
□ □
18.9.15.2 (L1) Asegúrese de 'Enumerar cuentas de administrador en
□ □
elevación 'se establece en' Deshabilitado '(puntuado)
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad
□ □
[Solo para empresas] 'o' Habilitado: 1 - Básico '(puntuado)
18.9.16.2 (L2) Asegúrese de 'Configurar el uso de proxy autenticado para el
El servicio de telemetría y experiencia de usuario conectado 'está configurado
□ en □
'Habilitado: deshabilitar el uso de proxy autenticado' (puntuado)
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en
□ □
18.9.16.4 (L1) Asegúrese de que 'Alternar control de usuario sobre compilaciones de Insider' esté configurado
□ □
18.9.17 Optimización de entrega
18.9.20 Compatibilidad de dispositivos y controladores
18.9.21 Registro de dispositivo (anteriormente Workplace Join)
18.9.24 EMET
18.9.25 Reenvío de eventos
18.9.26 Servicio de registro de eventos
18.9.26.1 Solicitud
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando
el archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado□ ' □
(Puntuado)
18.9.26.1.2 (L1) Asegúrese de 'Aplicación: especifique el tamaño máximo del archivo de registro
□ □
(KB) 'se establece en' Habilitado: 32.768 o más '(puntuado)
18.9.26.2 Seguridad
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado□ ' □
(Puntuado)
18.9.26.2.2 (L1) Asegúrese de 'Seguridad: especifique el tamaño máximo del archivo de registro
□ □
(KB) 'se establece en' Habilitado: 196.608 o superior '(puntuado)
18.9.26.3 Preparar
981 | Página
Página 983
Controlar Conjunto
Correctamente
sí No
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado
□ ' □
(Puntuado)
18.9.26.3.2 (L1) Asegúrese de 'Configuración: especifique el tamaño máximo del archivo de registro (KB)'
□ □
está configurado en 'Habilitado: 32.768 o más' (puntuado)
18.9.26.4 Sistema
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado
□ ' □
(Puntuado)
18.9.26.4.2 (L1) Asegúrese deen'Sistema:
está configurado especifique
'Habilitado: 32.768 oelmás'
tamaño máximo del archivo de registro
(puntuado) □ (KB)'
□
18.9.27 El registro de eventos
18.9.28 Visor de eventos
18.9.29 Seguridad familiar (anteriormente controles parentales)
18.9.30.1 Versión anterior
18.9.30.2 (L1) Asegúrese de 'Desactivar la prevención de ejecución de datos para
□ □
Explorer 'está configurado como' Desactivado '(puntuado)
18.9.30.3 (L1) Asegúrese de que 'Desactivar la terminación del montón en caso de corrupción' esté configurado
□ □
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado
□ □
18.9.31 Historial del archivo
18.9.32 Encuentra mi dispositivo
18.9.33 Explorador de juegos
18.9.34 Escritura
18.9.35 Grupo Hogar
18.9.36 Importar Video
18.9.37 explorador de Internet
18.9.38 Servicios de Información de Internet
18.9.39.1 Proveedor de ubicación de Windows
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado como 'Activado'□ (puntuado)
□
18.9.40 Programador de mantenimiento
18.9.41 Mapas
18.9.42 MDM
18.9.43 Mensajería
18.9.43.1 (L2) Asegúrese de que 'Permitir sincronización en la nube del servicio de mensajes' esté configurado en
□ □
18.9.44 Cuenta de Microsoft
982 | Página
Página 984
Controlar Conjunto
Correctamente
sí No
18.9.44.1 (L1) Asegúrese de 'Bloquear todos los usuarios de cuentas de Microsoft
□ □
autenticación 'se establece en' Habilitado '(puntuado)
18.9.46 Autenticación Microsoft FIDO
18.9.47 Factor de autenticación secundario de Microsoft
18.9.49 Reunión en la red
18.9.50 Protección de acceso a la red
18.9.52 OneDrive (anteriormente SkyDrive)
18.9.52.1 (L1) Asegúrese de 'Evitar el uso de OneDrive para el almacenamiento de archivos'
□ □
18.9.53 Asistencia en línea
18.9.54 OOBE
18.9.55 Sincronización de contraseña
18.9.56 Sistema operativo portátil
18.9.58 Empuje para instalar
18.9.59.1 Licencias de RD (anteriormente Licencias de TS)
18.9.59.2 Cliente de conexión a escritorio remoto
18.9.59.2.1 Redirección de dispositivo USB RemoteFX
18.9.59.2.2 (L1) Asegúrese de que 'No permitir que se guarden contraseñas' esté configurado en
□ □
18.9.59.3 Host de sesión de escritorio remoto (anteriormente Terminal Server)
18.9.59.3.1 Compatibilidad de aplicaciones
18.9.59.3.2 Conexiones
18.9.59.3.2.1 (L2) Asegúrese de 'Restringir los usuarios de Servicios de escritorio remoto a un
sesión única de Servicios de Escritorio remoto 'está configurada como' Habilitada
□ '□
(Puntuado)
18.9.59.3.3 Redirección de dispositivos y recursos
18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto COM' esté configurado en
□ □
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado en
□ □
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto LPT' esté configurado en
□ □
□ □
redirección 'se establece en' Habilitado '(puntuado)
18.9.59.3.4 Licencia
983 | Página
Página 985
Controlar Conjunto
Correctamente
sí No
18.9.59.3.5 Redirección de la impresora
18.9.59.3.6 Perfiles
18.9.59.3.7 Agente de conexión de RD (anteriormente Agente de conexión de TS)
18.9.59.3.8 Entorno de sesión remota
18.9.59.3.9 Seguridad
18.9.59.3.9.1 (L1) Asegúrese de 'Solicitar siempre la contraseña al conectarse'
□ □
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en
□ □
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para
□ □
conexiones remotas (RDP) 'se establece en' Habilitado: SSL '(puntuado)
18.9.59.3.9.4 (L1) Asegúrese de 'Requerir autenticación de usuario para
conexiones mediante autenticación de nivel de red 'se establece en □ □
□ □
'Habilitado: nivel alto' (puntuado)
18.9.59.3.10 Límites de tiempo de sesión
18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para control remoto activo pero inactivo
Sesiones de servicios de escritorio 'está configurado en' Habilitado: 15 minutos
□ o □
menos '(puntuado)
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté establecido
□ □
a 'Habilitado: 1 minuto' (puntuado)
18.9.59.3.11 Carpetas temporales
18.9.59.3.11.1 (L1) Asegúrese de que 'No eliminar carpetas temporales al salir' esté configurado en
□ □
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté configurado
□ □
18.9.60 RSS Feeds
18.9.60.1 (L1) Asegúrese de que 'Evitar la descarga de gabinetes' esté configurado en
□ □
18.9.61 Buscar
18.9.61.1 LOC
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Activado: Desactivar
□ □
Cloud Search '(puntuado)
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en
'Discapacitado' (puntuado) □ □
18.9.62 Centro de Seguridad
18.9.63 Servidor para NIS
18.9.65 Tarjeta electrónica
984 | Página
Página 986
Controlar Conjunto
Correctamente
sí No
18.9.66 Plataforma de protección de software
18.9.66.1 (L2) Asegúrese de que 'Desactivar la validación de AVS en línea del cliente KMS' esté
□ □
18.9.67 Grabadora de sonido
18.9.68 Habla
18.9.69 Tienda
18.9.70 Sincroniza tu configuración
18.9.71 Tableta
18.9.73 Entrada de texto
18.9.76 Programa de mejora de la experiencia del cliente de Windows
18.9.77 Antivirus de Windows Defender (anteriormente Windows Defender)
18.9.77.1 Interfaz de cliente
18.9.77.2 Exclusiones
18.9.77.3 MAPAS
18.9.77.3.1 (L1) Asegúrese de 'Configurar la anulación de la configuración local para los informes
□ □
a Microsoft MAPS 'está configurado como' Deshabilitado '(puntuado)
18.9.77.3.2 (L2) Asegúrese de que 'Unirse a Microsoft MAPS' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.77.4 MpEngine
18.9.77.5 Sistema de inspección de red
18.9.77.6 Cuarentena
18.9.77.7 Protección en tiempo real
18.9.77.7.1 (L1) Asegúrese de que 'Activar monitoreo de comportamiento' esté configurado en
□ □
18.9.77.8 Remediación
18.9.77.9 Reportando
18.9.77.9.1 (L2) Asegúrese de que 'Configurar eventos de Watson' esté establecido en 'Deshabilitado'
□ □
(Puntuado)
18.9.77.10 Escanear
18.9.77.10.1 (L1) Asegúrese de que 'Escanear unidades extraíbles' esté configurado como 'Activado'
□ □
(Puntuado)
18.9.77.10.2 (L1) Asegúrese de que 'Activar el escaneo de correo electrónico' esté configurado en 'Activado'
□ □
(Puntuado)
18.9.77.11 Actualizaciones de inteligencia de seguridad (anteriormente Actualizaciones de firmas)
18.9.77.12 Amenazas
18.9.77.13 Protección contra exploits de Windows Defender
18.9.77.13.1 Reducción de la superficie de ataque
985 | Página
Página 987
Controlar Conjunto
Correctamente
sí No
18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté configurado
□ □
18.9.77.13.1.2 (L1) Asegúrese de 'Configurar reglas de reducción de superficie de ataque: Establecer
□ □
el estado de cada regla de ASR 'está' configurado '(puntuado)
18.9.77.13.2 Acceso controlado a carpetas
18.9.77.13.3 Protección de red
□ □
sitios web peligrosos 'está configurado en' Habilitado: Bloquear '(puntuado)
18.9.77.14 (L1) Asegúrese de 'Configurar la detección para aplicaciones potencialmente no deseadas
□ □
aplicaciones 'está configurado como' Habilitado: Bloquear '(puntuado)
18.9.77.15 (L1) Asegúrese de que 'Desactivar Windows Defender AntiVirus' esté configurado en
□ □
18.9.78 Protección de aplicaciones de Windows Defender
18.9.79 Protección contra exploits de Windows Defender
18.9.80.1 Explorador
18.9.80.1.1 (L1) Asegúrese de que 'Configurar Windows Defender SmartScreen' esté
□ □
establecido en 'Habilitado: advertir y evitar omisión' (puntuado)
18.9.82 Grabación y transmisión de juegos de Windows
18.9.83 Windows Hello para empresas (anteriormente Microsoft Passport para
Trabajo)
18.9.84 Espacio de trabajo de Windows Ink
18.9.84.1 (L2) Asegúrese de 'Permitir aplicaciones sugeridas en Windows Ink
□ □
Espacio de trabajo 'está configurado como' Deshabilitado '(puntuado)
18.9.84.2 (L1) Asegúrese de que 'Permitir el espacio de trabajo de Windows Ink' esté configurado en
'Habilitado: encendido, pero no permite el acceso por encima del candado' O□'Deshabilitado'
□
pero no "Activado: Activado" (puntuado)
18.9.85 instalador de ventanas
18.9.85.1 (L1) Asegúrese de que 'Permitir el control del usuario sobre las instalaciones' esté configurado en
□ □
□ □
18.9.85.3 (L2) Asegúrese de que 'Prevenir el mensaje de seguridad de Internet Explorer
□ □
Los scripts de Windows Installer 'están configurados como' Deshabilitados '(puntuados)
18.9.86.1 (L1) Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo
□ □
automáticamente después de un reinicio 'se establece en' Desactivado '(puntuado)
986 | Página
Página 988
Controlar Conjunto
Correctamente
sí No
18.9.89 Gestión de derechos digitales de Windows Media
18.9.90 reproductor de medios de Windows
18.9.91 Espacio para reuniones de Windows
18.9.92 Windows Messenger
18.9.93 Centro de movilidad de Windows
18.9.94 creador de películas de Windows
18.9.95
18.9.95.1 Windows PowerShell
(L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté configurado
□ □
18.9.95.2 (L1) Asegúrese de que 'Activar la transcripción de PowerShell' esté configurado en
□ □
18.9.96 Análisis de confiabilidad de Windows
18.9.97 Administración remota de Windows (WinRM)
18.9.97.1 Cliente WinRM
□ □
(Puntuado)
18.9.97.1.2 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.9.97.1.3 (L1) Asegúrese de que 'No permitir la autenticación implícita' esté configurado en
□ □
18.9.97.2 Servicio WinRM
□ □
(Puntuado)
18.9.97.2.2 (L2) Asegúrese de 'Permitir la administración remota del servidor
□ □
WinRM 'está configurado como' Desactivado '(puntuado)
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.9.97.2.4 (L1) Asegúrese de 'No permitir que WinRM almacene RunAs
□ □
18.9.98 Shell remoto de Windows
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.99 Seguridad de Windows (anteriormente Centro de seguridad de Windows Defender)
18.9.99.1 Protección de cuenta
18.9.99.2 Protección de aplicaciones y navegadores
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté establecido en
□ □
18.9.100 Windows SideShow
18.9.101 Administrador de recursos del sistema de Windows
18.9.102 actualizacion de Windows
987 | Página
Página 989
Controlar Conjunto
Correctamente
sí No
18.9.102.1 Windows Update para empresas (anteriormente Aplazar actualizaciones de Windows)
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado como 'Habilitado:
□ □
Deshabilitar compilaciones de vista previa '(puntuadas)
18.9.102.1.2 (L1) Asegúrese de seleccionar cuando obtenga una vista previa de las compilaciones y
Se reciben actualizaciones 'está configurado como' Habilitado: Semestral □ □
Canal, 180 o más días '(puntuados)
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté
□ □
establecido en 'Habilitado: 0 días' (puntuado)
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado en
□ □
18.9.102.3 (L1) Asegúrese de 'Configurar actualizaciones automáticas: programadas
□ □
el día de instalación 'se establece en' 0 - Todos los días '(puntuado)
18.9.102.4 (L1) Asegúrese de que 'Sin reinicio automático con usuarios conectados para
instalaciones de actualizaciones automáticas programadas 'se establece en □ □
19 Plantillas administrativas (usuario)
19,1 Panel de control
19.1.1 Añadir o eliminar programas
19.1.2 Monitor
19.1.3
19.1.3.1 Personalización
(L1) Asegúrese de(anteriormente, temas de
que 'Activar protector de pantalla'
escritorio)
esté configurado como 'Activado'
□ □
(Puntuado)
19.1.3.2 (L1) Asegúrese de 'Forzar protector de pantalla específico: protector de pantalla
□ □
nombre del ejecutable 'se establece en' Habilitado: scrnsave.scr '(puntuado)
19.1.3.3 (L1) Asegúrese de que 'Proteger con contraseña el protector de pantalla' esté configurado en
□ □
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Activado: 900
□ □
segundos o menos, pero no 0 '(puntuados)
19,2 Escritorio
19,3 Red
19,4 Carpetas compartidas
19,5 Menú de inicio y barra de tareas
19.5.1.1 (L1) Asegúrese de 'Desactivar las notificaciones de tostadas en la pantalla de bloqueo'
□ □
19,6 Sistema
19.6.1 Ctrl + Alt + Del Opciones
19.6.2 Monitor
988 | Página
Página 990
Controlar Conjunto
Correctamente
sí No
19.6.6 Gestión de la comunicación por Internet
19.6.6.1.1 (L2) Asegúrese de 'Desactivar la mejora de la experiencia de ayuda
□ □
El programa 'está configurado como' Habilitado '(puntuado)
19,7 Componentes de Windows
19.7.1 Agregue funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime
Potenciar)
19.7.4 Administrador de archivos adjuntos
19.7.4.1 (L1) Asegúrese de 'No conservar la información de la zona en el archivo
□ □
adjuntos 'está configurado como' Desactivado '(puntuado)
19.7.4.2 (L1) Asegúrese de 'Notificar a los programas antivirus al abrir
□ □
adjuntos 'está configurado como' Habilitado '(puntuado)
19.7.6 Apoyo
19.7.7.1 (L1) Asegúrese de que 'Configurar el reflector de Windows en la pantalla de bloqueo' esté
□ □
establecido en Disabled '(puntuado)
19.7.7.2 (L1) Asegúrese de 'No sugerir contenido de terceros en Windows
□ □
Spotlight 'está configurado como' Habilitado '(puntuado)
19.7.7.3 (L2) Asegúrese de que 'No utilice datos de diagnóstico para
□ □
experiencias 'está configurado como' Habilitado '(puntuado)
19.7.7.4 (L2) Asegúrese de que esté configurado 'Desactivar todas las funciones de Windows Spotlight'
□ □
19.7.15 Revocación de archivos
19.7.16 YO ME
19.7.17 Importar Video
19.7.18 Búsqueda instantánea
19.7.19 explorador de Internet
989 | Página
Página 991
Controlar Conjunto
Correctamente
sí No
19.7.22 Consola de administración de Microsoft
19.7.24 Reunión en la red
19.7.26 Compartir red
19.7.26.1 (L1) Asegúrese de 'Evitar que los usuarios compartan archivos dentro de sus
□ □
perfil.' está configurado en 'Habilitado' (puntuado)
19.7.27 OOBE
19.7.30 RSS Feeds
19.7.31 Buscar
19.7.32 Grabadora de sonido
19.7.33 Tienda
19.7.34 Tableta
19.7.40 Windows Hello para empresas (anteriormente Microsoft Passport para
Trabajo)
19.7.41 instalador de ventanas
□ □
19.7.45 reproductor de medios de Windows
19.7.45.1 Redes
19.7.45.2 Reproducción
19.7.45.2.1 (L2) Asegúrese de que 'Evitar descarga de códec' esté configurado como 'Activado'
□ □
(Puntuado)
990 | Página
Página 992
Apéndice: Historial de cambios

Fecha Cambios de versión para esta versión
30/08/2019 1.0.0 Lanzamiento público inicial
22/11/2019 1.0.1 ACTUALIZACIÓN - 17.2 (L1) Asegúrese de que 'Auditoría de la gestión del grupo de distribución' esté
establecido en 'Éxito y fracaso' PARA incluir 'Éxito' (sólo DC)
Boleto # 9112
22/11/2019 1.0.1 ACTUALIZAR - 17.4 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado en
'Éxito y fracaso' PARA incluir 'Fallo' (solo DC)
Boleto # 9113
22/11/2019 1.0.1 ACTUALIZACIÓN: 17.4 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado en
'Éxito y fracaso' PARA incluir 'Éxito' (solo DC)
Boleto # 9114
22/11/2019 1.0.1 REMOVE - 17.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté
establecido en 'Éxito y fracaso' desde el perfil de MS (TODOS -> Sólo DC)
Boleto # 9115
22/11/2019 1.0.1 ACTUALIZACIÓN - 17.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté
establecido en 'Éxito y fracaso' PARA incluir 'Éxito' (sólo DC)
Boleto # 9116
14/01/2019 1.1.0 AÑADIR - Nuevas secciones de Windows 10 Release 1903 Administrative

Plantillas
Boleto # 9564
14/1/2020 1.1.0 CAMBIAR EL NOMBRE - 18.9.86 (L1) Asegúrese de 'Iniciar sesión como último usuario interactivo
automáticamente después de un reinicio iniciado por el sistema 'se establece en' Desactivado 'TO
Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo automáticamente después de una
reiniciar 'está configurado como' Deshabilitado '
Boleto # 9565
991 | Página
Página 993
Fecha Cambios de versión para esta versión
14/1/2020 1.1.0 MOVE & RENAME - 18.5.4 (L1) Establezca 'Tipo de nodo NetBIOS' en 18.3 (L1)
Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-node
(recomendado)'
Boleto # 9566
14/1/2020 1.1.0 ACTUALIZACIÓN: 18.3 (L1) Asegúrese de que la 'Configuración de NetBT NodeType' esté establecida en
'Habilitado: nodo P (recomendado)' (Agregar al perfil de DC)
Boleto # 9567
14/1/2020 1.1.0 ACTUALIZACIÓN - 18.5.4 (L1) Asegúrese de que esté configurado 'Desactivar la resolución de nombres de multidifusión'
a 'Habilitado' (Agregar al perfil de DC)
Boleto # 9568
14/1/2020 1.1.0 ADD - 17.1 (L1) Asegúrese de que 'Audit Kerberos Authentication Service' esté configurado
a 'Éxito y fracaso' (solo DC)
Boleto # 9569
14/1/2020 1.1.0 ADD - 17.1 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté
establecido en 'Éxito y fracaso' (solo DC)
Boleto # 9570
14/1/2020 1.1.0 ACTUALIZAR - 18.5.21.1 (L1) Asegúrese de 'Minimizar el número de

conexiones a Internet o un dominio de Windows 'está configurado como' Habilitado '
TO 'Habilitado: 3 = Evitar Wi-Fi cuando está en Ethernet'
Boleto # 9684
992 | Página

CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark

Cargado por

Copyright:

Formatos disponibles

CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark

Cargado por

Copyright:

Formatos disponibles

20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark

CIS Microsoft Windows Server 2019 RTM

Público objetivo ................................................ .................................................. ............................................. 35

Información de puntuación ................................................ .................................................. ........................................... 36

Agradecimientos................................................. .................................................. ........................................... 39

2.1 Política de auditoría ............................................... .................................................. ................................................ 62

2.3.1 Cuentas .............................................. .................................................. ............................................ 165

2.3.2 Auditoría .............................................. .................................................. .................................................. 178

2.3.5.3 (L1) Asegúrese de 'Controlador de dominio: rechazar la contraseña de la cuenta de la máquina

2.3.7 Inicio de sesión interactivo ............................................ .................................................. ............................. 209

2.3.8 Cliente de red de Microsoft ............................................ .................................................. ............. 228

2.3.9 Servidor de red de Microsoft ............................................ .................................................. ........... 236

2.3.10.4 (L2) Asegúrese de 'Acceso a la red: no permita el almacenamiento de contraseñas y

2.3.10.10 (L1) Garantizar 'Acceso a la red: restringir el acceso anónimo a Named

2.3.11 Seguridad de la red ............................................. .................................................. ........................ 279

2.3.13 Apagado .............................................. .................................................. ....................................... 301

2.3.15 Objetos del sistema ............................................. .................................................. .............................. 304

2.3.16 Configuración del sistema ............................................. .................................................. ............................ 307

3 Registro de eventos ............................................... .................................................. .................................................. ......... 323

9 Firewall de Windows con seguridad avanzada ............................................ .......................................... 324

10 Políticas de Network List Manager ............................................. .................................................. .............. 377

16 Políticas de seguridad IP .............................................. .................................................. ..................................... 377

17.4 Acceso DS ............................................... .................................................. ............................................... 401

17.5 Inicio / Cierre de sesión .............................................. .................................................. ........................................ 405

17.7 Cambio de política ............................................... .................................................. ...................................... 427

17.8 Uso de privilegios ............................................... .................................................. ........................................ 441

17.9 Sistema ................................................ .................................................. .................................................. .. 444

18.1.1 Personalización .............................................. .................................................. ........................... 457

18.3.4 (L1) Asegúrese de 'Habilitar protección de sobrescritura de manejo de excepciones estructurado

18.4.10 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions IPv6) ¿Cuántas veces

18.4.11 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions) ¿Cuántas veces

18.5 Red ................................................ .................................................. ................................................ 526

18.5.3 Configuración de la experiencia del cliente de DirectAccess ........................................... ............................. 526

18.5.5 Fuentes .............................................. .................................................. ................................................ 530

18.5.8 Estación de trabajo Lanman ............................................. .................................................. ................ 533

18.5.9 Descubrimiento de topología de capa de enlace .......................................... ................................................ 535

18.5.10 Servicios de red punto a punto de Microsoft ....................................... ..................... 540

18.5.11.3 (L1) Asegúrese de 'Prohibir el uso de Conexión compartida a Internet en su DNS

18.5.13 Aislamiento de red ............................................. .................................................. .................... 549

18.5.17 SNMP .............................................. .................................................. ............................................. 553

18.5.18 Parámetros de configuración SSL ............................................ .................................................. ... 553

18.5.19.2.1 (L2) Deshabilitar IPv6 (asegúrese de que el parámetro TCPIP6 'DisabledComponents'

18.5.20 Windows Connect Now ............................................ .................................................. .......... 558

18.5.21 Administrador de conexiones de Windows ............................................ ............................................ 563

18.6 Impresoras ................................................ .................................................. .................................................. 568

18.7.1 Notificaciones .............................................. .................................................. ................................. 569

18.8 Sistema ................................................ .................................................. .................................................. .. 571

18.8.2 Aplicación-V ............................................ .................................................. ................................................. 571

18.8.4 Delegación de credenciales ............................................. .................................................. ............. 574

18.8.5.6 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Credential Guard

18.8.10 Cuotas de disco ............................................. .................................................. ................................. 593

18.8.12 COM distribuido ............................................. .................................................. ....................... 594

18.8.14 Antimalware de inicio temprano ............................................ .................................................. ... 595

18.8.15 Acceso de almacenamiento mejorado ............................................ .................................................. ...... 597

18.8.17 Agente de instantáneas de uso compartido de archivos .......................................... ............................................... 597

18.8.21 Política de grupo ............................................. .................................................. ............................... 599

18.8.21.2 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: no aplicar durante

18.8.21.3 (L1) Asegúrese de 'Configurar el procesamiento de políticas de registro: Procese incluso si

18.8.22 Gestión de comunicaciones de Internet ............................................ ............................ 608

18.8.22.1.11 (L2) Asegúrese de 'Desactivar la experiencia del cliente de Windows Messenger