CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark
CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark
CIS Microsoft Windows Server 2019 RTM (Versión 1809) Benchmark
Página 1
Página 2
https://translate.googleusercontent.com/translate_f 1/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Términos de Uso
Consulte el enlace a continuación para conocer nuestros términos de uso actuales:
https://www.cisecurity.org/cis-securesuite/cis-securesuite-membership-terms-of-use/
1 | Página
Página 3
Tabla de contenido
Términos de Uso............................................... .................................................. .................................................. ................. 1
Visión general ................................................. .................................................. .................................................. ................... 35
1.1.1 (L1) Asegúrese de que 'Aplicar historial de contraseñas' esté configurado en '24 o más contraseñas '
(Anotado) ............................................... .................................................. .................................................. ... 40
1.1.2 (L1) Asegúrese de que la 'Antigüedad máxima de la contraseña' esté establecida en '60 días o menos, pero no en 0 '
(Anotado) ............................................... .................................................. .................................................. ... 43
1.1.3 (L1) Asegúrese de que la 'Antigüedad mínima de la contraseña' esté configurada en '1 o más días' (puntuados). 45
1.1.4 (L1) Asegúrese de que la 'Longitud mínima de la contraseña' esté establecida en '14 o más caracteres '
(Anotado) ............................................... .................................................. .................................................. ... 47
1.1.5 (L1) Asegúrese de que 'La contraseña debe cumplir con los requisitos de complejidad' esté configurada en
'Habilitado' (puntuado) ............................................ .................................................. ................................... 50
1.1.6 (L1) Asegúrese de que 'Almacenar contraseñas con cifrado reversible' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. .................................. 53
1.2 Política de bloqueo de cuenta .............................................. .................................................. ......................... 55
1.2.1 (L1) Asegúrese de que la 'Duración del bloqueo de la cuenta' esté configurada en '15 o más minuto (s) '
(Anotado) ............................................... .................................................. .................................................. ... 55
1.2.2 (L1) Asegúrese de que el 'Umbral de bloqueo de la cuenta' esté configurado en '10 o menos inicios de sesión no válidos
intento (s), pero no 0 '(puntuados) ...................................... .................................................. ................ 57
1.2.3 (L1) Asegúrese de que 'Restablecer el contador de bloqueo de cuenta después de' esté configurado en '15 o más
minuto (s) '(puntuados) .......................................... .................................................. ................................... 59
2 Políticas locales ............................................... .................................................. .................................................. .... 62
2 | Página
Página 4
2.2.2 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado en
'Administradores, usuarios autenticados, CONTROLADORES DE DOMINIO EMPRESARIALES' (DC
solamente) (puntuado) ............................................. .................................................. ........................................... 64
2.2.3 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado en
'Administradores, usuarios autenticados' (solo MS) (puntuados) ..................................... .......... 66
2.2.4 (L1) Asegúrese de que 'Actuar como parte del sistema operativo' esté configurado como 'Nadie' (puntuado)
.................................................. .................................................. .................................................. ................... 68
2.2.5 (L1) Asegúrese de que 'Agregar estaciones de trabajo al dominio' esté configurado en 'Administradores' (DC
solamente) (puntuado) ............................................. .................................................. ........................................... 70
2.2.6 (L1) Asegúrese de que 'Ajustar cuotas de memoria para un proceso' esté configurado en 'Administradores,
SERVICIO LOCAL, SERVICIO DE RED '(puntuado) ......................................... ........................... 73
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores' (puntuados) .............. 76
2.2.8 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Administradores' (solo DC) (puntuados) ........................................ .................................................. ... 78
2.2.9 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Administradores, usuarios de escritorio remoto' (solo MS) (puntuados) .................................... ...... 81
https://translate.googleusercontent.com/translate_f 3/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. ... 84
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en 'Administradores, LOCAL
SERVICIO '(puntuado) ............................................. .................................................. .................................. 86
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores, LOCAL
SERVICIO '(puntuado) ............................................. .................................................. .................................. 89
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores' (puntuados) ................. 91
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie' (puntuado) ........................ 93
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores, LOCAL
SERVICIO, SERVICIO DE RED, SERVICIO '(puntuado) ........................................ ....................... 95
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'Nadie' (puntuado)
.................................................. .................................................. .................................................. ................... 97
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores' (solo DC)
(Anotado) ............................................... .................................................. .................................................. ... 99
3 | Página
Página 5
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores, NT VIRTUAL
MACHINE \ Virtual Machines '(solo MS) (puntuado) ...................................... ......................... 101
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado como 'Administradores' (puntuados) .............. 103
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para incluir
'Invitados' (solo DC) (puntuados) ........................................ .................................................. .................. 105
2.2.21 (L1) Asegúrese de que 'Denegar el acceso a esta computadora desde la red' para incluir
'Invitados, cuenta local y miembro del grupo de administradores' (solo MS) (puntuado)
.................................................. .................................................. .................................................. ................ 107
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados' (puntuados) ......... 109
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados' (puntuados) ... 111
2.2.24 (L1) Asegúrese de 'Denegar el inicio de sesión localmente' para incluir 'Invitados' (puntuados) ...............
2.2.25 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' para incluir
'Invitados' (solo DC) (puntuados) ........................................ .................................................. .................. 115
2.2.26 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' esté configurado en
'Invitados, cuenta local' (solo MS) (puntuados) ..................................... ....................................... 117
2.2.27 (L1) Asegúrese de 'Permitir que las cuentas de usuario y de computadora sean confiables
delegación 'se establece en' Administradores '(solo DC) (puntuado) ................................... ............. 119
2.2.28 (L1) Asegúrese de 'Permitir que las cuentas de usuario y de computadora sean confiables
delegación 'se establece en' Nadie '(solo MS) (puntuado) .................................. .............................. 121
2.2.29 (L1) Asegúrese de que 'Forzar apagado desde un sistema remoto' esté configurado en
'Administradores' (puntuados) ............................................ .................................................. ................. 123
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'SERVICIO LOCAL, RED
SERVICIO '(puntuado) ............................................. .................................................. ............................... 125
2.2.31 (L1) Asegúrese de que 'Suplantar a un cliente después de la autenticación' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 127
2.2.32 (L1) Asegúrese de que 'Suplantar a un cliente después de la autenticación' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' y (cuando el
Rol de servidor web (IIS) con servicio de rol de servicios web instalado) 'IIS_IUSRS' (MS
solamente) (puntuado) ............................................. .................................................. ........................................ 130
https://translate.googleusercontent.com/translate_f 4/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.2.33 (L1) Asegúrese de que 'Aumentar la prioridad de programación' esté configurado en 'Administradores,
Administrador de ventanas \ Grupo de administradores de ventanas '(puntuado) ........................................ ............ 133
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivo' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 135
4 | Página
Página 6
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado como 'Nadie' (puntuado) ... 137
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 139
2.2.37 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en 'Administradores'
y (cuando Exchange se ejecuta en el entorno) 'Exchange Servers' (solo DC)
(Anotado) ............................................... .................................................. .................................................. 141
2.2.38 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en 'Administradores'
(Solo MS) (puntuado) ........................................... .................................................. ................................ 143
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie' (puntuado) ...
2.2.40 (L1) Asegúrese de que 'Modificar valores de entorno de firmware' esté configurado en
'Administradores' (puntuados) ............................................ .................................................. ................. 147
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 149
2.2.42 (L1) Asegúrese de que 'Perfil de proceso único' esté configurado como 'Administradores' (puntuado) ... 151
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en 'Administradores, NT
SERVICE \ WdiServiceHost '(puntuado) ........................................... .............................................. 153
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'SERVICIO LOCAL,
SERVICIO DE RED '(puntuado) ............................................ .................................................. ........ 155
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado como 'Administradores'
(Anotado) ............................................... .................................................. .................................................. 157
2.2.46 (L1) Asegúrese de que "Apagar el sistema" esté configurado como "Administradores" (puntuado). 159
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'Nadie' (DC
solamente) (puntuado) ............................................. .................................................. ........................................ 161
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado en
'Administradores' (puntuados) ............................................ .................................................. ................. 163
2.3 Opciones de seguridad ............................................... .................................................. .................................... 165
5 | Página
Página 7
https://translate.googleusercontent.com/translate_f 5/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.1.4 (L1) Asegúrese de 'Cuentas: Limite el uso de contraseñas en blanco en cuentas locales para
solo inicio de sesión de consola 'está configurado como' Habilitado '(puntuado) ..................................... .............................. 172
2.3.1.5 (L1) Configurar 'Cuentas: Cambiar nombre de cuenta de administrador' (puntuado) ... 174
2.3.1.6 (L1) Configurar 'Cuentas: Cambiar el nombre de la cuenta de invitado' (puntuado) .......................... 176
2.3.2.2 (L1) Asegúrese de 'Auditoría: apague el sistema inmediatamente si no puede iniciar sesión
auditorías de seguridad 'está configurado como' Desactivado '(puntuado) ...................................... .................................... 181
2.3.3 DCOM .............................................. .................................................. .................................................. 183
2.3.4 Dispositivos .............................................. .................................................. ............................................... 184
2.3.4.1 (L1) Asegúrese de que 'Dispositivos: Permitido formatear y expulsar medios extraíbles' esté configurado
a 'Administradores' (puntuados) ........................................... .................................................. ............. 184
2.3.4.2 (L1) Asegúrese de que 'Dispositivos: evitar que los usuarios instalen controladores de impresora' esté configurado
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 187
2.3.5 Controlador de dominio ............................................. .................................................. ......................... 189
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor programen tareas'
está configurado como 'Desactivado' (solo DC) (puntuado) ..................................... ................................................. 189
2.3.5.2 (L1) Asegúrese de que 'Controlador de dominio: requisitos de firma del servidor LDAP' esté configurado
a 'Requerir firma' (solo DC) (puntuado) ...................................... ............................................. 191
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente los datos del canal seguro
(cuando sea posible) 'se establece en' Habilitado '(puntuado) .................................... .................................... 199
2.3.6.3 (L1) Asegúrese de que 'Miembro del dominio: firme digitalmente los datos del canal seguro (cuando
posible) 'se establece en' Habilitado '(puntuado) ...................................... ................................................. 201
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la contraseña de la cuenta de la máquina
cambios 'se establece en' Desactivado '(puntuado) ....................................... ................................................. 203
2.3.6.5 (L1) Asegúrese de 'Miembro del dominio: antigüedad máxima de la contraseña de la cuenta de la máquina'
está configurado en '30 o menos días, pero no en 0 '(puntuado) .................................. ................................... 205
6 | Página
Página 8
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: Requiere fuerte (Windows 2000 o posterior)
clave de sesión 'se establece en' Habilitado '(puntuado) ...................................... ............................................ 207
2.3.7.2 (L1) Asegúrese de que 'Inicio de sesión interactivo: No mostrar el último inicio de sesión' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 211
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' esté configurado en '900 o
https://translate.googleusercontent.com/translate_f 6/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
menos segundo (s), pero no 0 '(puntuados) ..................................... .................................................. .. 213
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
en '(puntuado) ............................................. .................................................. ............................................ 215
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión
en '(puntuado) ............................................. .................................................. ............................................ 217
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores en caché (en
caso de que el controlador de dominio no esté disponible) 'está configurado en' 4 o menos inicios de sesión '(solo MS)
(Anotado) ............................................... .................................................. .................................................. 219
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: Solicite al usuario que cambie la contraseña antes
vencimiento 'se establece en' entre 5 y 14 días '(puntuado) ................................... .................. 222
2.3.7.8 (L1) Asegúrese de 'Inicio de sesión interactivo: requiere autenticación del controlador de dominio
para desbloquear la estación de trabajo 'está configurado en' Habilitado '(solo MS) (puntuado) ................................. ..... 224
2.3.7.9 (L1) Asegúrese de que 'Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente' esté configurado en
'Bloquear estación de trabajo' o superior (puntuado) ......................................... ............................................ 226
2.3.8.2 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente las comunicaciones (si
servidor acepta) 'está configurado como' Habilitado '(puntuado) ..................................... ....................................... 231
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe una contraseña sin cifrar a
servidores SMB de terceros 'está configurado como' Desactivado '(puntuado) ................................... ................... 234
7 | Página
Página 9
2.3.9.3 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente las comunicaciones (si
el cliente está de acuerdo) 'está configurado como' Habilitado '(puntuado) ..................................... ......................................... 241
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes al iniciar sesión
las horas expiran 'se establece en' Habilitado '(puntuado) ...................................... .......................................... 244
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: validación del nombre de destino del SPN del servidor
level 'se establece en' Aceptar si el cliente lo proporciona 'o superior (solo MS) (puntuado) ............. 246
2.3.10 Acceso a la red ............................................. .................................................. ............................ 249
2.3.10.1 (L1) Asegúrese de que 'Acceso a la red: Permitir traducción anónima de SID / Nombre' esté
establecido en 'Desactivado' (puntuado) .......................................... .................................................. .................... 249
2.3.10.2 (L1) Asegúrese de 'Acceso a la red: no permita la enumeración anónima de
Cuentas SAM 'está configurado como' Habilitado '(solo MS) (puntuado) .................................. ..................... 251
2.3.10.3 (L1) Asegúrese de 'Acceso a la red: no permita la enumeración anónima de
Cuentas y recursos compartidos SAM 'está configurado como' Habilitado '(solo MS) (puntuado) ............................... 253
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre a las que se puede acceder
anónimamente '(solo MS) (puntuado) ......................................... .................................................. ... 261
2.3.10.8 (L1) Configurar 'Acceso a la red: rutas de registro accesibles de forma remota'
(Anotado) ............................................... .................................................. .................................................. 263
2.3.10.9 (L1) Configurar 'Acceso a la red: rutas de registro y
subrutas '(puntuadas) ........................................... .................................................. ............................... 266
8 | Página
Página 10
2.3.11.3 (L1) Garantizar la seguridad de la red: permitir que las solicitudes de autenticación PKU2U
esta computadora para usar identidades en línea 'está configurado como' Desactivado '(puntuado) .......................... 283
2.3.11.4 (L1) Asegúrese de 'Seguridad de red: configure los tipos de cifrado permitidos para
Kerberos 'se establece en' AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future
tipos de cifrado '(puntuados) ............................................ .................................................. ............... 285
2.3.11.5 (L1) Asegúrese de 'Seguridad de red: no almacene el valor hash de LAN Manager en
siguiente cambio de contraseña 'se establece en' Habilitado '(puntuado) ..................................... ...................... 287
2.3.11.6 (L1) Asegúrese de que 'Seguridad de red: Forzar cierre de sesión cuando expiren las horas de inicio de sesión' esté
establecido en 'Habilitado' (sin puntuación) ......................................... .................................................. .............. 289
2.3.11.7 (L1) Asegúrese de que 'Seguridad de red: nivel de autenticación de LAN Manager' esté configurado
a 'Enviar solo respuesta NTLMv2. Rechazar LM & NTLM '(puntuados) .................................. 291
2.3.11.8 (L1) Asegúrese de que 'Seguridad de red: requisitos de firma del cliente LDAP' esté configurado
a 'Negociar firma' o superior (puntuado) ........................................ ........................................ 294
2.3.11.9 (L1) Garantizar 'Seguridad de red: seguridad de sesión mínima para NTLM SSP
los clientes basados en (incluido el RPC seguro) 'se establece en' Requerir seguridad de sesión NTLMv2,
Requiere cifrado de 128 bits '(puntuado) ......................................... .............................................. 296
2.3.11.10 (L1) Garantizar 'Seguridad de red: seguridad de sesión mínima para NTLM SSP
servidores basados en (incluido RPC seguro) 'está configurado en' Requerir seguridad de sesión NTLMv2,
Requiere cifrado de 128 bits '(puntuado) ......................................... .............................................. 298
2.3.12 Consola de recuperación ............................................. .................................................. ........................ 300
https://translate.googleusercontent.com/translate_f 8/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.14 Criptografía del sistema ............................................. .................................................. ................ 303
9 | Página
Página 11
2.3.17.2 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la solicitud de elevación para
administradores en el modo de aprobación de administrador 'se establece en' Solicitar consentimiento en el
escritorio seguro '(puntuado) ............................................ .................................................. ................... 310
2.3.17.3 (L1) Asegurar 'Control de cuentas de usuario: comportamiento de la solicitud de elevación para
usuarios estándar 'está configurado en' Denegar automáticamente solicitudes de elevación '(puntuado) .......... 312
2.3.17.4 (L1) Asegurar 'Control de cuentas de usuario: Detectar instalaciones de aplicaciones y
solicitud de elevación 'se establece en' Habilitado '(puntuado) ..................................... ......................... 314
2.3.17.5 (L1) Asegurar 'Control de cuentas de usuario: solo elevar aplicaciones UIAccess
que están instalados en ubicaciones seguras 'está configurado como' Habilitado '(puntuado) .............................. 316
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en Admin
Modo de aprobación 'está configurado en' Habilitado '(puntuado) ...................................... .................................... 318
2.3.17.7 (L1) Asegúrese de 'Control de cuentas de usuario: cambie al escritorio seguro cuando
pedir elevación 'se establece en' Habilitado '(puntuado) ..................................... ................... 320
2.3.17.8 (L1) Asegúrese de 'Control de cuentas de usuario: virtualice el archivo y la escritura del registro
fallos en ubicaciones por usuario 'se establece en' Habilitado '(puntuado) .................................. ........... 322
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones salientes' esté configurado en
'Permitir (predeterminado)' (puntuado) ......................................... .................................................. ..................... 329
10 | Página
https://translate.googleusercontent.com/translate_f 9/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Pagina 12
9.1.4 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Configuración: Mostrar una notificación' esté
establecido en 'No' (puntuado) .......................................... .................................................. ................................. 331
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log' (puntuado) .................. 333
9.1.6 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Límite de tamaño (KB)' esté configurado en
'16, 384 KB o superior '(puntuado) ......................................... .................................................. ........ 335
9.1.7 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Registrar paquetes perdidos' esté
establecido en 'Sí' (puntuado) .......................................... .................................................. ............................... 337
9.1.8 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado) ....................................... .................................................. .. 339
9.2 Perfil privado ............................................... .................................................. ........................................ 341
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado) ........................................... .................................................. ................. 341
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones entrantes' esté configurado en
'Bloque (predeterminado)' (puntuado) ......................................... .................................................. ..................... 343
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones salientes' esté configurado en
'Permitir (predeterminado)' (puntuado) ......................................... .................................................. ..................... 345
9.2.4 (L1) Asegúrese de que 'Firewall de Windows: Privado: Configuración: Mostrar una notificación' esté
establecido en 'No' (puntuado) .......................................... .................................................. ................................. 347
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log' (puntuado) ................... 349
9.2.6 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Límite de tamaño (KB)' esté configurado en
'16, 384 KB o superior '(puntuado) ......................................... .................................................. ........ 351
9.2.7 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registrar paquetes perdidos' esté
establecido en 'Sí' (puntuado) .......................................... .................................................. ............................... 353
9.2.8 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado) ....................................... .................................................. .. 355
9.3 Perfil público ............................................... .................................................. .......................................... 357
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado) ........................................... .................................................. ................. 357
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: Público: conexiones entrantes' esté configurado en 'Bloquear
(predeterminado) '(puntuado) ........................................... .................................................. ................................. 359
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: Público: Conexiones salientes' esté configurado en
'Permitir (predeterminado)' (puntuado) ......................................... .................................................. ..................... 361
11 | Página
Página 13
9.3.4 (L1) Asegúrese de que esté configurado 'Firewall de Windows: Público: Configuración: Mostrar una notificación'
a 'No' (puntuado) ........................................... .................................................. ....................................... 363
9.3.5 (L1) Asegúrese de que 'Firewall de Windows: Público: Configuración: Aplicar reglas de firewall local' esté
establecido en 'No' (puntuado) .......................................... .................................................. ................................. 365
9.3.6 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar conexión local
reglas de seguridad 'se establece en' No '(puntuado) ...................................... .................................................. .367
https://translate.googleusercontent.com/translate_f 10/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log' (puntuado) ..................... 369
9.3.8 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Límite de tamaño (KB)' esté configurado en
'16, 384 KB o superior '(puntuado) ......................................... .................................................. ........ 371
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registrar paquetes descartados' esté configurado
a 'Sí' (puntuado) ........................................... .................................................. ...................................... 373
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado) ....................................... .................................................. .. 375
14 Configuración del cliente NAP de protección de acceso a la red ........................................... ................... 377
15 Políticas de control de aplicaciones .............................................. .................................................. ................... 377
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en 'Éxito y
Fallo '(solo DC) (puntuado) ......................................... .................................................. ................. 381
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté configurado en 'Correcto
and Failure '(solo DC) (puntuado) ........................................ .................................................. ......... 383
17.2 Gestión de cuentas ............................................... .................................................. ...................... 385
17.2.1 (L1) Asegúrese de que 'Auditoría de gestión de grupos de aplicaciones' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 385
12 | Página
Página 14
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado para incluir
'Éxito' (solo DC) (puntuado) ........................................ .................................................. ................ 387
17.2.3 (L1) Asegúrese de que 'Auditoría de la gestión del grupo de distribución' esté configurado para incluir
'Éxito' (solo DC) (puntuado) ........................................ .................................................. ................ 389
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado para incluir
'Éxito' (solo DC) (puntuado) ........................................ .................................................. ................ 391
17.2.5 (L1) Asegúrese de que 'Auditar la administración del grupo de seguridad' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 393
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 395
17.3 Seguimiento detallado ............................................... .................................................. .............................. 397
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito' (puntuado) ... 397
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir 'Éxito' (puntuado) 399
https://translate.googleusercontent.com/translate_f 11/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
solamente) (puntuado) ............................................. .................................................. ........................................ 401
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado para incluir 'Éxito'
(Solo DC) (puntuado) ........................................... .................................................. ................................. 403
17.5.2 (L1) Asegúrese de que 'Membresía del grupo de auditoría' esté configurado para incluir 'Éxito' (puntuado)
.................................................. .................................................. .................................................. ................ 407
17.5.3 (L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado) ............... 409
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure' (puntuado) .............. 411
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 413
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito' (puntuado) ....... 416
17.6 Acceso a objetos ............................................... .................................................. ....................................... 418
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir 'Fallo' (puntuado)
.................................................. .................................................. .................................................. ................ 418
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y fracaso' (puntuado) ... 420
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 422
13 | Página
Página 15
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 424
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 430
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 433
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de reglas de MPSSVC' esté configurado en 'Éxito y
Fracaso '(puntuado) ............................................. .................................................. ................................... 436
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado para incluir 'Fallo'
(Anotado) ............................................... .................................................. .................................................. 439
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito y fracaso'
(Anotado) ............................................... .................................................. .................................................. 447
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 450
17.9.4 (L1) Asegúrese de que la 'Extensión del sistema de seguridad de auditoría' esté configurada para incluir 'Éxito'
(Anotado) ............................................... .................................................. .................................................. 452
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y fracaso' (puntuado)
https://translate.googleusercontent.com/translate_f 12/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
.................................................. .................................................. .................................................. ................ 454
18 Plantillas administrativas (computadora) ............................................ ................................................ 457
18.1 Panel de control ............................................... .................................................. ....................................... 457
18.1.1.2 (L1) Asegúrese de que 'Evitar la activación de la presentación de diapositivas de la pantalla de bloqueo' esté configurado en 'Activado'
(Anotado) ............................................... .................................................. .................................................. 459
18.1.2 Opciones regionales y de idioma ........................................... .............................................. 461
14 | Página
Página 16
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar los servicios de reconocimiento de voz en línea' esté
establecido en 'Desactivado' (puntuado) .......................................... .................................................. .................... 461
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como 'Deshabilitado' (puntuado) .......................... 464
18.2 VUELTAS ................................................ .................................................. .................................................. ...... 466
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado (solo MS)
(Anotado) ............................................... .................................................. .................................................. 466
18.2.2 (L1) Asegúrese de que 'No permita que la contraseña caduque más de lo requerido
por política 'se establece en' Habilitado '(solo MS) (puntuado) .................................. ............................... 469
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté configurado como 'Habilitado'
(Solo MS) (puntuado) ........................................... .................................................. ................................ 472
18.2.4 (L1) Asegúrese de que 'Configuración de contraseña: Complejidad de contraseña' esté configurado como 'Habilitado:
Letras grandes + letras minúsculas + números + caracteres especiales '(solo MS) (puntuados)
.................................................. .................................................. .................................................. ................ 475
18.2.5 (L1) Asegúrese de que 'Configuración de contraseña: Longitud de contraseña' esté configurado en 'Habilitado: 15 o
más '(solo MS) (puntuado) ......................................... .................................................. ..................... 478
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté configurada como 'Habilitada:
30 o menos '(solo MS) (puntuado) ....................................... .................................................. ......... 480
18.3 Guía de seguridad de MS .............................................. .................................................. ............................... 482
18.3.1 (L1) Asegúrese de que 'Aplicar restricciones de UAC a las cuentas locales en los inicios de sesión de la red' esté
establecido en 'Habilitado' (solo MS) (puntuado) ...................................... .................................................. .... 482
18.3.2 (L1) Asegúrese de que 'Configurar controlador de cliente SMB v1' esté configurado en 'Habilitado: Deshabilitado
driver (recomendado) '(puntuado) .......................................... .................................................. .... 485
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado' (puntuado) ........... 488
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-node
(recomendado) '(puntuado) ........................................... .................................................. ................. 494
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled' (Scored) ............ 497
18.4 MSS (heredado) ............................................. .................................................. .......................................... 499
18.4.1 (L1) Asegúrese de 'MSS: (AutoAdminLogon) Habilite el inicio de sesión automático (no
recomendado) 'está configurado como' Desactivado '(puntuado) ...................................... ................................... 499
15 | Página
https://translate.googleusercontent.com/translate_f 13/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 17
18.4.2 (L1) Asegúrese de que 'MSS: (Desactivar IPSourceRouting IPv6) enrutamiento de origen IP
nivel de protección (protege contra la suplantación de paquetes) 'se establece en' Habilitado: más alto
protección, el enrutamiento de origen está completamente deshabilitado '(puntuado) ....................................... .. 501
18.4.3 (L1) Asegúrese de que 'MSS: (DisableIPSourceRouting) protección de enrutamiento de origen IP
level (protege contra la suplantación de paquetes) 'se establece en' Habilitado: la protección más alta,
el enrutamiento de origen está completamente deshabilitado '(puntuado) ......................................... ........................ 503
18.4.4 (L1) Asegúrese de que 'MSS: (EnableICMPRedirect) Permita que las redirecciones ICMP anulen
Rutas generadas por OSPF 'está configurado como' Desactivado '(puntuado) ..................................... .................... 505
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia se envían los paquetes de mantenimiento de vida
en milisegundos 'se establece en' Habilitado: 300.000 o 5 minutos (recomendado) '
(Anotado) ............................................... .................................................. .................................................. 507
18.4.6 (L1) Asegúrese de que 'MSS: (NoNameReleaseOnDemand) Permita que la computadora
ignorar las solicitudes de liberación de nombres NetBIOS excepto de los servidores WINS 'está configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 509
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP detecte y
configurar direcciones de puerta de enlace predeterminadas (podría conducir a DoS) 'está configurado como' Desactivado '
(Anotado) ............................................... .................................................. .................................................. 512
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite el modo de búsqueda segura de DLL
(recomendado) 'está configurado como' Habilitado '(puntuado) ..................................... ................................... 514
18.4.9 (L1) Asegúrese de 'MSS: (ScreenSaverGracePeriod) El tiempo en segundos antes
el período de gracia del protector de pantalla expira (se recomienda 0) 'se establece en' Habilitado: 5 o
menos segundos '(puntuados) ............................................ .................................................. .................... 517
16 | Página
Página 18
18.5.4.1 (L1) Asegúrese de que 'Desactivar la resolución de nombres de multidifusión' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 527
https://translate.googleusercontent.com/translate_f 14/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado como 'Deshabilitado' (puntuado) ............ 530
18.5.6 Autenticación de hotspot ............................................. .................................................. ........... 532
18.5.7 Servidor Lanman ............................................. .................................................. ............................. 532
18.5.10.2 (L2) Asegúrese de que esté configurado 'Desactivar los servicios de red punto a punto de Microsoft'
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 540
18.5.11 Conexiones de red ............................................. .................................................. ............ 543
18.5.11.2 (L1) Asegúrese de 'Prohibir la instalación y configuración de Network Bridge
en su red de dominio DNS 'está configurado como' Habilitado '(puntuado) ................................... ........ 543
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con "Requerir
Autenticación mutua "y" Requerir integridad "establecidos para todos los NETLOGON y SYSVOL
acciones '(puntuadas) ............................................. .................................................. .................................... 550
18.5.15 Archivos sin conexión ............................................. .................................................. ................................. 553
18.5.16 Programador de paquetes QoS ............................................ .................................................. .............. 553
17 | Página
Página 19
18.5.20.2 (L2) Asegúrese de que 'Prohibir el acceso de los asistentes de Windows Connect Now' esté
establecido en 'Habilitado' (puntuado) .......................................... .................................................. ...................... 561
https://translate.googleusercontent.com/translate_f 15/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.5.21.2 (L2) Asegúrese de 'Prohibir la conexión a redes que no sean de dominio cuando
conectado a la red autenticada del dominio 'está configurado en' Habilitado '(solo MS)
(Anotado) ............................................... .................................................. .................................................. 566
18.8.3.1 (L1) Asegúrese de que 'Incluir línea de comando en eventos de creación de proceso' esté configurado como
'Discapacitado' (puntuado) ............................................ .................................................. ............................... 572
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de no exportables
credenciales 'está configurado como' Habilitado '(puntuado) ....................................... ............................................ 576
18.8.5 Protección del dispositivo ............................................. .................................................. ................................. 578
18 | Página
Página 20
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 578
18.8.5.2 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: seleccione la plataforma
Nivel de seguridad 'está configurado en' Arranque seguro y protección DMA '(puntuado) ........................ 580
18.8.5.3 (NG) Garantizar 'Activar la seguridad basada en virtualización: basada en virtualización
Protection of Code Integrity 'está configurado como' Habilitado con bloqueo UEFI '(puntuado) ............... 582
18.8.5.4 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Requiere UEFI
La tabla de atributos de memoria 'se establece en' Verdadero (marcado) '(puntuado) .................................. .... 584
18.8.5.5 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Credential Guard
La configuración 'se establece en' Habilitado con bloqueo UEFI '(solo MS) (puntuado) ...................... 586
18.8.6 Servicio de atestación del estado del dispositivo ........................................... .......................................... 592
18.8.7 Instalación del dispositivo ............................................. .................................................. ...................... 593
18.8.8 Redirección de dispositivos ............................................. .................................................. ..................... 593
18.8.9 Caché NV de disco ............................................ .................................................. ................................ 593
18.8.14.1 (L1) Asegúrese de que la 'Política de inicialización del controlador de inicio de arranque' esté configurada en 'Habilitado:
Bueno, desconocido y malo pero crítico '(puntuado) ....................................... .............................. 595
18.8.19 Sistema de archivos (anteriormente Sistema de archivos NTFS) ......................................... ............................. 598
18.8.20 Redirección de carpetas ............................................. .................................................. ................... 598
19 | Página
Página 21
18.8.22.1.1 (L1) Asegúrese de que esté configurado 'Desactivar la descarga de controladores de impresión a través de HTTP'
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 608
18.8.22.1.2 (L2) Asegúrese de que esté configurado 'Desactivar el intercambio de datos de personalización de escritura a mano'
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 610
18.8.22.1.3 (L2) Asegúrese de que esté configurado 'Desactivar el informe de errores de reconocimiento de escritura a mano'
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 612
18.8.22.1.4 (L2) Asegúrese de 'Desactivar el asistente de conexión a Internet si la conexión URL es
refiriéndose a Microsoft.com 'está configurado como' Habilitado '(puntuado) ................................... ............... 614
18.8.22.1.5 (L1) Asegúrese de 'Desactivar la descarga de Internet para la publicación web y
asistentes de pedidos en línea 'está configurado en' Habilitado '(puntuado) ..................................... .................. 616
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado en 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 618
18.8.22.1.7 (L2) Asegúrese de 'Desactivar registro si la conexión URL se refiere a
Microsoft.com 'está configurado como' Habilitado '(puntuado) ..................................... ....................................... 620
18.8.22.1.8 (L2) Asegúrese de que 'Desactivar las actualizaciones del archivo de contenido de Search Companion' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 622
18.8.22.1.9 (L2) Asegúrese de que 'Desactivar la tarea de imagen "Solicitar impresiones" esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 624
18.8.22.1.10 (L2) Asegúrese de 'Desactivar la tarea "Publicar en la Web" para archivos y carpetas'
está configurado en 'Habilitado' (puntuado) ......................................... .................................................. .................. 626
https://translate.googleusercontent.com/translate_f 17/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
20 | Página
Página 22
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado como 'Activado'
(Anotado) ............................................... .................................................. .................................................. 632
18.8.27.1 (L2) Asegúrese de 'No permitir la copia de métodos de entrada de usuario en el sistema
cuenta para inicio de sesión 'está configurada como' Habilitada '(puntuada) ................................... ................................ 639
18.8.28 Inicio de sesión .............................................. .................................................. ............................................ 641
18.8.28.1 (L1) Asegúrese de que 'Bloquear al usuario para que no muestre detalles de la cuenta al iniciar sesión' esté configurado
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 641
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado como 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 643
18.8.28.3 (L1) Asegúrese de 'No enumerar usuarios conectados en dominios unidos
computadoras 'está configurado en' Habilitado '(puntuado) ....................................... ............................................. 645
18.8.28.4 (L1) Asegúrese de que esté configurado 'Enumerar usuarios locales en equipos unidos a un dominio'
a 'Deshabilitado' (solo MS) (puntuado) ....................................... .................................................. ......... 647
18.8.28.5 (L1) Asegúrese de que 'Desactivar notificaciones de aplicaciones en la pantalla de bloqueo' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 649
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 651
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 653
21 | Página
Página 23
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado como 'Deshabilitado' (puntuado)
https://translate.googleusercontent.com/translate_f 18/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
.................................................. .................................................. .................................................. ................ 658
18.8.32 Panel de control de rendimiento ............................................ .................................................. .. 659
18.8.33 Complejidad del PIN ............................................. .................................................. ......................... 659
18.8.34.6.2 (L2) Asegúrese de 'Permitir la conectividad de red durante el modo de espera conectado
(enchufado) 'está configurado como' Desactivado '(puntuado) .................................... ........................................... 664
18.8.34.6.3 (L1) Asegúrese de que 'Requerir una contraseña cuando se active una computadora (en
batería) 'está configurado en' Habilitado '(puntuado) ...................................... .................................................. .666
18.8.34.6.4 (L1) Asegúrese de que 'Requerir una contraseña cuando se active una computadora (enchufado
in) 'se establece en' Habilitado '(puntuado) ...................................... .................................................. ............. 668
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 670
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 672
18.8.37 Llamada a procedimiento remoto ............................................ .................................................. ........... 674
18.8.37.1 (L1) Asegúrese de que esté configurado 'Habilitar autenticación de cliente RPC Endpoint Mapper'
a 'Habilitado' (solo MS) (puntuado) ....................................... .................................................. .......... 674
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado como 'Habilitado:
Autenticado '(solo MS) (puntuado) ......................................... .................................................. .. 676
18.8.38 Acceso a almacenamiento extraíble ............................................ .................................................. ... 678
22 | Página
Página 24
18.8.49.1 (L2) Asegúrese de que 'Desactivar el ID de publicidad' esté configurado en 'Habilitado' (puntuado). 689
18.8.50 Protección de archivos de Windows ............................................ .................................................. ....... 691
18.8.51 Inicio en caliente de Windows ............................................. .................................................. ................... 691
18.8.52 Servicio de hora de Windows ............................................ .................................................. ........... 692
https://translate.googleusercontent.com/translate_f 19/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado como 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 692
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado como 'Deshabilitado' (MS
solamente) (puntuado) ............................................. .................................................. ........................................ 694
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en 'Habilitado: Hacer
no ejecutar ningún comando de ejecución automática '(puntuado) ......................................... ............................ 705
23 | Página
Página 25
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las unidades' (puntuado) 707
18.9.9 Copia de seguridad .............................................. .................................................. ............................................. 709
18.9.10.1.1 (L1) Asegúrese de que 'Configurar anti-spoofing mejorado' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 710
18.9.11 Cifrado de unidad BitLocker ............................................ .................................................. .712
https://translate.googleusercontent.com/translate_f 20/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad [Enterprise
Sólo] 'o' Habilitado: 1 - Básico '(puntuado) .................................... .................................................. 723
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 728
18.9.16.4 (L1) Asegúrese de que 'Alternar el control del usuario sobre las compilaciones de Insider' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 730
24 | Página
Página 26
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando el archivo de registro
alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado) .................................... ............... 735
18.9.26.1.2 (L1) Asegúrese de que 'Aplicación: especificar el tamaño máximo del archivo de registro (KB)' esté configurado
a 'Habilitado: 32,768 o mayor' (puntuado) ....................................... .......................................... 738
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando el archivo de registro
alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado) .................................... ............... 741
18.9.26.2.2 (L1) Asegúrese de que 'Seguridad: especifique el tamaño máximo del archivo de registro (KB)' esté configurado en
'Habilitado: 196,608 o más' (puntuado) ........................................ ............................................ 743
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando el archivo de registro
alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado) .................................... ............... 746
18.9.26.3.2 (L1) Asegúrese de que 'Configuración: especificar el tamaño máximo del archivo de registro (KB)' esté establecido en
'Habilitado: 32,768 o más' (puntuado) ........................................ ............................................... 748
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando el archivo de registro
alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado) .................................... ............... 750
18.9.26.4.2 (L1) Asegúrese de que 'Sistema: especificar el tamaño máximo del archivo de registro (KB)' esté configurado en
'Habilitado: 32,768 o más' (puntuado) ........................................ ............................................... 752
18.9.27 Registro de eventos ............................................. .................................................. ............................ 754
https://translate.googleusercontent.com/translate_f 21/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 760
18.9.31 Historial de archivos ............................................. .................................................. .................................. 761
25 | Página
Página 27
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado en 'Habilitado' (puntuado) ...................... 764
18.9.40 Programador de mantenimiento ............................................. .................................................. ......... 766
18.9.52.1 (L1) Asegúrese de que 'Evitar el uso de OneDrive para el almacenamiento de archivos' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 773
26 | Página
Página 28
https://translate.googleusercontent.com/translate_f 22/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.59.3.2.1 (L2) Asegúrese de 'Restringir los usuarios de Servicios de escritorio remoto a un solo
La sesión de Servicios de escritorio remoto 'está configurada como' Habilitada '(puntuada) .................................... 781
18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir la redirección del puerto COM' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 783
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado como 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 785
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir la redirección del puerto LPT' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 787
18.9.59.3.3.4 (L2) Asegúrese de que 'No permitir dispositivos Plug and Play compatibles
redirección 'se establece en' Habilitado '(puntuado) ....................................... ............................................ 789
18.9.59.3.9.1 (L1) Asegúrese de que 'Solicitar siempre la contraseña al conectarse' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 792
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 795
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para control remoto (RDP)
conexiones 'está configurado en' Habilitado: SSL '(puntuado) ..................................... .................................. 797
18.9.59.3.9.4 (L1) Asegúrese de 'Requerir autenticación de usuario para conexiones remotas
usando autenticación de nivel de red 'está configurado en' Habilitado '(puntuado) .............................. 799
18.9.59.3.9.5 (L1) Asegúrese de que 'Establecer el nivel de cifrado de la conexión del cliente' esté establecido en
'Habilitado: Nivel alto' (puntuado) ......................................... .................................................. .......... 801
18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para escritorio remoto activo pero inactivo
Sesiones de servicios 'está configurado en' Habilitado: 15 minutos o menos '(puntuado) ............................ 803
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté configurado en
'Habilitado: 1 minuto' (puntuado) ......................................... .................................................. .............. 806
18.9.59.3.11.1 (L1) Asegúrese de que 'No eliminar carpetas temporales al salir' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. ............................... 808
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. ............................... 810
27 | Página
Página 29
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Habilitado: deshabilitar
Buscar '(puntuado) ............................................. .................................................. .................................... 814
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 816
18.9.62 Centro de seguridad ............................................. .................................................. .......................... 818
https://translate.googleusercontent.com/translate_f 23/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.63 Servidor para NIS ............................................ .................................................. .............................. 818
18.9.64 Opciones de apagado ............................................. .................................................. ................... 818
28 | Página
Página 30
18.9.77.10.1 (L1) Asegúrese de que 'Analizar unidades extraíbles' esté configurado en 'Activado' (puntuado) ... 834
18.9.77.10.2 (L1) Asegúrese de que 'Activar el escaneo de correo electrónico' esté configurado en 'Habilitado' (puntuado) 836
18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté establecido en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 839
18.9.77.13.1.2 (L1) Asegúrese de 'Configurar reglas de reducción de superficie de ataque: establezca el estado
para cada regla ASR 'está' configurada '(puntuada) ...................................... ....................................... 841
18.9.77.13.3.1 (L1) Asegúrese de 'Evitar que los usuarios y las aplicaciones accedan
sitios web 'está configurado en' Habilitado: Bloquear '(puntuado) ..................................... .................................... 845
18.9.77.14 (L1) Asegúrese de que 'Configure la detección para aplicaciones potencialmente no deseadas
aplicaciones 'está configurado en' Habilitado: Bloquear '(puntuado) ..................................... ............................. 847
18.9.77.15 (L1) Asegúrese de que 'Desactivar el antivirus de Windows Defender' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 849
18.9.78 Protección de aplicaciones de Windows Defender ........................................... .............................. 851
18.9.80.1.1 (L1) Asegúrese de que 'Configurar SmartScreen de Windows Defender' esté establecido en
'Habilitado: advertir y evitar bypass' (puntuado) ....................................... .............................. 852
18.9.83 Windows Hello para empresas (anteriormente Microsoft Passport for Work) ... 855
18.9.85.2 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado como 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 863
18.9.85.3 (L2) Asegúrese de que 'Prevenir el mensaje de seguridad de Internet Explorer para Windows
Los scripts del instalador 'está configurado como' Desactivado '(puntuado) ...................................... .................................. 865
18.9.86 Opciones de inicio de sesión de Windows ............................................ .................................................. ....... 867
29 | Página
Página 31
18.9.86.1 (L1) Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo automáticamente después de una
reiniciar 'está configurado como' Desactivado '(puntuado) ....................................... .................................................. .. 867
18.9.95.1 (L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté configurado en
'Discapacitado' (puntuado) ............................................ .................................................. ............................... 872
18.9.95.2 (L1) Asegúrese de que 'Activar la transcripción de PowerShell' esté configurado en 'Deshabilitado'
(Anotado) ............................................... .................................................. .................................................. 874
18.9.96 Análisis de confiabilidad de Windows ............................................ ................................................ 875
18.9.97.1.3 (L1) Asegúrese de que 'No permitir autenticación implícita' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 881
18.9.97.2.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado en 'Deshabilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 883
18.9.97.2.2 (L2) Asegúrese de que 'Permitir la administración remota del servidor a través de WinRM' esté configurado
a 'Deshabilitado' (puntuado) ........................................... .................................................. ........................... 885
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado' (puntuado)
https://translate.googleusercontent.com/translate_f 25/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
.................................................. .................................................. .................................................. ................ 887
18.9.97.2.4 (L1) Asegúrese de que 'No permitir que WinRM almacene credenciales RunAs' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 889
18.9.98 Shell remoto de Windows ............................................ .................................................. .......... 891
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado en 'Deshabilitado' (puntuado) 891
30 | Página
Página 32
18.9.99 Seguridad de Windows (anteriormente Centro de seguridad de Windows Defender) ............... 894
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 895
18.9.100 SideShow de Windows ............................................. .................................................. .............. 897
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado en 'Activado: Desactivado
Vista previa de compilaciones '(puntuadas) ............................................ .................................................. ................... 898
18.9.102.1.2 (L1) Asegúrese de que 'Seleccionar cuando las compilaciones de vista previa y las actualizaciones de funciones estén
recibido 'se establece en' Habilitado: canal semianual, 180 días o más '(puntuado) 901
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté configurado en
'Habilitado: 0 días' (puntuado) ......................................... .................................................. ................... 904
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado como 'Habilitado' (puntuado)
.................................................. .................................................. .................................................. ................ 906
18.9.102.3 (L1) Asegúrese de que 'Configurar actualizaciones automáticas: día de instalación programada' esté configurado
a '0 - Todos los días' (puntuado) ........................................ .................................................. .................... 909
18.9.102.4 (L1) Asegúrese de que 'No se reinicie automáticamente con usuarios conectados para
instalaciones de actualizaciones automáticas 'está configurado como' Desactivado '(puntuado) ..................................... .911
19.1.3.2 (L1) Asegúrese de 'Forzar protector de pantalla específico: nombre del ejecutable del protector de pantalla'
está configurado en 'Habilitado: scrnsave.scr' (puntuado) ..................................... ........................................... 917
19.1.3.3 (L1) Asegúrese de que 'Proteger con contraseña el protector de pantalla' esté configurado en 'Activado'
(Anotado) ............................................... .................................................. .................................................. 919
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Activado: 900 segundos o
menos, pero no 0 '(puntuado) ......................................... .................................................. .................... 921
19.2 Escritorio ................................................ .................................................. .................................................. 923
19.3 Red ................................................ .................................................. ................................................ 923
31 | Página
https://translate.googleusercontent.com/translate_f 26/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 33
19.5.1.1 (L1) Asegúrese de que 'Desactivar notificaciones de tostadas en la pantalla de bloqueo' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 924
19.6.6.1.1 (L2) Asegúrese de que 'Desactivar el programa de mejora de la experiencia de ayuda' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 928
19.7.4.2 (L1) Asegúrese de que esté configurado 'Notificar a los programas antivirus cuando abran archivos adjuntos'
a 'Habilitado' (puntuado) ........................................... .................................................. ............................ 933
19.7.5 Políticas de reproducción automática ............................................. .................................................. ......................... 935
19.7.6 Copia de seguridad .............................................. .................................................. ............................................. 935
19.7.7.2 (L1) Asegúrese de que 'No sugerir contenido de terceros en Windows Spotlight' esté
establecido en 'Habilitado' (puntuado) .......................................... .................................................. ...................... 938
19.7.7.3 (L2) Asegúrese de que 'No usar datos de diagnóstico para experiencias personalizadas' esté configurado en
'Habilitado' (puntuado) ............................................ .................................................. ................................ 940
32 | Página
Página 34
19.7.7.4 (L2) Asegúrese de que 'Desactivar todas las funciones del reflector de Windows' esté configurado en 'Habilitado'
(Anotado) ............................................... .................................................. .................................................. 942
33 | Página
Página 35
19.7.45.2.1 (L2) Asegúrese de que 'Prevenir descarga de códec' esté configurado en 'Habilitado' (puntuado). 958
Apéndice: Cuadro resumen .............................................. .................................................. ................................. 960
https://translate.googleusercontent.com/translate_f 28/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Apéndice: Historial de cambios .............................................. .................................................. .................................. 991
34 | Página
Página 36
Visión general
Este documento proporciona una guía prescriptiva para establecer una configuración segura
postura para Microsoft Windows Server. Para obtener la última versión de esta guía,
visite https://www.cisecurity.org/cis-benchmarks/ . Si tiene preguntas, comentarios o
ha identificado formas de mejorar esta guía, escríbanos a [email protected] .
Público objetivo
Los puntos de referencia de Windows CIS están escritos para sistemas unidos a un dominio de Active Directory
utilizando la directiva de grupo, no los sistemas independientes o de grupo de trabajo. Ajustes / adaptación a algunos
Se necesitarán recomendaciones para mantener la funcionalidad si se intenta implementar CIS
endurecimiento en sistemas independientes o un sistema que se ejecuta en la nube.
Cada parámetro de CIS se somete a dos fases de revisión de consenso. La primera fase ocurre
durante el desarrollo inicial del punto de referencia. Durante esta fase, los expertos en la materia se reúnen
para discutir, crear y probar borradores de trabajo del punto de referencia. Esta discusión ocurre hasta
Se ha llegado a un consenso sobre las recomendaciones de referencia. Comienza la segunda fase
después de que se haya publicado el índice de referencia. Durante esta fase, toda la retroalimentación proporcionada por el
La comunidad de Internet es revisada por el equipo de consenso para su incorporación en el
punto de referencia. Si está interesado en participar en el proceso de consenso, visite
https://workbench.cisecurity.org/ .
https://translate.googleusercontent.com/translate_f 29/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
35 | Página
Página 37
Convenciones tipográficas
Las siguientes convenciones tipográficas se utilizan en esta guía:
Convención Sentido
Fuente estilizada Monospace Se utiliza para bloques de código, comandos y ejemplos de secuencias de comandos.
El texto debe interpretarse exactamente como se presenta.
Fuente monospace Se utiliza para códigos, comandos o ejemplos en línea. El texto debe
ser interpretado exactamente como se presenta.
<fuente en cursiva entre paréntesis> Los textos en cursiva entre paréntesis angulares denotan una variable
requiriendo sustitución por un valor real.
Información de puntuación
Un estado de puntuación indica si el cumplimiento de la recomendación dada afecta el
evaluó la puntuación de referencia del objetivo. Los siguientes estados de puntuación se utilizan en este
punto de referencia:
Puntuados
No puntuado
36 | Página
https://translate.googleusercontent.com/translate_f 30/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 38
Definiciones de perfil
Este Benchmark define los siguientes perfiles de configuración:
Los elementos de este perfil se aplican a los controladores de dominio y tienen la intención de:
Los elementos de este perfil se aplican a los servidores miembros y tienen la intención de:
Los elementos de este perfil también se aplican a los servidores miembro que tienen los siguientes roles
habilitado:
o Servicios de certificados AD
o Servidor DHCP
o Servidor DNS
o Servidor de archivos
o Hyper-V
o Servicios de acceso y políticas de red
o Servidor de impresión
o Servicios de acceso remoto
o Servicios de escritorio remoto
o Servidor web
37 | Página
Página 39
Este perfil amplía el perfil "Nivel 1 - Controlador de dominio". Elementos de este perfil
exhiben una o más de las siguientes características:
https://translate.googleusercontent.com/translate_f 31/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
o actúa como defensa en medida de profundidad
o puede inhibir negativamente la utilidad o el rendimiento de la tecnología
Este perfil amplía el perfil "Nivel 1 - Servidor miembro". Elementos de este perfil
exhiben una o más de las siguientes características:
38 | Página
Página 40
Agradecimientos
Este punto de referencia ejemplifica las grandes cosas de una comunidad de usuarios, proveedores y temas
los expertos pueden lograrlo mediante la colaboración por consenso. La comunidad CIS agradece a todos
equipo de consenso con un reconocimiento especial a las siguientes personas que contribuyeron en gran medida a
la creación de esta guía:
El Center for Internet Security extiende un reconocimiento especial y agradecimiento a Aaron Margosis
y Rick Munck de Microsoft, así como Mike Harris de General Dynamics Information
Tecnología para su colaboración desarrollando las recomendaciones de configuración
contenido en este documento.
Contribuyente
Jennifer Jarose
Jordan Rakoske GSEC, GCWN
Jason Braun
https://translate.googleusercontent.com/translate_f 32/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Phil White
Matthew Woods
Editor
Haemish Edgerton MCSE: Seguridad, MCITP: EA
Kevin Zhang CISSP, CISA, CRISC, CSSLP
Hardeep Mehrotara CISSP, CISA, CICP
39 | Página
Página 41
Recomendaciones
1 Políticas de cuenta
Esta sección contiene recomendaciones para las políticas de la cuenta.
1.1.1 (L1) Asegúrese de que 'Aplicar historial de contraseñas' esté configurado en '24 o más
contraseña (s) '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina la cantidad de contraseñas únicas renovadas que deben
asociado con una cuenta de usuario antes de poder reutilizar una contraseña anterior. El valor de esto
La configuración de política debe estar entre 0 y 24 contraseñas. El valor predeterminado para Windows Vista es
0 contraseñas, pero la configuración predeterminada en un dominio es 24 contraseñas. Para mantener el
eficacia de esta configuración de directiva, utilice la configuración de Antigüedad mínima de la contraseña para evitar que los usuarios
de cambiar repetidamente su contraseña.
https://translate.googleusercontent.com/translate_f 33/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
40 | Página
Página 42
Razón fundamental:
Cuanto más tiempo un usuario utilice la misma contraseña, mayor será la posibilidad de que un atacante pueda
determinar la contraseña mediante ataques de fuerza bruta. Además, cualquier cuenta que pueda tener
ha sido comprometido seguirá siendo explotable mientras no se modifique la contraseña. Si
Se requieren cambios de contraseña, pero no se evita la reutilización de la contraseña, o si los usuarios
reutilizar una pequeña cantidad de contraseñas, la eficacia de una buena política de contraseñas es enormemente
reducido.
Si especifica un número bajo para esta configuración de directiva, los usuarios podrán usar el mismo
número de contraseñas repetidamente. Si no configura también la Antigüedad mínima de la contraseña
configuración, los usuarios pueden cambiar repetidamente sus contraseñas hasta que puedan reutilizar su original
contraseña.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
El mayor impacto de esta configuración es que los usuarios deben crear una nueva contraseña cada vez
deben cambiar el anterior. Si los usuarios deben cambiar sus contraseñas
a nuevos valores únicos, existe un mayor riesgo de que los usuarios escriban sus contraseñas
en algún lugar para que no los olviden. Otro riesgo es que los usuarios puedan crear
contraseñas que cambian de manera incremental (por ejemplo, contraseña01, contraseña02, etc.)
para facilitar la memorización pero hacerlos más fáciles de adivinar. Además, un valor excesivamente bajo para
la configuración de Antigüedad mínima de la contraseña probablemente aumente la sobrecarga administrativa, porque
los usuarios que olvidan sus contraseñas pueden solicitar al servicio de asistencia técnica que las restablezca con frecuencia.
https://translate.googleusercontent.com/translate_f 34/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
41 | Página
Página 43
Referencias:
1. CCE-37166-6
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
42 | Página
Página 44
1.1.2 (L1) Asegúrese de que la 'Antigüedad máxima de la contraseña' esté establecida en '60 días o menos,
pero no 0 '(puntuado)
https://translate.googleusercontent.com/translate_f 35/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva define cuánto tiempo un usuario puede usar su contraseña antes de que caduque.
Los valores de esta configuración de directiva oscilan entre 0 y 999 días. Si establece el valor en 0, el
la contraseña nunca caducará.
Dado que los atacantes pueden descifrar contraseñas, cuanto más frecuentemente cambie la contraseña,
menos oportunidad que tiene un atacante de usar una contraseña descifrada. Sin embargo, cuanto menor sea este valor
se establece, mayor será la posibilidad de un aumento en las llamadas al soporte de la mesa de ayuda debido a los usuarios
tener que cambiar su contraseña u olvidar la contraseña actual.
Razón fundamental:
Cuanto más tiempo exista una contraseña, mayor será la probabilidad de que se vea comprometida por un
ataque de fuerza bruta, por parte de un atacante que obtiene conocimientos generales sobre el usuario, o por el usuario
compartiendo la contraseña. Configurar la opción Antigüedad máxima de la contraseña en 0 para que los usuarios
nunca se les exige que cambien sus contraseñas es un riesgo de seguridad importante porque permite
contraseña comprometida para ser utilizada por el usuario malintencionado durante el tiempo que el usuario válido haya
acceso autorizado.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
43 | Página
Página 45
Impacto:
Si la configuración de Antigüedad máxima de la contraseña es demasiado baja, los usuarios deben cambiar su
contraseñas muy a menudo. Tal configuración puede reducir la seguridad en la organización,
porque los usuarios pueden escribir sus contraseñas en una ubicación insegura o perderlas. Si el valor
porque esta configuración de directiva es demasiado alta, el nivel de seguridad dentro de una organización se reduce
porque permite a los atacantes potenciales más tiempo para descubrir las contraseñas de los usuarios o para
utilizar cuentas comprometidas.
42 días.
Referencias:
1. CCE-37167-4
https://translate.googleusercontent.com/translate_f 36/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
16.10 Asegúrese de que todas las cuentas tengan una fecha de vencimiento
Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.
44 | Página
Página 46
1.1.3 (L1) Asegúrese de que la 'Antigüedad mínima de la contraseña' esté configurada en '1 día o más'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina el número de días que debe usar una contraseña antes
Tú puedes cambiarlo. El rango de valores para esta configuración de directiva es de entre 1 y 999 días.
(También puede establecer el valor en 0 para permitir cambios de contraseña inmediatos). El valor predeterminado
para esta configuración es 0 días.
Razón fundamental:
Los usuarios pueden tener contraseñas favoritas que les gusta usar porque son fáciles de
recuerde y ellos creen que su elección de contraseña está a salvo de compromisos.
Desafortunadamente, las contraseñas están comprometidas y si un atacante se dirige a un
cuenta de usuario individual, con conocimiento previo de los datos sobre ese usuario, reutilización de
las contraseñas pueden causar una brecha de seguridad. Para abordar la contraseña, reutilice una combinación de
Se requiere una configuración de seguridad. Uso de esta configuración de política con el historial de cumplimiento de contraseñas
La configuración evita la fácil reutilización de contraseñas antiguas. Por ejemplo, si configura el Enforce
configuración del historial de contraseñas para garantizar que los usuarios no puedan reutilizar ninguna de sus últimas 12 contraseñas,
https://translate.googleusercontent.com/translate_f 37/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
podrían cambiar su contraseña 13 veces en unos minutos y reutilizar la contraseña que
con el que comenzó, a menos que también configure el ajuste Antigüedad mínima de la contraseña en un número que
es mayor que 0. Debe configurar esta configuración de directiva en un número mayor que 0
para que la configuración Exigir historial de contraseñas sea efectiva.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
45 | Página
Página 47
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 1 o más
día (s) :
Impacto:
Si un administrador establece una contraseña para un usuario pero quiere que ese usuario cambie la contraseña
cuando el usuario inicia sesión por primera vez, el administrador debe seleccionar el usuario debe cambiar la contraseña
en la siguiente casilla de verificación de inicio de sesión, o el usuario no podrá cambiar la contraseña hasta el próximo
día.
Referencias:
1. CCE-37073-4
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
16.10 Asegúrese de que todas las cuentas tengan una fecha de vencimiento
Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.
https://translate.googleusercontent.com/translate_f 38/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
46 | Página
Página 48
1.1.4 (L1) Asegúrese de que la 'Longitud mínima de la contraseña' esté establecida en '14 o más
carácter (s) '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina la menor cantidad de caracteres que componen una contraseña para
una cuenta de usuario. Hay muchas teorías diferentes sobre cómo determinar la mejor
longitud de la contraseña para una organización, pero quizás "frase de contraseña" sea un término mejor que
"contraseña." En Microsoft Windows 2000 y versiones posteriores, las frases de paso pueden ser bastante largas y
incluir espacios. Por lo tanto, una frase como "Quiero beber un batido de $ 5" es un pase válido.
frase; es una contraseña considerablemente más segura que una cadena de caracteres aleatorios de 8 o 10
números y letras y, sin embargo, es más fácil de recordar. Los usuarios deben estar informados sobre la
selección y mantenimiento adecuados de contraseñas, especialmente con respecto a la longitud de la contraseña.
En entornos empresariales, el valor ideal para la configuración Longitud mínima de la contraseña es 14
caracteres, sin embargo, debe ajustar este valor para cumplir con el negocio de su organización
requisitos.
Nota: En Windows Server 2016 y versiones anteriores de Windows Server, la GUI del Local
Política de seguridad (LSP), Editor de políticas de grupo local (LGPE) y Gestión de políticas de grupo
Editor (GPME) no le permitiría establecer este valor por encima de 14 caracteres. Sin embargo,
a partir de Windows Server 2019, Microsoft cambió la GUI para permitir hasta 20
longitud mínima de caracteres de la contraseña.
Razón fundamental:
Los tipos de ataques de contraseña incluyen ataques de diccionario (que intentan utilizar palabras comunes
y frases) y ataques de fuerza bruta (que prueban todas las combinaciones posibles de caracteres).
Además, los atacantes a veces intentan obtener la base de datos de la cuenta para poder usar herramientas para
descubrir las cuentas y contraseñas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
47 | Página
Página 49
Remediación:
https://translate.googleusercontent.com/translate_f 39/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Nota: las versiones anteriores de Windows, como Windows 98 y Windows NT 4.0, no son compatibles
contraseñas de más de 14 caracteres. Las computadoras que ejecutan estos
Los sistemas no pueden autenticarse con computadoras o dominios que usan cuentas que
requieren contraseñas largas.
Referencias:
1. CCE-36534-6
48 | Página
Página 50
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
https://translate.googleusercontent.com/translate_f 40/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
49 | Página
Página 51
1.1.5 (L1) Asegúrese de que 'La contraseña debe cumplir con los requisitos de complejidad' está configurada
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva verifica todas las contraseñas nuevas para asegurarse de que cumplan con los requisitos básicos
para contraseñas seguras.
Cuando esta política está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos:
• No contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que excedan dos
caracteres consecutivos
• Tener al menos seis caracteres de longitud
• Contener personajes de tres de las siguientes categorías:
o Caracteres en mayúsculas en inglés (de la A a la Z)
o Caracteres en minúscula en inglés (de la a a la z)
o Base 10 dígitos (0 a 9)
o Caracteres no alfabéticos (por ejemplo,!, $, #,%)
o Una categoría general de cualquier carácter Unicode que no esté incluido
cuatro categorías anteriores. Esta quinta categoría puede ser regionalmente específica.
https://translate.googleusercontent.com/translate_f 41/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Cada carácter adicional en una contraseña aumenta su complejidad exponencialmente. por
Por ejemplo, una contraseña alfabética de siete caracteres en minúsculas tendría 267
(aproximadamente 8 x 109 u 8 mil millones) combinaciones posibles. A 1,000,000 intentos por
segundo (una capacidad de muchas utilidades para descifrar contraseñas), solo tomaría 133 minutos
romper. Una contraseña alfabética de siete caracteres con distinción entre mayúsculas y minúsculas tiene 527
combinaciones. Una contraseña alfanumérica de siete caracteres que distingue entre mayúsculas y minúsculas sin
la puntuación tiene 627 combinaciones. Una contraseña de ocho caracteres tiene 268 (o 2 x 1011)
posibles combinaciones. Aunque esto puede parecer un número elevado, 1.000.000
intentos por segundo, solo tomaría 59 horas probar todas las contraseñas posibles. Recuerda,
estos tiempos aumentarán significativamente para las contraseñas que usan caracteres ALT y otros
caracteres especiales del teclado como "!" o "@". El uso adecuado de la configuración de la contraseña puede
ayudar a que sea difícil montar un ataque de fuerza bruta.
50 | Página
Página 52
Razón fundamental:
Las contraseñas que contienen solo caracteres alfanuméricos son extremadamente fáciles de descubrir con
varias herramientas disponibles públicamente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Además, el uso de combinaciones de caracteres de la tecla ALT puede mejorar enormemente la complejidad de una
contraseña. Sin embargo, requisitos de contraseña tan estrictos pueden resultar en usuarios insatisfechos
y una mesa de ayuda extremadamente ocupada. Alternativamente, su organización podría considerar una
requisito de que todas las contraseñas de administrador utilicen caracteres ALT en el 0128-0159
rango. (Los caracteres ALT fuera de este rango pueden representar caracteres alfanuméricos estándar
caracteres que no agregarían complejidad adicional a la contraseña).
51 | Página
Página 53
Referencias:
1. CCE-37063-5
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
52 | Página
Página 54
https://translate.googleusercontent.com/translate_f 43/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1.1.6 (L1) Asegúrese de que 'Almacenar contraseñas con cifrado reversible' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el sistema operativo almacena las contraseñas de una manera
que utiliza cifrado reversible, que proporciona soporte para protocolos de aplicación que
requieren conocimiento de la contraseña del usuario para fines de autenticación. Contraseñas que son
almacenados con cifrado reversible son esencialmente los mismos que las versiones de texto plano del
contraseñas.
Razón fundamental:
Habilitar esta configuración de política permite que el sistema operativo almacene las contraseñas en un
formato que es mucho más susceptible de comprometerse y debilita la seguridad de su sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
53 | Página
Página 55
Discapacitado.
Referencias:
1. CCE-36286-3
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 44/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
16.14 Cifre / Hash todos los archivos de autenticación y supervise su acceso
Verifique que todos los archivos de autenticación estén cifrados o con hash y que estos archivos no se puedan
accede sin privilegios de administrador o root. Audite todos los accesos a los archivos de contraseñas en el
sistema.
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
54 | Página
Página 56
1.2.1 (L1) Asegúrese de que la 'Duración del bloqueo de la cuenta' esté establecida en '15 o más
minuto (s) '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina el período de tiempo que debe transcurrir antes de que se bloquee una cuenta.
desbloqueado y un usuario puede intentar iniciar sesión nuevamente. La configuración hace esto especificando el número
de minutos, una cuenta bloqueada no estará disponible. Si el valor de esta configuración de directiva
está configurado en 0, las cuentas bloqueadas permanecerán bloqueadas hasta que un administrador
los desbloquea manualmente.
Aunque puede parecer una buena idea configurar el valor de esta configuración de directiva en un
alto valor, tal configuración probablemente aumentará el número de llamadas que el servicio de asistencia técnica
https://translate.googleusercontent.com/translate_f 45/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
recibe para desbloquear cuentas bloqueadas por error. Los usuarios deben conocer la cantidad de tiempo
un candado permanece en su lugar, para que se den cuenta de que solo necesitan llamar al servicio de asistencia técnica si tienen
una necesidad extremadamente urgente de recuperar el acceso a su computadora.
Razón fundamental:
Se puede crear una condición de denegación de servicio (DoS) si un atacante abusa del bloqueo de la cuenta
umbral y repetidamente intenta iniciar sesión con una cuenta específica. Una vez que configure el
Configuración del umbral de bloqueo de la cuenta, la cuenta se bloqueará después del número especificado
de intentos fallidos. Si configura el ajuste Duración del bloqueo de la cuenta en 0, entonces el
La cuenta permanecerá bloqueada hasta que un administrador la desbloquee manualmente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
55 | Página
Página 57
Remediación:
Impacto:
Aunque puede parecer una buena idea configurar esta configuración de directiva para que nunca
desbloquear automáticamente una cuenta, tal configuración puede aumentar el número de solicitudes
que recibe la mesa de ayuda de su organización para desbloquear cuentas que se bloquearon por error.
Ninguno, porque esta configuración de política solo tiene significado cuando el umbral de bloqueo de la cuenta es
especificado. Cuando se configura un umbral de bloqueo de cuenta, Windows
sugiere un valor de 30 minutos.
Referencias:
1. CCE-37034-6
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 46/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Bloquea automáticamente las sesiones de la estación de trabajo después de un período estándar de inactividad.
16.2 Configurar el punto de autenticación centralizado
Configure el acceso para todas las cuentas a través de tan pocos puntos centralizados de autenticación como
posible, incluidos los sistemas de red, seguridad y nube.
56 | Página
Página 58
1.2.2 (L1) Asegúrese de que 'Umbral de bloqueo de cuenta' esté configurado en '10 o menos
Intentos de inicio de sesión no válidos, pero no 0 '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina el número de intentos de inicio de sesión fallidos antes de que la cuenta sea
bloqueado. Establecer esta política en 0 no se ajusta al punto de referencia, ya que al hacerlo se inhabilita
umbral de bloqueo de cuenta.
El estado recomendado para esta configuración es: 10 o menos intentos de inicio de sesión no válidos, pero
no 0 .
Razón fundamental:
Establecer un umbral de bloqueo de cuenta reduce la probabilidad de que una contraseña en línea
El ataque de fuerza tendrá éxito. Establecer el umbral de bloqueo de cuenta demasiado bajo introduce
riesgo de aumento de bloqueos accidentales y / o un actor malintencionado bloqueando intencionalmente
cuentas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
57 | Página
https://translate.googleusercontent.com/translate_f 47/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 59
Impacto:
Si esta configuración de política está habilitada, una cuenta bloqueada no se podrá utilizar hasta que la restablezca un
administrador o hasta que expire la duración del bloqueo de la cuenta. Esta configuración puede generar
llamadas adicionales a la mesa de ayuda.
Si aplica esta configuración, un atacante podría causar una condición de denegación de servicio al
generar deliberadamente inicios de sesión fallidos para varios usuarios, por lo tanto, también debe configurar
la Duración del bloqueo de la cuenta a un valor relativamente bajo.
Referencias:
1. CCE-36008-1
Controles CIS:
Versión 6
Versión 7
58 | Página
Página 60
1.2.3 (L1) Asegúrese de que 'Restablecer contador de bloqueo de cuenta después de' esté configurado en '15 o
más minuto (s) '(anotado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina el período de tiempo antes del umbral de bloqueo de la cuenta
se restablece a cero. El valor predeterminado para esta configuración de directiva es No definido. Si el bloqueo de la cuenta
umbral definido, este tiempo de reinicio debe ser menor o igual que el valor de la cuenta
ajuste de duración del bloqueo.
Si deja esta configuración de directiva en su valor predeterminado o configura el valor en un intervalo que
es demasiado largo, su entorno podría ser vulnerable a un ataque DoS. Un atacante podría
realizar maliciosamente una serie de intentos fallidos de inicio de sesión en todos los usuarios de la organización,
que bloqueará sus cuentas. Si no se determinó ninguna política para restablecer la cuenta
bloqueo, sería una tarea manual para los administradores. Por el contrario, si un tiempo razonable
El valor está configurado para esta configuración de política, los usuarios quedarían bloqueados durante un período establecido hasta
todas las cuentas se desbloquean automáticamente.
Razón fundamental:
Los usuarios pueden bloquear accidentalmente sus cuentas si escriben mal su contraseña
varias veces. Para reducir la posibilidad de tales bloqueos accidentales, la opción Restablecer bloqueo de cuenta
contador después de la configuración determina el número de minutos que deben transcurrir antes de que
El contador que rastrea los intentos fallidos de inicio de sesión y activa bloqueos se restablece a 0.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
59 | Página
Página 61
Remediación:
Impacto:
https://translate.googleusercontent.com/translate_f 49/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Ninguno, porque esta configuración de política solo tiene significado cuando el umbral de bloqueo de la cuenta es
especificado. Cuando se configura un umbral de bloqueo de cuenta, Windows
sugiere un valor de 30 minutos.
Referencias:
1. CCE-36883-7
60 | Página
Página 62
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 50/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
61 | Página
Página 63
2 Políticas locales
Esta sección contiene recomendaciones para políticas locales.
2.2.1 (L1) Asegúrese de que 'Acceder al administrador de credenciales como llamador de confianza' esté configur
'Nadie' (puntuado)
Aplicabilidad del perfil:
Descripción:
Credential Manager utiliza esta configuración de seguridad durante la copia de seguridad y la restauración. No
Las cuentas deben tener este derecho de usuario, ya que solo está asignado a Winlogon. Usuarios guardados
las credenciales pueden verse comprometidas si este derecho de usuario se asigna a otras entidades.
Razón fundamental:
Si a una cuenta se le otorga este derecho, el usuario de la cuenta puede crear una aplicación que llame
en Credential Manager y se le devuelven las credenciales de otro usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
62 | Página
https://translate.googleusercontent.com/translate_f 51/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 64
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Ninguno.
Referencias:
1. CCE-37056-9
Controles CIS:
Versión 6
Versión 7
63 | Página
Página 65
2.2.2 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado en
'Administradores, usuarios autenticados, DOMINIO EMPRESARIAL
CONTROLLERS '(solo DC) (puntuado)
https://translate.googleusercontent.com/translate_f 52/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite que otros usuarios de la red se conecten a la computadora y es
requerido por varios protocolos de red que incluyen Server Message Block (SMB) basado
protocolos, NetBIOS, Common Internet File System (CIFS) y Component Object Model
Más (COM +).
Razón fundamental:
Los usuarios que pueden conectarse desde su computadora a la red pueden acceder a los recursos en el objetivo
computadoras para las que tienen permiso. Por ejemplo, el acceso a esta computadora desde
Se requiere el derecho de usuario de red para que los usuarios se conecten a impresoras y carpetas compartidas. Si
este derecho de usuario está asignado al grupo Todos , entonces cualquiera podrá leer los archivos
en esas carpetas compartidas. Sin embargo, esta situación es poco probable para nuevas instalaciones de Windows.
Server 2003 con Service Pack 1 (SP1), porque el recurso compartido predeterminado y los permisos NTFS en
Windows Server 2003 no incluye el grupo Todos . Esta vulnerabilidad puede tener un
mayor nivel de riesgo para los equipos que actualiza desde Windows NT 4.0 o Windows
2000, porque los permisos predeterminados para estos sistemas operativos no son tan restrictivos como
los permisos predeterminados en Windows Server 2003.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
64 | Página
Página 66
Impacto:
https://translate.googleusercontent.com/translate_f 53/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-35818-4
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
65 | Página
Página 67
2.2.3 (L1) Asegúrese de que 'Acceder a esta computadora desde la red' esté configurado en
'Administradores, usuarios autenticados' (solo MS) (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite que otros usuarios de la red se conecten a la computadora y es
requerido por varios protocolos de red que incluyen Server Message Block (SMB) basado
protocolos, NetBIOS, Common Internet File System (CIFS) y Component Object Model
Más (COM +).
Razón fundamental:
Los usuarios que pueden conectarse desde su computadora a la red pueden acceder a los recursos en el objetivo
computadoras para las que tienen permiso. Por ejemplo, el acceso a esta computadora desde
Se requiere el derecho de usuario de red para que los usuarios se conecten a impresoras y carpetas compartidas. Si
este derecho de usuario está asignado al grupo Todos , entonces cualquiera podrá leer los archivos
en esas carpetas compartidas. Sin embargo, esta situación es poco probable para nuevas instalaciones de Windows.
Server 2003 con Service Pack 1 (SP1), porque el recurso compartido predeterminado y los permisos NTFS en
Windows Server 2003 no incluye el grupo Todos . Esta vulnerabilidad puede tener un
mayor nivel de riesgo para los equipos que actualiza desde Windows NT 4.0 o Windows
2000, porque los permisos predeterminados para estos sistemas operativos no son tan restrictivos como
los permisos predeterminados en Windows Server 2003.
Auditoría:
https://translate.googleusercontent.com/translate_f 54/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
66 | Página
Página 68
Impacto:
Referencias:
1. CCE-35818-4
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 55/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
67 | Página
Página 69
2.2.4 (L1) Asegúrese de que 'Actuar como parte del sistema operativo' esté configurado como 'Nadie'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite que un proceso asuma la identidad de cualquier usuario y así obtener acceso
a los recursos a los que el usuario está autorizado a acceder.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
El Actuar como parte del sistema operativo derecho de usuario es muy potente. Cualquiera con
este derecho de usuario puede tomar el control completo de la computadora y borrar evidencia de su
ocupaciones.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Debería haber poco o ningún impacto porque el Actuar como parte del usuario del sistema operativo
El derecho rara vez es necesario para otras cuentas que no sean la cuenta del sistema local , que
implícitamente tiene este derecho.
Ninguno.
68 | Página
Página 70
Referencias:
1. CCE-36876-1
https://translate.googleusercontent.com/translate_f 56/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
69 | Página
Página 71
2.2.5 (L1) Asegúrese de que 'Agregar estaciones de trabajo al dominio' esté configurado en 'Administradores'
(Solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica qué usuarios pueden agregar estaciones de trabajo al dominio. por
esta configuración de directiva para que surta efecto, debe asignarse al usuario como parte de la configuración predeterminada
Política de controlador de dominio para el dominio. Un usuario al que se le haya asignado este derecho puede agregar
hasta 10 estaciones de trabajo por dominio. Usuarios a los que se les ha asignado Crear computadora
El permiso de objetos para una OU o el contenedor Computers en Active Directory puede agregar un
número ilimitado de computadoras en el dominio, independientemente de si tienen o no
https://translate.googleusercontent.com/translate_f 57/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
En las redes basadas en Windows, el término principal de seguridad se define como un usuario, grupo o
computadora al que se le asigna automáticamente un identificador de seguridad para controlar el acceso a los recursos.
En un dominio de Active Directory, cada cuenta de equipo es una entidad de seguridad completa con la
capacidad para autenticar y acceder a los recursos del dominio. Sin embargo, algunas organizaciones pueden
desea limitar la cantidad de equipos en un entorno de Active Directory para que puedan
rastrear, construir y administrar constantemente las computadoras. Si los usuarios pueden agregar computadoras
al dominio, los esfuerzos de seguimiento y gestión se verían obstaculizados. Además, los usuarios podrían
realizar actividades que son más difíciles de rastrear debido a su capacidad para crear
equipos de dominio no autorizados adicionales.
Razón fundamental:
El derecho de usuario Agregar estaciones de trabajo al dominio presenta una vulnerabilidad moderada. Usuarios con
este derecho podría agregar una computadora al dominio que esté configurada de manera que viole
políticas de seguridad organizacional. Por ejemplo, si su organización no quiere que sus usuarios
para tener privilegios administrativos en sus computadoras, un usuario podría (reinstalar) Windows en
su computadora y luego agregue la computadora al dominio. El usuario sabría el
contraseña para la cuenta de administrador local, y podría iniciar sesión con esa cuenta y luego
agregue su cuenta de dominio al grupo de administradores locales.
70 | Página
Página 72
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
Para organizaciones que nunca han permitido que los usuarios configuren sus propias computadoras y agreguen
al dominio, esta contramedida no tendrá ningún impacto. Para los que han permitido
algunos o todos los usuarios a configurar sus propias computadoras, esta contramedida obligará a
organización para establecer un proceso formal para estos procedimientos en el futuro. No lo hará
afectar a los equipos de dominio existentes a menos que se eliminen y se vuelvan a agregar al
dominio.
Usuarios autenticados. (Todos los usuarios del dominio tienen la capacidad de agregar hasta 10 cuentas de computadora
a un dominio de Active Directory. Estas nuevas cuentas de computadora se crean en las computadoras
envase.)
Referencias:
https://translate.googleusercontent.com/translate_f 58/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-36282-2
71 | Página
Página 73
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 59/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
72 | Página
Página 74
2.2.6 (L1) Asegúrese de que 'Ajustar cuotas de memoria para un proceso' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite a un usuario ajustar la cantidad máxima de memoria disponible
a un proceso. La capacidad de ajustar las cuotas de memoria es útil para el ajuste del sistema, pero puede ser
abusado. En las manos equivocadas, podría usarse para lanzar un ataque de denegación de servicio (DoS).
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL, RED
SERVICIO .
Nota: un servidor miembro que tiene el rol de servidor web (IIS) con el servicio de rol de servidor web
requerirá una excepción especial a esta recomendación, para permitir que los grupos de aplicaciones de IIS
recibir este derecho de usuario.
Razón fundamental:
Un usuario con el derecho Ajustar cuotas de memoria para un proceso de usuario puede reducir la cantidad de
memoria que está disponible para cualquier proceso, lo que podría causar una red crítica para el negocio
las aplicaciones se vuelven lentas o fallan. En las manos equivocadas, este privilegio podría utilizarse para
iniciar un ataque de denegación de servicio (DoS).
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
73 | Página
Página 75
https://translate.googleusercontent.com/translate_f 60/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Impacto:
Las organizaciones que no han restringido a los usuarios a roles con privilegios limitados lo encontrarán
difícil imponer esta contramedida. Además, si ha instalado componentes opcionales
como ASP.NET o IIS, es posible que deba asignar Ajustar cuotas de memoria para un proceso
derecho del usuario a las cuentas adicionales que requieren esos componentes. De lo contrario, este
las contramedidas no deberían tener ningún impacto en la mayoría de las computadoras. Si este derecho de usuario es necesario
para una cuenta de usuario, se puede asignar a una cuenta de computadora local en lugar de un dominio
cuenta.
Referencias:
1. CCE-37071-8
74 | Página
Página 76
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 61/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
tener en cuenta las actividades elevadas. Esta cuenta solo debe usarse para fines administrativos
actividades y no navegación por Internet, correo electrónico o actividades similares.
75 | Página
Página 77
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden iniciar sesión de forma interactiva en los equipos de su
ambiente. Los inicios de sesión que se inician presionando la secuencia de teclas CTRL + ALT + SUPR en
el teclado de la computadora cliente requiere este derecho de usuario. Usuarios que intentan iniciar sesión a través de
Terminal Services / Remote Desktop Services o IIS también requieren este derecho de usuario.
Nota: Este derecho de usuario generalmente debe restringirse al grupo de administradores . Asignar
este derecho de usuario al grupo Operadores de respaldo si su organización requiere que tengan
esta capacidad.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión local puede iniciar sesión en la consola del
computadora. Si no restringe este derecho de usuario a los usuarios legítimos que necesitan poder
inicie sesión en la consola de la computadora, los usuarios no autorizados pueden descargar y ejecutar
https://translate.googleusercontent.com/translate_f 62/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
software malintencionado para elevar sus privilegios.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
76 | Página
Página 78
Impacto:
Si elimina estos grupos predeterminados, podría limitar las capacidades de los usuarios asignados
a roles administrativos específicos en su entorno. Debe confirmar que delegado
Las actividades no se verán afectadas negativamente por los cambios que realice en Permitir inicio de sesión.
derecho de usuario local .
Referencias:
1. CCE-37659-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 63/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
77 | Página
Página 79
2.2.8 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado
a 'Administradores' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios o grupos tienen derecho a iniciar sesión como Remote
Cliente de servicios de escritorio. Si su organización utiliza Asistencia remota como parte de su mesa de ayuda
estrategia, cree un grupo y asígnele este derecho de usuario a través de la Política de grupo. Si la mesa de ayuda
en su organización no utiliza Asistencia remota, asigne este derecho de usuario solo al
Los administradores agrupan
o utilizan la función Grupos restringidos para asegurarse de que ningún usuario
Las cuentas forman parte del grupo Usuarios de escritorio remoto .
Nota: Un servidor miembro que tiene el Servicios de escritorio remoto papel con escritorio remoto
Connection Broker Role Service requerirá una excepción especial a esta recomendación, para
permitir que el grupo de usuarios autenticados tenga este derecho de usuario.
Nota # 2: Las listas anteriores deben tratarse como listas blancas, lo que implica que las anteriores
No es necesario que los directores estén presentes para que se apruebe la evaluación de esta recomendación.
Nota n. ° 3: en todas las versiones de Windows Server anteriores a Server 2008 R2, Escritorio remoto
Los servicios se conocían como servicios de terminal , por lo que debería sustituir el término anterior si
en comparación con un sistema operativo anterior.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto puede iniciar sesión
en la consola remota de la computadora. Si no restringe este derecho de usuario a legitimar
usuarios que necesitan iniciar sesión en la consola de la computadora, los usuarios no autorizados pueden
descargar y ejecutar software malintencionado para elevar sus privilegios.
78 | Página
Página 80
https://translate.googleusercontent.com/translate_f 64/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto de otros
grupos o cambios de membresía en estos grupos predeterminados podrían limitar las capacidades de los usuarios
que desempeñan funciones administrativas específicas en su entorno. Deberías confirmar que
las actividades delegadas no se verán afectadas negativamente.
Administradores.
Referencias:
1. CCE-37072-6
79 | Página
Página 81
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
80 | Página
Página 82
2.2.9 (L1) Asegúrese de que 'Permitir inicio de sesión a través de Servicios de escritorio remoto' esté configurado
a 'Administradores, usuarios de escritorio remoto' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios o grupos tienen derecho a iniciar sesión como Remote
Cliente de servicios de escritorio. Si su organización utiliza Asistencia remota como parte de su mesa de ayuda
estrategia, cree un grupo y asígnele este derecho de usuario a través de la Política de grupo. Si la mesa de ayuda
en su organización no utiliza Asistencia remota, asigne este derecho de usuario solo al
Los administradores agrupan
o utilizan la función Grupos restringidos para asegurarse de que ningún usuario
Las cuentas forman parte del grupo Usuarios de escritorio remoto .
El estado recomendado para esta configuración es: administradores, usuarios de escritorio remoto .
https://translate.googleusercontent.com/translate_f 66/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Un servidor miembro que tiene el Servicios de escritorio remoto papel con escritorio remoto
Connection Broker Role Service requerirá una excepción especial a esta recomendación, para
permitir que el grupo de usuarios autenticados tenga este derecho de usuario.
Nota # 2: Las listas anteriores deben tratarse como listas blancas, lo que implica que las anteriores
No es necesario que los directores estén presentes para que se apruebe la evaluación de esta recomendación.
Nota n. ° 3: en todas las versiones de Windows Server anteriores a Server 2008 R2, Escritorio remoto
Los servicios se conocían como servicios de terminal , por lo que debería sustituir el término anterior si
en comparación con un sistema operativo anterior.
Razón fundamental:
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto puede iniciar sesión
en la consola remota de la computadora. Si no restringe este derecho de usuario a legitimar
usuarios que necesitan iniciar sesión en la consola de la computadora, los usuarios no autorizados pueden
descargar y ejecutar software malintencionado para elevar sus privilegios.
81 | Página
Página 83
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de escritorio remoto de otros
grupos o cambios de membresía en estos grupos predeterminados podrían limitar las capacidades de los usuarios
que desempeñan funciones administrativas específicas en su entorno. Deberías confirmar que
las actividades delegadas no se verán afectadas negativamente.
Referencias:
1. CCE-37072-6
https://translate.googleusercontent.com/translate_f 67/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
82 | Página
Página 84
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
83 | Página
https://translate.googleusercontent.com/translate_f 68/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 85
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado como 'Administrado
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite a los usuarios eludir los permisos de archivos y directorios para realizar copias de seguridad
sistema. Este derecho de usuario está habilitado solo cuando una aplicación (como NTBACKUP ) intenta
acceder a un archivo o directorio a través de la programación de la aplicación de respaldo del sistema de archivos NTFS
interfaz (API). De lo contrario, se aplican los permisos de directorio y archivo asignados.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Los usuarios que pueden hacer una copia de seguridad de los datos de una computadora pueden llevar el medio de copia de seguridad a un
equipo de dominio en el que tienen privilegios administrativos y restaurar los datos. Ellos
podría tomar posesión de los archivos y ver cualquier dato no cifrado que esté contenido en
el conjunto de respaldo.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
84 | Página
Página 86
Impacto:
Cambios en la membresía de los grupos que tienen el usuario Copia de seguridad de archivos y directorios
derecho podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en
tu entorno. Debe confirmar que los administradores de respaldo autorizados aún pueden
para realizar operaciones de respaldo.
https://translate.googleusercontent.com/translate_f 69/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
En servidores miembro: administradores, operadores de respaldo.
Referencias:
1. CCE-35912-5
Controles CIS:
Versión 6
Versión 7
85 | Página
Página 87
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en 'Administradores,
SERVICIO LOCAL '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios y grupos pueden cambiar la fecha y la hora en el
reloj interno de las computadoras de su entorno. Usuarios a los que se les asigna este derecho de usuario
puede afectar la apariencia de los registros de eventos. Cuando se cambia la configuración de hora de una computadora, se registra
los eventos reflejan el nuevo tiempo, no el tiempo real en que ocurrieron.
https://translate.googleusercontent.com/translate_f 70/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
protocolo, que podría hacer imposible que los usuarios inicien sesión en el dominio u obtengan
autorización para acceder a los recursos del dominio después de iniciar sesión. Además, los problemas
ocurrir cuando la directiva de grupo se aplica a los equipos cliente si la hora del sistema no es
sincronizado con los controladores de dominio.
86 | Página
Página 88
Razón fundamental:
Los usuarios que pueden cambiar la hora en una computadora pueden causar varios problemas. Por ejemplo,
las marcas de tiempo en las entradas del registro de eventos pueden ser inexactas, las marcas de tiempo en archivos y carpetas
que se crean o modifican pueden ser incorrectos y los equipos que pertenecen a un dominio
es posible que no puedan autenticarse a sí mismos o a los usuarios que intentan iniciar sesión en el dominio desde
ellos. Además, debido a que el protocolo de autenticación Kerberos requiere que el solicitante y
autenticador tiene sus relojes sincronizados dentro de un período de sesgo definido por el administrador,
un atacante que cambia la hora de una computadora puede hacer que esa computadora no pueda obtener
u otorgar tickets Kerberos.
El riesgo de este tipo de eventos se mitiga en la mayoría de los controladores de dominio, miembros
Servidores y equipos de usuario final porque el servicio de hora de Windows automáticamente
sincroniza la hora con los controladores de dominio de las siguientes formas:
• Todas las computadoras de escritorio cliente y los servidores miembro utilizan el dominio de autenticación
Controller como su socio de tiempo de entrada.
• Todos los controladores de dominio de un dominio designan al controlador de dominio principal (PDC)
El maestro de operaciones del emulador es su socio de tiempo de entrada.
• Todos los maestros de operaciones del emulador de PDC siguen la jerarquía de dominios en el
selección de su compañero de tiempo de entrada.
• El maestro de operaciones del emulador de PDC en la raíz del dominio tiene autoridad para
la organización. Por lo tanto, se recomienda que configure este equipo para
sincronizar con un servidor de hora externo confiable.
Esta vulnerabilidad se vuelve mucho más grave si un atacante puede cambiar el sistema.
hora y luego detenga el servicio de hora de Windows o reconfigure para sincronizar con una hora
servidor que no es exacto.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
https://translate.googleusercontent.com/translate_f 71/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
87 | Página
Página 89
Impacto:
No debería haber ningún impacto, porque la sincronización de tiempo para la mayoría de las organizaciones debería ser
totalmente automatizado para todos los equipos que pertenecen al dominio. Computadoras que no pertenecen
al dominio debe configurarse para sincronizarse con una fuente externa.
Referencias:
1. CCE-37452-0
Controles CIS:
Versión 6
Versión 7
88 | Página
https://translate.googleusercontent.com/translate_f 72/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 90
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores,
SERVICIO LOCAL '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración determina qué usuarios pueden cambiar la zona horaria de la computadora. Esta habilidad
no supone un gran peligro para la computadora y puede ser útil para los trabajadores móviles.
Razón fundamental:
Cambiar la zona horaria representa poca vulnerabilidad porque la hora del sistema no es
afectado. Esta configuración simplemente permite a los usuarios mostrar su zona horaria preferida mientras
sincronizado con controladores de dominio en diferentes zonas horarias.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
89 | Página
Página 91
Referencias:
1. CCE-37700-2
Controles CIS:
https://translate.googleusercontent.com/translate_f 73/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 6
Versión 7
90 | Página
Página 92
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores' (puntuad
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite a los usuarios cambiar el tamaño del archivo de paginación. Haciendo el archivo de paginación
extremadamente grande o extremadamente pequeño, un atacante podría afectar fácilmente el rendimiento de un
computadora comprometida.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 74/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Los usuarios que pueden cambiar el tamaño del archivo de la página pueden hacerlo extremadamente pequeño o mover el archivo a un
volumen de almacenamiento muy fragmentado, lo que podría reducir el rendimiento de la computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
Administradores.
91 | Página
Página 93
Referencias:
1. CCE-35821-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 75/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
92 | Página
Página 94
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite que un proceso cree un token de acceso, que puede proporcionar
derechos de acceso a datos sensibles.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Una cuenta de usuario a la que se le otorga este derecho de usuario tiene control total sobre el sistema y puede
llevar a que el sistema se vea comprometido. Es muy recomendable que no asigne
cualquier usuario cuenta con este derecho.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
https://translate.googleusercontent.com/translate_f 76/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
93 | Página
Página 95
Impacto:
Ninguno.
Referencias:
1. CCE-36861-3
Controles CIS:
Versión 6
Versión 7
94 | Página
Página 96
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores,
https://translate.googleusercontent.com/translate_f 77/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva determina si los usuarios pueden crear objetos globales que estén disponibles para
todas las sesiones. Los usuarios aún pueden crear objetos que sean específicos de su propia sesión si no
tener este derecho de usuario.
Los usuarios que pueden crear objetos globales pueden afectar a los procesos que se ejecutan bajo los
sesiones. Esta capacidad puede dar lugar a una variedad de problemas, como fallas en la aplicación o
corrupción de datos.
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL, RED
SERVICIO, SERVICIO .
Nota: un servidor miembro con Microsoft SQL Server y sus "servicios de integración" opcionales
componente instalado requerirá una excepción especial a esta recomendación para más
Entradas generadas por SQL para otorgar este derecho de usuario.
Razón fundamental:
Los usuarios que pueden crear objetos globales podrían afectar los servicios y procesos de Windows que se ejecutan
bajo otras cuentas de usuario o del sistema. Esta capacidad podría dar lugar a una variedad de problemas,
como fallas en la aplicación, corrupción de datos y elevación de privilegios.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
95 | Página
Página 97
Impacto:
Referencias:
1. CCE-37453-8
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 78/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
5.1 Minimizar y utilizar con moderación los privilegios administrativos
Minimice los privilegios administrativos y use cuentas administrativas solo cuando estén
necesario. Implementar auditorías enfocadas en el uso de funciones administrativas privilegiadas y
monitorear el comportamiento anómalo.
Versión 7
96 | Página
Página 98
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'Nadie'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Este derecho de usuario es útil para los componentes en modo kernel que amplían el espacio de nombres del objeto.
Sin embargo, los componentes que se ejecutan en modo kernel tienen este derecho de usuario de forma inherente. Por lo tanto
Por lo general, no es necesario asignar específicamente este derecho de usuario.
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear objetos compartidos permanentes pueden crear nuevos objetos compartidos.
objetos y exponer datos sensibles a la red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
https://translate.googleusercontent.com/translate_f 79/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Ninguno.
97 | Página
Página 99
Referencias:
1. CCE-36532-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 80/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
98 | Página
Página 100
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores' (DC
solamente) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista,
Se puede acceder a los objetos existentes del sistema de archivos NTFS, como archivos y carpetas, consultando un
nuevo tipo de objeto del sistema de archivos llamado enlace simbólico. Un enlace simbólico es un puntero (muy parecido a
un acceso directo o archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, carpeta, acceso directo o
otro vínculo simbólico. La diferencia entre un atajo y un enlace simbólico es que un
El acceso directo solo funciona desde el shell de Windows. A otros programas y aplicaciones,
Los atajos son solo otro archivo, mientras que con los enlaces simbólicos, el concepto de atajo es
implementado como una característica del sistema de archivos NTFS.
Los enlaces simbólicos pueden exponer potencialmente vulnerabilidades de seguridad en aplicaciones que no
diseñado para usarlos. Por esta razón, el privilegio de crear enlaces simbólicos solo debe
ser asignado a usuarios de confianza. De forma predeterminada, solo los administradores pueden crear enlaces simbólicos.
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear enlaces simbólicos podrían inadvertidamente o de manera maliciosa
exponga su sistema a ataques de enlaces simbólicos. Los ataques de enlace simbólico se pueden utilizar para cambiar
los permisos en un archivo, para corromper datos, para destruir datos o como un ataque de denegación de servicio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
99 | Página
Página 101
https://translate.googleusercontent.com/translate_f 81/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
En la mayoría de los casos, no habrá ningún impacto porque esta es la configuración predeterminada. Sin embargo, en
Servidores Windows con la función de servidor Hyper-V instalada, este derecho de usuario también debe ser
concedido al grupo especial Máquinas virtuales ; de lo contrario, no podrá crear
nuevas máquinas virtuales.
Administradores.
Referencias:
1. CCE-35823-4
Controles CIS:
Versión 6
Versión 7
100 | Página
Página 102
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores, NT
MÁQUINA VIRTUAL \ Máquinas virtuales (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista,
Se puede acceder a los objetos existentes del sistema de archivos NTFS, como archivos y carpetas, consultando un
https://translate.googleusercontent.com/translate_f 82/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
nuevo tipo de objeto del sistema de archivos llamado enlace simbólico. Un enlace simbólico es un puntero (muy parecido a
un acceso directo o archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, carpeta, acceso directo o
otro vínculo simbólico. La diferencia entre un atajo y un enlace simbólico es que un
El acceso directo solo funciona desde el shell de Windows. A otros programas y aplicaciones,
Los atajos son solo otro archivo, mientras que con los enlaces simbólicos, el concepto de atajo es
implementado como una característica del sistema de archivos NTFS.
Los enlaces simbólicos pueden exponer potencialmente vulnerabilidades de seguridad en aplicaciones que no
diseñado para usarlos. Por esta razón, el privilegio de crear enlaces simbólicos solo debe
ser asignado a usuarios de confianza. De forma predeterminada, solo los administradores pueden crear enlaces simbólicos.
El estado recomendado para esta configuración es: administradores y (cuando el rol de Hyper-V es
instalado) NT VIRTUAL MACHINE \ Virtual Machines .
Razón fundamental:
Los usuarios que tienen el derecho de usuario Crear enlaces simbólicos podrían inadvertidamente o de manera maliciosa
exponga su sistema a ataques de enlaces simbólicos. Los ataques de enlace simbólico se pueden utilizar para cambiar
los permisos en un archivo, para corromper datos, para destruir datos o como un ataque de denegación de servicio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
101 | Página
Página 103
Impacto:
En la mayoría de los casos, no habrá ningún impacto porque esta es la configuración predeterminada. Sin embargo, en
Servidores Windows con la función de servidor Hyper-V instalada, este derecho de usuario también debe ser
concedido al grupo especial Máquinas virtuales ; de lo contrario, no podrá crear
nuevas máquinas virtuales.
Administradores.
Referencias:
1. CCE-35823-4
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 83/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
4.1 Mantener inventario de cuentas administrativas
Utilice herramientas automatizadas para hacer un inventario de todas las cuentas administrativas, incluidas las de dominio y locales.
cuentas, para garantizar que solo las personas autorizadas tengan privilegios elevados.
102 | Página
Página 104
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado como 'Administradores' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política determina qué cuentas de usuario tendrán derecho a adjuntar un depurador
a cualquier proceso o al kernel, que proporciona acceso completo a información sensible y crítica
componentes del sistema operativo. Los desarrolladores que depuran sus propias aplicaciones
no es necesario que se le asigne este derecho de usuario; sin embargo, los desarrolladores que están depurando nuevos
los componentes del sistema lo necesitarán.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
El derecho de usuario de los programas de depuración se puede aprovechar para capturar información
información de la memoria del sistema, o para acceder y modificar las estructuras del kernel o de la aplicación.
Algunas herramientas de ataque explotan este derecho de usuario para extraer contraseñas hash y otras
información de seguridad o para insertar código de rootkit. De forma predeterminada, el derecho de usuario de los programas de depuración
se asigna solo a los administradores, lo que ayuda a mitigar el riesgo de esta vulnerabilidad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
https://translate.googleusercontent.com/translate_f 84/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local
Políticas \ Asignación de derechos de usuario \ Programas de depuración
103 | Página
Página 105
Impacto:
Si revoca este derecho de usuario, nadie podrá depurar programas. Sin embargo, típico
Las circunstancias rara vez requieren esta capacidad en equipos de producción. Si surge un problema
que requiere depurar una aplicación en un servidor de producción, puede mover el
servidor a una OU diferente temporalmente y asignar el derecho de usuario de los programas de depuración a un
Política de grupo separada para esa unidad organizativa.
La cuenta de servicio que se utiliza para el servicio de clúster necesita el usuario de los programas de depuración
Derecha; si no lo tiene, la agrupación en clústeres de Windows fallará.
Las herramientas que se utilizan para gestionar procesos no podrán afectar los procesos que no
propiedad de la persona que ejecuta las herramientas. Por ejemplo, el recurso de Windows Server 2003
La herramienta del kit Kill.exe requiere este derecho de usuario para que los administradores finalicen procesos que
no empezaron.
Administradores.
Referencias:
1. CCE-37075-9
Controles CIS:
Versión 6
Versión 7
104 | Página
https://translate.googleusercontent.com/translate_f 85/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 106
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para
incluir 'Invitados' (solo DC) (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva prohíbe a los usuarios conectarse a una computadora desde la red,
lo que permitiría a los usuarios acceder y potencialmente modificar los datos de forma remota. En alta seguridad
entornos, no debería ser necesario que los usuarios remotos accedan a los datos en una computadora.
En cambio, el intercambio de archivos debe lograrse mediante el uso de servidores de red. Este usuario
derecho reemplaza el derecho de usuario Acceder a esta computadora desde la red si una cuenta es
sujeto a ambas políticas.
Precaución: La configuración de un servidor independiente (no unido a un dominio) como se describe arriba puede
resultar en una incapacidad para administrar remotamente el servidor.
Nota # 2: Configurar un servidor miembro o un servidor independiente como se describe arriba puede
afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el
Grupo de administradores: en cuyo caso debe convertir la aplicación para usar un
cuenta de servicio alojada en el dominio, o elimine la cuenta local y el miembro de
Grupo de administradores de
esta asignación de derechos de usuario. Usar un servicio alojado en un dominio
se prefiere encarecidamente tener en cuenta a hacer una excepción a esta regla, cuando sea posible.
Razón fundamental:
Los usuarios que pueden iniciar sesión en la computadora a través de la red pueden enumerar listas de cuentas
nombres, nombres de grupos y recursos compartidos. Usuarios con permiso para acceder a carpetas compartidas
y los archivos pueden conectarse a través de la red y posiblemente ver o modificar datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
105 | Página
Página 107
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Si configura el derecho de usuario Denegar acceso a esta computadora desde la red para otros
https://translate.googleusercontent.com/translate_f 86/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
grupos, puede limitar las capacidades de los usuarios que están asignados a administradores específicos
roles en su entorno. Debe verificar que las tareas delegadas no se vean negativamente
afectado.
Invitado.
Referencias:
1. CCE-37954-5
Controles CIS:
Versión 6
Versión 7
106 | Página
Página 108
2.2.21 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde la red' para
incluir 'Invitados, cuenta local y miembro del grupo de administradores'
(Solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva prohíbe a los usuarios conectarse a una computadora desde la red,
lo que permitiría a los usuarios acceder y potencialmente modificar los datos de forma remota. En alta seguridad
entornos, no debería ser necesario que los usuarios remotos accedan a los datos en una computadora.
En cambio, el intercambio de archivos debe lograrse mediante el uso de servidores de red. Este usuario
derecho reemplaza el derecho de usuario Acceder a esta computadora desde la red si una cuenta es
sujeto a ambas políticas.
El estado recomendado para esta configuración es incluir: invitados, cuenta local y miembro
del grupo Administradores .
Precaución: La configuración de un servidor independiente (no unido a un dominio) como se describe arriba puede
https://translate.googleusercontent.com/translate_f 87/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
resultar en una incapacidad para administrar remotamente el servidor.
Nota # 2: Configurar un servidor miembro o un servidor independiente como se describe arriba puede
afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el
Grupo de administradores: en cuyo caso debe convertir la aplicación para usar un
cuenta de servicio alojada en el dominio, o elimine la cuenta local y el miembro de
Grupo de administradores de
esta asignación de derechos de usuario. Usar un servicio alojado en un dominio
se prefiere encarecidamente tener en cuenta a hacer una excepción a esta regla, cuando sea posible.
Razón fundamental:
Los usuarios que pueden iniciar sesión en la computadora a través de la red pueden enumerar listas de cuentas
nombres, nombres de grupos y recursos compartidos. Usuarios con permiso para acceder a carpetas compartidas
y los archivos pueden conectarse a través de la red y posiblemente ver o modificar datos.
107 | Página
Página 109
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Si configura el derecho de usuario Denegar acceso a esta computadora desde la red para otros
grupos, puede limitar las capacidades de los usuarios que están asignados a administradores específicos
roles en su entorno. Debe verificar que las tareas delegadas no se vean negativamente
afectado.
Ninguno.
Referencias:
1. CCE-37954-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 88/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Deshabilite cualquier cuenta que no se pueda asociar con un proceso comercial o negocio
propietario.
108 | Página
Página 110
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué cuentas no podrán iniciar sesión en el equipo como
un trabajo por lotes. Un trabajo por lotes no es un archivo por lotes (.bat), sino más bien una función de cola de lotes. Cuentas
que utilizan el Programador de tareas para programar trabajos necesitan este derecho de usuario.
Este derecho de usuario reemplaza el derecho de usuario Iniciar sesión como trabajo por lotes , que podría utilizarse para
permitir que las cuentas programen trabajos que consuman recursos excesivos del sistema. Tal
la ocurrencia podría causar una condición DoS. No asignar este derecho de usuario al
las cuentas recomendadas pueden suponer un riesgo para la seguridad.
Razón fundamental:
Las cuentas que tienen el derecho de usuario Iniciar sesión como trabajo por lotes se pueden utilizar para programar trabajos que
podría consumir recursos informáticos excesivos y causar una condición de DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Invitados :
109 | Página
https://translate.googleusercontent.com/translate_f 89/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 111
Impacto:
Si asigna el derecho Denegar inicio de sesión como un usuario de trabajo por lotes a otras cuentas, podría denegar
los usuarios que están asignados a roles administrativos específicos la capacidad de realizar sus
actividades laborales. Debe confirmar que las tareas delegadas no se verán afectadas negativamente.
Por ejemplo, si asigna este derecho de usuario a la cuenta IWAM_ (ComputerName) , el MSM
El punto de gestión fallará. En una computadora recién instalada que ejecuta Windows Server 2003
esta cuenta no pertenece al grupo Invitados , sino a una computadora que se actualizó
desde Windows 2000, esta cuenta es miembro del grupo Invitados . Por tanto, es
Es importante que comprenda qué cuentas pertenecen a cualquier grupo al que asigne el
Denegar el inicio de sesión como derecho de usuario de trabajo por lotes .
Ninguno.
Referencias:
1. CCE-36923-1
Controles CIS:
Versión 6
Versión 7
110 | Página
Página 112
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar una
proceso como servicio. Este derecho de usuario reemplaza el derecho de usuario Iniciar sesión como servicio si un
La cuenta está sujeta a ambas políticas.
Razón fundamental:
Las cuentas que pueden iniciar sesión como servicio se pueden utilizar para configurar y comenzar de nuevo.
servicios no autorizados, como un keylogger u otro software malintencionado. El beneficio de la
La contramedida especificada se reduce un poco por el hecho de que solo los usuarios con
privilegios administrativos pueden instalar y configurar servicios, y un atacante que ha
ya alcanzado ese nivel de acceso podría configurar el servicio para que se ejecute con el Sistema
cuenta.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Invitados :
Impacto:
Si asigna el derecho Denegar inicio de sesión como usuario de servicio a cuentas específicas, es posible que los servicios no
poder comenzar y podría producirse una condición DoS.
111 | Página
Página 113
Ninguno.
Referencias:
1. CCE-36877-9
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 91/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
112 | Página
Página 114
2.2.24 (L1) Asegúrese de 'Denegar inicio de sesión localmente' para incluir 'Invitados' (puntuados)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Cualquier cuenta con la capacidad de iniciar sesión localmente podría usarse para iniciar sesión en la consola del
computadora. Si este derecho de usuario no está restringido a usuarios legítimos que necesitan iniciar sesión en
consola de la computadora, los usuarios no autorizados pueden descargar y ejecutar software malicioso
que eleva sus privilegios.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
https://translate.googleusercontent.com/translate_f 92/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Invitados :
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión local a cuentas adicionales, podría limitar el
las habilidades de los usuarios asignados a roles específicos en su entorno. Sin embargo, este usuario
right debe asignarse explícitamente a la cuenta ASPNET en equipos que ejecutan IIS 6.0. Tú
debe confirmar que las actividades delegadas no se verán afectadas negativamente.
113 | Página
Página 115
Ninguno.
Referencias:
1. CCE-37146-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 93/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
114 | Página
Página 116
2.2.25 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto' para
incluir 'Invitados' (solo DC) (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Escritorio remoto. Después
el servidor miembro de línea de base está unido a un entorno de dominio, no es necesario utilizar
cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al
servidor para la administración y el procesamiento del usuario final. Este derecho de usuario reemplaza a Permitir
inicie sesión a través del derecho de usuario de Servicios de Escritorio remoto si una cuenta está sujeta a ambos
políticas.
Precaución: La configuración de un servidor independiente (no unido a un dominio) como se describe arriba puede
resultar en una incapacidad para administrar remotamente el servidor.
Nota: El identificador de seguridad Cuenta local no está disponible en Server 2008 R2 y Server
2012 (no R2) a menos que Se ha instalado MSKB 2871997 .
Nota n. ° 2: en todas las versiones de Windows Server anteriores a Server 2008 R2, Escritorio remoto
Los servicios se conocían como servicios de terminal , por lo que debería sustituir el término anterior si
en comparación con un sistema operativo anterior.
Razón fundamental:
Cualquier cuenta con derecho a iniciar sesión a través de Servicios de escritorio remoto podría usarse para iniciar sesión
en la consola remota de la computadora. Si este derecho de usuario no se limita a los legítimos
usuarios que necesitan iniciar sesión en la consola de la computadora, los usuarios no autorizados pueden
descargar y ejecutar software malintencionado que eleva sus privilegios.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
115 | Página
Página 117
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
https://translate.googleusercontent.com/translate_f 94/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local
Políticas \ Asignación de derechos de usuario \ Denegar el inicio de sesión a través de Servicios de escritorio remoto
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de escritorio remoto a otros
grupos, puede limitar las capacidades de los usuarios que están asignados a administradores específicos
roles en su entorno. Las cuentas que tengan este derecho de usuario no podrán conectarse a
la computadora a través de Servicios de escritorio remoto o Asistencia remota. Debieras
confirmar que las tareas delegadas no se verán afectadas negativamente.
Ninguno.
Referencias:
1. CCE-36867-0
Controles CIS:
Versión 6
Versión 7
116 | Página
Página 118
2.2.26 (L1) Asegúrese de que 'Denegar inicio de sesión a través de Servicios de escritorio remoto' esté configurad
a 'Invitados, cuenta local' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Escritorio remoto. Después
el servidor miembro de línea de base está unido a un entorno de dominio, no es necesario utilizar
cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al
servidor para la administración y el procesamiento del usuario final. Este derecho de usuario reemplaza a Permitir
inicie sesión a través del derecho de usuario de Servicios de Escritorio remoto si una cuenta está sujeta a ambos
políticas.
https://translate.googleusercontent.com/translate_f 95/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: Invitados, cuenta local .
Precaución: La configuración de un servidor independiente (no unido a un dominio) como se describe arriba puede
resultar en una incapacidad para administrar remotamente el servidor.
Nota: El identificador de seguridad Cuenta local no está disponible en Server 2008 R2 y Server
2012 (no R2) a menos que Se ha instalado MSKB 2871997 .
Nota n. ° 2: en todas las versiones de Windows Server anteriores a Server 2008 R2, Escritorio remoto
Los servicios se conocían como servicios de terminal , por lo que debería sustituir el término anterior si
en comparación con un sistema operativo anterior.
Razón fundamental:
Cualquier cuenta con derecho a iniciar sesión a través de Servicios de escritorio remoto podría usarse para iniciar sesión
en la consola remota de la computadora. Si este derecho de usuario no se limita a los legítimos
usuarios que necesitan iniciar sesión en la consola de la computadora, los usuarios no autorizados pueden
descargar y ejecutar software malintencionado que eleva sus privilegios.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
117 | Página
Página 119
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de escritorio remoto a otros
grupos, puede limitar las capacidades de los usuarios que están asignados a administradores específicos
roles en su entorno. Las cuentas que tengan este derecho de usuario no podrán conectarse a
la computadora a través de Servicios de escritorio remoto o Asistencia remota. Debieras
confirmar que las tareas delegadas no se verán afectadas negativamente.
Ninguno.
Referencias:
1. CCE-36867-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 96/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
118 | Página
Página 120
2.2.27 (L1) Asegúrese de 'Permitir que las cuentas de usuario y de computadora sean confiables
delegación 'se establece en' Administradores '(solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite a los usuarios cambiar la configuración de Confianza para delegación en una computadora
objeto en Active Directory. El abuso de este privilegio podría permitir que usuarios no autorizados
hacerse pasar por otros usuarios de la red.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Uso indebido de la opción Permitir que las cuentas de usuario y equipo sean de confianza para el usuario de delegación
derecho podría permitir que usuarios no autorizados se hagan pasar por otros usuarios en la red. Un
El atacante podría aprovechar este privilegio para obtener acceso a los recursos de red y hacerlo
Es difícil determinar qué sucedió después de un incidente de seguridad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Administradores.
https://translate.googleusercontent.com/translate_f 97/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
119 | Página
Página 121
Referencias:
1. CCE-36860-5
Controles CIS:
Versión 6
Versión 7
120 | Página
Página 122
https://translate.googleusercontent.com/translate_f 98/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política permite a los usuarios cambiar la configuración de Confianza para delegación en una computadora
objeto en Active Directory. El abuso de este privilegio podría permitir que usuarios no autorizados
hacerse pasar por otros usuarios de la red.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Uso indebido de la opción Permitir que las cuentas de usuario y equipo sean de confianza para el usuario de delegación
derecho podría permitir que usuarios no autorizados se hagan pasar por otros usuarios en la red. Un
El atacante podría aprovechar este privilegio para obtener acceso a los recursos de red y hacerlo
Es difícil determinar qué sucedió después de un incidente de seguridad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Ninguno.
121 | Página
Página 123
Referencias:
1. CCE-36860-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 99/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
122 | Página
Página 124
2.2.29 (L1) Asegúrese de que 'Forzar apagado desde un sistema remoto' esté configurado en
'Administradores' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite a los usuarios apagar equipos basados en Windows Vista y más nuevos
desde ubicaciones remotas en la red. Cualquiera a quien se le haya asignado este derecho de usuario puede
causar una condición de denegación de servicio (DoS), que haría que la computadora no esté disponible para
solicitudes de los usuarios del servicio. Por lo tanto, se recomienda que solo administradores de alta confianza
tener asignado este derecho de usuario.
Razón fundamental:
Cualquier usuario que pueda apagar una computadora podría provocar una condición de DoS. Por lo tanto,
este derecho de usuario debería estar estrictamente restringido.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 100/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito.
Remediación:
Impacto:
Si elimina el cierre forzado de un usuario del sistema remoto directamente desde el servidor
Grupo de operadores puede limitar las capacidades de los usuarios asignados a
roles administrativos en su entorno. Debe confirmar que las actividades delegadas
no se vea afectado negativamente.
123 | Página
Página 125
Referencias:
1. CCE-37877-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 101/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
124 | Página
Página 126
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'SERVICIO LOCAL,
SERVICIO DE RED '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios o procesos pueden generar registros de auditoría en el
Registro de seguridad.
El estado recomendado para esta configuración es: SERVICIO LOCAL, SERVICIO DE RED .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Nota n. ° 2: un servidor miembro que tiene el rol de servidor web (IIS) con el rol de servidor web
El servicio requerirá una excepción especial a esta recomendación, para permitir la aplicación IIS
grupo (s) para que se le conceda este derecho de usuario.
Nota n. ° 3: Un servidor miembro que tenga la función de servicios de federación de Active Directory
requieren una excepción especial a esta recomendación, para permitir NT SERVICE \ ADFSSrv y
Servicios NT SERVICE \ DRS ,
así como los servicios de federación de Active Directory asociados
cuenta de servicio, para obtener este derecho de usuario.
Razón fundamental:
Un atacante podría utilizar esta capacidad para crear una gran cantidad de eventos auditados, que
haría más difícil para un administrador del sistema localizar cualquier actividad ilícita. También si
el registro de eventos está configurado para sobrescribir eventos según sea necesario, cualquier evidencia de no autorizado
las actividades pueden ser sobrescritas por una gran cantidad de eventos no relacionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
125 | Página
Página 127
https://translate.googleusercontent.com/translate_f 102/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en LOCAL
SERVICIO, SERVICIO DE RED :
Impacto:
En la mayoría de las computadoras, esta es la configuración predeterminada y no habrá ningún impacto negativo.
Sin embargo, si ha instalado el rol de servidor web (IIS) con el servicio de rol de servicios web ,
deberá permitir que los grupos de aplicaciones de IIS tengan este derecho de usuario.
Referencias:
1. CCE-37639-2
Controles CIS:
Versión 6
Versión 7
126 | Página
Página 128
2.2.31 (L1) Asegúrese de que 'Suplantar a un cliente después de la autenticación' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' (solo DC)
(Puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 103/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La configuración de directiva permite que los programas que se ejecutan en nombre de un usuario se hagan pasar por ese usuario (o
otra cuenta especificada) para que puedan actuar en nombre del usuario. Si este derecho de usuario es
requerido para este tipo de suplantación, un usuario no autorizado no podrá convencer a un
cliente para conectarse, por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un
servicio que han creado para hacerse pasar por ese cliente, lo que podría elevar la
permisos de usuarios no autorizados a niveles administrativos o del sistema.
Los servicios que inicia el Administrador de control de servicios tienen el grupo de servicios integrado
agregado por defecto a sus tokens de acceso. Servidores COM iniciados por COM
infraestructura y configurados para ejecutarse bajo una cuenta específica también tienen el grupo de servicio
agregado a sus tokens de acceso. Como resultado, a estos procesos se les asigna este derecho de usuario cuando
se inician.
Además, un usuario puede hacerse pasar por un token de acceso si existe alguna de las siguientes condiciones:
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL, RED
SERVICIO, SERVICIO .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
127 | Página
Página 129
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
En la mayoría de los casos, esta configuración no tendrá ningún impacto. Si ha instalado el servidor web
(IIS) Rol con el Servicio de rol de servicios web , también deberá asignar el derecho de usuario a
IIS_IUSRS .
https://translate.googleusercontent.com/translate_f 104/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-37106-2
128 | Página
Página 130
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 105/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
129 | Página
Página 131
2.2.32 (L1) Asegúrese de que 'Suplantar a un cliente después de la autenticación' esté configurado en
'Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO' y
(cuando el rol del servidor web (IIS) con el servicio de rol de servicios web es
instalado) 'IIS_IUSRS' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
La configuración de directiva permite que los programas que se ejecutan en nombre de un usuario se hagan pasar por ese usuario (o
otra cuenta especificada) para que puedan actuar en nombre del usuario. Si este derecho de usuario es
requerido para este tipo de suplantación, un usuario no autorizado no podrá convencer a un
cliente para conectarse, por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un
servicio que han creado para hacerse pasar por ese cliente, lo que podría elevar la
permisos de usuarios no autorizados a niveles administrativos o del sistema.
Los servicios que inicia el Administrador de control de servicios tienen el grupo de servicios integrado
agregado por defecto a sus tokens de acceso. Servidores COM iniciados por COM
infraestructura y configurados para ejecutarse bajo una cuenta específica también tienen el grupo de servicio
agregado a sus tokens de acceso. Como resultado, a estos procesos se les asigna este derecho de usuario cuando
se inician.
Además, un usuario puede hacerse pasar por un token de acceso si existe alguna de las siguientes condiciones:
130 | Página
https://translate.googleusercontent.com/translate_f 106/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 132
El estado recomendado para esta configuración es: Administradores, SERVICIO LOCAL, RED
SERVICIO, SERVICIO y (cuando el Rol del servidor web (IIS) con el Servicio de rol de servicios web es
instalado) IIS_IUSRS .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
En la mayoría de los casos, esta configuración no tendrá ningún impacto. Si ha instalado el servidor web
(IIS) Rol con el Servicio de rol de servicios web , también deberá asignar el derecho de usuario a
IIS_IUSRS .
Referencias:
1. CCE-37106-2
131 | Página
Página 133
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 107/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
132 | Página
Página 134
2.2.33 (L1) Asegúrese de que 'Aumentar la prioridad de programación' esté configurado en 'Administradores,
Administrador de ventanas \ Grupo de administrador de ventanas '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un
proceso. (No es una operación privilegiada aumentar la prioridad relativa dentro de una prioridad
class.) Este derecho de usuario no es requerido por las herramientas administrativas que se proporcionan con el
sistema operativo, pero puede ser necesario para las herramientas de desarrollo de software.
El estado recomendado para esta configuración es: Administradores, Administrador de ventanas \ Ventana
Gerente de Grupo .
Razón fundamental:
https://translate.googleusercontent.com/translate_f 108/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Un usuario al que se le asigna este derecho de usuario podría aumentar la prioridad de programación de un proceso para
Tiempo real, lo que dejaría poco tiempo de procesamiento para todos los demás procesos y podría conducir
a una condición DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
133 | Página
Página 135
Referencias:
1. CCE-38326-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 109/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
134 | Página
Página 136
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivos' esté configurado en
'Administradores' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite a los usuarios cargar dinámicamente un nuevo controlador de dispositivo en un sistema. Un
El atacante podría utilizar esta capacidad para instalar código malicioso que parece ser un
controlador de dispositivo. Este derecho de usuario es necesario para que los usuarios agreguen impresoras locales o controladores de impresora en
Windows Vista.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Los controladores de dispositivos se ejecutan como código con privilegios elevados. Un usuario que tiene el dispositivo de carga y descarga
El derecho de usuario de los controladores podría instalar involuntariamente código malicioso que se disfraza de
controlador de dispositivo. Los administradores deben tener más cuidado e instalar solo controladores con
firmas digitales verificadas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
135 | Página
https://translate.googleusercontent.com/translate_f 110/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 137
Impacto:
Referencias:
1. CCE-36318-4
Controles CIS:
Versión 6
Versión 7
136 | Página
Página 138
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado en 'Nadie' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 111/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: servidor miembro
Descripción:
Esta configuración de directiva permite que un proceso mantenga datos en la memoria física, lo que evita
sistema desde la paginación de los datos a la memoria virtual en el disco. Si se asigna este derecho de usuario,
Puede ocurrir una degradación significativa del rendimiento del sistema.
Nota: Un servidor miembro con Microsoft SQL Server instalado requerirá una excepción especial
a esta recomendación para que se conceda este derecho de usuario a entradas adicionales generadas por SQL.
Razón fundamental:
Los usuarios con el derecho de usuario Bloquear páginas en memoria pueden asignar memoria física a varios
procesos, que podrían dejar poca o ninguna RAM para otros procesos y resultar en una DoS
condición.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Ninguno.
137 | Página
Página 139
Referencias:
1. CCE-36495-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 112/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
138 | Página
Página 140
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores' (DC
Solo) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite que las cuentas inicien sesión mediante el servicio del programador de tareas. Porque el
El programador de tareas se usa a menudo con fines administrativos, puede ser necesario en empresas
Ambientes. Sin embargo, su uso debe restringirse en entornos de alta seguridad para
evitar el uso indebido de los recursos del sistema o para evitar que los atacantes utilicen el derecho a iniciar
código malicioso después de obtener acceso de nivel de usuario a una computadora.
Razón fundamental:
El derecho de usuario Iniciar sesión como trabajo por lotes presenta una vulnerabilidad de bajo riesgo. Para la mayoría
organizaciones, la configuración predeterminada es suficiente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
https://translate.googleusercontent.com/translate_f 113/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Usuario
Asignación de derechos \ Iniciar sesión como trabajo por lotes
139 | Página
Página 141
Impacto:
Si configura la opción Iniciar sesión como trabajo por lotes a través de Políticas de grupo basadas en el dominio,
la computadora no podrá asignar el derecho de usuario a las cuentas que se utilizan para
trabajos programados en el Programador de tareas. Si instala componentes opcionales como ASP.NET
o IIS, es posible que deba asignar este derecho de usuario a cuentas adicionales que requiera
esos componentes. Por ejemplo, IIS requiere la asignación de este derecho de usuario al IIS_WPG
grupo y las cuentas IUSR_ (ComputerName) , ASPNET e IWAM_ (ComputerName) . Si esto
el derecho de usuario no está asignado a este grupo y estas cuentas, IIS no podrá ejecutar algunas
Objetos COM que son necesarios para una funcionalidad adecuada.
Referencias:
1. CCE-38080-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 114/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
140 | Página
Página 142
2.2.37 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en
'Administradores' y (cuando Exchange se ejecuta en el entorno)
'Exchange Servers' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden cambiar las opciones de auditoría para archivos y
directorios y borre el registro de seguridad.
Para entornos que ejecutan Microsoft Exchange Server, el grupo de servidores Exchange debe
poseer este privilegio en los controladores de dominio para funcionar correctamente. Dado esto, los países en desarrollo que
conceda al grupo de servidores de Exchange este privilegio también conforme a este punto de referencia. Si el
entorno no utiliza Microsoft Exchange Server, entonces este privilegio debe ser limitado
solo para administradores en DC.
El estado recomendado para esta configuración es: administradores y (cuando Exchange se está ejecutando
en el medio ambiente) Exchange Servers .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
141 | Página
Página 143
Impacto:
https://translate.googleusercontent.com/translate_f 115/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Administradores.
Referencias:
1. CCE-35906-7
Controles CIS:
Versión 6
Versión 7
142 | Página
Página 144
2.2.38 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en
'Administradores' (solo MS) (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden cambiar las opciones de auditoría para archivos y
directorios y borre el registro de seguridad.
Para entornos que ejecutan Microsoft Exchange Server, el grupo de servidores Exchange debe
poseer este privilegio en los controladores de dominio para funcionar correctamente. Dado esto, los países en desarrollo que
conceda al grupo de servidores de Exchange este privilegio también conforme a este punto de referencia. Si el
https://translate.googleusercontent.com/translate_f 116/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
entorno no utiliza Microsoft Exchange Server, entonces este privilegio debe ser limitado
solo para administradores en DC.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
143 | Página
Página 145
Administradores.
Referencias:
1. CCE-35906-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 117/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
6.5 Gestión central de registros
Asegúrese de que los registros adecuados se agreguen a un sistema de administración de registros central
para análisis y revisión.
144 | Página
Página 146
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie' (puntuado)
Aplicabilidad del perfil:
Descripción:
Este privilegio determina qué cuentas de usuario pueden modificar la etiqueta de integridad de los objetos,
como archivos, claves de registro o procesos propiedad de otros usuarios. Procesos que se ejecutan bajo un
La cuenta de usuario puede modificar la etiqueta de un objeto propiedad de ese usuario a un nivel inferior sin
este privilegio.
Razón fundamental:
Al modificar la etiqueta de integridad de un objeto propiedad de otro usuario, un usuario malintencionado puede
hacer que ejecuten código con un nivel de privilegio superior al previsto.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Ninguno.
https://translate.googleusercontent.com/translate_f 118/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
145 | Página
Página 147
Referencias:
1. CCE-36054-5
Controles CIS:
Versión 6
Versión 7
146 | Página
Página 148
https://translate.googleusercontent.com/translate_f 119/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.2.40 (L1) Asegúrese de que 'Modificar valores de entorno de firmware' esté configurado en
'Administradores' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite a los usuarios configurar las variables de entorno de todo el sistema que
afectar la configuración del hardware. Esta información normalmente se almacena en el último producto bueno conocido
Configuración. Modificación de estos valores y podría provocar una falla de hardware que
resultar en una condición de denegación de servicio.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Cualquiera que tenga asignado el derecho de usuario Modificar valores de entorno de firmware podría
configurar los ajustes de un componente de hardware para que falle, lo que podría generar datos
corrupción o una condición DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
147 | Página
Página 149
Administradores.
Referencias:
1. CCE-38113-7
Controles CIS:
Versión 6
Versión 7
148 | Página
Página 150
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en
'Administradores' (puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite a los usuarios administrar el volumen del sistema o la configuración del disco,
que podría permitir a un usuario eliminar un volumen y causar la pérdida de datos, así como la denegación de
condición de servicio.
Razón fundamental:
Un usuario que tenga asignado el derecho de usuario Realizar tareas de mantenimiento de volumen podría eliminar un
volumen, lo que podría provocar la pérdida de datos o una condición de DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
https://translate.googleusercontent.com/translate_f 121/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Impacto:
Administradores.
149 | Página
Página 151
Referencias:
1. CCE-36143-6
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 122/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
150 | Página
Página 152
2.2.42 (L1) Asegúrese de que 'Proceso único de perfil' esté configurado como 'Administradores'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden utilizar herramientas para supervisar el rendimiento de
Procesos ajenos al sistema. Normalmente, no es necesario configurar este derecho de usuario para utilizar el
Complemento de rendimiento de Microsoft Management Console (MMC). Sin embargo, necesitas esto
derecho de usuario si System Monitor está configurado para recopilar datos mediante la administración de Windows
Instrumentación (WMI). Restringir el derecho de usuario de proceso único de perfil evita
intrusos de obtener información adicional que podría utilizarse para montar un ataque en el
sistema.
Razón fundamental:
El derecho de usuario de perfil único de proceso presenta una vulnerabilidad moderada. Un atacante con
este derecho de usuario podría monitorear el desempeño de una computadora para ayudar a identificar procesos críticos
que tal vez deseen atacar directamente. El atacante también puede determinar qué
Los procesos se ejecutan en la computadora para que puedan identificar las contramedidas que pueden
necesita evitar, como software antivirus, un sistema de detección de intrusiones, o que otros
los usuarios inician sesión en una computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
151 | Página
Página 153
https://translate.googleusercontent.com/translate_f 123/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Administradores.
Referencias:
1. CCE-37131-0
Controles CIS:
Versión 6
Versión 7
152 | Página
Página 154
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en 'Administradores,
NT SERVICE \ WdiServiceHost '(puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 124/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración de directiva permite a los usuarios utilizar herramientas para ver el rendimiento de diferentes sistemas
procesos, que podrían ser abusados para permitir a los atacantes determinar el activo de un sistema
procesos y proporcionar información sobre la superficie de ataque potencial de la computadora.
Razón fundamental:
El derecho de usuario de rendimiento del sistema de perfiles presenta una vulnerabilidad moderada. Atacantes
con este derecho de usuario podría monitorear el rendimiento de una computadora para ayudar a identificar
procesos que deseen atacar directamente. Los atacantes también pueden determinar
qué procesos están activos en la computadora para que puedan identificar contramedidas
que pueden necesitar evitar, como software antivirus o un sistema de detección de intrusos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
153 | Página
Página 155
Referencias:
1. CCE-36052-9
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 125/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
154 | Página
Página 156
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'LOCAL
SERVICIO, SERVICIO DE RED '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite que un proceso o servicio inicie otro servicio o proceso con una
token de acceso de seguridad diferente, que se puede utilizar para modificar el token de acceso de seguridad de
ese subproceso y resulta en la escalada de privilegios.
El estado recomendado para esta configuración es: SERVICIO LOCAL, SERVICIO DE RED .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Nota n. ° 2: un servidor miembro que tiene el rol de servidor web (IIS) con el rol de servidor web
El servicio requerirá una excepción especial a esta recomendación, para permitir la aplicación IIS
grupo (s) para que se le conceda este derecho de usuario.
Razón fundamental:
Los usuarios con el privilegio Reemplazar un token de nivel de proceso pueden iniciar procesos como otros
usuarios cuyas credenciales conocen. Podrían usar este método para ocultar sus
acciones en la computadora. (En equipos basados en Windows 2000, el uso de Reemplazar un
El derecho de usuario del token de nivel de proceso también requiere que el usuario tenga la opción Ajustar cuotas de memoria
para un derecho de usuario de proceso que se discutió anteriormente en esta sección).
Auditoría:
https://translate.googleusercontent.com/translate_f 126/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
155 | Página
Página 157
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en LOCAL
SERVICIO, SERVICIO DE RED :
Impacto:
En la mayoría de las computadoras, esta es la configuración predeterminada y no habrá ningún impacto negativo.
Sin embargo, si ha instalado el rol de servidor web (IIS) con el servicio de rol de servicios web ,
deberá permitir que los grupos de aplicaciones de IIS reciban esta asignación de derechos de usuario.
Referencias:
1. CCE-37430-6
Controles CIS:
Versión 6
Versión 7
156 | Página
https://translate.googleusercontent.com/translate_f 127/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 158
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado como 'Administradores'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué usuarios pueden omitir archivos, directorios, registros y otros
Permisos de objetos persistentes al restaurar archivos y directorios respaldados en computadoras
que ejecutan Windows Vista (o más reciente) en su entorno. Este derecho de usuario también determina
qué usuarios pueden establecer entidades de seguridad válidas como propietarios de objetos; es similar a la copia de seguridad
derechos de usuario de archivos y directorios .
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Un atacante con el derecho de usuario Restaurar archivos y directorios podría restaurar datos confidenciales
a una computadora y sobrescribir los datos más recientes, lo que podría provocar la pérdida de importantes
datos, corrupción de datos o denegación de servicio. Los atacantes podrían sobrescribir archivos ejecutables que
son utilizados por administradores legítimos o servicios del sistema con versiones que incluyen
software malintencionado para otorgarse privilegios elevados, comprometer datos o instalar
puertas traseras para un acceso continuo a la computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
157 | Página
Página 159
Remediación:
https://translate.googleusercontent.com/translate_f 128/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Si elimina el derecho de usuario Restaurar archivos y directorios de Operadores de copia de seguridad
cuentas de grupo y otras que podría hacer imposible para los usuarios que han sido delegados
tareas específicas para realizar esas tareas. Debe verificar que este cambio no sea negativo
afectar la capacidad del personal de su organización para realizar su trabajo.
Referencias:
1. CCE-37613-7
Controles CIS:
Versión 6
Versión 7
158 | Página
Página 160
Descripción:
Esta configuración de directiva determina qué usuarios iniciaron sesión localmente en los equipos en
su entorno puede apagar el sistema operativo con el comando Apagar.
El mal uso de este derecho de usuario puede resultar en una condición de denegación de servicio.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 129/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
un número muy reducido de administradores de confianza. Aunque el usuario Shut down the system
derecho requiere la capacidad de iniciar sesión en el servidor, debe tener mucho cuidado con
cuentas y grupos que permite cerrar un controlador de dominio o un servidor miembro.
Cuando se apaga un controlador de dominio, ya no está disponible para procesar inicios de sesión, servir
Directiva de grupo y responda consultas del Protocolo ligero de acceso a directorios (LDAP). Si tu
apagar los controladores de dominio que poseen operaciones de maestro único flexible (FSMO)
roles, puede deshabilitar la funcionalidad de dominio clave, como procesar inicios de sesión para nuevos
contraseñas: una de las funciones del rol de emulador de controlador de dominio primario (PDC).
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
159 | Página
Página 161
Impacto:
El impacto de eliminar estos grupos predeterminados del derecho de usuario Cerrar el sistema
podría limitar las capacidades delegadas de los roles asignados en su entorno. Debieras
confirmar que las actividades delegadas no se verán afectadas negativamente.
Referencias:
1. CCE-38328-1
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 130/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
160 | Página
Página 162
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'Nadie'
(Solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de seguridad determina qué usuarios y grupos tienen la autoridad para sincronizar
todos los datos del servicio de directorio. Esto también se conoce como sincronización de Active Directory.
Razón fundamental:
El derecho de usuario Sincronizar datos del servicio de directorio afecta a los controladores de dominio; solamente
Los controladores de dominio deberían poder sincronizar los datos del servicio de directorio. Dominio
Los controladores tienen este derecho de usuario de forma inherente, porque el proceso de sincronización se ejecuta en el
contexto de la cuenta del sistema en los controladores de dominio. Atacantes que tienen este derecho de usuario
puede ver toda la información almacenada en el directorio. Entonces podrían usar algo de eso
información para facilitar ataques adicionales o exponer datos confidenciales, como
números de teléfono o direcciones físicas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Nadie :
Impacto:
Ninguno.
161 | Página
https://translate.googleusercontent.com/translate_f 131/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 163
Referencias:
1. CCE-36099-0
Controles CIS:
Versión 6
Versión 7
162 | Página
Página 164
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado en
'Administradores' (puntuados)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 132/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política permite a los usuarios tomar posesión de archivos, carpetas, claves de registro, procesos,
o hilos. Este derecho de usuario omite los permisos que existen para proteger objetos a
otorgar propiedad al usuario especificado.
Nota: Este derecho de usuario se considera un "privilegio confidencial" para fines de auditoría.
Razón fundamental:
Cualquier usuario con el derecho de usuario Tomar posesión de archivos u otros objetos puede tomar el control
cualquier objeto, independientemente de los permisos sobre ese objeto, y luego realizar los cambios que
deseo a ese objeto. Tales cambios podrían resultar en la exposición de datos, corrupción de datos o
Condición DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Impacto:
163 | Página
Página 165
Administradores.
Referencias:
1. CCE-38325-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 133/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
4.6 Uso de máquinas dedicadas para todas las tareas administrativas
Asegúrese de que los administradores utilicen una máquina dedicada para todas las tareas o tareas administrativas
requiriendo acceso administrativo. Esta máquina estará segmentada de la organización
red principal y no se le permitirá el acceso a Internet. Esta máquina no se utilizará para
leer correo electrónico, redactar documentos o navegar por Internet.
164 | Página
Página 166
2.3.1 Cuentas
Esta sección contiene recomendaciones relacionadas con las cuentas predeterminadas.
2.3.1.1 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de administrador' esté configurado en
'Discapacitado' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva habilita o deshabilita la cuenta de administrador durante el funcionamiento normal.
Cuando una computadora se inicia en modo seguro, la cuenta de administrador siempre está habilitada,
independientemente de cómo esté configurado este ajuste. Tenga en cuenta que esta configuración no tendrá ningún impacto cuando
aplicado a la unidad organizativa de controladores de dominio a través de la política de grupo porque el dominio
Los controladores no tienen una base de datos de cuentas local. Se puede configurar a nivel de dominio a través de
política de grupo, similar a la configuración de política de contraseña y bloqueo de cuenta.
Razón fundamental:
deshabilite la cuenta de administrador incorporada en lugar de depender de los cambios regulares de contraseña
para protegerlo del ataque. Otra razón para deshabilitar esta cuenta integrada es que no se puede
bloqueado sin importar cuántos inicios de sesión fallidos acumule, lo que lo convierte en un objetivo principal para
ataques de fuerza bruta que intentan adivinar contraseñas. Además, esta cuenta tiene un conocido
identificador de seguridad (SID) y hay herramientas de terceros que permiten la autenticación mediante
el SID en lugar del nombre de la cuenta. Esta capacidad significa que incluso si cambia el nombre del
Cuenta de administrador, un atacante podría lanzar un ataque de fuerza bruta utilizando el SID para registrar
en.
165 | Página
Página 167
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado.
Referencias:
1. CCE-37953-7
https://translate.googleusercontent.com/translate_f 135/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
166 | Página
Página 168
Controles CIS:
Versión 6
Versión 7
167 | Página
Página 169
2.3.1.2 (L1) Asegúrese de que 'Cuentas: bloquear cuentas de Microsoft' esté configurado en 'Usuarios
https://translate.googleusercontent.com/translate_f 136/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva evita que los usuarios agreguen nuevas cuentas de Microsoft en esta computadora.
El estado recomendado para esta configuración es: Los usuarios no pueden agregar ni iniciar sesión con Microsoft
cuentas .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Usuarios
no se puede agregar o iniciar sesión con cuentas de Microsoft :
Impacto:
168 | Página
Página 170
Referencias:
1. CCE-36147-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 137/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
169 | Página
Página 171
2.3.1.3 (L1) Asegúrese de que 'Cuentas: estado de la cuenta de invitado' esté configurado en 'Deshabilitado'
(Solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si la cuenta de invitado está habilitada o deshabilitada. El invitado
cuenta permite que los usuarios de la red no autenticados obtengan acceso al sistema.
Nota: esta configuración no tendrá ningún impacto cuando se aplique a los controladores de dominio
unidad organizativa a través de la política de grupo porque los controladores de dominio no tienen una cuenta local
base de datos. Se puede configurar a nivel de dominio a través de la política de grupo, similar a la cuenta
configuración de política de bloqueo y contraseña.
Razón fundamental:
La cuenta de invitado predeterminada permite que los usuarios de la red no autenticados inicien sesión como invitado sin
contraseña. Estos usuarios no autorizados podrían acceder a cualquier recurso que sea accesible para el
Cuenta de invitado a través de la red. Esta capacidad significa que cualquier red comparte con
permisos que permiten el acceso a la cuenta de invitado, el grupo de invitados o todos
será accesible a través de la red, lo que podría conducir a la exposición o corrupción
de datos.
https://translate.googleusercontent.com/translate_f 138/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
170 | Página
Página 172
Impacto:
Todos los usuarios de la red deberán autenticarse antes de poder acceder a los recursos compartidos. Si tu
deshabilite la cuenta de invitado y la opción Acceso a la red: modelo de seguridad y uso compartido está configurada
Solo para invitados, inicios de sesión en red, como los que realiza Microsoft Network Server
(Servicio SMB), fallará. Esta configuración de política debería tener poco impacto en la mayoría de las organizaciones
porque es la configuración predeterminada en Microsoft Windows 2000, Windows XP y Windows
Server ™ 2003.
Discapacitado.
Referencias:
1. CCE-37432-2
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 139/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
171 | Página
Página 173
Descripción:
Esta configuración de directiva determina si las cuentas locales que no están protegidas por contraseña pueden
se puede utilizar para iniciar sesión desde ubicaciones distintas a la consola física del equipo. Si habilita
esta configuración de política, las cuentas locales que tienen contraseñas en blanco no podrán iniciar sesión en el
red desde equipos cliente remotos. Estas cuentas solo podrán iniciar sesión en el
teclado de la computadora.
Razón fundamental:
Las contraseñas en blanco son una seria amenaza para la seguridad informática y deben prohibirse
mediante la política organizativa y las medidas técnicas adecuadas. De hecho, el valor predeterminado
La configuración de los dominios de Active Directory requiere contraseñas complejas de al menos siete
caracteres. Sin embargo, si los usuarios con la capacidad de crear nuevas cuentas omiten su dominio,
políticas de contraseñas basadas, podrían crear cuentas con contraseñas en blanco. Por ejemplo, un
el usuario puede construir una computadora independiente, crear una o más cuentas con
contraseñas y luego unir la computadora al dominio. Las cuentas locales en blanco
las contraseñas seguirían funcionando. Cualquiera que sepa el nombre de alguno de estos desprotegidos
las cuentas podrían usarlo para iniciar sesión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
172 | Página
Página 174
https://translate.googleusercontent.com/translate_f 140/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Habilitado.
Referencias:
1. CCE-37615-2
Controles CIS:
Versión 6
Versión 7
173 | Página
Página 175
Descripción:
La cuenta de administrador local incorporada es un nombre de cuenta bien conocido que los atacantes
https://translate.googleusercontent.com/translate_f 141/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
objetivo. Se recomienda elegir otro nombre para esta cuenta y evitar nombres que
denotar cuentas administrativas o de acceso elevado. Asegúrese de cambiar también el valor predeterminado
descripción para el administrador local (a través de la consola de administración de equipos). En
Controladores de dominio, dado que no tienen sus propias cuentas locales, esta regla se refiere a
cuenta de administrador integrada que se estableció cuando se creó el dominio por primera vez.
Razón fundamental:
La cuenta de administrador existe en todas las computadoras que ejecutan Windows 2000 o más reciente
sistemas operativos. Si cambia el nombre de esta cuenta, es un poco más difícil para personas no autorizadas
personas para adivinar esta combinación de nombre de usuario privilegiado y contraseña.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
174 | Página
Página 176
Impacto:
Deberá informar a los usuarios autorizados a utilizar esta cuenta de la nueva cuenta.
nombre. (La guía para esta configuración asume que la cuenta de administrador no fue
deshabilitado, que se recomendó anteriormente en este capítulo).
Administrador.
Referencias:
1. CCE-38233-3
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 142/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
175 | Página
Página 177
Descripción:
La cuenta de invitado local integrada es otro nombre conocido por los atacantes. Es
Se recomienda cambiar el nombre de esta cuenta a algo que no indique su propósito. Incluso
Si deshabilita esta cuenta, lo cual se recomienda, asegúrese de cambiarle el nombre para agregar
seguridad. En los controladores de dominio, dado que no tienen sus propias cuentas locales, esta regla
hace referencia a la cuenta de invitado integrada que se estableció cuando se creó el dominio por primera vez.
Razón fundamental:
La cuenta de invitado existe en todas las computadoras que ejecutan Windows 2000 o versiones posteriores.
sistemas. Si cambia el nombre de esta cuenta, es un poco más difícil para las personas no autorizadas
adivine esta combinación de nombre de usuario privilegiado y contraseña.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
Impacto:
Debería haber poco impacto, porque la cuenta de invitado está deshabilitada de forma predeterminada.
https://translate.googleusercontent.com/translate_f 143/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Invitado.
176 | Página
Página 178
Referencias:
1. CCE-38027-9
Controles CIS:
Versión 6
Versión 7
177 | Página
Página 179
https://translate.googleusercontent.com/translate_f 144/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.2 Auditoría
Esta sección contiene recomendaciones relacionadas con la auditoría de controles.
Descripción:
Esta configuración de directiva permite a los administradores habilitar las capacidades de auditoría más precisas
presente en Windows Vista.
La configuración de la política de auditoría disponible en Windows Server 2003 Active Directory aún no
contienen configuraciones para administrar las nuevas subcategorías de auditoría. Para aplicar correctamente el
las políticas de auditoría prescritas en esta línea de base, la subcategoría de política de auditoría Auditoría: Fuerza
configuración (Windows Vista o posterior) para anular la configuración de la categoría de política de auditoría
configurarse en Habilitado.
Importante: tenga mucho cuidado con la configuración de auditoría que puede generar un gran volumen de
tráfico. Por ejemplo, si habilita la auditoría de éxito o fracaso para todos los privilegios
Utilice subcategorías, el gran volumen de eventos de auditoría generados puede dificultar su búsqueda
otros tipos de entradas en el registro de seguridad. Dicha configuración también podría tener una
impacto en el rendimiento del sistema.
Razón fundamental:
178 | Página
Página 180
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 145/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local
Políticas \ Opciones de seguridad \ Auditoría: Forzar configuración de subcategoría de políticas de auditoría
(Windows Vista o posterior) para anular la configuración de la categoría de política de auditoría
Impacto:
Habilitado. (Se utilizarán los parámetros de configuración de la política de auditoría avanzada para
configuración, y se ignorarán los ajustes de configuración de la política de auditoría heredada).
Referencias:
1. CCE-37850-5
179 | Página
Página 181
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
generado.
180 | Página
Página 182
Descripción:
https://translate.googleusercontent.com/translate_f 147/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
181 | Página
Página 183
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado.
Referencias:
1. CCE-35907-5
182 | Página
https://translate.googleusercontent.com/translate_f 148/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 184
Controles CIS:
Versión 6
Versión 7
2.3.3 DCOM
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
183 | Página
Página 185
2.3.4 Dispositivos
Esta sección contiene recomendaciones relacionadas con la gestión de dispositivos.
https://translate.googleusercontent.com/translate_f 149/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva determina quién puede formatear y expulsar medios NTFS extraíbles.
Puede utilizar esta configuración de política para evitar que usuarios no autorizados eliminen datos en una
computadora para acceder a ella en otra computadora en la que tienen administrador local
privilegios.
Razón fundamental:
Los usuarios pueden mover datos en discos extraíbles a una computadora diferente donde
tener privilegios administrativos. El usuario podría entonces tomar posesión de cualquier archivo, otorgar
ellos mismos el control total, y ver o modificar cualquier archivo. El hecho de que la mayoría de los dispositivos de almacenamiento extraíbles
Los dispositivos expulsarán los medios presionando un botón mecánico, lo que disminuye la ventaja de este
establecimiento de políticas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
184 | Página
Página 186
Remediación:
Impacto:
Administradores. (Solo los administradores podrán formatear y expulsar archivos NTFS extraíbles
medios de comunicación.)
Referencias:
1. CCE-37701-0
https://translate.googleusercontent.com/translate_f 150/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
185 | Página
Página 187
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 151/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
186 | Página
Página 188
2.3.4.2 (L1) Asegúrese de 'Dispositivos: evitar que los usuarios instalen controladores de impresora'
está configurado en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Para que una computadora imprima en una impresora compartida, el controlador de esa impresora compartida debe ser
instalado en la computadora local. Esta configuración de seguridad determina quién puede instalar un
controlador de impresora como parte de la conexión a una impresora compartida.
Nota: esta configuración no afecta la capacidad de agregar una impresora local. Esta configuración no
afectar a los administradores.
Razón fundamental:
En algunas organizaciones puede ser apropiado permitir que los usuarios instalen controladores de impresora en
sus propias estaciones de trabajo. Sin embargo, debe permitir que solo los administradores, no los usuarios, lo hagan
en servidores, ya que la instalación del controlador de impresora en un servidor puede provocar involuntariamente la
computadora para volverse menos estable. Un usuario malintencionado podría instalar una impresora inapropiada
controladores en un intento deliberado de dañar la computadora, o un usuario podría instalar accidentalmente
software malintencionado que se hace pasar por un controlador de impresora. Es factible que un atacante
disfrazar un programa caballo de Troya como un controlador de impresora. El programa puede parecer a los usuarios como si
deben usarlo para imprimir, pero dicho programa podría desencadenar un código malicioso en su
Red de computadoras.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 152/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
187 | Página
Página 189
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Habilitado. (Solo los administradores podrán instalar un controlador de impresora como parte de la conexión
a una impresora compartida. La capacidad de agregar una impresora local no se verá afectada).
Referencias:
1. CCE-37942-0
Controles CIS:
Versión 6
Versión 7
188 | Página
Página 190
https://translate.googleusercontent.com/translate_f 153/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor
programar tareas 'está configurado como' Desactivado '(solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los miembros del grupo Operadores de servidor son
Se permite enviar trabajos mediante la función de programación AT. El impacto de esta política
La configuración de la configuración debe ser pequeña para la mayoría de las organizaciones. Los usuarios, incluidos los del
El grupo de operadores del servidor, aún podrá crear trabajos mediante el Programador de tareas.
Asistente, pero esos trabajos se ejecutarán en el contexto de la cuenta con la que el usuario
se autentica cuando configuran el trabajo.
Nota: Una cuenta de servicio AT se puede modificar para seleccionar una cuenta diferente en lugar de la
Cuenta LOCAL SYSTEM. Para cambiar la cuenta, abra Herramientas del sistema, haga clic en Tareas programadas,
y luego haga clic en la carpeta Accesorios. Luego haga clic en Cuenta de servicio AT en el menú Avanzado.
Razón fundamental:
Si habilita esta configuración de directiva, los trabajos que crean los operadores del servidor mediante el
El servicio AT se ejecutará en el contexto de la cuenta que ejecuta ese servicio. Por defecto, eso
es la cuenta del SISTEMA local. Si habilita esta configuración de política, los operadores del servidor podrían
realizar tareas que SYSTEM es capaz de hacer pero que normalmente no serían capaces de hacer,
como agregar su cuenta al grupo de administradores locales.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
189 | Página
Página 191
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Ninguno: este es el comportamiento predeterminado. Tenga en cuenta que los usuarios (incluidos los de los operadores de servidor
group) aún pueden crear trabajos mediante el Asistente del programador de tareas. Sin embargo, esos
Los trabajos se ejecutarán en el contexto de la cuenta con la que el usuario se autentica al configurar
el trabajo.
Discapacitado. (Los operadores del servidor no pueden enviar trabajos mediante el horario AT
https://translate.googleusercontent.com/translate_f 154/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
instalaciones.)
Referencias:
1. CCE-37848-9
Controles CIS:
Versión 6
Versión 7
190 | Página
Página 192
Descripción:
Nota: los equipos miembros del dominio deben tener seguridad de red: requisitos de firma LDAP
(Regla 2.3.11.8) establecido en Negociar firma o superior. Si no, no se autenticarán
una vez que el valor de Requerir firma anterior esté configurado en los controladores de dominio.
Afortunadamente, Negociar la firma es el valor predeterminado en la configuración del cliente.
Nota n. ° 2: esta configuración de política no tiene ningún impacto en el enlace simple LDAP
( ldap_simple_bind ) o enlace simple LDAP a través de SSL ( ldap_simple_bind_s ). No
Los clientes LDAP de Microsoft que se envían con Windows XP Professional utilizan LDAP simple
enlace o enlace simple LDAP a través de SSL para comunicarse con un controlador de dominio.
Nota n. ° 3: antes de habilitar esta configuración, primero debe asegurarse de que no haya clientes
(incluidas las aplicaciones basadas en servidor) que están configuradas para autenticarse con Active
Directorio a través de LDAP sin firmar, porque cambiar esta configuración romperá esas aplicaciones.
Estas aplicaciones deben reconfigurarse primero para utilizar LDAP firmado, LDAP seguro (LDAPS),
o conexiones protegidas por IPsec. Para obtener más información sobre cómo identificar si sus países en desarrollo
https://translate.googleusercontent.com/translate_f 155/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
se accede a través de LDAP sin firmar (y de dónde provienen esos accesos), consulte
este artículo del blog de Microsoft TechNet: La identificación de texto sin cifrar LDAP se une a sus CD -
Seguridad práctica de Windows
191 | Página
Página 193
Razón fundamental:
Además, permitir el uso de LDAP regular y sin firmar permite recibir credenciales
a través de la red en texto claro, lo que fácilmente podría resultar en la interceptación de la cuenta
contraseñas de otros sistemas de la red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Requerir
firma :
https://translate.googleusercontent.com/translate_f 156/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
192 | Página
Página 194
Impacto:
A menos que se utilice TLS / SSL, se debe negociar la opción de firma de datos LDAP. Clientes que
no admite la firma LDAP no podrá ejecutar consultas LDAP en el dominio
Controladores. Todos los equipos de su organización basados en Windows 2000 que están administrados
desde equipos basados en Windows Server 2003 o Windows XP y que utilizan Windows
La autenticación NT Challenge / Response (NTLM) debe tener Windows 2000 Service Pack 3
(SP3) instalado. Como alternativa, estos clientes deben tener un cambio de registro. Para información
sobre este cambio de registro, consulte el artículo 325465 de Microsoft Knowledge Base: Windows 2000
los controladores de dominio requieren SP3 o posterior cuando se utiliza la administración de Windows Server 2003
herramientas. Además, algunos sistemas operativos que no son de Microsoft no admiten la firma LDAP. Si tu
habilitar esta configuración de política, es posible que los equipos cliente que utilizan esos sistemas operativos no
para acceder a los recursos del dominio.
Ninguna. (No se requiere la firma de datos para vincularse con el servidor. Si el cliente solicita
firma de datos, el servidor lo admite).
Referencias:
1. CCE-35904-2
Controles CIS:
Versión 6
Versión 7
193 | Página
Página 195
Descripción:
Esta configuración de seguridad determina si los controladores de dominio rechazarán las solicitudes de
computadoras miembros para cambiar las contraseñas de las cuentas de computadoras.
Nota: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
particularmente si una máquina se revierte a un estado anterior de un punto en el tiempo, como es común con
maquinas virtuales. Dependiendo de qué tan atrás esté la reversión, la cuenta de la máquina anterior
Es posible que los controladores de dominio ya no reconozcan la contraseña almacenada en la máquina,
y por lo tanto la computadora pierde la confianza de su dominio. Esto también puede interrumpir la VDI no persistente
implementaciones y dispositivos con filtros de escritura que no permiten cambios permanentes en el sistema operativo
volumen. Algunas organizaciones pueden optar por eximirse de esta recomendación
y deshabilite la caducidad de la contraseña de la cuenta de la máquina para estas situaciones.
Razón fundamental:
Si habilita esta configuración de directiva en todos los controladores de dominio de un dominio, los miembros del dominio
no podrá cambiar las contraseñas de su cuenta de computadora, y esas contraseñas serán
más susceptible al ataque.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
194 | Página
Página 196
Impacto:
Discapacitado. (De forma predeterminada, las computadoras miembro cambian sus contraseñas de cuenta de computadora como
especificado por el miembro del dominio: configuración de antigüedad máxima de la contraseña de la cuenta de la máquina (regla
2.3.6.5), que es de forma predeterminada cada 30 días).
Referencias:
1. CCE-36921-5
Controles CIS:
https://translate.googleusercontent.com/translate_f 158/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 6
Versión 7
195 | Página
Página 197
2.3.6.1 (L1) Asegúrese de que 'Miembro del dominio: cifre o firme digitalmente
datos del canal (siempre) 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si todo el tráfico de canal seguro iniciado por el
El miembro del dominio debe estar firmado o encriptado.
Razón fundamental:
Cuando una computadora se une a un dominio, se crea una cuenta de computadora. Una vez que se une al dominio,
la computadora usa la contraseña de esa cuenta para crear un canal seguro con el
Controlador de dominio para su dominio cada vez que se reinicia. Solicitudes que se envían en el
los canales seguros están autenticados y la información confidencial, como las contraseñas,
https://translate.googleusercontent.com/translate_f 159/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
cifrado, pero no se comprueba la integridad del canal y no toda la información está cifrada.
El cifrado digital y la firma del canal seguro es una buena idea cuando se admite.
El canal seguro protege las credenciales de dominio cuando se envían al controlador de dominio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
196 | Página
Página 198
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 con Service Pack 6a
(SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con
cifrado y firma del canal seguro. Los clientes de Windows 98 Second Edition no
menos que tengan Dsclient instalado. Por lo tanto, no puede habilitar el dominio
admitirlo a
miembro: encriptar o firmar digitalmente la configuración de datos de canal seguro (siempre) en el dominio
Controladores que admiten clientes de Windows 98 como miembros del dominio. Impactos potenciales
puede incluir lo siguiente:
• La capacidad de crear o eliminar relaciones de confianza con clientes que ejecutan versiones de
Windows anterior a Windows NT 4.0 con SP6a estará deshabilitado.
• Inicios de sesión de clientes que ejecutan versiones de Windows anteriores a Windows NT 4.0 con
SP6a se desactivará.
• La capacidad de autenticar a los usuarios de otros dominios desde un controlador de dominio que ejecuta un
versión de Windows anterior a Windows NT 4.0 con SP6a en un dominio de confianza
estar discapacitado.
Puede habilitar esta configuración de directiva después de eliminar todos los clientes de Windows 9x del
dominio y actualice todos los servidores y controladores de dominio de Windows NT 4.0 desde
dominios confiables / confiables a Windows NT 4.0 con SP6a.
Habilitado. (Todos los datos del canal seguro deben estar firmados o encriptados).
Referencias:
1. CCE-36142-8
https://translate.googleusercontent.com/translate_f 160/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
197 | Página
Página 199
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
198 | Página
Página 200
https://translate.googleusercontent.com/translate_f 161/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente el canal seguro
datos (cuando sea posible) 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si un miembro del dominio debe intentar negociar
cifrado para todo el tráfico de canal seguro que inicia.
Razón fundamental:
Cuando una computadora se une a un dominio, se crea una cuenta de computadora. Una vez que se une al dominio,
la computadora usa la contraseña de esa cuenta para crear un canal seguro con el
Controlador de dominio para su dominio cada vez que se reinicia. Solicitudes que se envían en el
los canales seguros están autenticados y la información confidencial, como las contraseñas,
cifrado, pero no se comprueba la integridad del canal y no toda la información está cifrada.
El cifrado digital y la firma del canal seguro es una buena idea cuando se admite.
El canal seguro protege las credenciales de dominio cuando se envían al controlador de dominio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
199 | Página
Página 201
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 Service Pack 6a (SP6a)
y las versiones posteriores del sistema operativo Windows admiten el cifrado digital y
firma del canal seguro. Los clientes de Windows 98 Second Edition no lo admiten a menos que
tienen Dsclient instalado.
Habilitado. (El miembro del dominio solicitará el cifrado de todo el tráfico del canal seguro).
Referencias:
https://translate.googleusercontent.com/translate_f 162/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37130-2
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
200 | Página
Página 202
2.3.6.3 (L1) Asegúrese de que 'Miembro del dominio: firme digitalmente los datos del canal seguro
(cuando sea posible) 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si un miembro del dominio debe intentar negociar
si todo el tráfico de canal seguro que inicia debe estar firmado digitalmente. Firmas digitales
proteger el tráfico de ser modificado por cualquiera que capture los datos mientras atraviesa el
red.
Razón fundamental:
Cuando una computadora se une a un dominio, se crea una cuenta de computadora. Una vez que se une al dominio,
la computadora usa la contraseña de esa cuenta para crear un canal seguro con el
Controlador de dominio para su dominio cada vez que se reinicia. Solicitudes que se envían en el
los canales seguros están autenticados y la información confidencial, como las contraseñas,
https://translate.googleusercontent.com/translate_f 163/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
cifrado, pero no se comprueba la integridad del canal y no toda la información está cifrada.
El cifrado digital y la firma del canal seguro es una buena idea cuando se admite.
El canal seguro protege las credenciales de dominio cuando se envían al controlador de dominio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
201 | Página
Página 203
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, solo Windows NT 4.0 con Service Pack 6a
(SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con
cifrado y firma del canal seguro. Los clientes de Windows 98 Second Edition no
admitirlo a menos que tengan Dsclient instalado.
Habilitado. (El miembro del dominio solicitará la firma digital de todo el tráfico del canal seguro).
Referencias:
1. CCE-37222-7
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 164/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
202 | Página
Página 204
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la cuenta de la máquina
cambios de contraseña 'se establece en' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si un miembro del dominio puede cambiar periódicamente su
contraseña de la cuenta de computadora. Computadoras que no pueden cambiar su cuenta automáticamente
las contraseñas son potencialmente vulnerables, porque un atacante podría determinar la
contraseña para la cuenta de dominio del sistema.
Nota: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
particularmente si una máquina se revierte a un estado anterior de un punto en el tiempo, como es común con
maquinas virtuales. Dependiendo de qué tan atrás esté la reversión, la cuenta de la máquina anterior
Es posible que los controladores de dominio ya no reconozcan la contraseña almacenada en la máquina,
y por lo tanto la computadora pierde la confianza de su dominio. Esto también puede interrumpir la VDI no persistente
implementaciones y dispositivos con filtros de escritura que no permiten cambios permanentes en el sistema operativo
volumen. Algunas organizaciones pueden optar por eximirse de esta recomendación
y deshabilite la caducidad de la contraseña de la cuenta de la máquina para estas situaciones.
Razón fundamental:
La configuración predeterminada para equipos basados en Windows Server 2003 que pertenecen a un
dominio es que se les solicita automáticamente que cambien las contraseñas de sus cuentas
cada 30 días. Si deshabilita esta configuración de directiva, los equipos que ejecutan Windows Server 2003
conservarán las mismas contraseñas que sus cuentas de computadora. Computadoras que ya no son
capaces de cambiar automáticamente la contraseña de su cuenta están en riesgo de un atacante que podría
determinar la contraseña para la cuenta de dominio de la computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
203 | Página
https://translate.googleusercontent.com/translate_f 165/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 205
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado. (El miembro del dominio puede cambiar la contraseña de su cuenta de computadora según lo especificado por
el miembro de dominio: Cuenta máximo de la máquina de la contraseña de configuración (Regla 2.3.6.5), que
por defecto es cada 30 días).
Referencias:
1. CCE-37508-9
Controles CIS:
Versión 6
Versión 7
204 | Página
Página 206
https://translate.googleusercontent.com/translate_f 166/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva determina la edad máxima permitida para una cuenta de computadora
contraseña. De forma predeterminada, los miembros del dominio cambian automáticamente sus contraseñas de dominio
cada 30 días.
Nota n. ° 2: algunos problemas pueden ocurrir como resultado de la expiración de la contraseña de la cuenta de la máquina,
particularmente si una máquina se revierte a un estado anterior de un punto en el tiempo, como es común con
maquinas virtuales. Dependiendo de qué tan atrás esté la reversión, la cuenta de la máquina anterior
Es posible que los controladores de dominio ya no reconozcan la contraseña almacenada en la máquina,
y por lo tanto la computadora pierde la confianza de su dominio. Esto también puede interrumpir la VDI no persistente
implementaciones y dispositivos con filtros de escritura que no permiten cambios permanentes en el sistema operativo
volumen. Algunas organizaciones pueden optar por eximirse de esta recomendación
y deshabilite la caducidad de la contraseña de la cuenta de la máquina para estas situaciones.
Razón fundamental:
En los dominios basados en Active Directory, cada computadora tiene una cuenta y una contraseña como
cada usuario. De forma predeterminada, los miembros del dominio cambian automáticamente su contraseña de dominio
cada 30 días. Si aumenta este intervalo de manera significativa o lo establece en 0 para que las computadoras
ya no cambian sus contraseñas, un atacante tendrá más tiempo para emprender una brutal
Forzar ataque a adivinar las contraseñas de cuentas de computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
205 | Página
Página 207
Remediación:
Impacto:
30 dias.
Referencias:
1. CCE-37431-4
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 167/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
206 | Página
Página 208
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: Requiere fuerte (Windows 2000 o
más tarde) la clave de sesión 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Cuando esta configuración de política está habilitada, solo se puede establecer un canal seguro con Domain
Controladores que son capaces de cifrar datos de canales seguros con un fuerte (128 bits)
clave de sesión.
Para habilitar esta configuración de directiva, todos los controladores de dominio del dominio deben poder cifrar
datos de canal seguros con una clave segura, lo que significa que todos los controladores de dominio deben
ejecutando Microsoft Windows 2000 o más reciente.
Razón fundamental:
Claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre el dominio
Los controladores y las computadoras miembro son mucho más fuertes en Windows 2000 que en
sistemas operativos anteriores de Microsoft. Siempre que sea posible, debe aprovechar
estas claves de sesión más sólidas para ayudar a proteger las comunicaciones de canal seguro de los ataques
que intentan secuestrar las sesiones de la red y las escuchas. (Escuchar a escondidas es una forma de
piratería en la que se leen o alteran los datos de la red en tránsito. Los datos se pueden modificar para
ocultar o cambiar el remitente, o ser redirigido.)
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 168/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
207 | Página
Página 209
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, las computadoras no podrán unirse a Windows
Dominios NT 4.0 y confianzas entre dominios de Active Directory y estilo Windows NT
Es posible que los dominios no funcionen correctamente. Además, los controladores de dominio con esta configuración configurada
No permitir que los clientes anteriores a Windows 2000 (que no admitan esta configuración de directiva)
unirse al dominio.
Habilitado. (El canal seguro no se establecerá a menos que se pueda realizar un cifrado de 128 bits.
realizado.)
Referencias:
1. CCE-37614-5
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
208 | Página
https://translate.googleusercontent.com/translate_f 169/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 210
2.3.7.1 (L1) Asegúrese de que 'Inicio de sesión interactivo: no requiere CTRL + ALT + SUPR' esté
establecido en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios deben presionar CTRL + ALT + SUPR antes de iniciar sesión
en.
Razón fundamental:
Microsoft desarrolló esta función para que sea más fácil para los usuarios con ciertos tipos de
impedimentos para iniciar sesión en equipos que ejecutan Windows. Si los usuarios no están obligados a presionar
CTRL + ALT + SUPR, son susceptibles a ataques que intentan interceptar sus contraseñas.
Si se requiere CTRL + ALT + SUPR antes de iniciar sesión, las contraseñas de los usuarios se comunican mediante
un camino de confianza.
Un atacante podría instalar un programa caballo de Troya que se parece al estándar de Windows
cuadro de diálogo de inicio de sesión y capturar la contraseña del usuario. El atacante podría entonces iniciar sesión
en la cuenta comprometida con cualquier nivel de privilegio que tenga ese usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
209 | Página
Página 211
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 170/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Los usuarios deben presionar CTRL + ALT + SUPR antes de iniciar sesión en Windows, a menos que utilicen una
tarjeta para el inicio de sesión de Windows. Una tarjeta inteligente es un dispositivo a prueba de manipulaciones que almacena seguridad
información.
Referencias:
1. CCE-37637-6
Controles CIS:
Versión 6
8 defensas de malware
Defensas de malware
Versión 7
210 | Página
Página 212
2.3.7.2 (L1) Asegúrese de que esté configurado 'Inicio de sesión interactivo: No mostrar el último inicio de sesión
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el nombre de cuenta del último usuario que inició sesión en
Los equipos cliente de su organización se mostrarán en los respectivos
Pantalla de inicio de sesión de Windows. Habilite esta configuración de política para evitar que los intrusos recopilen
nombres de cuenta visualmente desde las pantallas de computadoras de escritorio o portátiles en su
organización.
https://translate.googleusercontent.com/translate_f 171/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o
alguien que pueda conectarse al servidor a través de Servicios de escritorio remoto) podría
ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar
adivine la contraseña, use un diccionario o use un ataque de fuerza bruta para intentar iniciar sesión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: en versiones anteriores de Microsoft Windows, esta configuración se llamaba Inicio de sesión interactivo:
no muestra el último nombre de usuario , pero se le cambió el nombre a partir de Windows Server 2019.
211 | Página
Página 213
Impacto:
El nombre del último usuario que inició sesión correctamente no se mostrará en el inicio de sesión de Windows
pantalla.
Discapacitado. (El nombre del último usuario que inició sesión se muestra en la pantalla de inicio de sesión de Windows).
Referencias:
1. CCE-36056-0
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 172/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
212 | Página
Página 214
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' esté establecido e
'900 o menos segundo (s), pero no 0' (puntuados)
Aplicabilidad del perfil:
Descripción:
Windows nota la inactividad de una sesión de inicio de sesión y si la cantidad de tiempo inactivo excede
el límite de inactividad, luego se ejecutará el protector de pantalla, bloqueando la sesión.
El estado recomendado para esta configuración es: 900 o menos segundo (s), pero no 0 .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 900 o
menos segundos, pero no 0 :
Impacto:
El protector de pantalla se activará automáticamente cuando la computadora haya estado desatendida durante
la cantidad de tiempo especificada. El impacto debe ser mínimo ya que el protector de pantalla es
habilitado por defecto.
https://translate.googleusercontent.com/translate_f 173/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
213 | Página
Página 215
Referencias:
1. CCE-38235-8
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
214 | Página
Página 216
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios
intentando iniciar sesión '(puntuado)
https://translate.googleusercontent.com/translate_f 174/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión.
Configure esta configuración de manera que sea coherente con la seguridad y el funcionamiento
requisitos de su organización.
Razón fundamental:
Mostrar un mensaje de advertencia antes de iniciar sesión puede ayudar a prevenir un ataque al advertir al
atacante sobre las consecuencias de su mala conducta antes de que suceda. También puede ayudar
Reforzar la política corporativa notificando a los empleados sobre la política adecuada durante el
proceso de inicio de sesión. Este texto se utiliza a menudo por motivos legales, por ejemplo, para advertir a los usuarios sobre
las ramificaciones del uso indebido de la información de la empresa o para advertirles que sus acciones pueden
ser auditado.
Nota: Cualquier advertencia que muestre primero debe ser aprobada por el departamento legal de su organización.
y representantes de recursos humanos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
215 | Página
Página 217
Impacto:
Los usuarios tendrán que reconocer un cuadro de diálogo que contiene el texto configurado antes de poder
inicie sesión en la computadora.
Nota: Windows Vista y Windows XP Professional admiten rótulos de inicio de sesión que pueden exceder
512 caracteres de longitud y que también pueden contener secuencias de avance de línea de retorno de carro.
Sin embargo, los clientes basados en Windows 2000 no pueden interpretar y mostrar estos mensajes. Tú
debe utilizar una computadora con Windows 2000 para crear una política de mensajes de inicio de sesión que se aplique a
Computadoras basadas en Windows 2000.
Sin mensaje.
Referencias:
https://translate.googleusercontent.com/translate_f 175/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37226-8
Controles CIS:
Versión 7
216 | Página
Página 218
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios
intentando iniciar sesión '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica el texto que se muestra en la barra de título de la ventana que ven los usuarios
cuando inician sesión en el sistema. Configure este ajuste de manera que sea coherente con
los requisitos operativos y de seguridad de su organización.
Razón fundamental:
Mostrar un mensaje de advertencia antes de iniciar sesión puede ayudar a prevenir un ataque al advertir al
atacante sobre las consecuencias de su mala conducta antes de que suceda. También puede ayudar
Reforzar la política corporativa notificando a los empleados sobre la política adecuada durante el
proceso de inicio de sesión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 176/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Impacto:
Los usuarios deberán reconocer un cuadro de diálogo con el título configurado antes de poder iniciar sesión
a la computadora.
217 | Página
Página 219
Sin mensaje.
Referencias:
1. CCE-37512-1
Controles CIS:
Versión 7
https://translate.googleusercontent.com/translate_f 177/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
218 | Página
Página 220
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores
caché (en caso de que el controlador de dominio no esté disponible) 'se establece en' 4 o menos
inicio de sesión (s) '(solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si un usuario puede iniciar sesión en un dominio de Windows usando
información de la cuenta en caché. La información de inicio de sesión para las cuentas de dominio se puede almacenar en caché localmente
para permitir que los usuarios inicien sesión incluso si no se puede contactar a un controlador de dominio. Esta configuración de política
determina el número de usuarios únicos para los que la información de inicio de sesión se almacena en caché localmente. Si
este valor se establece en 0, la función de caché de inicio de sesión está desactivada. Un atacante que puede acceder
el sistema de archivos del servidor podría localizar esta información en caché y usar una fuerza bruta
ataque para determinar las contraseñas de los usuarios.
Razón fundamental:
Los usuarios que acceden a la consola de la computadora tendrán sus credenciales de inicio de sesión almacenadas en caché en ese
computadora. Un atacante que pueda acceder al sistema de archivos de la computadora podría localizar
esta información almacenada en caché y utilizar un ataque de fuerza bruta para intentar determinar el usuario
contraseñas. Para mitigar este tipo de ataque, Windows cifra la información y oculta
su ubicación física.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
219 | Página
Página 221
https://translate.googleusercontent.com/translate_f 178/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 4 o
menos inicios de sesión :
Impacto:
Los usuarios no podrán iniciar sesión en ninguna computadora si no hay un controlador de dominio disponible
para autenticarlos. Las organizaciones pueden querer configurar este valor en 2 para el usuario final
computadoras, especialmente para usuarios móviles. Un valor de configuración de 2 significa que el usuario
La información de inicio de sesión seguirá estando en la caché, incluso si un miembro del departamento de TI ha
ha iniciado sesión recientemente en su computadora para realizar el mantenimiento del sistema. Este método permite
que los usuarios inicien sesión en sus computadoras cuando no estén conectados a la
red.
Referencias:
1. CCE-37439-7
220 | Página
Página 222
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 179/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
5.1 Establecer configuraciones seguras
Mantener estándares de configuración de seguridad estándar documentados para todos los
sistemas operativos y software.
221 | Página
Página 223
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: Solicite al usuario que cambie la contraseña
antes del vencimiento 'se establece en' entre 5 y 14 días '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina con cuánta anticipación se advierte a los usuarios que su contraseña
expirará. Se recomienda que configure esta configuración de directiva en al menos 5 días, pero
no más de 14 días para advertir suficientemente a los usuarios cuando caducarán sus contraseñas.
Razón fundamental:
Se recomienda configurar las contraseñas de los usuarios para que expiren periódicamente. Los usuarios
necesitan que se les advierta que sus contraseñas van a caducar, o pueden ser inadvertidamente
bloqueado de la computadora cuando sus contraseñas expiran. Esta condición podría conducir a
confusión para los usuarios que acceden a la red localmente, o hacen imposible que los usuarios
acceder a la red de su organización a través de acceso telefónico o red privada virtual (VPN)
conexiones.
https://translate.googleusercontent.com/translate_f 180/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en un valor
entre 5 y 14 días :
222 | Página
Página 224
Impacto:
Los usuarios verán un cuadro de diálogo que les solicitará que cambien su contraseña cada vez que inicien sesión en
el dominio cuando su contraseña está configurada para caducar entre 5 y 14 días.
5 dias.
Referencias:
1. CCE-37622-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 181/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
223 | Página
Página 225
Descripción:
Se requiere información de inicio de sesión para desbloquear una computadora bloqueada. Para cuentas de dominio, esto
La configuración de seguridad determina si es necesario ponerse en contacto con un controlador de dominio para
desbloquear una computadora.
Razón fundamental:
De forma predeterminada, la computadora almacena en memoria caché las credenciales de cualquier usuario que esté
autenticado localmente. La computadora usa estas credenciales en caché para autenticar a cualquier persona
que intenta desbloquear la consola. Cuando se utilizan credenciales en caché, cualquier cambio que
se han realizado recientemente en la cuenta, como asignaciones de derechos de usuario, cuentas
bloqueo, o la cuenta que se deshabilita, no se consideran ni se aplican después de que la cuenta se
autenticado. Los privilegios de usuario no se actualizan y (lo que es más importante) las cuentas deshabilitadas
todavía pueden desbloquear la consola de la computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
224 | Página
Página 226
https://translate.googleusercontent.com/translate_f 182/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Cuando la consola de una computadora está bloqueada, ya sea por un usuario o automáticamente por una pantalla
ahorro de tiempo de espera, la consola solo se puede desbloquear si hay un controlador de dominio disponible para
autenticar la cuenta de dominio que se está utilizando para desbloquear la computadora. Si no hay dominio
El controlador está disponible, el usuario no puede desbloquear la computadora.
Discapacitado. (La confirmación de la información de inicio de sesión con un controlador de dominio no es necesaria para
usuario para desbloquear la computadora, y el usuario puede desbloquear la computadora usando caché
credenciales, si están presentes).
Referencias:
1. CCE-38240-8
Controles CIS:
Versión 6
Versión 7
225 | Página
Página 227
2.3.7.9 (L1) Asegúrese de que 'Inicio de sesión interactivo: comportamiento de extracción de la tarjeta inteligente
establecido en 'Bloquear estación de trabajo' o superior (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 183/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración de directiva determina qué sucede cuando la tarjeta inteligente de un usuario que inició sesión
extraído del lector de tarjetas inteligentes.
El estado recomendado para esta configuración es: Bloquear estación de trabajo . Configurar este ajuste para
Forzar cierre de sesión o desconexión si una sesión de Servicios de escritorio remoto también cumple con
el punto de referencia.
Razón fundamental:
Los usuarios a veces se olvidan de bloquear sus estaciones de trabajo cuando están lejos de ellos, lo que permite
la posibilidad de que usuarios malintencionados accedan a sus equipos. Si se utilizan tarjetas inteligentes para
autenticación, la computadora debe bloquearse automáticamente cuando se retira la tarjeta para
Asegúrese de que solo el usuario con la tarjeta inteligente acceda a los recursos utilizando esos
cartas credenciales.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito, teniendo en cuenta que los valores de Forzar cierre de sesión o Desconectar si un escritorio remoto
La sesión de servicios también
es una configuración aceptable. Esta configuración de política de grupo está respaldada por
siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Bloquear
Estación de trabajo (o, si corresponde para su entorno, Forzar cierre de sesión o Desconexión si
Sesión de Servicios de escritorio remoto ):
226 | Página
Página 228
Impacto:
Si selecciona Bloquear estación de trabajo , la estación de trabajo se bloquea cuando se retira la tarjeta inteligente,
permitiendo a los usuarios salir del área, llevarse su tarjeta inteligente y seguir manteniendo un
sesión protegida.
Si selecciona Forzar cierre de sesión , los usuarios se desconectan automáticamente cuando se conecta su tarjeta inteligente.
remoto.
Si selecciona Desconectar si se trata de una sesión de Servicios de escritorio remoto , la eliminación del
La tarjeta desconecta la sesión sin desconectar a los usuarios. Esto permite al usuario insertar el
tarjeta inteligente y reanudar la sesión más tarde, o en otro lector de tarjetas inteligentes equipado
computadora, sin tener que iniciar sesión nuevamente. Si la sesión es local, esta política funcionará
de forma idéntica a Lock Workstation .
Aplicar esta configuración en las computadoras utilizadas por personas que deben iniciar sesión en varias computadoras
para poder realizar sus funciones puede resultar frustrante y disminuir la productividad. Por ejemplo, si
los administradores de red están limitados a una sola cuenta, pero deben iniciar sesión en varias
computadoras simultáneamente para administrar de manera efectiva la red haciendo cumplir esta configuración
los limitará a iniciar sesión en una computadora a la vez. Por estas razones es
recomendó que esta configuración solo se aplique en las estaciones de trabajo utilizadas con fines
comúnmente asociado con usuarios típicos como creación de documentos y correo electrónico.
https://translate.googleusercontent.com/translate_f 184/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Ninguna acción.
Referencias:
1. CCE-38333-1
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
227 | Página
Página 229
Descripción:
Nota: Cuando los equipos basados en Windows Vista tienen esta configuración de política habilitada y
conectarse a archivos o imprimir recursos compartidos en servidores remotos, es importante que la configuración sea
sincronizado con su configuración complementaria, servidor de red de Microsoft: firmar digitalmente
comunicaciones (siempre) , en esos servidores. Para obtener más información sobre estas configuraciones,
consulte "Cliente y servidor de red de Microsoft: Firmar digitalmente las comunicaciones (cuatro
configuración) "en el Capítulo 5 de la guía Amenazas y contramedidas.
Razón fundamental:
El secuestro de sesiones utiliza herramientas que permiten a los atacantes que tienen acceso a la misma red que
el cliente o servidor para interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar paquetes SMB sin firmar y luego modificar el tráfico y
reenvíelo para que el servidor pueda realizar acciones no deseadas. Alternativamente, el atacante
podría hacerse pasar por el servidor o cliente después de una autenticación legítima y obtener acceso no autorizado
acceso a los datos.
https://translate.googleusercontent.com/translate_f 185/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
SMB es el protocolo para compartir recursos que es compatible con muchos sistemas operativos de Windows.
sistemas. Es la base de NetBIOS y muchos otros protocolos. Autenticación de firmas SMB
tanto los usuarios como los servidores que alojan los datos. Si alguno de los lados falla en el proceso de autenticación,
no se realizará la transmisión de datos.
228 | Página
Página 230
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
El cliente de red de Microsoft no se comunicará con un servidor de red de Microsoft a menos que
ese servidor acepta realizar la firma de paquetes SMB.
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003, Windows
Implementaciones de XP Professional y Windows Vista del uso compartido de archivos e impresión SMB
El protocolo admite la autenticación mutua, lo que evita ataques de secuestro de sesión y
admite la autenticación de mensajes para evitar ataques man-in-the-middle. Firma SMB
proporciona esta autenticación colocando una firma digital en cada SMB, que luego se
verificado tanto por el cliente como por el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento, porque cada paquete
necesita estar firmado y verificado. Si estas configuraciones están habilitadas en un servidor que está funcionando
múltiples roles, como un servidor de pequeña empresa que sirve como controlador de dominio, archivo
el rendimiento del servidor, el servidor de impresión y el servidor de aplicaciones puede reducirse considerablemente.
Además, si configura computadoras para ignorar todas las comunicaciones SMB sin firmar,
las aplicaciones y los sistemas operativos no podrán conectarse. Sin embargo, si completamente
deshabilite todas las firmas SMB, las computadoras serán vulnerables a ataques de secuestro de sesiones.
Cuando las políticas de firma SMB están habilitadas en controladores de dominio que ejecutan Windows Server
2003 y equipos miembros que ejecutan Windows Vista SP1 o el grupo Windows Server 2008
el procesamiento de la política fallará. Hay una revisión disponible de Microsoft que resuelve este problema; ver
El artículo 950876 de Microsoft Knowledge Base para obtener más detalles: La configuración de la directiva de grupo no es
aplicado en equipos miembros que ejecutan Windows Server 2008 o Windows Vista
SP1 cuando se habilitan determinadas políticas de firma de SMB .
229 | Página
https://translate.googleusercontent.com/translate_f 186/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 231
Referencias:
1. CCE-36325-9
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
230 | Página
Página 232
https://translate.googleusercontent.com/translate_f 187/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: servidor miembro
Descripción:
Esta configuración de directiva determina si el cliente SMB intentará negociar el paquete SMB
firma.
Nota: Habilitar esta configuración de directiva en clientes SMB en su red los convierte en
eficaz para la firma de paquetes con todos los clientes y servidores de su entorno.
Razón fundamental:
El secuestro de sesiones utiliza herramientas que permiten a los atacantes que tienen acceso a la misma red que
el cliente o servidor para interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar paquetes SMB sin firmar y luego modificar el tráfico y
reenvíelo para que el servidor pueda realizar acciones no deseadas. Alternativamente, el atacante
podría hacerse pasar por el servidor o cliente después de una autenticación legítima y obtener acceso no autorizado
acceso a los datos.
SMB es el protocolo para compartir recursos que es compatible con muchos sistemas operativos de Windows.
sistemas. Es la base de NetBIOS y muchos otros protocolos. Autenticación de firmas SMB
tanto los usuarios como los servidores que alojan los datos. Si alguno de los lados falla en el proceso de autenticación,
no se realizará la transmisión de datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
231 | Página
Página 233
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003, Windows
Implementaciones de XP Professional y Windows Vista del uso compartido de archivos e impresión SMB
El protocolo admite la autenticación mutua, lo que evita ataques de secuestro de sesión y
admite la autenticación de mensajes para evitar ataques man-in-the-middle. Firma SMB
proporciona esta autenticación colocando una firma digital en cada SMB, que luego se
verificado tanto por el cliente como por el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento, porque cada paquete
necesita estar firmado y verificado. Si estas configuraciones están habilitadas en un servidor que está funcionando
múltiples roles, como un servidor de pequeña empresa que sirve como controlador de dominio, archivo
https://translate.googleusercontent.com/translate_f 188/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
el rendimiento del servidor, el servidor de impresión y el servidor de aplicaciones puede reducirse considerablemente.
Además, si configura computadoras para ignorar todas las comunicaciones SMB sin firmar,
las aplicaciones y los sistemas operativos no podrán conectarse. Sin embargo, si completamente
deshabilite todas las firmas SMB, las computadoras serán vulnerables a ataques de secuestro de sesiones.
Cuando las políticas de firma SMB están habilitadas en controladores de dominio que ejecutan Windows Server
2003 y equipos miembros que ejecutan Windows Vista SP1 o el grupo Windows Server 2008
el procesamiento de la política fallará. Hay una revisión disponible de Microsoft que resuelve este problema; ver
El artículo 950876 de Microsoft Knowledge Base para obtener más detalles: La configuración de la directiva de grupo no es
aplicado en equipos miembros que ejecutan Windows Server 2008 o Windows Vista
SP1 cuando se habilitan determinadas políticas de firma de SMB .
Habilitado. (El cliente de red de Microsoft le pedirá al servidor que realice la firma de paquetes SMB
al configurar la sesión. Si la firma de paquetes se ha habilitado en el servidor, la firma de paquetes se
negociado.)
232 | Página
Página 234
Referencias:
1. CCE-36269-9
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 189/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
233 | Página
Página 235
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe sin cifrar
contraseña para servidores SMB de terceros 'está configurada como' Desactivada '(puntuada)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el redirector SMB enviará contraseñas de texto sin formato
durante la autenticación en servidores SMB de terceros que no admiten el cifrado de contraseña.
Se recomienda que desactive esta configuración de política a menos que exista un caso comercial sólido
para habilitarlo. Si esta configuración de política está habilitada, se permitirán contraseñas no cifradas en
la red.
Razón fundamental:
Si habilita esta configuración de política, el servidor puede transmitir contraseñas en texto sin formato a través del
red a otras computadoras que ofrecen servicios SMB, lo cual es un riesgo de seguridad significativo.
Es posible que estas otras computadoras no utilicen ninguno de los mecanismos de seguridad SMB que se incluyen
con Windows Server 2003.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
234 | Página
https://translate.googleusercontent.com/translate_f 190/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 236
Impacto:
Algunas aplicaciones y sistemas operativos muy antiguos, como MS-DOS, Windows para
Es posible que Workgroups 3.11 y Windows 95a no puedan comunicarse con los servidores en
su organización mediante el protocolo SMB.
Discapacitado. (Las contraseñas de texto sin formato no se enviarán durante la autenticación a SMB de terceros
servidores que no admiten el cifrado de contraseñas).
Referencias:
1. CCE-37863-8
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
235 | Página
Página 237
https://translate.googleusercontent.com/translate_f 191/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.9.1 (L1) Asegúrese de que el servidor de red de Microsoft: cantidad de tiempo de inactividad
obligatorio antes de suspender la sesión 'se establece en '15 o menos minuto (s)'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite especificar la cantidad de tiempo de inactividad continuo que debe pasar
en una sesión SMB antes de que se suspenda la sesión debido a inactividad. Los administradores pueden
utilice esta configuración de directiva para controlar cuándo un equipo suspende una sesión SMB inactiva. Si
se reanuda la actividad del cliente, la sesión se restablece automáticamente.
El valor máximo es 99999, que es más de 69 días; en efecto, este valor desactiva la
ajuste.
Razón fundamental:
Cada sesión de SMB consume recursos del servidor y numerosas sesiones nulas ralentizarán la
servidor o posiblemente hacer que falle. Un atacante podría establecer repetidamente sesiones SMB hasta
Los servicios SMB del servidor se vuelven lentos o no responden.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
236 | Página
Página 238
Remediación:
Impacto:
15 minutos.
Referencias:
https://translate.googleusercontent.com/translate_f 192/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-38046-9
Controles CIS:
Versión 6
Versión 7
237 | Página
Página 239
Descripción:
Razón fundamental:
El secuestro de sesiones utiliza herramientas que permiten a los atacantes que tienen acceso a la misma red que
el cliente o servidor para interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar paquetes SMB sin firmar y luego modificar el tráfico y
reenvíelo para que el servidor pueda realizar acciones no deseadas. Alternativamente, el atacante
podría hacerse pasar por el servidor o cliente después de una autenticación legítima y obtener acceso no autorizado
acceso a los datos.
SMB es el protocolo para compartir recursos que es compatible con muchos sistemas operativos de Windows.
sistemas. Es la base de NetBIOS y muchos otros protocolos. Autenticación de firmas SMB
tanto los usuarios como los servidores que alojan los datos. Si alguno de los lados falla en el proceso de autenticación,
no se realizará la transmisión de datos.
https://translate.googleusercontent.com/translate_f 193/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
238 | Página
Página 240
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
El servidor de red de Microsoft no se comunicará con un cliente de red de Microsoft a menos que
ese cliente acepta realizar la firma de paquetes SMB.
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003, Windows
Implementaciones de XP Professional y Windows Vista del uso compartido de archivos e impresión SMB
El protocolo admite la autenticación mutua, lo que evita ataques de secuestro de sesión y
admite la autenticación de mensajes para evitar ataques man-in-the-middle. Firma SMB
proporciona esta autenticación colocando una firma digital en cada SMB, que luego se
verificado tanto por el cliente como por el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento, porque cada paquete
necesita estar firmado y verificado. Si estas configuraciones están habilitadas en un servidor que está funcionando
múltiples roles, como un servidor de pequeña empresa que sirve como controlador de dominio, archivo
el rendimiento del servidor, el servidor de impresión y el servidor de aplicaciones puede reducirse considerablemente.
Además, si configura computadoras para ignorar todas las comunicaciones SMB sin firmar,
las aplicaciones y los sistemas operativos no podrán conectarse. Sin embargo, si completamente
deshabilite todas las firmas SMB, las computadoras serán vulnerables a ataques de secuestro de sesiones.
Cuando las políticas de firma SMB están habilitadas en controladores de dominio que ejecutan Windows Server
2003 y equipos miembros que ejecutan Windows Vista SP1 o el grupo Windows Server 2008
el procesamiento de la política fallará. Hay una revisión disponible de Microsoft que resuelve este problema; ver
El artículo 950876 de Microsoft Knowledge Base para obtener más detalles: La configuración de la directiva de grupo no es
aplicado en equipos miembros que ejecutan Windows Server 2008 o Windows Vista
SP1 cuando se habilitan determinadas políticas de firma de SMB .
En servidores miembro: deshabilitado. (La firma de paquetes SMB se negocia entre el cliente y
servidor.)
https://translate.googleusercontent.com/translate_f 194/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
239 | Página
Página 241
Referencias:
1. CCE-37864-6
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
240 | Página
Página 242
https://translate.googleusercontent.com/translate_f 195/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
comunicaciones (si el cliente está de acuerdo) 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el servidor SMB negociará la firma de paquetes SMB
con clientes que lo soliciten. Si no llega una solicitud de firma del cliente, se establecerá una conexión.
permitido sin firma si el servidor de red de Microsoft: Firmar digitalmente
la configuración de comunicaciones (siempre) no está habilitada.
Nota: habilite esta configuración de directiva en los clientes SMB de su red para hacerlos completamente
eficaz para la firma de paquetes con todos los clientes y servidores de su entorno.
Razón fundamental:
El secuestro de sesiones utiliza herramientas que permiten a los atacantes que tienen acceso a la misma red que
el cliente o servidor para interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar paquetes SMB sin firmar y luego modificar el tráfico y
reenvíelo para que el servidor pueda realizar acciones no deseadas. Alternativamente, el atacante
podría hacerse pasar por el servidor o cliente después de una autenticación legítima y obtener acceso no autorizado
acceso a los datos.
SMB es el protocolo para compartir recursos que es compatible con muchos sistemas operativos de Windows.
sistemas. Es la base de NetBIOS y muchos otros protocolos. Autenticación de firmas SMB
tanto los usuarios como los servidores que alojan los datos. Si alguno de los lados falla en el proceso de autenticación,
no se realizará la transmisión de datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
241 | Página
Página 243
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
El servidor de red de Microsoft negociará la firma de paquetes SMB según lo solicite el cliente.
Es decir, si se ha habilitado la firma de paquetes en el cliente, se negociará la firma de paquetes.
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003, Windows
Implementaciones de XP Professional y Windows Vista del uso compartido de archivos e impresión SMB
El protocolo admite la autenticación mutua, lo que evita ataques de secuestro de sesión y
https://translate.googleusercontent.com/translate_f 196/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
admite la autenticación de mensajes para evitar ataques man-in-the-middle. Firma SMB
proporciona esta autenticación colocando una firma digital en cada SMB, que luego se
verificado tanto por el cliente como por el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento, porque cada paquete
necesita estar firmado y verificado. Si estas configuraciones están habilitadas en un servidor que está funcionando
múltiples roles, como un servidor de pequeña empresa que sirve como controlador de dominio, archivo
el rendimiento del servidor, el servidor de impresión y el servidor de aplicaciones puede reducirse considerablemente.
Además, si configura computadoras para ignorar todas las comunicaciones SMB sin firmar,
las aplicaciones y los sistemas operativos no podrán conectarse. Sin embargo, si completamente
deshabilite todas las firmas SMB, las computadoras serán vulnerables a ataques de secuestro de sesiones.
Cuando las políticas de firma SMB están habilitadas en controladores de dominio que ejecutan Windows Server
2003 y equipos miembros que ejecutan Windows Vista SP1 o el grupo Windows Server 2008
el procesamiento de la política fallará. Hay una revisión disponible de Microsoft que resuelve este problema; ver
El artículo 950876 de Microsoft Knowledge Base para obtener más detalles: La configuración de la directiva de grupo no es
aplicado en equipos miembros que ejecutan Windows Server 2008 o Windows Vista
SP1 cuando se habilitan determinadas políticas de firma de SMB .
En servidores miembro: deshabilitado. (El cliente SMB nunca negociará la firma de paquetes SMB).
En controladores de dominio: habilitado. (El servidor de red de Microsoft negociará el paquete SMB
firma según lo solicitado por el cliente. Es decir, si se ha habilitado la firma de paquetes en el cliente,
se negociará la firma de paquetes).
242 | Página
Página 244
Referencias:
1. CCE-35988-5
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 197/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
243 | Página
Página 245
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes cuando
las horas de inicio de sesión expiran 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de seguridad determina si se desconectan los usuarios que están conectados al
computadora local fuera del horario de inicio de sesión válido de su cuenta de usuario. Esta configuración afecta al
Componente de bloque de mensajes de servidor (SMB). Si habilita esta configuración de política, también debe
Habilitar seguridad de red: Forzar el cierre de sesión cuando expiren las horas de inicio de sesión (Regla 2.3.11.6).
Si su organización configura las horas de inicio de sesión para los usuarios, esta configuración de directiva es necesaria para
asegúrese de que sean eficaces.
Razón fundamental:
Si su organización configura las horas de inicio de sesión para los usuarios, entonces tiene sentido habilitar esta
establecimiento de políticas. De lo contrario, los usuarios que no deberían tener acceso a recursos de red externos
de sus horas de inicio de sesión pueden en realidad seguir usando esos recursos con sesiones
que se establecieron durante las horas permitidas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 198/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
expiran las horas de inicio de sesión
244 | Página
Página 246
Impacto:
Ninguno: este es el comportamiento predeterminado. Si las horas de inicio de sesión no se utilizan en su organización, esto
el establecimiento de políticas no tendrá ningún impacto. Si se utilizan horas de inicio de sesión, las sesiones de usuario existentes serán
terminados a la fuerza cuando expiren sus horas de inicio de sesión.
Habilitado. (Las sesiones del cliente con el servicio SMB se desconectan a la fuerza cuando el cliente
expiran las horas de inicio de sesión).
Referencias:
1. CCE-37972-7
Controles CIS:
Versión 6
Versión 7
245 | Página
Página 247
https://translate.googleusercontent.com/translate_f 199/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: nombre de destino del SPN del servidor
nivel de validación 'se establece en' Aceptar si el cliente lo proporciona 'o superior (solo MS)
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el nivel de validación de un equipo con carpetas compartidas o
impresoras (el servidor) funciona con el nombre principal de servicio (SPN) proporcionado por el
computadora cliente cuando establece una sesión usando el bloque de mensajes del servidor (SMB)
protocolo.
El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para compartir archivos e impresiones y
otras operaciones de red, como la administración remota de Windows. El protocolo SMB
admite la validación del nombre principal de servicio del servidor SMB (SPN) dentro de la autenticación
blob proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB a los que se hace referencia
como ataques de retransmisión SMB. Esta configuración afectará tanto a SMB1 como a SMB2.
El estado recomendado para esta configuración es: Aceptar si lo proporciona el cliente . Configurando
esta configuración en Requerido del cliente también se ajusta al punto de referencia.
Nota: Desde el lanzamiento de MSParche de seguridad KB3161561 , esta configuración puede causar
problemas importantes (como problemas de replicación, problemas de edición de políticas de grupo y pantalla azul
se bloquea) en los controladores de dominio cuando se usa simultáneamente con el endurecimiento de la ruta UNC (es decir,
Regla 18.5.14.1). Por lo tanto, CIS recomienda no implementar esta configuración en Domain
Controladores.
Razón fundamental:
La identidad de una computadora se puede falsificar para obtener acceso no autorizado a la red
recursos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
246 | Página
Página 248
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Aceptar si
proporcionado por el cliente (la configuración a Requerido del cliente también se ajusta a la
punto de referencia):
Impacto:
Todos los sistemas operativos Windows admiten tanto un componente SMB del lado del cliente como un servidor-
https://translate.googleusercontent.com/translate_f 200/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
componente SMB lateral. Esta configuración afecta el comportamiento de SMB del servidor y su implementación
deben evaluarse y probarse cuidadosamente para evitar interrupciones en el servicio de archivos e impresión
Capacidades
Si está configurado para Aceptar si lo proporciona el cliente , el servidor SMB aceptará y validará
el SPN proporcionado por el cliente SMB y permitir que se establezca una sesión si coincide
Lista de SPN del servidor SMB para sí mismo. Si el SPN NO coincide, la solicitud de sesión para ese
Se rechazará el cliente SMB.
Si está configurado como Requerido del cliente , el cliente SMB DEBE enviar un nombre de SPN en la sesión
configuración, y el nombre de SPN proporcionado DEBE coincidir con el servidor SMB que se solicita
establecer una conexión. Si el cliente no proporciona ningún SPN o si el SPN proporcionado no coincide,
la sesión es denegada.
Apagado. (El servidor SMB no requiere ni valida el SPN desde un cliente SMB).
Referencias:
1. CCE-36170-9
247 | Página
Página 249
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 201/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
248 | Página
Página 250
Descripción:
Esta configuración de directiva determina si un usuario anónimo puede solicitar un identificador de seguridad
(SID) para otro usuario, o utilice un SID para obtener su nombre de usuario correspondiente.
Razón fundamental:
Si esta configuración de política está habilitada, un usuario con acceso local podría usar el conocido
SID del administrador para conocer el nombre real de la cuenta de administrador incorporada, incluso si
ha sido renombrado. Esa persona podría usar el nombre de la cuenta para iniciar una contraseña.
adivinar el ataque.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 202/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
249 | Página
Página 251
Discapacitado. (Un usuario anónimo no puede solicitar el atributo SID para otro usuario).
Referencias:
1. CCE-36065-1
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
250 | Página
Página 252
https://translate.googleusercontent.com/translate_f 203/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva controla la capacidad de los usuarios anónimos para enumerar las cuentas en
el Gerente de Cuentas de Seguridad (SAM). Si habilita esta configuración de política, los usuarios con
Las conexiones anónimas no podrán enumerar los nombres de usuario de la cuenta de dominio en el
sistemas en su entorno. Esta configuración de directiva también permite restricciones adicionales en
conexiones anónimas.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de las cuentas y utilizar la información para
intentar adivinar contraseñas o realizar ataques de ingeniería social. (Ingeniería social
Los ataques intentan engañar a los usuarios de alguna manera para obtener contraseñas o alguna forma de seguridad.
información.)
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
251 | Página
Página 253
Impacto:
Ninguno: este es el comportamiento predeterminado. Será imposible establecer fideicomisos con Windows
Dominios basados en NT 4.0. Además, los equipos cliente que ejecutan versiones anteriores de Windows
el sistema operativo como Windows NT 3.51 y Windows 95 experimentará problemas
cuando intentan utilizar recursos en el servidor.
Habilitado. (No permitir la enumeración anónima de cuentas SAM. Esta opción reemplaza
https://translate.googleusercontent.com/translate_f 204/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Todas las personas con usuarios autenticados en los permisos de seguridad para los recursos).
Referencias:
1. CCE-36316-8
Controles CIS:
Versión 6
Versión 7
252 | Página
Página 254
Descripción:
Esta configuración de política controla la capacidad de los usuarios anónimos para enumerar las cuentas SAM como
así como acciones. Si habilita esta configuración de directiva, los usuarios anónimos no podrán
enumere los nombres de usuario de la cuenta de dominio y los nombres de los recursos compartidos de red en los sistemas de su
ambiente.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuentas y los recursos compartidos y utilizar
https://translate.googleusercontent.com/translate_f 205/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
la información para intentar adivinar contraseñas o realizar ataques de ingeniería social.
(Los ataques de ingeniería social intentan engañar a los usuarios de alguna manera para obtener contraseñas o
forma de información de seguridad.)
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
253 | Página
Página 255
Impacto:
Será imposible establecer fideicomisos con dominios basados en Windows NT 4.0. Además, cliente
computadoras que ejecutan versiones anteriores del sistema operativo Windows, como Windows NT
3.51 y Windows 95 experimentarán problemas cuando intenten utilizar recursos en el
servidor. Los usuarios que acceden a los servidores de archivos e impresión de forma anónima no podrán
recursos de red compartidos en esos servidores; los usuarios tendrán que autenticarse antes de
puede ver las listas de carpetas e impresoras compartidas. Sin embargo, incluso con esta configuración de política
habilitado, los usuarios anónimos tendrán acceso a los recursos con permisos que explícitamente
incluir el grupo integrado, INICIO DE SESIÓN ANÓNIMO .
Referencias:
1. CCE-36077-6
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 206/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
254 | Página
Página 256
Descripción:
Esta configuración de directiva determina si Credential Manager (anteriormente llamado Usuario almacenado
Nombres y contraseñas) guarda las contraseñas o credenciales para su uso posterior cuando obtiene el dominio
autenticación.
Nota: los cambios en esta configuración no tendrán efecto hasta que se reinicie Windows.
Razón fundamental:
El usuario puede acceder a las contraseñas almacenadas en caché cuando inicia sesión en la computadora.
Aunque esta información puede parecer obvia, puede surgir un problema si el usuario, sin saberlo
ejecuta código hostil que lee las contraseñas y las reenvía a otro,
usuario no autorizado.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
255 | Página
https://translate.googleusercontent.com/translate_f 207/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 257
Impacto:
Referencias:
1. CCE-38119-4
Controles CIS:
Versión 6
Versión 7
256 | Página
Página 258
2.3.10.5 (L1) Garantizar 'Acceso a la red: permitir que todos los permisos se apliquen a
usuarios anónimos 'está configurado como' Desactivado '(puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 208/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: servidor miembro
Descripción:
Esta configuración de directiva determina qué permisos adicionales se asignan para anónimos
conexiones a la computadora.
Razón fundamental:
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuentas y los recursos compartidos y utilizar
la información para intentar adivinar contraseñas, realizar ataques de ingeniería social o
lanzar ataques DoS.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
257 | Página
Página 259
Discapacitado. (Los usuarios anónimos solo pueden acceder a aquellos recursos para los que el grupo integrado
ANONYMOUS LOGON ha recibido permiso explícito).
Referencias:
1. CCE-36148-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 209/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
5.1 Establecer configuraciones seguras
Mantener estándares de configuración de seguridad estándar documentados para todos los
sistemas operativos y software.
258 | Página
Página 260
2.3.10.6 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que pueden
accedido de forma anónima '(solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué sesiones de comunicación, o conductos, tendrán atributos
y permisos que permiten el acceso anónimo.
El estado recomendado para esta configuración es: LSARPC, NETLOGON, SAMR y (cuando el legado
El servicio Computer Browser está habilitado) BROWSER .
Nota: Un servidor miembro que tiene el Servicios de escritorio remoto papel con escritorio remoto
El Servicio de rol de licencia requerirá una excepción especial a esta recomendación, para permitir
HydraLSPipe y TermServLicensing Named Pipes para acceder de forma anónima.
Razón fundamental:
Limitar las tuberías con nombre a las que se puede acceder de forma anónima reducirá la superficie de ataque de
el sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 210/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
259 | Página
Página 261
Impacto:
El acceso a la sesión nula sobre el acceso a la sesión nula a través de tuberías con nombre se deshabilitará a menos que
se incluyen y las aplicaciones que dependen de esta función o del acceso no autenticado a
Las tuberías con nombre dejarán de funcionar. Es posible que sea necesario agregar la canalización con nombre BROWSER a este
enumere si el servicio Computer Browser es necesario para admitir componentes heredados. los
El servicio Computer Browser está deshabilitado de forma predeterminada.
Ninguna.
Referencias:
1. CCE-38258-0
Controles CIS:
Versión 6
Versión 7
260 | Página
https://translate.googleusercontent.com/translate_f 211/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 262
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que pueden
accedido de forma anónima '(solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué sesiones de comunicación, o conductos, tendrán atributos
y permisos que permiten el acceso anónimo.
El estado recomendado para esta configuración es: <en blanco> (es decir, Ninguno), o (cuando el legado
El servicio Computer Browser está habilitado) BROWSER .
Nota: Un servidor miembro que tiene el Servicios de escritorio remoto papel con escritorio remoto
El Servicio de rol de licencia requerirá una excepción especial a esta recomendación, para permitir
HydraLSPipe y TermServLicensing Named Pipes para acceder de forma anónima.
Razón fundamental:
Limitar las tuberías con nombre a las que se puede acceder de forma anónima reducirá la superficie de ataque de
el sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, configure la siguiente ruta de IU:
261 | Página
Página 263
Impacto:
El acceso a la sesión nula sobre el acceso a la sesión nula a través de tuberías con nombre se deshabilitará a menos que
se incluyen y las aplicaciones que dependen de esta función o del acceso no autenticado a
https://translate.googleusercontent.com/translate_f 212/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Las tuberías con nombre dejarán de funcionar. Es posible que sea necesario agregar la canalización con nombre BROWSER a este
enumere si el servicio Computer Browser es necesario para admitir componentes heredados. los
El servicio Computer Browser está deshabilitado de forma predeterminada.
Ninguna.
Referencias:
1. CCE-38258-0
Controles CIS:
Versión 6
Versión 7
262 | Página
Página 264
Descripción:
Esta configuración de directiva determina qué rutas de registro serán accesibles a través de la red,
independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) de winreg
clave de registro.
Nota: esta configuración no existe en Windows XP. Había un escenario con ese nombre en
Windows XP, pero se llama "Acceso a la red: rutas de registro y sub-
https://translate.googleusercontent.com/translate_f 213/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
rutas "en Windows Server 2003, Windows Vista y Windows Server 2008 (no R2).
Nota n. ° 2: cuando configura esta opción, especifica una lista de uno o más objetos. los
El delimitador utilizado al entrar en la lista es un salto de línea o un retorno de carro, es decir, escriba el primer
objeto en la lista, presione el botón Enter, escriba el siguiente objeto, presione Enter nuevamente, etc.
El valor de configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la política de grupo. Es
también se representa como una lista delimitada por comas en el panel de visualización del Editor de políticas de grupo y
Consola del conjunto resultante de políticas. Se registra en el registro como una lista delimitada por salto de línea en un
Valor REG_MULTI_SZ.
Razón fundamental:
El registro es una base de datos que contiene información de configuración de la computadora, y gran parte de
la información es sensible. Un atacante podría utilizar esta información para facilitar
actividades no autorizadas. Para reducir el riesgo de tal ataque, se asignan las ACL adecuadas
en todo el registro para ayudar a protegerlo del acceso de usuarios no autorizados.
263 | Página
Página 265
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en:
System \ CurrentControlSet \ Control \ ProductOptions
Aplicaciones del sistema \ CurrentControlSet \ Control \ Server
Software \ Microsoft \ Windows NT \ CurrentVersion
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si elimina las rutas de registro predeterminadas de
la lista de accesibles, herramientas de administración remota como Microsoft Baseline
Security Analyzer y Microsoft Systems Management Server podrían fallar, ya que requieren
acceso remoto al registro para monitorear y administrar adecuadamente las computadoras.
Nota: Si desea permitir el acceso remoto, también debe habilitar el Registro remoto
Servicio.
https://translate.googleusercontent.com/translate_f 214/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Software \ Microsoft \ Windows NT \ CurrentVersion
Referencias:
1. CCE-37194-8
264 | Página
Página 266
Controles CIS:
Versión 6
Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
https://translate.googleusercontent.com/translate_f 215/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
265 | Página
Página 267
Descripción:
Esta configuración de política determina qué rutas de registro y subrutas serán accesibles a través de
la red, independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) del
clave de registro winreg .
Nota: en Windows XP, esta configuración se denomina "Acceso a la red: registro de acceso remoto
rutas ", la configuración con el mismo nombre en Windows Vista, Windows Server 2008 (no R2),
y Windows Server 2003 no existe en Windows XP.
Nota n. ° 2: cuando configura esta opción, especifica una lista de uno o más objetos. los
El delimitador utilizado al entrar en la lista es un salto de línea o un retorno de carro, es decir, escriba el primer
objeto en la lista, presione el botón Enter, escriba el siguiente objeto, presione Enter nuevamente, etc.
El valor de configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la política de grupo. Es
también se representa como una lista delimitada por comas en el panel de visualización del Editor de políticas de grupo y
Consola del conjunto resultante de políticas. Se registra en el registro como una lista delimitada por salto de línea en un
Valor REG_MULTI_SZ.
266 | Página
Página 268
https://translate.googleusercontent.com/translate_f 216/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Sistema \ CurrentControlSet \ Control \ Print \ Printers
Sistema \ CurrentControlSet \ Services \ Eventlog
Software \ Microsoft \ OLAP Server
Software \ Microsoft \ Windows NT \ CurrentVersion \ Print
Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
System \ CurrentControlSet \ Control \ ContentIndex
Sistema \ CurrentControlSet \ Control \ Terminal Server
Sistema \ CurrentControlSet \ Control \ Terminal Server \ UserConfig
System \ CurrentControlSet \ Control \ Terminal Server \ DefaultUserConfiguration
Software \ Microsoft \ Windows NT \ CurrentVersion \ Perflib
Sistema \ CurrentControlSet \ Services \ SysmonLog
El estado recomendado para los servidores que tienen el rol de Servicios de certificados de Active Directory
con el Servicio de funciones de la autoridad de certificación incluye la lista anterior y:
El estado recomendado para los servidores que tienen instalada la función de servidor WINS incluye
la lista anterior y:
Razón fundamental:
El registro contiene información confidencial sobre la configuración de la computadora que podría ser utilizada por
un atacante para facilitar actividades no autorizadas. El hecho de que las ACL predeterminadas asignadas
en todo el registro son bastante restrictivas y ayudan a proteger el registro del acceso
los usuarios no autorizados reducen el riesgo de tal ataque.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
267 | Página
Página 269
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en:
Sistema \ CurrentControlSet \ Control \ Print \ Printers
Sistema \ CurrentControlSet \ Services \ Eventlog
Software \ Microsoft \ OLAP Server
Software \ Microsoft \ Windows NT \ CurrentVersion \ Print
Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows
System \ CurrentControlSet \ Control \ ContentIndex
Sistema \ CurrentControlSet \ Control \ Terminal Server
Sistema \ CurrentControlSet \ Control \ Terminal Server \ UserConfig
System \ CurrentControlSet \ Control \ Terminal Server \ DefaultUserConfiguration
Software \ Microsoft \ Windows NT \ CurrentVersion \ Perflib
Sistema \ CurrentControlSet \ Services \ SysmonLog
https://translate.googleusercontent.com/translate_f 217/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Políticas \ Opciones de seguridad \ Acceso a la red: rutas de registro accesibles de forma remota
y subrutas
Cuando un servidor tiene el rol de Servicios de certificados de Active Directory con certificación
Servicio de rol de autoridad , la lista anterior también debe incluir:
System \ CurrentControlSet \ Services \ CertSvc .
Cuando un servidor tiene instalada la función de servidor WINS , la lista anterior también debe incluir:
Sistema \ CurrentControlSet \ Services \ WINS
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si elimina las rutas de registro predeterminadas de
la lista de accesibles, herramientas de administración remota como Microsoft Baseline
Security Analyzer y Microsoft Systems Management Server podrían fallar, ya que requieren
acceso remoto al registro para monitorear y administrar adecuadamente las computadoras.
Nota: Si desea permitir el acceso remoto, también debe habilitar el Registro remoto
Servicio.
268 | Página
Página 270
Referencias:
1. CCE-36347-3
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 218/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
269 | Página
Página 271
Descripción:
Cuando está habilitada, esta configuración de directiva restringe el acceso anónimo solo a esos recursos compartidos y
canalizaciones que se nombran en el acceso a la red: canalizaciones con nombre a las que se puede acceder
de forma anónima y acceso a la red: recursos compartidos a los que se puede acceder de forma anónima .
Esta configuración de política controla el acceso de sesión nula a los recursos compartidos en sus computadoras agregando
RestrictNullSessAccess con el valor 1 en el
clave de registro. Este valor de registro activa o desactiva los recursos compartidos de sesión nula para controlar si
el servicio del servidor restringe el acceso de los clientes no autenticados a los recursos nombrados.
Razón fundamental:
Las sesiones nulas son una debilidad que se puede explotar a través de acciones (incluida la
comparte) en las computadoras de su entorno.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 219/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local
Políticas \ Opciones de seguridad \ Acceso a la red: restrinja el acceso anónimo a Nombres
Tubos y acciones
270 | Página
Página 272
Impacto:
Antes del lanzamiento de Windows Server 2003 con Service Pack 1 (SP1), estos se llamaban
a las tuberías se les permitió el acceso anónimo de forma predeterminada, pero con el aumento de
Windows Server 2003 con SP1, estas canalizaciones deben agregarse explícitamente si es necesario.
Habilitado. (El acceso anónimo está restringido a recursos compartidos y canalizaciones enumerados en la red
acceso: canalizaciones con nombre a las que se puede acceder de forma anónima y acceso a la red:
Recursos compartidos a los que se puede acceder de forma anónima en la configuración).
Referencias:
1. CCE-36021-4
271 | Página
Página 273
https://translate.googleusercontent.com/translate_f 220/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
272 | Página
Página 274
Descripción:
Esta configuración de directiva le permite restringir las conexiones RPC remotas a SAM.
https://translate.googleusercontent.com/translate_f 221/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: Administradores: Acceso remoto: Permitir .
Nota: Se requiere un sistema operativo Windows 10 R1607, Server 2016 o más reciente para acceder y configurar este
valor en la directiva de grupo.
Razón fundamental:
Para asegurarse de que un usuario no autorizado no pueda enumerar de forma anónima los nombres de cuentas locales o
grupos y utilizar la información para intentar adivinar contraseñas o realizar actividades sociales
ataques de ingeniería. (Los ataques de ingeniería social intentan engañar a los usuarios de alguna manera para obtener
contraseñas o algún tipo de información de seguridad).
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
273 | Página
Página 275
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
https://translate.googleusercontent.com/translate_f 222/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
274 | Página
Página 276
2.3.10.12 (L1) Garantizar 'Acceso a la red: recursos compartidos a los que se puede acceder
anónimamente 'se establece en' Ninguno '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina a qué recursos compartidos de red pueden acceder los usuarios anónimos.
La configuración predeterminada para esta configuración de directiva tiene poco efecto porque todos los usuarios deben
autenticados antes de que puedan acceder a los recursos compartidos en el servidor.
El estado recomendado para esta configuración es: <en blanco> (es decir, Ninguno).
Razón fundamental:
Es muy peligroso permitir cualquier valor en esta configuración. Cualquier acción que esté listada puede ser
accedido por cualquier usuario de la red, lo que podría conducir a la exposición o corrupción de
datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en <en blanco>
(es decir, ninguno):
https://translate.googleusercontent.com/translate_f 223/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
anónimamente
Impacto:
275 | Página
Página 277
Ninguna. (Solo los usuarios autenticados tendrán acceso a todos los recursos compartidos en el servidor).
Referencias:
1. CCE-38095-6
Controles CIS:
Versión 6
Versión 7
276 | Página
https://translate.googleusercontent.com/translate_f 224/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 278
2.3.10.13 (L1) Garantizar 'Acceso a la red: modelo de seguridad y uso compartido para
cuentas locales 'está configurado en' Clásico: los usuarios locales se autentican como ellos mismos '
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina cómo se realizan los inicios de sesión de red que usan cuentas locales.
autenticado. La opción Clásica permite un control preciso sobre el acceso a los recursos, incluidos
la capacidad de asignar diferentes tipos de acceso a diferentes usuarios para el mismo recurso. los
La opción Solo para invitados le permite tratar a todos los usuarios por igual. En este contexto, todos los usuarios se autentican
como invitado solo para recibir el mismo nivel de acceso a un recurso determinado.
El estado recomendado para esta configuración es: Clásico: los usuarios locales se autentican como
ellos mismos .
Nota: esta configuración no afecta los inicios de sesión interactivos que se realizan de forma remota mediante
servicios como Telnet o Servicios de escritorio remoto (anteriormente llamados Servicios de Terminal).
Razón fundamental:
Con el modelo solo para invitados, cualquier usuario que pueda autenticarse en su computadora a través del
la red lo hace con privilegios de invitado, lo que probablemente significa que no tendrán escritura
acceso a recursos compartidos en esa computadora. Aunque esta restricción aumenta
seguridad, hace que sea más difícil para los usuarios autorizados acceder a recursos compartidos en esos
computadoras porque las ACL en esos recursos deben incluir entradas de control de acceso (ACE) para
la cuenta de invitado. Con el modelo Classic, las cuentas locales deben estar protegidas con contraseña.
De lo contrario, si el acceso de invitado está habilitado, cualquiera puede usar esas cuentas de usuario para acceder
los recursos del sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
277 | Página
Página 279
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Clásica:
los usuarios locales se autentican como ellos mismos :
Impacto:
https://translate.googleusercontent.com/translate_f 225/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
En equipos unidos a un dominio: Clásico: los usuarios locales se autentican como ellos mismos. (Red
los inicios de sesión que usan credenciales de cuenta local se autentican usando esas credenciales).
En equipos independientes: solo para invitados: los usuarios locales se autentican como invitados. (Inicios de sesión de red
que utilizan cuentas locales se asignan automáticamente a la cuenta de invitado).
Referencias:
1. CCE-37623-6
Controles CIS:
Versión 6
Versión 7
278 | Página
Página 280
2.3.11.1 (L1) Garantizar la seguridad de la red: permitir que el sistema local utilice
la identidad de la computadora para NTLM 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los servicios del sistema local que usan Negociar cuando
volver a la autenticación NTLM puede utilizar la identidad de la computadora. Esta política es compatible
en al menos Windows 7 o Windows Server 2008 R2.
https://translate.googleusercontent.com/translate_f 226/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Al conectarse a computadoras que ejecutan versiones de Windows anteriores a Windows Vista
o Windows Server 2008 (no R2), los servicios se ejecutan como sistema local y utilizan SPNEGO
(Negociar) que vuelven a NTLM usan la identidad de la computadora. En Windows 7, si está
conectarse a una computadora con Windows Server 2008 o Windows Vista, luego un sistema
el servicio utiliza la identidad de la computadora o una sesión NULL. Cuando se conecta con un NULL
sesión, se crea una clave de sesión generada por el sistema, que no proporciona protección, pero
permite que las aplicaciones firmen y cifren datos sin errores. Al conectarse con el
Se admite la identidad de la computadora, tanto la firma como el cifrado para proporcionar datos
proteccion.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
279 | Página
Página 281
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Servicios que se ejecutan como sistema local que utilizan Negotiate al volver a NTLM
la autenticación utilizará la identidad de la computadora. Esto puede causar alguna autenticación
solicitudes entre sistemas operativos Windows para fallar y registrar un error.
Discapacitado. (Servicios que se ejecutan como sistema local que usan Negotiate al volver a NTLM
la autenticación se autenticará de forma anónima).
Referencias:
1. CCE-38341-4
Controles CIS:
Versión 6
Versión 7
280 | Página
Página 282
Descripción:
Esta configuración de directiva determina si NTLM puede recurrir a una sesión NULL
cuando se usa con LocalSystem.
Razón fundamental:
Las sesiones NULL son menos seguras porque, por definición, no están autenticadas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Cualquier aplicación que requiera sesiones NULL para LocalSystem no funcionará según lo diseñado.
281 | Página
https://translate.googleusercontent.com/translate_f 228/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 283
En Windows Server 2008 (no R2): habilitado. (Se permitirá a NTLM recurrir a un
Sesión NULL cuando se usa con LocalSystem.)
En Windows Server 2008 R2 y versiones posteriores: deshabilitado. (No se permitirá que NTLM retroceda
a una sesión NULL cuando se usa con LocalSystem.)
Referencias:
1. CCE-37035-3
Controles CIS:
Versión 6
Versión 7
282 | Página
Página 284
Descripción:
Esta configuración determina si las identidades en línea pueden autenticarse en esta computadora.
Con PKU2U, se introdujo una nueva extensión para el paquete de autenticación Negotiate,
Spnego.dll .
En versiones anteriores de Windows, Negotiate decidió si usar Kerberos
o NTLM para autenticación. La extensión SSP para Negotiate, Negoexts.dll , que es
tratado como un protocolo de autenticación por Windows, es compatible con los SSP de Microsoft, incluidos
PKU2U.
Cuando las computadoras están configuradas para aceptar solicitudes de autenticación mediante ID en línea,
Negoexts.dll llamaal SSP PKU2U en la computadora que se utiliza para iniciar sesión. El SSP PKU2U
obtiene un certificado local e intercambia la política entre los equipos del mismo nivel. Cuando
validado en la computadora del mismo nivel, el certificado dentro de los metadatos se envía al par de inicio de sesión
para la validación y asocia el certificado del usuario a un token de seguridad y al proceso de inicio de sesión
completa.
Razón fundamental:
283 | Página
Página 285
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
https://translate.googleusercontent.com/translate_f 230/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado. (No se permitirá que las identidades en línea se autentiquen en un dominio unido
máquina.)
Referencias:
1. CCE-38047-7
Controles CIS:
Versión 6
Versión 7
284 | Página
Página 286
Descripción:
Esta configuración de directiva le permite establecer los tipos de cifrado que Kerberos puede usar.
Razón fundamental:
La fuerza de cada algoritmo de cifrado varía de uno a otro, eligiendo más fuerte
Los algoritmos reducirán el riesgo de compromiso, sin embargo, hacerlo puede causar problemas cuando
la computadora intenta autenticarse con sistemas que no los admiten.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 231/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
285 | Página
Página 287
Impacto:
Nota: Algunas aplicaciones y sistemas operativos heredados pueden requerir RC4_HMAC_MD5 ; le recomendamos
pruebe en su entorno y verifique si puede eliminarlo de manera segura.
Nota 2: Windows Server 2008 (no R2) y versiones anteriores permiten DES para Kerberos de forma predeterminada, pero
las versiones posteriores del sistema operativo no lo hacen.
Referencias:
1. CCE-37755-6
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 232/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
286 | Página
Página 288
Descripción:
Esta configuración de directiva determina si el valor hash de LAN Manager (LM) para el nuevo
La contraseña se almacena cuando se cambia la contraseña. El hash LM es relativamente débil y
propenso a ataques en comparación con el hash de Microsoft Windows NT criptográficamente más fuerte.
Dado que los hash de LM se almacenan en la computadora local en la base de datos de seguridad, las contraseñas pueden
luego se pondrá en peligro fácilmente si la base de datos es atacada.
Nota: Los sistemas operativos más antiguos y algunas aplicaciones de terceros pueden fallar cuando esta política
la configuración está habilitada. Además, tenga en cuenta que la contraseña deberá cambiarse en todas las cuentas.
después de habilitar esta configuración para obtener el beneficio adecuado.
Razón fundamental:
El archivo SAM puede ser objetivo de atacantes que buscan acceso al nombre de usuario y la contraseña.
hashes. Dichos ataques utilizan herramientas especiales para descifrar contraseñas, que luego se pueden utilizar para
hacerse pasar por usuarios y obtener acceso a los recursos de su red. Este tipo de ataques
no se evitará si habilita esta configuración de directiva, pero será mucho más difícil para
este tipo de ataques para tener éxito.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
287 | Página
Página 289
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 233/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Local
Políticas \ Opciones de seguridad \ Seguridad de red: no almacenar hash de LAN Manager
valor en el próximo cambio de contraseña
Impacto:
Ninguno: este es el comportamiento predeterminado. Los sistemas operativos anteriores, como Windows 95,
Windows 98 y Windows ME, así como algunas aplicaciones de terceros, fallarán.
Habilitado. (Los valores hash de LAN Manager no se almacenan cuando se cambian las contraseñas).
Referencias:
1. CCE-36326-7
Controles CIS:
Versión 6
Versión 7
288 | Página
Página 290
2.3.11.6 (L1) Garantizar la seguridad de la red: forzar el cierre de sesión en horas de inicio de sesión
expire 'está configurado como' Habilitado '(sin puntaje)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si desconectar a los usuarios que están conectados al local
computadora fuera del horario de inicio de sesión válido de su cuenta de usuario. Esta configuración afecta al servidor
Componente de bloque de mensajes (SMB). Si habilita esta configuración de política, también debe habilitar
Servidor de red de Microsoft: desconecte los clientes cuando expiren las horas de inicio de sesión (Regla 2.3.9.4).
https://translate.googleusercontent.com/translate_f 234/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Si esta configuración está deshabilitada, un usuario podría permanecer conectado a la computadora fuera de su
horas de inicio de sesión asignadas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada .
Impacto:
Habilitado. (Cuando expira el tiempo de inicio de sesión de un usuario, las sesiones del cliente con el servidor SMB serán
desconectado a la fuerza. El usuario no podrá iniciar sesión en la computadora hasta su próxima
comienza el tiempo de acceso programado.)
289 | Página
Página 291
Referencias:
1. CCE-36270-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 235/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
290 | Página
Página 292
Descripción:
LAN Manager (LM) era una familia de software cliente / servidor de Microsoft (anterior
Windows NT) que permitía a los usuarios vincular computadoras personales en una sola red.
Las capacidades de red LM incluían compartir archivos e impresiones transparentes, funciones de seguridad del usuario,
y herramientas de administración de redes. En los dominios de Active Directory, el protocolo Kerberos es
el protocolo de autenticación predeterminado. Sin embargo, si el protocolo Kerberos no se negocia para
Por alguna razón, Active Directory utilizará LM, NTLM o NTLMv2. Autenticación de LAN Manager
incluye las variantes LM, NTLM y NTLM versión 2 (NTLMv2), y es el protocolo que se
se utiliza para autenticar a todos los clientes de Windows cuando realizan las siguientes operaciones:
• Únete a un dominio
• Autenticar entre bosques de Active Directory
• Autenticarse en dominios de nivel inferior
• Autenticarse en equipos que no ejecutan Windows 2000, Windows Server 2003,
o Windows XP
• Autenticarse en computadoras que no están en el dominio.
La configuración del nivel de autenticación de Seguridad de red: LAN Manager determina qué
El protocolo de autenticación de desafío / respuesta se utiliza para inicios de sesión en la red. Esta elección afecta
el nivel de protocolo de autenticación utilizado por los clientes, el nivel de seguridad de sesión negociado,
y el nivel de autenticación aceptado por los servidores.
El estado recomendado para esta configuración es: Enviar solo respuesta NTLMv2. Rechazar LM &
NTLM .
https://translate.googleusercontent.com/translate_f 236/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
291 | Página
Página 293
Razón fundamental:
Los clientes de Windows 2000 y Windows XP se configuraron de forma predeterminada para enviar LM y NTLM
respuestas de autenticación (los clientes basados en Windows 95 y Windows 98 solo envían
LM). La configuración predeterminada en los sistemas operativos anteriores a Windows Vista / Windows Server 2008 (no
R2) permitió que todos los clientes se autenticaran con los servidores y usaran sus recursos. Sin embargo, esto
significaba que las respuestas LM, la forma más débil de respuesta de autenticación, se enviaban
la red, y era potencialmente posible que los atacantes olfatearan ese tráfico para
reproducir la contraseña del usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en: Enviar
Solo respuesta NTLMv2. Rechazar LM y NTLM :
Impacto:
Los clientes utilizan únicamente la autenticación NTLMv2 y utilizan la seguridad de sesión NTLMv2 si el servidor
lo apoya; Los controladores de dominio rechazan LM y NTLM (aceptan solo NTLMv2
autenticación). Los clientes que no admitan la autenticación NTLMv2 no podrán
autenticarse en el dominio y acceder a los recursos del dominio mediante LM y NTLM.
292 | Página
Página 294
Envíe solo la respuesta NTLMv2. (Los clientes solo usan la autenticación NTLMv2 y usan NTLMv2
seguridad de la sesión si el servidor lo admite; Los controladores de dominio aceptan LM, NTLM y NTLMv2
autenticación.)
Referencias:
1. CCE-36173-3
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
293 | Página
Página 295
Descripción:
Esta configuración de directiva determina el nivel de firma de datos que se solicita en nombre de los clientes
que emiten solicitudes LDAP BIND.
https://translate.googleusercontent.com/translate_f 238/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: esta configuración de directiva no tiene ningún impacto en el enlace simple LDAP
( ldap_simple_bind ) o enlace simple LDAP a través de SSL ( ldap_simple_bind_s ). No
Clientes de Microsoft LDAP que se incluyen con el uso de Windows XP Professional
ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio.
El estado recomendado para esta configuración es: Negociar firma . Configurar este ajuste para
Requerir firma también se ajusta a la referencia.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
294 | Página
Página 296
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Negociar
firma (la configuración para Requerir firma también cumple con el punto de referencia):
Impacto:
Ninguno: este es el comportamiento predeterminado. Sin embargo, si opta por configurar el servidor
para requerir firmas LDAP, también debe configurar el cliente. Si no configura
el cliente no podrá comunicarse con el servidor, lo que podría causar muchos
funciones fallan, incluida la autenticación de usuario, la directiva de grupo y los scripts de inicio de sesión, porque
se le informará a la persona que llama que la solicitud del comando LDAP BIND falló.
Negociar la firma. (Si la seguridad de la capa de transporte / capa de sockets seguros (TLS / SSL) no
iniciado, la solicitud LDAP BIND se inicia con la opción de firma de datos LDAP establecida en
además de las opciones especificadas por la persona que llama. Si se ha iniciado TLS / SSL, LDAP BIND
la solicitud se inicia con las opciones especificadas por la persona que llama).
Referencias:
1. CCE-36858-9
https://translate.googleusercontent.com/translate_f 239/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
295 | Página
Página 297
Descripción:
Esta configuración de directiva determina qué comportamientos están permitidos por los clientes para las aplicaciones
utilizando el proveedor de soporte de seguridad NTLM (SSP). La interfaz SSP (SSPI) es utilizada por
aplicaciones que necesitan servicios de autenticación. El ajuste no modifica la forma en que
La secuencia de autenticación funciona, pero en cambio requiere ciertos comportamientos en aplicaciones que
utilice el SSPI.
El estado recomendado para esta configuración es: Requerir seguridad de sesión NTLMv2, Requerir
Cifrado de 128 bits .
Razón fundamental:
Puede habilitar ambas opciones para esta configuración de directiva para ayudar a proteger el tráfico de red que usa
el proveedor de soporte de seguridad NTLM (NTLM SSP) sea expuesto o manipulado por
un atacante que ha obtenido acceso a la misma red. En otras palabras, estas opciones ayudan
proteger contra ataques de intermediario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 240/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
296 | Página
Página 298
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Requerir
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits :
Impacto:
Las conexiones NTLM fallarán si el protocolo NTLMv2 y el cifrado fuerte (128 bits) no están
ambos negociaron. Las aplicaciones cliente que imponen esta configuración no podrán
comunicarse con servidores más antiguos que no los admitan. Esta configuración podría afectar
Clúster de Windows cuando se aplica a servidores que ejecutan Windows Server 2003, consulte Microsoft
Artículo 890761 de la base de conocimientos: Recibe un mensaje de error "Error 0x8007042b" cuando
agrega o une un nodo a un clúster si usa NTLM versión 2 en Windows Server 2003 para
más información sobre posibles problemas y cómo resolverlos.
En Windows Server 2008 R2 y versiones posteriores: requiere cifrado de 128 bits. (Conexiones NTLM
fallará si no se negocia un cifrado fuerte (128 bits)).
Referencias:
1. CCE-37553-5
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
297 | Página
Página 299
https://translate.googleusercontent.com/translate_f 241/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva determina qué comportamientos están permitidos por los servidores para las aplicaciones
utilizando el proveedor de soporte de seguridad NTLM (SSP). La interfaz SSP (SSPI) es utilizada por
aplicaciones que necesitan servicios de autenticación. El ajuste no modifica la forma en que
La secuencia de autenticación funciona, pero en cambio requiere ciertos comportamientos en aplicaciones que
utilice el SSPI.
El estado recomendado para esta configuración es: Requerir seguridad de sesión NTLMv2, Requerir
Cifrado de 128 bits .
Razón fundamental:
Puede habilitar todas las opciones de esta configuración de directiva para ayudar a proteger el tráfico de red que
utiliza el proveedor de soporte de seguridad NTLM (NTLM SSP) para que no sea expuesto o manipulado
con un atacante que ha obtenido acceso a la misma red. Es decir, estas opciones ayudan
proteger contra ataques de intermediario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
298 | Página
Página 300
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Requerir
Seguridad de sesión NTLMv2, requiere cifrado de 128 bits :
Impacto:
Las conexiones NTLM fallarán si el protocolo NTLMv2 y el cifrado fuerte (128 bits) no están
https://translate.googleusercontent.com/translate_f 242/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
ambos negociaron. Las aplicaciones de servidor que aplican esta configuración no podrán
comunicarse con servidores más antiguos que no los admitan. Esta configuración podría afectar
Clúster de Windows cuando se aplica a servidores que ejecutan Windows Server 2003, consulte Microsoft
Artículo 890761 de la base de conocimientos: Recibe un mensaje de error "Error 0x8007042b" cuando
agrega o une un nodo a un clúster si usa NTLM versión 2 en Windows Server 2003 para
más información sobre posibles problemas y cómo resolverlos.
En Windows Server 2008 R2 y versiones posteriores: requiere cifrado de 128 bits. (Conexiones NTLM
fallará si no se negocia un cifrado fuerte (128 bits)).
Referencias:
1. CCE-37835-6
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
299 | Página
Página 301
https://translate.googleusercontent.com/translate_f 243/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
300 | Página
Página 302
2.3.13 Apagado
Esta sección contiene recomendaciones relacionadas con la funcionalidad de apagado de Windows.
Descripción:
Esta configuración de directiva determina si una computadora se puede apagar cuando un usuario no está
sesión iniciada. Si esta configuración de política está habilitada, el comando de apagado está disponible en el
Pantalla de inicio de sesión de Windows. Se recomienda deshabilitar esta configuración de directiva para restringir la
capacidad de apagar la computadora a los usuarios con credenciales en el sistema.
Nota: En Server 2008 R2 y versiones anteriores, esta configuración no tuvo ningún impacto en el Escritorio remoto
(RDP) / sesiones de Terminal Services: solo afectó a la consola local. Sin embargo, Microsoft
cambió el comportamiento en Windows Server 2012 (no R2) y superior, donde si se establece en
Habilitadas, las sesiones RDP también pueden apagar o reiniciar el servidor.
Razón fundamental:
Los usuarios que pueden acceder a la consola localmente pueden apagar la computadora. Los atacantes podrían
también camine hasta la consola local y reinicie el servidor, lo que provocaría un DoS temporal
condición. Los atacantes también podrían cerrar el servidor y dejar todas sus aplicaciones y
servicios no disponibles. Como se indica en la descripción anterior, el riesgo de denegación de servicio (DoS) de
Habilitar esta configuración aumenta drásticamente en Windows Server 2012 (no R2) y superior,
ya que incluso los usuarios remotos podrían apagar o reiniciar el servidor desde la pantalla de inicio de sesión de
una sesión de RDP.
https://translate.googleusercontent.com/translate_f 244/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
301 | Página
Página 303
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado. (Los operadores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos).
Referencias:
1. CCE-36788-8
302 | Página
https://translate.googleusercontent.com/translate_f 245/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 304
Controles CIS:
Versión 6
Versión 7
303 | Página
Página 305
2.3.15.1 (L1) Asegúrese de que 'Objetos del sistema: requiera que no se distinga entre mayúsculas y minúsculas
Subsistemas de Windows 'está configurado como' Habilitado '(puntuado)
https://translate.googleusercontent.com/translate_f 246/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
• Nivel 1: controlador de dominio
Descripción:
Esta configuración de directiva determina si se aplica la insensibilidad a mayúsculas y minúsculas para todos los subsistemas.
El subsistema Microsoft Win32 no distingue entre mayúsculas y minúsculas. Sin embargo, el kernel admite case
sensibilidad para otros subsistemas, como la interfaz del sistema operativo portátil para UNIX
(POSIX). Debido a que Windows no distingue entre mayúsculas y minúsculas (pero el subsistema POSIX admitirá mayúsculas
sensibilidad), la falta de aplicación de esta configuración de política hace posible que un usuario de POSIX
subsistema para crear un archivo con el mismo nombre que otro archivo usando mayúsculas y minúsculas para etiquetar
eso. Tal situación puede bloquear el acceso a estos archivos por parte de otro usuario que usa Win32 típico.
herramientas, porque solo uno de los archivos estará disponible.
Razón fundamental:
Debido a que Windows no distingue entre mayúsculas y minúsculas, pero el subsistema POSIX admitirá la distinción entre mayúsculas y minúsculas,
Si no se habilita esta configuración de política, un usuario de ese subsistema podría
crear un archivo con el mismo nombre que otro archivo pero con una mezcla diferente de superior e inferior
letras mayúsculas. Tal situación podría confundir a los usuarios cuando intentan acceder a tales
archivos de herramientas normales de Win32 porque solo uno de los archivos estará disponible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
304 | Página
Página 306
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Habilitado. (Todos los subsistemas estarán obligados a observar la insensibilidad a mayúsculas y minúsculas. Esta configuración
puede confundir a los usuarios que están familiarizados con cualquier sistema operativo basado en UNIX que es
sensible.)
Referencias:
1. CCE-37885-1
https://translate.googleusercontent.com/translate_f 247/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 7
305 | Página
Página 307
2.3.15.2 (L1) Asegúrese de que 'Objetos del sistema: fortalezca los permisos predeterminados de
objetos internos del sistema (por ejemplo, enlaces simbólicos) 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina la fuerza de la lista de control de acceso discrecional predeterminada
(DACL) para objetos. Active Directory mantiene una lista global de recursos del sistema compartidos,
como nombres de dispositivos DOS, mutex y semáforos. De esta forma, los objetos se pueden localizar
y compartido entre procesos. Cada tipo de objeto se crea con una DACL predeterminada que
especifica quién puede acceder a los objetos y qué permisos se otorgan.
Razón fundamental:
Esta configuración determina la fuerza de la DACL predeterminada para los objetos. Windows mantiene un
lista global de recursos informáticos compartidos para que los objetos se puedan localizar y compartir entre
Procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede acceder
los objetos y con qué permisos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 248/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
306 | Página
Página 308
Habilitado. (La DACL predeterminada es más fuerte, lo que permite a los usuarios que no son administradores leer
objetos compartidos, pero no permite que estos usuarios modifiquen objetos compartidos que no
crear.)
Referencias:
1. CCE-37644-2
Controles CIS:
Versión 6
Versión 7
307 | Página
https://translate.googleusercontent.com/translate_f 249/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 309
2.3.17.1 (L1) Asegúrese de 'Control de cuentas de usuario: Modo de aprobación de administrador para
la cuenta de administrador integrada 'está configurada como' habilitada '(puntuada)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento del modo de aprobación de administrador para el
Cuenta de administrador.
Razón fundamental:
Uno de los riesgos que presenta la función Control de cuentas de usuario introducida con Windows Vista es
tratar de mitigar es el de software malicioso que se ejecuta con credenciales elevadas sin
siendo el usuario o administrador consciente de su actividad. Un vector de ataque para estos programas
fue descubrir la contraseña de la cuenta llamada "Administrador" porque ese usuario
Se creó una cuenta para todas las instalaciones de Windows. Para abordar este riesgo, en Windows Vista
y más reciente, la cuenta de administrador integrada ahora está deshabilitada de forma predeterminada. Por defecto
instalación de una nueva computadora, las cuentas con control administrativo sobre la computadora son
inicialmente configurado de una de estas dos formas:
• Si el equipo no está unido a un dominio, la primera cuenta de usuario que cree tendrá la
permisos equivalentes como administrador local.
• Si el equipo está unido a un dominio, no se crean cuentas de administrador local.
El administrador de la empresa o del dominio debe iniciar sesión en la computadora y crear
uno si se garantiza una cuenta de administrador local.
Una vez que Windows está instalado, la cuenta de administrador integrada se puede habilitar manualmente,
pero recomendamos encarecidamente que esta cuenta permanezca inhabilitada.
308 | Página
Página 310
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 250/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
FilterAdministratorToken
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
La cuenta de administrador integrada utiliza el modo de aprobación de administrador. Usuarios que inician sesión con el
Se le pedirá consentimiento a la cuenta de administrador local cada vez que un programa solicite un
elevación de privilegios, como lo haría cualquier otro usuario.
Discapacitado. (La cuenta de administrador integrada ejecuta todas las aplicaciones con
privilegio.)
Referencias:
1. CCE-36494-3
Controles CIS:
Versión 6
Versión 7
309 | Página
Página 311
Descripción:
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los administradores.
El estado recomendado para esta configuración es: Solicitar consentimiento en el escritorio seguro .
Razón fundamental:
https://translate.googleusercontent.com/translate_f 251/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Uno de los riesgos que la función UAC introducida con Windows Vista está tratando de mitigar es
el del software malintencionado que se ejecuta con credenciales elevadas sin que el usuario o
administrador teniendo conocimiento de su actividad. Esta configuración sensibiliza al administrador
de operaciones con privilegios elevados y permite al administrador prevenir una
programa de elevar su privilegio cuando el programa intenta hacerlo.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Prompt
para obtener consentimiento en el escritorio seguro :
310 | Página
Página 312
Impacto:
Solicitar consentimiento para archivos binarios que no sean de Windows. (Cuando una operación para una empresa que no es de Microsoft
La aplicación requiere elevación de privilegios, se solicita al usuario en el escritorio seguro que
seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el
privilegio más alto disponible del usuario).
Referencias:
1. CCE-37029-6
Controles CIS:
Versión 6
Versión 7
311 | Página
Página 313
Descripción:
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para usuarios estándar.
El estado recomendado para esta configuración es: Denegar automáticamente las solicitudes de elevación .
Razón fundamental:
Uno de los riesgos que presenta la función Control de cuentas de usuario introducida con Windows Vista es
tratar de mitigar es el de los programas maliciosos que se ejecutan con credenciales elevadas sin
siendo el usuario o administrador consciente de su actividad. Este entorno crea conciencia sobre la
usuario que un programa requiere el uso de operaciones con privilegios elevados y requiere que el
el usuario podrá proporcionar credenciales administrativas para que se ejecute el programa.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 253/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
312 | Página
Página 314
Impacto:
Cuando una operación requiere elevación de privilegios, un error de acceso denegado configurable
se muestra el mensaje. Una empresa que utiliza equipos de escritorio como usuario estándar puede elegir
esta configuración para reducir las llamadas a la mesa de ayuda.
Nota: Con esta configuración configurada como se recomienda, se muestra el mensaje de error predeterminado
cuando un usuario intenta realizar una operación o ejecutar un programa que requiere privilegios
elevación (sin derechos de administrador) es " Este programa no se ejecutará. Este programa es
bloqueado por política de grupo. Para más información, contacte a su administrador de sistema. " Algunos
los usuarios que no están acostumbrados a ver este mensaje pueden creer que la operación o el programa
intentaron ejecutar está específicamente bloqueado por la política de grupo, ya que eso es lo que el mensaje
parece implicar. Por lo tanto, este mensaje puede dar lugar a preguntas del usuario sobre por qué ese
La operación / programa está bloqueado, cuando en realidad el problema es que necesitan realizar la
operación o ejecutar el programa con una cuenta administrativa (o "Ejecutar como administrador" si
ya es una cuenta de administrador), y no lo están haciendo.
Referencias:
1. CCE-36864-7
Controles CIS:
Versión 6
Versión 7
313 | Página
Página 315
Descripción:
Razón fundamental:
Algún software malintencionado intentará instalarse después de recibir permiso para ejecutarse.
Por ejemplo, software malicioso con un shell de aplicación confiable. El usuario puede haber dado
permiso para que el programa se ejecute porque el programa es de confianza, pero si lo son,
se le solicita la instalación de un componente desconocido, esto proporciona otra forma de captura
el software antes de que pueda dañar
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
314 | Página
Página 316
Referencias:
1. CCE-36533-8
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 255/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
monitorear el comportamiento anómalo.
Versión 7
315 | Página
Página 317
Descripción:
Esta configuración de directiva controla si las aplicaciones que solicitan ejecutarse con una interfaz de usuario
El nivel de integridad de accesibilidad (UIAccess) debe residir en una ubicación segura en el sistema de archivos.
Las ubicaciones seguras se limitan a lo siguiente:
Nota: Windows impone una verificación de firma de infraestructura de clave pública (PKI) en cualquier
aplicación interactiva que solicita ejecutarse con un nivel de integridad UIAccess independientemente del
estado de esta configuración de seguridad.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 256/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
UIAccess Integrity permite que una aplicación omita el aislamiento de privilegios de la interfaz de usuario (UIPI)
restricciones cuando una aplicación tiene privilegios elevados de un usuario estándar a un
administrador. Esto es necesario para admitir funciones de accesibilidad, como lectores de pantalla que
están transmitiendo interfaces de usuario a formas alternativas. Un proceso que se inicia con
Los derechos de UIAccess tienen las siguientes capacidades:
316 | Página
Página 318
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Habilitado. (Si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con
Integridad de UIAccess.)
Referencias:
1. CCE-37057-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 257/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
317 | Página
Página 319
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en
Modo de aprobación de administrador 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento de todas las configuraciones de directiva de Control de cuentas de usuario (UAC)
para la computadora. Si cambia esta configuración de política, debe reiniciar su computadora.
Nota: Si esta configuración de directiva está deshabilitada, el Centro de seguridad le notifica que el
la seguridad del sistema operativo se ha reducido.
Razón fundamental:
Esta es la configuración que activa o desactiva UAC. Si esta configuración está deshabilitada, UAC no se utilizará
y cualquier beneficio de seguridad y mitigación de riesgos que dependa de UAC no se
presente en el sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Ninguno: este es el comportamiento predeterminado. Los usuarios y administradores deberán aprender a trabajar
con indicaciones de UAC y ajustar sus hábitos de trabajo para utilizar las operaciones de privilegios mínimos.
318 | Página
Página 320
https://translate.googleusercontent.com/translate_f 258/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Habilitado. (El modo de aprobación de administrador está habilitado. Esta política debe estar habilitada y el UAC relacionado
La configuración de la política también debe establecerse adecuadamente para permitir que la cuenta de administrador incorporada
y todos los demás usuarios que son miembros del grupo de administradores para ejecutar en Admin
Modo de aprobación.)
Referencias:
1. CCE-36869-6
Controles CIS:
Versión 6
Versión 7
319 | Página
Página 321
Descripción:
https://translate.googleusercontent.com/translate_f 259/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
escritorio del usuario interactivo o el escritorio seguro.
El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Los cuadros de diálogo de solicitud de elevación estándar se pueden falsificar, lo que puede hacer que los usuarios revelen
sus contraseñas a software malintencionado. El escritorio seguro presenta una muy distinta
apariencia cuando se solicita la elevación, donde el escritorio del usuario se atenúa y la elevación
La interfaz de usuario rápida es más prominente. Esto aumenta la probabilidad de que los usuarios que se convierten
acostumbrado al escritorio seguro reconocerá un cuadro de diálogo de aviso de elevación falsificado
y no caer en la trampa.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
320 | Página
Página 322
Habilitado. (Todas las solicitudes de elevación van al escritorio seguro independientemente del comportamiento del aviso
configuración de políticas para administradores y usuarios estándar).
Referencias:
1. CCE-36866-2
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 260/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
321 | Página
Página 323
Descripción:
• %Archivos de programa%
•% viento%
•% windir% \ System32
• HKEY_LOCAL_MACHINE \ SOFTWARE
Razón fundamental:
Esta configuración reduce las vulnerabilidades al garantizar que las aplicaciones heredadas solo escriban datos en
ubicaciones permitidas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 261/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Políticas \ Opciones de seguridad \ Control de cuentas de usuario: virtualice el archivo y el registro
escribir fallas en las ubicaciones por usuario
Impacto:
322 | Página
Página 324
Habilitado. (Las fallas de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para
tanto el sistema de archivos como el registro).
Referencias:
1. CCE-37064-3
Controles CIS:
Versión 7
3 Registro de eventos
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
4 grupos restringidos
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
6 Registro
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
7 Sistema de archivos
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
323 | Página
Página 325
https://translate.googleusercontent.com/translate_f 262/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
324 | Página
Página 326
9.1.1 (L1) Asegúrese de que 'Firewall de Windows: Dominio: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 263/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: controlador de dominio
• Nivel 1: servidor miembro
Descripción:
Seleccione Activado (recomendado) para que el Firewall de Windows con seguridad avanzada use el
configuración de este perfil para filtrar el tráfico de red. Si selecciona Desactivado, Firewall de Windows con
Advanced Security no utilizará ninguna de las reglas de firewall o reglas de seguridad de conexión para este
perfil.
Razón fundamental:
Si el cortafuegos está desactivado, todo el tráfico podrá acceder al sistema y un atacante puede
Ser capaz de explotar de forma remota una debilidad en un servicio de red más fácilmente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Activado
(recomendado) :
325 | Página
Página 327
Impacto:
Activado (recomendado). (El Firewall de Windows con seguridad avanzada estará activo en este
perfil.)
Referencias:
1. CCE-36062-8
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 264/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplique firewalls basados en host o herramientas de filtrado de puertos en sistemas finales, con una denegación predeterminada
regla que descarta todo el tráfico excepto aquellos servicios y puertos que están explícitamente permitidos.
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
326 | Página
Página 328
9.1.2 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones entrantes' esté
establecido en 'Bloquear (predeterminado)' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Si el firewall permite que todo el tráfico acceda al sistema, entonces un atacante puede ser más fácil
capaz de explotar de forma remota una debilidad en un servicio de red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Bloquear
(predeterminado) :
https://translate.googleusercontent.com/translate_f 265/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Bloquear (predeterminado). (El Firewall de Windows con seguridad avanzada bloqueará todas las entradas
conexiones que no coinciden con una regla de firewall entrante en este perfil).
327 | Página
Página 329
Referencias:
1. CCE-38117-8
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
328 | Página
https://translate.googleusercontent.com/translate_f 266/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 330
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Conexiones salientes' esté
establecido en 'Permitir (predeterminado)' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Algunas personas creen que es prudente bloquear todas las conexiones salientes excepto aquellas
aprobado específicamente por el usuario o administrador. Microsoft no está de acuerdo con esta opinión,
El bloqueo de las conexiones salientes de forma predeterminada obligará a los usuarios a tratar con una gran cantidad de
Cuadros de diálogo que les solicitan que autoricen o bloqueen aplicaciones como su navegador web
o software de mensajería instantánea. Además, bloquear el tráfico saliente tiene poco valor
porque si un atacante ha comprometido el sistema, puede reconfigurar el firewall
de todas formas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Permitir
(predeterminado) :
329 | Página
Página 331
Impacto:
Permitir (predeterminado). (El Firewall de Windows con seguridad avanzada permitirá todas las
conexiones en este perfil a menos que haya una regla de firewall que lo bloquee explícitamente).
https://translate.googleusercontent.com/translate_f 267/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-36146-9
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
330 | Página
Página 332
Descripción:
Seleccione esta opción para que el Firewall de Windows con seguridad avanzada muestre notificaciones
el usuario cuando un programa no puede recibir conexiones entrantes.
https://translate.googleusercontent.com/translate_f 268/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Las notificaciones de firewall pueden ser complejas y pueden confundir a los usuarios finales, que no lo estarían
capaz de abordar la alerta.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
331 | Página
Página 333
Impacto:
Si. (El Firewall de Windows con seguridad avanzada mostrará una notificación cuando un programa
está bloqueado para recibir conexiones entrantes).
Referencias:
1. CCE-38041-0
Controles CIS:
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
https://translate.googleusercontent.com/translate_f 269/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
332 | Página
Página 334
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log' (puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para especificar la ruta y el nombre del archivo en el que Windows Firewall
escriba su información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
333 | Página
https://translate.googleusercontent.com/translate_f 270/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 335
Referencias:
1. CCE-37482-7
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
334 | Página
Página 336
9.1.6 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: límite de tamaño (KB)' sea
establecido en '16, 384 KB o superior '(puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 271/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Utilice esta opción para especificar el límite de tamaño del archivo en el que Windows Firewall escribirá su
información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en 16,384 KB
o mayor :
Impacto:
El tamaño del archivo de registro se limitará al tamaño especificado, los eventos antiguos se sobrescribirán con los más nuevos.
unos cuando se alcanza el límite.
335 | Página
Página 337
4.096 KB.
Referencias:
1. CCE-36088-3
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
https://translate.googleusercontent.com/translate_f 272/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
336 | Página
Página 338
Descripción:
Utilice esta opción para registrar cuando el Firewall de Windows con seguridad avanzada descarte una entrada
paquete por cualquier motivo. El registro registra por qué y cuándo se descartó el paquete. Buscar
entradas con la palabra DROP en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 273/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
La información sobre los paquetes descartados se registrará en el archivo de registro del firewall.
337 | Página
Página 339
Ningún valor predeterminado). (La información sobre paquetes descartados no se registrará en el registro del firewall
expediente.)
Referencias:
1. CCE-37523-8
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
https://translate.googleusercontent.com/translate_f 274/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
338 | Página
Página 340
Descripción:
Utilice esta opción para iniciar sesión cuando el Firewall de Windows con seguridad avanzada permita una entrada
conexión. El registro registra por qué y cuándo se formó la conexión. Busque entradas
con la palabra PERMITIR en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
La información sobre las conexiones correctas se registrará en el archivo de registro del firewall.
339 | Página
Página 341
https://translate.googleusercontent.com/translate_f 275/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Ningún valor predeterminado). (La información sobre conexiones exitosas no se registrará en el firewall
archivo de registro.)
Referencias:
1. CCE-36393-7
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
340 | Página
Página 342
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 276/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Seleccione Activado (recomendado) para que el Firewall de Windows con seguridad avanzada use el
configuración de este perfil para filtrar el tráfico de red. Si selecciona Desactivado, Firewall de Windows con
Advanced Security no utilizará ninguna de las reglas de firewall o reglas de seguridad de conexión para este
perfil.
Razón fundamental:
Si el cortafuegos está desactivado, todo el tráfico podrá acceder al sistema y un atacante puede
Ser capaz de explotar de forma remota una debilidad en un servicio de red más fácilmente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Activado
(recomendado) :
341 | Página
Página 343
Impacto:
Activado (recomendado). (El Firewall de Windows con seguridad avanzada estará activo en este
perfil.)
Referencias:
1. CCE-38239-0
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
342 | Página
Página 344
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones entrantes' esté configurado
a 'Bloquear (predeterminado)' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Si el firewall permite que todo el tráfico acceda al sistema, entonces un atacante puede ser más fácil
capaz de explotar de forma remota una debilidad en un servicio de red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Bloquear
(predeterminado) :
Impacto:
https://translate.googleusercontent.com/translate_f 278/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Bloquear (predeterminado). (El Firewall de Windows con seguridad avanzada bloqueará todas las entradas
conexiones que no coinciden con una regla de firewall entrante en este perfil).
343 | Página
Página 345
Referencias:
1. CCE-38042-8
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
344 | Página
Página 346
https://translate.googleusercontent.com/translate_f 279/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: conexiones salientes' esté
establecido en 'Permitir (predeterminado)' (puntuado)
Aplicabilidad del perfil:
Descripción:
Nota: Si configura las conexiones salientes en Bloquear y luego implementa la política de firewall usando
un GPO, los equipos que reciben la configuración de GPO no pueden recibir la directiva de grupo posterior
actualizaciones a menos que cree e implemente una regla de salida que permita que la Política de grupo funcione.
Las reglas predefinidas para las redes centrales incluyen reglas de salida que permiten que la directiva de grupo
trabajo. Asegúrese de que estas reglas de salida estén activas y pruebe minuciosamente los perfiles de firewall
antes de desplegar.
Razón fundamental:
Algunas personas creen que es prudente bloquear todas las conexiones salientes excepto aquellas
aprobado específicamente por el usuario o administrador. Microsoft no está de acuerdo con esta opinión,
El bloqueo de las conexiones salientes de forma predeterminada obligará a los usuarios a tratar con una gran cantidad de
Cuadros de diálogo que les solicitan que autoricen o bloqueen aplicaciones como su navegador web
o software de mensajería instantánea. Además, bloquear el tráfico saliente tiene poco valor
porque si un atacante ha comprometido el sistema, puede reconfigurar el firewall
de todas formas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
345 | Página
Página 347
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Permitir
(predeterminado) :
Impacto:
https://translate.googleusercontent.com/translate_f 280/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Permitir (predeterminado). (El Firewall de Windows con seguridad avanzada permitirá todas las
conexiones en este perfil a menos que haya una regla de firewall que lo bloquee explícitamente).
Referencias:
1. CCE-38332-3
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
346 | Página
Página 348
Descripción:
Seleccione esta opción para que el Firewall de Windows con seguridad avanzada muestre notificaciones
el usuario cuando un programa no puede recibir conexiones entrantes.
Razón fundamental:
Las notificaciones de firewall pueden ser complejas y pueden confundir a los usuarios finales, que no lo estarían
capaz de abordar la alerta.
https://translate.googleusercontent.com/translate_f 281/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
347 | Página
Página 349
Impacto:
Si. (El Firewall de Windows con seguridad avanzada mostrará una notificación cuando un programa
está bloqueado para recibir conexiones entrantes).
Referencias:
1. CCE-37621-0
Controles CIS:
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
https://translate.googleusercontent.com/translate_f 282/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
348 | Página
Página 350
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log' (puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para especificar la ruta y el nombre del archivo en el que Windows Firewall
escriba su información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
349 | Página
https://translate.googleusercontent.com/translate_f 283/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 351
Referencias:
1. CCE-37569-1
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
350 | Página
Página 352
9.2.6 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: límite de tamaño (KB)' sea
establecido en '16, 384 KB o superior '(puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 284/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Utilice esta opción para especificar el límite de tamaño del archivo en el que Windows Firewall escribirá su
información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en 16,384 KB
o mayor :
Impacto:
El tamaño del archivo de registro se limitará al tamaño especificado, los eventos antiguos se sobrescribirán con los más nuevos.
unos cuando se alcanza el límite.
351 | Página
Página 353
4.096 KB.
Referencias:
1. CCE-38178-0
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
https://translate.googleusercontent.com/translate_f 285/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
6.5 Gestión central de registros
Asegúrese de que los registros adecuados se agreguen a un sistema de administración de registros central
para análisis y revisión.
352 | Página
Página 354
9.2.7 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro eliminado
paquetes 'está configurado en' Sí '(puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para registrar cuando el Firewall de Windows con seguridad avanzada descarte una entrada
paquete por cualquier motivo. El registro registra por qué y cuándo se descartó el paquete. Buscar
entradas con la palabra DROP en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 286/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Seguridad \ Propiedades de Firewall de Windows \ Perfil privado \ Registro Personalizar \ Registro
paquetes caídos
Impacto:
La información sobre los paquetes descartados se registrará en el archivo de registro del firewall.
353 | Página
Página 355
Ningún valor predeterminado). (La información sobre paquetes descartados no se registrará en el registro del firewall
expediente.)
Referencias:
1. CCE-35972-9
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
354 | Página
https://translate.googleusercontent.com/translate_f 287/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 356
9.2.8 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para iniciar sesión cuando el Firewall de Windows con seguridad avanzada permita una entrada
conexión. El registro registra por qué y cuándo se formó la conexión. Busque entradas
con la palabra PERMITIR en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
La información sobre las conexiones correctas se registrará en el archivo de registro del firewall.
355 | Página
Página 357
Ningún valor predeterminado). (La información sobre conexiones exitosas no se registrará en el firewall
archivo de registro.)
Referencias:
https://translate.googleusercontent.com/translate_f 288/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37387-8
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
356 | Página
Página 358
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado en 'Activado
(recomendado) '(puntuado)
Aplicabilidad del perfil:
Descripción:
Seleccione Activado (recomendado) para que el Firewall de Windows con seguridad avanzada use el
configuración de este perfil para filtrar el tráfico de red. Si selecciona Desactivado, Firewall de Windows con
Advanced Security no utilizará ninguna de las reglas de firewall o reglas de seguridad de conexión para este
perfil.
https://translate.googleusercontent.com/translate_f 289/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Si el cortafuegos está desactivado, todo el tráfico podrá acceder al sistema y un atacante puede
Ser capaz de explotar de forma remota una debilidad en un servicio de red más fácilmente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Activado
(recomendado):
357 | Página
Página 359
Impacto:
Activado (recomendado). (El Firewall de Windows con seguridad avanzada estará activo en este
perfil.)
Referencias:
1. CCE-37862-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 290/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
358 | Página
Página 360
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: Público: conexiones entrantes' esté configurado
a 'Bloquear (predeterminado)' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Si el firewall permite que todo el tráfico acceda al sistema, entonces un atacante puede ser más fácil
capaz de explotar de forma remota una debilidad en un servicio de red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Bloquear
(predeterminado) :
Impacto:
https://translate.googleusercontent.com/translate_f 291/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
359 | Página
Página 361
Bloquear (predeterminado). (El Firewall de Windows con seguridad avanzada bloqueará todas las entradas
conexiones que no coinciden con una regla de firewall entrante en este perfil).
Referencias:
1. CCE-36057-8
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
360 | Página
Página 362
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: público: conexiones salientes' esté
establecido en 'Permitir (predeterminado)' (puntuado)
https://translate.googleusercontent.com/translate_f 292/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Nota: Si configura las conexiones salientes en Bloquear y luego implementa la política de firewall usando
un GPO, los equipos que reciben la configuración de GPO no pueden recibir la directiva de grupo posterior
actualizaciones a menos que cree e implemente una regla de salida que permita que la Política de grupo funcione.
Las reglas predefinidas para las redes centrales incluyen reglas de salida que permiten que la directiva de grupo
trabajo. Asegúrese de que estas reglas de salida estén activas y pruebe minuciosamente los perfiles de firewall
antes de desplegar.
Razón fundamental:
Algunas personas creen que es prudente bloquear todas las conexiones salientes excepto aquellas
aprobado específicamente por el usuario o administrador. Microsoft no está de acuerdo con esta opinión,
El bloqueo de las conexiones salientes de forma predeterminada obligará a los usuarios a tratar con una gran cantidad de
Cuadros de diálogo que les solicitan que autoricen o bloqueen aplicaciones como su navegador web
o software de mensajería instantánea. Además, bloquear el tráfico saliente tiene poco valor
porque si un atacante ha comprometido el sistema, puede reconfigurar el firewall
de todas formas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
361 | Página
Página 363
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Permitir
(predeterminado) :
Impacto:
Permitir (predeterminado). (El Firewall de Windows con seguridad avanzada permitirá todas las
conexiones en este perfil a menos que haya una regla de firewall que lo bloquee explícitamente).
https://translate.googleusercontent.com/translate_f 293/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-37434-8
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
362 | Página
Página 364
Descripción:
Seleccione esta opción para que el Firewall de Windows con seguridad avanzada muestre notificaciones
el usuario cuando un programa no puede recibir conexiones entrantes.
Razón fundamental:
Algunas organizaciones pueden preferir evitar alarmar a los usuarios cuando las reglas de firewall bloquean ciertos
tipos de actividad de la red. Sin embargo, las notificaciones pueden ser útiles para solucionar problemas
Problemas de red relacionados con el firewall.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 294/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en 'No':
Impacto:
363 | Página
Página 365
Si. (El Firewall de Windows con seguridad avanzada mostrará una notificación cuando un programa
está bloqueado para recibir conexiones entrantes).
Referencias:
1. CCE-38043-6
Controles CIS:
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
https://translate.googleusercontent.com/translate_f 295/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
364 | Página
Página 366
9.3.5 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar firewall local
reglas 'se establece en' No '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración controla si los administradores locales pueden crear reglas de firewall locales
que se aplican junto con las reglas de firewall configuradas por la Política de grupo.
Razón fundamental:
Cuando esté en el perfil público, no debe haber excepciones especiales de firewall local por
computadora. Esta configuración debe administrarse mediante una política centralizada.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
Los administradores aún pueden crear reglas de firewall, pero las reglas no se aplicarán.
365 | Página
Página 367
https://translate.googleusercontent.com/translate_f 296/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Sí (predeterminado). (Se aplicarán las reglas de firewall creadas por los administradores).
Referencias:
1. CCE-37861-2
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
366 | Página
Página 368
Descripción:
Esta configuración controla si los administradores locales pueden crear una conexión
reglas de seguridad que se aplican junto con las reglas de seguridad de conexión configuradas por el grupo
https://translate.googleusercontent.com/translate_f 297/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Política.
El estado recomendada para este ajuste es: n .
Razón fundamental:
Los usuarios con privilegios administrativos pueden crear reglas de firewall que expongan el sistema a
ataque remoto.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
Los administradores aún pueden crear reglas de seguridad de conexión local, pero las reglas no serán
aplicado.
367 | Página
Página 369
Sí (predeterminado). (Se aplicarán las reglas de seguridad de conexión local creadas por los administradores).
Referencias:
1. CCE-36268-1
Controles CIS:
Versión 6
Versión 7
11.3 Utilice herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
Compare toda la configuración del dispositivo de red con las configuraciones de seguridad aprobadas
https://translate.googleusercontent.com/translate_f 298/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
definido para cada dispositivo de red en uso y alerta cuando se descubre cualquier desviación.
368 | Página
Página 370
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' esté configurado en
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log' (puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para especificar la ruta y el nombre del archivo en el que Windows Firewall
escriba su información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
https://translate.googleusercontent.com/translate_f 299/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El archivo de registro se almacenará en el archivo especificado.
369 | Página
Página 371
Referencias:
1. CCE-37266-4
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
370 | Página
Página 372
https://translate.googleusercontent.com/translate_f 300/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
9.3.8 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: límite de tamaño (KB)' sea
establecido en '16, 384 KB o superior '(puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para especificar el límite de tamaño del archivo en el que Windows Firewall escribirá su
información de registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en 16,384 KB
o mayor :
Impacto:
El tamaño del archivo de registro se limitará al tamaño especificado, los eventos antiguos se sobrescribirán con los más nuevos.
unos cuando se alcanza el límite.
371 | Página
Página 373
4.096 KB.
Referencias:
1. CCE-36395-2
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 301/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
372 | Página
Página 374
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro eliminado
paquetes 'está configurado en' Sí '(puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para registrar cuando el Firewall de Windows con seguridad avanzada descarte una entrada
paquete por cualquier motivo. El registro registra por qué y cuándo se descartó el paquete. Buscar
entradas con la palabra DROP en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
https://translate.googleusercontent.com/translate_f 302/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
La información sobre los paquetes descartados se registrará en el archivo de registro del firewall.
373 | Página
Página 375
Ningún valor predeterminado). (La información sobre paquetes descartados no se registrará en el registro del firewall
expediente.)
Referencias:
1. CCE-37265-6
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
https://translate.googleusercontent.com/translate_f 303/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
374 | Página
Página 376
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro exitoso
conexiones 'está configurado en' Sí '(puntuado)
Aplicabilidad del perfil:
Descripción:
Utilice esta opción para iniciar sesión cuando el Firewall de Windows con seguridad avanzada permita una entrada
conexión. El registro registra por qué y cuándo se formó la conexión. Busque entradas
con la palabra PERMITIR en la columna de acción del registro.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Impacto:
La información sobre las conexiones correctas se registrará en el archivo de registro del firewall.
375 | Página
https://translate.googleusercontent.com/translate_f 304/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 377
Ningún valor predeterminado). (La información sobre conexiones exitosas no se registrará en el firewall
archivo de registro.)
Referencias:
1. CCE-36394-5
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
376 | Página
Página 378
16 Políticas de seguridad IP
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
377 | Página
Página 379
17.1.1 (L1) Asegúrese de que 'Validación de credenciales de auditoría' esté configurado en 'Éxito y
Fracaso '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa los resultados de las pruebas de validación de las credenciales enviadas para un usuario.
https://translate.googleusercontent.com/translate_f 306/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
solicitud
cartas de inicio dePara
credenciales. sesión
las de cuenta.
cuentas de Estos eventos
dominio, ocurren ende
el controlador la dominio
computadora
tiene que tiene autoridad
autoridad, mientraspara el las
que para
cuentas, la computadora local tiene autoridad. En entornos de dominio, la mayor parte de la cuenta
Los eventos de inicio de sesión se producen en el registro de seguridad de los controladores de dominio autorizados para
las cuentas de dominio. Sin embargo, estos eventos pueden ocurrir en otras computadoras en el
organización cuando se utilizan cuentas locales para iniciar sesión. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
378 | Página
Página 380
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-37741-6
https://translate.googleusercontent.com/translate_f 307/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
379 | Página
Página 381
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
380 | Página
https://translate.googleusercontent.com/translate_f 308/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 382
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en
'Éxito y fracaso' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa los resultados de los eventos generados después de una autenticación Kerberos.
Solicitud TGT. Kerberos es un servicio de autenticación distribuido que permite que un cliente ejecute
en nombre de un usuario para demostrar su identidad a un servidor sin enviar datos a través del
red. Esto ayuda a evitar que un atacante o servidor se haga pasar por un usuario.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
381 | Página
Página 383
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
https://translate.googleusercontent.com/translate_f 309/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38140-0
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
382 | Página
Página 384
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté configurado en
'Éxito y fracaso' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa los resultados de los eventos generados por el ticket de autenticación Kerberos-
concesión de solicitudes de ticket (TGT). Las solicitudes de tickets de servicio Kerberos (solicitudes TGS) ocurren como
parte del uso del servicio y solicitudes de acceso de cuentas específicas. Auditar estos eventos
registrar la dirección IP desde la cual la cuenta solicitó TGS, cuando se solicitó TGS,
y qué tipo de cifrado se utilizó.
https://translate.googleusercontent.com/translate_f 310/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
383 | Página
Página 385
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-37975-0
Controles CIS:
Versión 7
384 | Página
Página 386
17.2.1 (L1) Asegúrese de que 'Audit Application Group Management' esté configurado en
'Éxito y fracaso' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite auditar eventos generados por cambios en grupos de aplicaciones.
como los siguientes:
Los grupos de aplicaciones son utilizados por Windows Authorization Manager, que es una
marco creado por Microsoft para integrar el control de acceso basado en roles (RBAC) en
aplicaciones. Más información sobre el Administrador de autorización de Windows está disponible enMSDN -
Administrador de autorización de Windows .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
https://translate.googleusercontent.com/translate_f 312/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
385 | Página
Página 387
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-38329-9
Controles CIS:
Versión 6
Versión 7
386 | Página
Página 388
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado en
incluir 'Éxito' (solo DC) (puntuado)
https://translate.googleusercontent.com/translate_f 313/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta subcategoría informa cada evento de administración de cuentas de computadora, como cuando un
Se crea, cambia, elimina, cambia de nombre, desactiva o activa una cuenta de computadora. Eventos para
esta subcategoría incluye:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
387 | Página
Página 389
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
https://translate.googleusercontent.com/translate_f 314/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-38004-8
Controles CIS:
Versión 6
Versión 7
388 | Página
Página 390
17.2.3 (L1) Asegúrese de que 'Auditar la gestión del grupo de distribución' esté configurado en
incluir 'Éxito' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cada evento de la gestión del grupo de distribución, como cuando un
se crea, cambia o elimina un grupo de distribución o cuando un miembro se agrega o
eliminado de un grupo de distribución. Si habilita esta configuración de política de auditoría, los administradores
puede rastrear eventos para detectar la creación maliciosa, accidental y autorizada de cuentas grupales.
Los eventos de esta subcategoría incluyen:
https://translate.googleusercontent.com/translate_f 315/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• 4762: Se eliminó un miembro de un grupo universal con seguridad deshabilitada.
• 4763: se eliminó un grupo universal con seguridad deshabilitada.
Razón fundamental:
La auditoría de estos eventos puede proporcionar a una organización información al respecto al investigar un
incidente. Por ejemplo, cuando un usuario no autorizado determinado se agregó a un
grupo de distribución.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
389 | Página
Página 391
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-36265-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 316/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
390 | Página
Página 392
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado en
incluir 'Éxito' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa sobre otros eventos de administración de cuentas. Eventos para esta subcategoría
incluir:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
391 | Página
Página 393
https://translate.googleusercontent.com/translate_f 317/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Sin auditoría.
Referencias:
1. CCE-37855-4
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
392 | Página
Página 394
17.2.5 (L1) Asegúrese de que 'Auditar la gestión del grupo de seguridad' esté configurado para incluir
'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa de cada evento de la gestión del grupo de seguridad, como cuando un
se crea, cambia o elimina un grupo de seguridad o cuando se agrega o elimina un miembro
https://translate.googleusercontent.com/translate_f 318/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
de un grupo de seguridad. Si habilita esta configuración de política de auditoría, los administradores pueden realizar un seguimiento
eventos para detectar la creación maliciosa, accidental y autorizada de cuentas de grupos de seguridad.
Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
393 | Página
Página 395
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38034-5
https://translate.googleusercontent.com/translate_f 319/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
394 | Página
Página 396
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en 'Éxito
and Failure '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa de cada evento de administración de cuentas de usuario, como cuando un usuario
la cuenta se crea, cambia o elimina; una cuenta de usuario cambia de nombre, se deshabilita o habilita; o
se establece o cambia una contraseña. Si habilita esta configuración de política de auditoría, los administradores pueden
rastrear eventos para detectar la creación maliciosa, accidental y autorizada de cuentas de usuario.
Los eventos de esta subcategoría incluyen:
Razón fundamental:
https://translate.googleusercontent.com/translate_f 320/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
395 | Página
Página 397
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-37856-2
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
396 | Página
Página 398
https://translate.googleusercontent.com/translate_f 321/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite auditar cuando plug and play detecta un dispositivo externo.
Nota: Se requiere un sistema operativo Windows 10, Server 2016 o más reciente para acceder y configurar este valor en
Política de grupo.
Razón fundamental:
Habilitar esta configuración permitirá a un usuario auditar eventos cuando un dispositivo está conectado a un
sistema. Esto puede ayudar a alertar al personal de TI si se conectan dispositivos no aprobados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
397 | Página
Página 399
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
https://translate.googleusercontent.com/translate_f 322/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Sin auditoría.
Controles CIS:
Versión 6
Versión 7
398 | Página
Página 400
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir 'Éxito'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Consulte el artículo 947226 de Microsoft Knowledge Base: Descripción de los eventos de seguridad en
Windows Vista y Windows Server 2008 para obtener la información más reciente sobre este
ajuste.
https://translate.googleusercontent.com/translate_f 323/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
399 | Página
Página 401
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-36059-4
Controles CIS:
Versión 7
https://translate.googleusercontent.com/translate_f 324/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
400 | Página
Página 402
17.4 Acceso DS
Esta sección contiene recomendaciones para configurar la auditoría de acceso a servicios de directorio
política.
17.4.1 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado para incluir
'Fallo' (solo DC) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando se accede a un objeto de AD DS. Solo los objetos con SACL causan
auditar los eventos que se generarán, y solo cuando se acceda a ellos de una manera que coincida
su SACL. Estos eventos son similares a los eventos de acceso al servicio de directorio en anteriores
versiones de Windows Server. Esta subcategoría se aplica solo a los controladores de dominio. Eventos
para esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Fracaso :
401 | Página
https://translate.googleusercontent.com/translate_f 325/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 403
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-37433-0
Controles CIS:
Versión 6
Versión 7
402 | Página
Página 404
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado para incluir
'Éxito' (solo DC) (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 326/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta subcategoría informa de los cambios en los objetos de los Servicios de dominio de Active Directory (AD DS).
Los tipos de cambios que se informan son operaciones de creación, modificación, movimiento y recuperación.
que se realizan en un objeto. La auditoría de cambios de DS, cuando corresponda, indica el antiguo
y nuevos valores de las propiedades modificadas de los objetos que se modificaron. Solo objetos
con SACL hacen que se generen eventos de auditoría, y solo cuando se accede a ellos en un
manera que coincida con su SACL. Algunos objetos y propiedades no hacen que los eventos de auditoría
generarse debido a la configuración de la clase de objeto en el esquema. Esta subcategoría se aplica
solo para controladores de dominio. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
403 | Página
Página 405
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-37616-0
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 327/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
404 | Página
Página 406
17.5.1 (L1) Asegúrese de que 'Bloqueo de cuenta de auditoría' esté configurado para incluir 'Fallo'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando la cuenta de un usuario está bloqueada como resultado de demasiados errores.
intentos de inicio de sesión. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
https://translate.googleusercontent.com/translate_f 328/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Fracaso :
405 | Página
Página 407
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-37133-6
Controles CIS:
Versión 6
Versión 7
406 | Página
https://translate.googleusercontent.com/translate_f 329/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 408
17.5.2 (L1) Asegúrese de que la 'Membresía del grupo de auditoría' esté configurada para incluir 'Éxito'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta política le permite auditar la información de pertenencia al grupo en el inicio de sesión del usuario.
simbólico. Los eventos de esta subcategoría se generan en el equipo en el que se inicia una sesión
es creado. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en la computadora
al que el usuario inició sesión. Para un inicio de sesión en la red, como acceder a una carpeta compartida en el
red, el evento de auditoría de seguridad se genera en la computadora que aloja el recurso.
Nota: Se requiere un sistema operativo Windows 10, Server 2016 o más reciente para acceder y configurar este valor en
Política de grupo.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
407 | Página
Página 409
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
https://translate.googleusercontent.com/translate_f 330/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Controles CIS:
Versión 6
Versión 7
408 | Página
Página 410
17.5.3 (L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando un usuario cierra la sesión del sistema. Estos eventos ocurren en el
computadora accedida. Para inicios de sesión interactivos, la generación de estos eventos ocurre en el
computadora en la que está conectado. Si se realiza un inicio de sesión en la red para acceder a un recurso compartido, estos eventos
generar en la computadora que aloja el recurso accedido. Si configura este ajuste para
Sin auditoría, es difícil o imposible determinar qué usuario ha accedido o intentado
para acceder a las computadoras de la organización. Los eventos de esta subcategoría incluyen:
https://translate.googleusercontent.com/translate_f 331/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• 4634: se cerró la sesión de una cuenta.
• 4647: Cierre de sesión iniciado por el usuario.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
409 | Página
Página 411
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38237-4
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 332/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
6.3 Habilitar el registro detallado
Habilite el registro del sistema para incluir información detallada como el origen del evento, la fecha,
usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles.
410 | Página
Página 412
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando un usuario intenta iniciar sesión en el sistema. Estos eventos ocurren
en la computadora accedida. Para inicios de sesión interactivos, la generación de estos eventos ocurre en
la computadora en la que está conectado. Si se realiza un inicio de sesión en la red para acceder a un recurso compartido, estos
Los eventos se generan en la computadora que aloja el recurso al que se accede. Si configura esto
configurando Sin auditoría, es difícil o imposible determinar qué usuario ha accedido o
intentó acceder a las computadoras de la organización. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
https://translate.googleusercontent.com/translate_f 333/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
411 | Página
Página 413
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito y fracaso.
Referencias:
1. CCE-38036-0
Controles CIS:
Versión 6
Versión 7
412 | Página
Página 414
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en 'Éxito
https://translate.googleusercontent.com/translate_f 334/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta subcategoría informa sobre otros eventos relacionados con el inicio / cierre de sesión, como Escritorio remoto
La sesión de servicios se desconecta y se vuelve a conectar, utilizando RunAs para ejecutar procesos bajo un
cuenta diferente y bloqueo y desbloqueo de una estación de trabajo. Eventos para esta subcategoría
incluir:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
413 | Página
Página 415
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
https://translate.googleusercontent.com/translate_f 335/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-36322-6
414 | Página
Página 416
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 336/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
415 | Página
Página 417
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando se utiliza un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión que tiene
privilegios equivalentes al administrador y se puede utilizar para elevar un proceso a un nivel superior.
Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
https://translate.googleusercontent.com/translate_f 337/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
416 | Página
Página 418
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-36266-5
Controles CIS:
Versión 6
5.8 Los administradores no deben iniciar sesión directamente en un sistema (es decir, usar RunAs / sudo)
Se debe solicitar a los administradores que accedan a un sistema mediante un registro completo y sin
cuenta administrativa. Luego, una vez que haya iniciado sesión en la máquina sin administrador
privilegios, el administrador debe pasar a los privilegios administrativos utilizando herramientas como
como Sudo en Linux / UNIX, RunAs en Windows y otras instalaciones similares para otros tipos de
sistemas.
Versión 7
417 | Página
Página 419
https://translate.googleusercontent.com/translate_f 338/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir 'Fa
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría le permite auditar los intentos de acceder a archivos y carpetas en una carpeta compartida.
Los eventos de esta subcategoría incluyen:
• 5145: se verificó el objeto compartido de red para ver si se puede otorgar al cliente
acceso deseado.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Fracaso :
418 | Página
Página 420
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
https://translate.googleusercontent.com/translate_f 339/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Sin auditoría.
Referencias:
1. CCE-36878-7
Controles CIS:
Versión 7
419 | Página
Página 421
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y error'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite auditar los intentos de acceder a una carpeta compartida.
Nota: No hay listas de control de acceso al sistema (SACL) para carpetas compartidas. Si esta política
está habilitada, se audita el acceso a todas las carpetas compartidas del sistema.
Razón fundamental:
En un entorno gestionado por una empresa, es importante realizar un seguimiento de la eliminación, creación,
eventos de modificación y acceso para recursos compartidos de red. Cualquier actividad inusual para compartir archivos puede
ser útil en una investigación de actividad potencialmente maliciosa.
Auditoría:
https://translate.googleusercontent.com/translate_f 340/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
420 | Página
Página 422
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-37384-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 341/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
su necesidad de acceder a la información como parte de sus responsabilidades.
421 | Página
Página 423
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado en 'Éxito
and Failure '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite auditar eventos generados por la administración de tareas
trabajos del programador u objetos COM +.
• Trabajo creado.
• Trabajo eliminado.
• Trabajo habilitado.
• Trabajo inhabilitado.
• Trabajo actualizado.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
422 | Página
Página 424
https://translate.googleusercontent.com/translate_f 342/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-37620-2
Controles CIS:
Versión 6
6.2 Asegúrese de que la configuración del registro de auditoría sea compatible con el formato de entrada de registro adecuado
Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él,
Asegurarse de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y
varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar
registros en un formato estandarizado, como las entradas de syslog o las delineadas por Common Event
Iniciativa de expresión. Si los sistemas no pueden generar registros en un formato estandarizado, log
Se pueden implementar herramientas de normalización para convertir los registros a dicho formato.
Versión 7
423 | Página
Página 425
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y
Fracaso '(puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 343/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política le permite auditar los intentos de los usuarios de acceder a los objetos del sistema de archivos en un
dispositivo de almacenamiento extraíble. Se genera un evento de auditoría de seguridad solo para todos los objetos para todos
tipos de acceso solicitados. Si configura esta configuración de directiva, se genera un evento de auditoría
cada vez que una cuenta accede a un objeto del sistema de archivos en un almacenamiento extraíble. Auditorías de éxito
registrar los intentos exitosos y las auditorías de fallos registran los intentos fallidos. Si no lo hace
configurar esta configuración de política, no se genera ningún evento de auditoría cuando una cuenta accede a un archivo
objeto del sistema en un almacenamiento extraíble.
Nota: Se requiere un sistema operativo Windows 8.0, Server 2012 (no R2) o más reciente para acceder y configurar este
valor en la directiva de grupo.
Razón fundamental:
La auditoría del almacenamiento extraíble puede resultar útil al investigar un incidente. Por ejemplo, si
se sospecha que una persona copia información confidencial en una unidad USB.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
424 | Página
Página 426
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-37617-8
https://translate.googleusercontent.com/translate_f 344/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
425 | Página
Página 427
Controles CIS:
Versión 6
Versión 7
13.8 Administrar las configuraciones de lectura / escritura de los medios extraíbles externos del sistema
Configure los sistemas para que no escriban datos en medios extraíbles externos, si no hay negocios
necesidad de soportar tales dispositivos.
https://translate.googleusercontent.com/translate_f 345/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
426 | Página
Página 428
17.7.1 (L1) Asegúrese de que 'Auditar cambio de política de auditoría' esté configurado para incluir 'Éxito'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cambios en la política de auditoría, incluidos los cambios de SACL. Eventos para esto
la subcategoría incluye:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
427 | Página
https://translate.googleusercontent.com/translate_f 346/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 429
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38028-7
428 | Página
Página 430
Controles CIS:
Versión 6
3.5 Usar herramientas de integridad de archivos para archivos críticos del sistema
Utilice herramientas de verificación de integridad de archivos para asegurarse de que los archivos críticos del sistema (incluidos los
ejecutables del sistema y de la aplicación, bibliotecas y configuraciones) no se han modificado.
https://translate.googleusercontent.com/translate_f 347/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El sistema de informes debe: tener la capacidad de contabilizar los cambios rutinarios y esperados;
resaltar y alertar sobre alteraciones inusuales o inesperadas; mostrar el historial de configuración
cambios a lo largo del tiempo e identificar quién hizo el cambio (incluido el inicio de sesión original
cuenta en el caso de un cambio de ID de usuario, como con el comando su o sudo). Estas
Las verificaciones de integridad deben identificar alteraciones sospechosas del sistema, tales como: propietario y
cambios de permisos a archivos o directorios; el uso de flujos de datos alternativos que podrían
utilizarse para ocultar actividades maliciosas; y la introducción de archivos adicionales en el sistema de claves
áreas (que podrían indicar cargas útiles maliciosas dejadas por atacantes o archivos adicionales
agregado de manera inapropiada durante los procesos de distribución por lotes).
Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
429 | Página
Página 431
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado para incluir
'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cambios en la política de autenticación. Eventos para esta subcategoría
incluir:
https://translate.googleusercontent.com/translate_f 348/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• 4718: el acceso de seguridad del sistema se eliminó de una cuenta.
• 4739: se cambió la política de dominio.
• 4864: se detectó una colisión de espacio de nombres.
• 4865: se agregó una entrada de información de bosque confiable.
• 4866: se eliminó una entrada de información de bosque de confianza.
• 4867: se modificó una entrada de información de bosque de confianza.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
430 | Página
Página 432
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38327-3
https://translate.googleusercontent.com/translate_f 349/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
431 | Página
Página 433
Controles CIS:
Versión 6
3.5 Usar herramientas de integridad de archivos para archivos críticos del sistema
Utilice herramientas de verificación de integridad de archivos para asegurarse de que los archivos críticos del sistema (incluidos los
ejecutables del sistema y de la aplicación, bibliotecas y configuraciones) no se han modificado.
El sistema de informes debe: tener la capacidad de contabilizar los cambios rutinarios y esperados;
resaltar y alertar sobre alteraciones inusuales o inesperadas; mostrar el historial de configuración
cambios a lo largo del tiempo e identificar quién hizo el cambio (incluido el inicio de sesión original
cuenta en el caso de un cambio de ID de usuario, como con el comando su o sudo). Estas
Las verificaciones de integridad deben identificar alteraciones sospechosas del sistema, tales como: propietario y
cambios de permisos a archivos o directorios; el uso de flujos de datos alternativos que podrían
utilizarse para ocultar actividades maliciosas; y la introducción de archivos adicionales en el sistema de claves
áreas (que podrían indicar cargas útiles maliciosas dejadas por atacantes o archivos adicionales
agregado de manera inapropiada durante los procesos de distribución por lotes).
Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
https://translate.googleusercontent.com/translate_f 350/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
432 | Página
Página 434
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado para incluir
'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cambios en la política de autorización. Eventos para esta subcategoría
incluir:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
433 | Página
Página 435
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
https://translate.googleusercontent.com/translate_f 351/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-36320-0
434 | Página
Página 436
Controles CIS:
Versión 6
3.5 Usar herramientas de integridad de archivos para archivos críticos del sistema
Utilice herramientas de verificación de integridad de archivos para asegurarse de que los archivos críticos del sistema (incluidos los
ejecutables del sistema y de la aplicación, bibliotecas y configuraciones) no se han modificado.
El sistema de informes debe: tener la capacidad de contabilizar los cambios rutinarios y esperados;
resaltar y alertar sobre alteraciones inusuales o inesperadas; mostrar el historial de configuración
cambios a lo largo del tiempo e identificar quién hizo el cambio (incluido el inicio de sesión original
cuenta en el caso de un cambio de ID de usuario, como con el comando su o sudo). Estas
Las verificaciones de integridad deben identificar alteraciones sospechosas del sistema, tales como: propietario y
cambios de permisos a archivos o directorios; el uso de flujos de datos alternativos que podrían
utilizarse para ocultar actividades maliciosas; y la introducción de archivos adicionales en el sistema de claves
áreas (que podrían indicar cargas útiles maliciosas dejadas por atacantes o archivos adicionales
agregado de manera inapropiada durante los procesos de distribución por lotes).
https://translate.googleusercontent.com/translate_f 352/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
14.9 Hacer cumplir el registro de detalles para el acceso o los cambios a datos confidenciales
Haga cumplir el registro de auditoría detallado para acceder a datos confidenciales o cambios en datos confidenciales
(utilizando herramientas como el monitoreo de la integridad de los archivos o la información de seguridad y
Supervisión).
435 | Página
Página 437
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de reglas MPSSVC' esté configurado en
'Éxito y fracaso' (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 353/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
regla.
• 4954: la configuración de la política de grupo del Firewall de Windows ha cambiado. La nueva configuración tiene
sido aplicado.
• 4956: Firewall de Windows ha cambiado el perfil activo.
• 4957: Firewall de Windows no aplicó la siguiente regla.
• 4958: Firewall de Windows no aplicó la siguiente regla porque la regla hacía referencia
a elementos no configurados en esta computadora.
436 | Página
Página 438
Razón fundamental:
Los cambios en las reglas del firewall son importantes para comprender el estado de seguridad del
computadora y qué tan bien está protegida contra ataques de red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-37852-1
https://translate.googleusercontent.com/translate_f 354/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
437 | Página
Página 439
Controles CIS:
Versión 7
438 | Página
Página 440
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado para incluir
https://translate.googleusercontent.com/translate_f 355/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
'Fracaso' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría contiene eventos sobre cambios en la política del Agente de recuperación de datos de EFS, cambios
en el filtro de la plataforma de filtrado de Windows, el estado de las actualizaciones de configuración de la política de seguridad para
Configuración de la directiva de grupo, cambios en la directiva de acceso central y eventos detallados de solución de problemas
para operaciones criptográficas de próxima generación (CNG).
Razón fundamental:
Esta configuración puede ayudar a detectar errores en la configuración de seguridad aplicada que provienen de Group
Políticas y eventos de falla relacionados con las funciones criptográficas de próxima generación (CNG).
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
439 | Página
Página 441
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
https://translate.googleusercontent.com/translate_f 356/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-38029-5
Controles CIS:
Versión 7
440 | Página
Página 442
17.8.1 (L1) Asegúrese de que 'Auditar uso de privilegios sensibles' esté configurado en 'Éxito y
Fracaso '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa cuando una cuenta de usuario o un servicio utiliza un privilegio confidencial. UNA
El privilegio sensible incluye los siguientes derechos de usuario:
https://translate.googleusercontent.com/translate_f 357/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Modificar los valores del entorno de firmware
• Reemplazar un token a nivel de proceso
• Restaurar archivos y directorios
• Tomar posesión de archivos u otros objetos
La auditoría de esta subcategoría creará un gran volumen de eventos. Eventos para esta subcategoría
incluir:
Razón fundamental:
441 | Página
Página 443
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-36267-3
https://translate.googleusercontent.com/translate_f 358/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
442 | Página
Página 444
Controles CIS:
Versión 6
Versión 7
443 | Página
Página 445
https://translate.googleusercontent.com/translate_f 359/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
17.9 Sistema
Esta sección contiene recomendaciones para configurar la política de auditoría del sistema.
17.9.1 (L1) Asegúrese de que 'Auditar el controlador IPsec' esté configurado en 'Éxito y fracaso'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa sobre las actividades del controlador de seguridad del protocolo de Internet (IPsec).
Los eventos de esta subcategoría incluyen:
• 4960: IPsec eliminó un paquete entrante que no pasó una verificación de integridad. Si esto
El problema persiste, podría indicar un problema de red o que se están enviando paquetes.
modificado en tránsito a esta computadora. Verifique que los paquetes enviados desde el control remoto
computadora son los mismos que los recibidos por esta computadora. Este error también
indican problemas de interoperabilidad con otras implementaciones de IPsec.
• 4961: IPsec eliminó un paquete entrante que falló en una verificación de reproducción. Si este problema
persiste, podría indicar un ataque de repetición contra esta computadora.
• 4962: IPsec eliminó un paquete entrante que falló en una verificación de reproducción. El entrante
El paquete tenía un número de secuencia demasiado bajo para garantizar que no fuera una repetición.
• 4963: IPsec eliminó un paquete de texto sin cifrar entrante que debería haberse protegido.
Esto generalmente se debe a que la computadora remota ha cambiado su política de IPsec sin
informar a esta computadora. Esto también podría ser un intento de ataque de suplantación.
• 4965: IPsec recibió un paquete de una computadora remota con una seguridad incorrecta
Índice de parámetros (SPI). Esto generalmente se debe a un hardware defectuoso que
corromper paquetes. Si estos errores persisten, verifique que los paquetes enviados desde el
equipo remoto son los mismos que los recibidos por este equipo. Este error puede
también indican problemas de interoperabilidad con otras implementaciones de IPsec. En eso
En caso de que la conectividad no se vea obstaculizada, estos eventos pueden ignorarse.
• 5478: Los servicios IPsec se iniciaron correctamente.
• 5479: Los servicios IPsec se han cerrado correctamente. El cierre de IPsec
Los servicios pueden poner a la computadora en mayor riesgo de ataque a la red o exponer la
computadora a posibles riesgos de seguridad.
• 5480: Los servicios IPsec no pudieron obtener la lista completa de interfaces de red en el
computadora. Esto plantea un riesgo potencial de seguridad porque parte de la red
Es posible que las interfaces no obtengan la protección proporcionada por los filtros IPsec aplicados. Utilizar el
Complemento IP Security Monitor para diagnosticar el problema.
444 | Página
Página 446
• 5483:
Los servicios IPsec no pudieron inicializar el servidor RPC. Los servicios IPsec no se pudieron
empezado.
• 5484: IPsec Services ha experimentado una falla crítica y se ha cerrado. los
el apagado de los servicios IPsec puede poner la computadora en mayor riesgo de ataque a la red
o exponer la computadora a posibles riesgos de seguridad.
• 5485: Los servicios IPsec no pudieron procesar algunos filtros IPsec en un evento plug-and-play para
interfaces de red. Esto plantea un riesgo potencial de seguridad porque parte de la red
Es posible que las interfaces no obtengan la protección proporcionada por los filtros IPsec aplicados. Utilizar el
Complemento IP Security Monitor para diagnosticar el problema.
https://translate.googleusercontent.com/translate_f 360/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
445 | Página
Página 447
Referencias:
1. CCE-37853-9
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 361/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
446 | Página
Página 448
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito y
Fracaso '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa sobre otros eventos del sistema. Los eventos de esta subcategoría incluyen:
Razón fundamental:
La captura de estos eventos de auditoría puede ser útil para identificar cuándo el Firewall de Windows está
no funciona como se esperaba.
https://translate.googleusercontent.com/translate_f 362/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
447 | Página
Página 449
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso :
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito y fracaso.
Referencias:
1. CCE-38030-3
448 | Página
https://translate.googleusercontent.com/translate_f 363/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 450
Controles CIS:
Versión 6
Versión 7
449 | Página
Página 451
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir
'Éxito' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 364/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta subcategoría informa cambios en el estado de seguridad del sistema, como cuando la seguridad
el subsistema se inicia y se detiene. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
450 | Página
Página 452
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito.
Referencias:
1. CCE-38114-5
Controles CIS:
Versión 7
https://translate.googleusercontent.com/translate_f 365/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
6.3 Habilitar el registro detallado
Habilite el registro del sistema para incluir información detallada como el origen del evento, la fecha,
usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles.
451 | Página
Página 453
17.9.4 (L1) Asegúrese de que la 'Extensión del sistema de seguridad de auditoría' esté configurada para incluir
'Éxito' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa la carga de código de extensión, como paquetes de autenticación, por
el subsistema de seguridad. Los eventos de esta subcategoría incluyen:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para incluir
Éxito :
https://translate.googleusercontent.com/translate_f 366/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
452 | Página
Página 454
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Sin auditoría.
Referencias:
1. CCE-36144-4
Controles CIS:
Versión 6
Versión 7
453 | Página
https://translate.googleusercontent.com/translate_f 367/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 455
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y fracaso'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta subcategoría informa sobre violaciones de la integridad del subsistema de seguridad. Eventos para
esta subcategoría incluye:
• 4612: Los recursos internos asignados para la cola de mensajes de auditoría se han
agotado, lo que ha provocado la pérdida de algunas auditorías.
• 4615: uso no válido del puerto LPC.
• 4618: Se ha producido un patrón de evento de seguridad supervisado.
• 4816: RPC detectó una violación de la integridad al descifrar un mensaje entrante.
• 5038: la integridad del código determinó que el hash de la imagen de un archivo no es válido. El archivo
podría estar dañado debido a una modificación no autorizada o el hash no válido podría indicar
un posible error del dispositivo de disco.
• 5056: Se realizó una autoprueba criptográfica.
• 5057: Error en una operación de primitiva criptográfica.
• 5060: Error en la operación de verificación.
• 5061: Operación criptográfica.
• 5062: Se realizó una autoprueba criptográfica en modo kernel.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
454 | Página
Página 456
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la interfaz de usuario en Success
y fracaso:
https://translate.googleusercontent.com/translate_f 368/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Si no se configuran ajustes de auditoría, o si los ajustes de auditoría son demasiado laxos en las computadoras de su
organización, es posible que no se detecten incidentes de seguridad o que no se disponga de pruebas suficientes
disponible para análisis forense de red después de que ocurran incidentes de seguridad. Sin embargo, si la auditoría
La configuración es demasiado severa, las entradas de importancia crítica en el registro de seguridad pueden estar oscurecidas por
todas las entradas sin sentido y el rendimiento de la computadora y la cantidad de datos disponible
el almacenamiento puede verse seriamente afectado. Empresas que operan en determinadas industrias reguladas
puede tener la obligación legal de registrar ciertos eventos o actividades.
Éxito y fracaso.
Referencias:
1. CCE-37132-8
455 | Página
Página 457
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 369/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
para análisis y revisión.
456 | Página
Página 458
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.1.1 Personalización
Esta sección contiene recomendaciones para la configuración de personalización del Panel de control.
18.1.1.1 (L1) Asegúrese de que 'Evitar la habilitación de la cámara de pantalla de bloqueo' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 370/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Deshabilita el interruptor de palanca de la cámara de la pantalla de bloqueo en la configuración de la PC y evita que una cámara
se invoca en la pantalla de bloqueo.
Razón fundamental:
La desactivación de la cámara de la pantalla de bloqueo amplía la protección que ofrece la pantalla de bloqueo para
características de la cámara.
457 | Página
Página 459
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows
8.1 y plantillas administrativas de Server 2012 R2 (o más recientes).
Impacto:
Si habilita esta configuración, los usuarios ya no podrán habilitar o deshabilitar la pantalla de bloqueo
acceso a la cámara en Configuración de PC, y la cámara no se puede invocar en la pantalla de bloqueo.
Discapacitado. (Los usuarios pueden habilitar la invocación de una cámara disponible en la pantalla de bloqueo).
Referencias:
1. CCE-38347-1
Controles CIS:
Versión 7
https://translate.googleusercontent.com/translate_f 371/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
458 | Página
Página 460
18.1.1.2 (L1) Asegúrese de que 'Evitar la activación de la presentación de diapositivas de la pantalla de bloqueo'
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
La desactivación de la presentación de diapositivas de la pantalla de bloqueo amplía la protección que ofrece la pantalla de bloqueo para
contenido de la presentación de diapositivas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows
8.1 y plantillas administrativas de Server 2012 R2 (o más recientes).
Impacto:
Si habilita esta configuración, los usuarios ya no podrán modificar la configuración de la presentación de diapositivas en la PC
Configuración, y nunca se iniciará ninguna presentación de diapositivas.
459 | Página
Página 461
Discapacitado. (Los usuarios pueden habilitar una presentación de diapositivas que se ejecutará después de bloquear la máquina).
https://translate.googleusercontent.com/translate_f 372/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-38348-9
Controles CIS:
Versión 7
460 | Página
Página 462
https://translate.googleusercontent.com/translate_f 373/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
(no R2) Plantillas administrativas (o más reciente).
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar el reconocimiento de voz en línea
services 'está configurado como' Disabled '(puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Si esta configuración está habilitada, la información confidencial podría almacenarse en la nube o enviarse a
Microsoft.
461 | Página
Página 463
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Globalization.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Permitir la personalización de entrada , pero se le cambió el nombre a Permitir que los usuarios habiliten en línea
servicios de reconocimiento de voz a partir de Windows 10 R1809 y Server 2019
Plantillas Administrativas.
Impacto:
El aprendizaje automático del habla, el entintado y la escritura se detiene y los usuarios no pueden cambiar su valor.
a través de Configuración de PC.
https://translate.googleusercontent.com/translate_f 374/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Habilitado. (El aprendizaje automático de voz, escritura y escritura está habilitado, pero los usuarios pueden cambiar
este valor a través de la configuración de la PC).
462 | Página
Página 464
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 375/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
463 | Página
Página 465
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política configura la recuperación de sugerencias y ayuda en línea para la aplicación Configuración.
Razón fundamental:
Debido a preocupaciones de privacidad, los datos nunca deben enviarse a terceros, ya que estos datos podrían
contener información sensible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanel.admx / adml que se incluye con la versión de Microsoft Windows 10
1709 Plantillas administrativas (o más reciente).
Impacto:
La configuración no se comunicará con los servicios de contenido de Microsoft para obtener sugerencias y contenido de ayuda.
Habilitado. (La configuración se pondrá en contacto con los servicios de contenido de Microsoft para recuperar sugerencias y contenido de ayuda).
464 | Página
Página 466
https://translate.googleusercontent.com/translate_f 376/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
465 | Página
Página 467
18.2 VUELTAS
Esta sección contiene recomendaciones para configurar el Administrador local de Microsoft
Solución de contraseña (LAPS).
Esta sección de Política de grupo la proporciona la plantilla de política de grupo AdmPwd.admx / adml que
se incluye con LAPS.
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado (MS
solamente) (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 377/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
466 | Página
Página 468
Razón fundamental:
Auditoría:
Se puede verificar la instalación de LAPS AdmPwd GPO Extension / CSE mediante la presencia de
el siguiente valor de registro:
Remediación:
Para utilizar LAPS, se requiere una actualización menor del esquema de Active Directory y un grupo
La extensión del lado del cliente de políticas (CSE) debe estar instalada en cada equipo administrado. Cuando
LAPS está instalado, el archivo AdmPwd.dll debe estar presente en la siguiente ubicación y
registrado en Windows (la instalación LAPS AdmPwd GPO Extension / CSE hace esto para
tú):
https://translate.googleusercontent.com/translate_f 378/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Sin impacto. Cuando se instala y registra correctamente, AdmPwd.dll no realiza ninguna acción a menos que
dados los comandos de GPO apropiados durante la actualización de la directiva de grupo. No es un residente de memoria
agente o servicio.
No instalado.
467 | Página
Página 469
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 379/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
468 | Página
Página 470
18.2.2 (L1) Asegúrese de que 'No permita que la contraseña caduque más de
requerido por la política 'se establece en' Habilitado '(solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
469 | Página
Página 471
https://translate.googleusercontent.com/translate_f 380/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Solución de contraseña (LAPS).
Impacto:
Caducidad planificada de la contraseña más larga que la antigüedad de la contraseña dictada por "Configuración de contraseña"
NO se permite la política.
Discapacitado. (El tiempo de caducidad de la contraseña puede ser mayor que el requerido por la "Contraseña
Configuración "política.)
470 | Página
Página 472
Controles CIS:
Versión 6
Versión 7
16.10 Asegúrese de que todas las cuentas tengan una fecha de vencimiento
Asegúrese de que todas las cuentas tengan una fecha de vencimiento que se supervise y se cumpla.
https://translate.googleusercontent.com/translate_f 381/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
471 | Página
Página 473
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté configurado e
'Habilitado' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
https://translate.googleusercontent.com/translate_f 382/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
dominio.
El estado recomendado para esta configuración es: habilitado .
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
Razón fundamental:
472 | Página
Página 474
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Solución de contraseña (LAPS).
Impacto:
Se administra la contraseña del administrador local (siempre que el GPO LAPS AdmPwd
La extensión / CSE está instalada en la computadora de destino (consulte la Regla 18.2.1), Active Directory
el esquema de dominio y los permisos de la cuenta se han configurado correctamente en el dominio).
https://translate.googleusercontent.com/translate_f 383/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
473 | Página
Página 475
Controles CIS:
Versión 6
Versión 7
474 | Página
https://translate.googleusercontent.com/translate_f 384/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 476
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
El estado recomendado para esta configuración es: Activado: letras grandes + letras pequeñas +
números + caracteres especiales .
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
475 | Página
Página 477
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
y configure la opción Complejidad de la contraseña en letras grandes + letras pequeñas +
números + caracteres especiales :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Solución de contraseña (LAPS).
Impacto:
Se requerirá que las contraseñas generadas por LAPS contengan letras grandes + letras pequeñas +
números + caracteres especiales.
476 | Página
Página 478
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 386/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
477 | Página
Página 479
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
https://translate.googleusercontent.com/translate_f 387/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
Razón fundamental:
478 | Página
Página 480
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
y configure la opción Longitud de la contraseña en 15 o más :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Solución de contraseña (LAPS).
Impacto:
Se requerirá que las contraseñas generadas por LAPS tengan una longitud de 15 caracteres (o más, si
seleccionado).
14 caracteres.
Controles CIS:
Versión 6
Versión 7
479 | Página
https://translate.googleusercontent.com/translate_f 388/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 481
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté
'Habilitado: 30 o menos' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
En mayo de 2015, Microsoft lanzó la herramienta Solución de contraseña de administrador local (LAPS),
que es un software gratuito y compatible que permite a una organización configurar automáticamente
contraseñas de cuenta de administrador local aleatorias y únicas en dominios adjuntos
estaciones de trabajo y servidores miembro. Las contraseñas se almacenan en un atributo confidencial de
cuenta de la computadora del dominio y se puede recuperar de Active Directory por
Administradores de sistemas cuando sea necesario.
La herramienta LAPS requiere una pequeña actualización del esquema de Active Directory para implementar, como
así como la instalación de una extensión del lado del cliente (CSE) de directiva de grupo en los equipos de destino.
Consulte la documentación de LAPS para obtener más detalles.
LAPS es compatible con sistemas operativos Windows Vista o más recientes para estaciones de trabajo, y Server 2003 o más reciente
sistemas operativos del servidor. LAPS no admite computadoras independientes; deben estar unidas a una
dominio.
Nota: Las organizaciones que utilizan software comercial de terceros para administrar
Las complejas contraseñas de administrador local de los miembros del dominio pueden optar por ignorarlas.
Recomendaciones LAPS.
Nota # 2: LAPS solo está diseñado para administrar contraseñas de administrador local y, por lo tanto,
no recomendado (o admitido) para su uso directamente en controladores de dominio, que no
tener una cuenta de administrador local tradicional. Le recomendamos encarecidamente que solo implemente
la configuración de LAPS CSE y LAPS GPO a servidores miembro y estaciones de trabajo.
Razón fundamental:
480 | Página
Página 482
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 389/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft
Servicios \ AdmPwd: PasswordAgeDays
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
y configure la opción Antigüedad de la contraseña (días) en 30 o menos :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( AdmPwd.admx / adml ) es obligatorio; se incluye con el Administrador local de Microsoft.
Solución de contraseña (LAPS).
Impacto:
Las contraseñas generadas por LAPS deberán tener una antigüedad máxima de 30 días (o menos, si
seleccionado).
30 dias.
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
481 | Página
Página 483
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SecGuide.admx / adml
que está disponible en Microsoft en este enlace.
18.3.1 (L1) Asegúrese de 'Aplicar restricciones de UAC a las cuentas locales en la red
inicios de sesión 'está configurado como' Habilitado '(solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 390/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración controla si las cuentas locales se pueden utilizar para la administración remota a través de
inicio de sesión en la red (por ejemplo, NET USE, conectarse a C $, etc.). Las cuentas locales tienen un alto riesgo de
robo de credenciales cuando se configura la misma cuenta y contraseña en varios sistemas.
Habilitar esta política reduce significativamente ese riesgo.
Habilitado: aplica el filtrado de tokens UAC a las cuentas locales en los inicios de sesión en la red. Membresía en
grupo poderoso como los administradores está deshabilitado y se eliminan los privilegios poderosos
del token de acceso resultante. Esto configura LocalAccountTokenFilterPolicy
valor de registro a 0 . Este es el comportamiento predeterminado de Windows.
Deshabilitado: permite que las cuentas locales tengan todos los derechos administrativos al autenticarse mediante
inicio de sesión de red, configurando el valor de registro LocalAccountTokenFilterPolicy en 1 .
Para obtener más información acerca de las cuentas locales y el robo de credenciales, consulte la sección " Mitigación
"Ataques Pass-the-Hash (PtH) y otras técnicas de robo de credenciales " .
482 | Página
Página 484
Razón fundamental:
Las cuentas locales tienen un alto riesgo de robo de credenciales cuando se utiliza la misma cuenta y contraseña.
configurado en varios sistemas. Asegurarse de que esta política esté habilitada reduce significativamente
riesgo.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Impacto:
Habilitado. (El filtrado de tokens UAC se aplica a las cuentas locales en los inicios de sesión en la red.
en grupos poderosos como administradores y discapacitados y privilegios poderosos son
https://translate.googleusercontent.com/translate_f 391/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
eliminado del token de acceso resultante).
Referencias:
1. CCE-37069-2
483 | Página
Página 485
Controles CIS:
Versión 6
5.8 Los administradores no deben iniciar sesión directamente en un sistema (es decir, usar RunAs / sudo)
Se debe solicitar a los administradores que accedan a un sistema mediante un registro completo y sin
cuenta administrativa. Luego, una vez que haya iniciado sesión en la máquina sin administrador
privilegios, el administrador debe pasar a los privilegios administrativos utilizando herramientas como
como Sudo en Linux / UNIX, RunAs en Windows y otras instalaciones similares para otros tipos de
sistemas.
Versión 7
https://translate.googleusercontent.com/translate_f 392/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
484 | Página
Página 486
18.3.2 (L1) Asegúrese de que 'Configurar el controlador de cliente SMB v1' esté configurado en 'Habilitado:
Desactivar controlador (recomendado) '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración configura el tipo de inicio para el cliente Server Message Block versión 1 (SMBv1)
servicio de controlador ( MRxSmb10 ), que se recomienda desactivar.
El estado recomendado para esta configuración es: Habilitado: deshabilita el controlador (recomendado) .
Nota: No, bajo ninguna circunstancia , configure esta configuración general como Desactivada , como
por lo tanto, eliminará la entrada de registro subyacente por completo, lo que causará problemas graves.
Razón fundamental:
Deshabilite SMB v1 en entornos administrados con la política de grupo - Seguridad cibernética "Manténgase seguro"
Blog
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
485 | Página
Página 487
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
https://translate.googleusercontent.com/translate_f 393/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Impacto:
Algunos sistemas operativos heredados (por ejemplo, Windows XP, Server 2003 o anterior), aplicaciones y dispositivos
Es posible que ya no pueda comunicarse con el sistema una vez que SMBv1 esté desactivado. Nosotros
Recomendamos que se realicen pruebas cuidadosas para determinar el impacto antes de configurar este
como un control generalizado y, cuando sea posible, remediar cualquier incompatibilidad encontrada con
el proveedor del sistema incompatible. Microsoft también mantiene un riguroso (aunque
no exhaustivo) lista de incompatibilidades SMBv1 conocidas en este enlace: Producto SMB1
Cámara de compensación | Almacenamiento en Microsoft
Windows Server 2008 (no R2), 2008 R2 y 2012 (no R2): Habilitado: Inicio manual.
Windows Server 2012 R2 y Server 2016 (hasta R1607): habilitado: inicio automático.
486 | Página
Página 488
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
487 | Página
Página 489
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración configura el procesamiento del lado del servidor del bloque de mensajes del servidor versión 1
(SMBv1) protocolo.
Razón fundamental:
Deshabilite SMB v1 en entornos administrados con la política de grupo - Seguridad cibernética "Manténgase seguro"
Blog
https://translate.googleusercontent.com/translate_f 395/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
488 | Página
Página 490
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Impacto:
Algunos sistemas operativos heredados (por ejemplo, Windows XP, Server 2003 o anterior), aplicaciones y dispositivos
Es posible que ya no pueda comunicarse con el sistema una vez que SMBv1 esté desactivado. Nosotros
Recomendamos que se realicen pruebas cuidadosas para determinar el impacto antes de configurar este
como un control generalizado y, cuando sea posible, remediar cualquier incompatibilidad encontrada con
el proveedor del sistema incompatible. Microsoft también mantiene un riguroso (aunque
no exhaustivo) lista de incompatibilidades SMBv1 conocidas en este enlace: Producto SMB1
Cámara de compensación | Almacenamiento en Microsoft
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 396/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Se detectan puertos no autorizados en un sistema.
489 | Página
Página 491
Descripción:
Razón fundamental:
Esta función está diseñada para bloquear exploits que utilizan el controlador de excepciones estructurado (SEH)
técnica de sobrescritura. Este mecanismo de protección se proporciona en tiempo de ejecución. Por lo tanto
ayuda a proteger las aplicaciones independientemente de si se han compilado con la última
mejoras, como la opción / SAFESEH.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Hay más información disponible en MSKB 956607: Cómo habilitar la excepción estructurada
Manejo de la protección contra sobrescritura (SEHOP) en sistemas operativos Windows
490 | Página
Página 492
https://translate.googleusercontent.com/translate_f 397/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Después de habilitar SEHOP, las versiones existentes de Cygwin, Skype y Armadillo protegidas
es posible que las aplicaciones no funcionen correctamente.
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
491 | Página
Página 493
Descripción:
Esta configuración controla la autenticación LDAP sobre SSL / TLS para ayudar a que sea más segura.
https://translate.googleusercontent.com/translate_f 398/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: Activado: Activado, siempre (recomendado) .
Nota: Todos los clientes LDAP deben tener laActualización de seguridad CVC-2017-8563 para ser compatible
con controladores de dominio que tienen esta configuración habilitada.
Más información sobre esta configuración está disponible en: Use the LdapEnforceChannelBinding
Entrada de registro para hacer más segura la autenticación LDAP sobre SSL-TLS
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Habilitado, siempre (recomendado) :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace .
492 | Página
Página 494
Impacto:
Todos los clientes LDAP deben proporcionar información de enlace de canal. El servidor rechaza
solicitudes de autenticación de clientes que no lo hacen. Los clientes deben tener elCVC-2017-
8563 actualización de seguridad para admitir esta función y puede tener problemas de compatibilidad con
Controladores de dominio sin la actualización de seguridad. Esto también puede significar que LDAP
Las solicitudes de autenticación a través de SSL / TLS que funcionaron anteriormente pueden dejar de funcionar hasta que
la actualización de seguridad está instalada.
Cuando implemente esta configuración por primera vez, es posible que inicialmente solo desee configurarla en la alternativa
Configuración de Habilitado: Habilitado, cuando se admite (en lugar de Habilitado: Habilitado, siempre
(recomendado) )en todos los controladores de dominio. Esta configuración provisional alternativa permite el apoyo
para el enlace de canal de cliente LDAP pero no lo requiere . Luego configure un DC que no sea
que los clientes LDAP apuntan actualmente a Habilitado: Habilitado, siempre (recomendado) ,
y probar cada uno de los clientes LDAP críticos contra ese DC (y corregirlos según sea necesario),
antes de implementar Habilitado: Habilitado, siempre (recomendado) para el resto de los controladores de dominio.
Sistemas operativos más antiguos como Windows XP, Windows Server 2003, Windows Vista y Windows
Server 2008 (no R2), primero requerirá parches para Microsoft Security Advisory 973811 , como
así como todas las correcciones asociadas, para que sea compatible con los controladores de dominio que tienen este
configuración implementada.
Nota: Solo habilitado: habilitado, siempre (recomendado) se considera realmente compatible con
el punto de referencia CIS.
https://translate.googleusercontent.com/translate_f 399/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Más información sobre esta configuración está disponible en: Utilice el LdapEnforceChannelBinding
Entrada de registro para hacer más segura la autenticación LDAP sobre SSL-TLS
Controles CIS:
Versión 7
493 | Página
Página 495
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-
nodo (recomendado) '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración determina qué método NetBIOS sobre TCP / IP (NetBT) utiliza para registrar y
resolver nombres. Los métodos disponibles son:
El estado recomendado para esta configuración es: Habilitado: nodo P (recomendado) (punto a
punto).
Nota: La resolución a través de LMHOSTS o DNS sigue estos métodos. Si el registro NodeType
está presente, anula cualquier valor de registro DhcpNodeType . Si ni NodeType ni
DhcpNodeType estápresente, la computadora usa el nodo B (transmisión) si no hay WINS
servidores configurados para la red, o nodo H (híbrido) si hay al menos un servidor WINS
configurado.
Razón fundamental:
Para ayudar a mitigar el riesgo de ataques de envenenamiento del servicio de nombres NetBIOS (NBT-NS),
establecer el tipo de nodo en P-nodo (punto a punto) evitará que el sistema envíe
Difusiones NetBIOS.
Auditoría:
https://translate.googleusercontent.com/translate_f 400/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
494 | Página
Página 496
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nodo P (recomendado) :
Impacto:
Las consultas de resolución de nombres NetBIOS requerirán un servidor WINS definido y disponible para
resolución de nombres NetBIOS externa. Si un servidor WINS no está definido o no es accesible y el
El nombre de host deseado no está definido en la caché local, archivos LMHOSTS o HOSTS locales, NetBIOS
la resolución de nombres fallará.
Nodo B (solo difusión) si un servidor WINS no está configurado en las propiedades de NIC.
Nodo H (híbrido: punto a punto primero, luego difusión) si un servidor WINS está configurado en NIC
propiedades.
495 | Página
Página 497
https://translate.googleusercontent.com/translate_f 401/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
496 | Página
Página 498
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled' (Scored)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 402/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Cuando la autenticación WDigest está habilitada, Lsass.exe conserva una copia del texto sin formato del usuario
contraseña en la memoria, donde puede estar en riesgo de robo. Si este ajuste no está configurado,
La autenticación WDigest está deshabilitada en Windows 8.1 y en Windows Server 2012 R2; es
habilitado de forma predeterminada en versiones anteriores de Windows y Windows Server.
Para obtener más información acerca de las cuentas locales y el robo de credenciales, consulte la sección " Mitigación
"Ataques Pass-the-Hash (PtH) y otras técnicas de robo de credenciales " .
Para obtener más información sobre UseLogonCredential , consulte el artículo de Microsoft Knowledge Base
2871997: Actualización de asesoramiento de seguridad de Microsoft para mejorar la protección de credenciales y
gestión 13 de mayo de 2014 .
Razón fundamental:
Evitar el almacenamiento de texto plano de las credenciales en la memoria puede reducir la oportunidad de
robo de credenciales.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
497 | Página
Página 499
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( SecGuide.admx / adml ) es obligatorio; está disponible en Microsoft eneste enlace.
Impacto:
Ninguno: esta también es la configuración predeterminada para Server 2012 R2 y versiones posteriores.
En el servidor 2012 (no R2) y anteriores: habilitado. (Lsass.exe conserva una copia del
contraseña de texto sin formato en la memoria, donde existe riesgo de robo).
Referencias:
https://translate.googleusercontent.com/translate_f 403/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-38444-6
Controles CIS:
Versión 6
Versión 7
498 | Página
Página 500
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSS-legacy.admx / adml
que está disponible en esta publicación de blog de TechNet: La configuración de MSS - Seguridad de Microsoft
Blog de orientación
18.4.1 (L1) Asegúrese de que 'MSS: (AutoAdminLogon) Habilite el inicio de sesión automático
(no recomendado) 'está configurado como' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Para obtener información adicional, consulte el artículo 324737 de Microsoft Knowledge Base: Cómo encender
inicio de sesión automático en Windows.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 404/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Si configura una computadora para el inicio de sesión automático, cualquiera que pueda acceder físicamente a
la computadora también puede obtener acceso a todo lo que está en la computadora, incluyendo cualquier
red o redes a las que está conectada la computadora. Además, si habilita la
inicio de sesión, la contraseña se almacena en el registro en texto sin formato. La clave de registro específica que
almacena esta configuración para que el grupo de usuarios autenticados pueda leerla de forma remota. Como resultado, este
La entrada es apropiada solo si la computadora está protegida físicamente y si se asegura de que
los usuarios que no son de confianza no pueden ver el registro de forma remota.
499 | Página
Página 501
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
Discapacitado.
Referencias:
1. CCE-37067-6
Controles CIS:
Versión 6
Versión 7
500 | Página
https://translate.googleusercontent.com/translate_f 405/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 502
18.4.2 (L1) Asegúrese de que 'MSS: (Desactivar IPSourceRouting IPv6) enrutamiento de origen IP
nivel de protección (protege contra la suplantación de paquetes) 'se establece en' Habilitado:
Máxima protección, el enrutamiento de origen está completamente deshabilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
El estado recomendado para esta configuración es: Activado: máxima protección, fuente
el enrutamiento está completamente deshabilitado .
Razón fundamental:
Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. Fuente
El enrutamiento permite que una computadora que envía un paquete especifique la ruta que toma el paquete.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Máxima protección, el enrutamiento de origen está completamente deshabilitado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
501 | Página
Página 503
Impacto:
https://translate.googleusercontent.com/translate_f 406/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-36871-2
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
502 | Página
Página 504
Descripción:
El estado recomendado para esta configuración es: Activado: máxima protección, fuente
el enrutamiento está completamente deshabilitado .
https://translate.googleusercontent.com/translate_f 407/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. Fuente
El enrutamiento permite que una computadora que envía un paquete especifique la ruta que toma el paquete.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
503 | Página
Página 505
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Máxima protección, el enrutamiento de origen está completamente deshabilitado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
Medio, los paquetes enrutados de origen se ignoran cuando el reenvío de IP está habilitado.
Referencias:
1. CCE-36535-3
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
https://translate.googleusercontent.com/translate_f 408/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
504 | Página
Página 506
Descripción:
Las redirecciones del Protocolo de mensajes de control de Internet (ICMP) hacen que la pila IPv4 se conecte al host
rutas. Estas rutas anulan las rutas generadas por Open Shortest Path First (OSPF).
Razón fundamental:
Se espera este comportamiento. El problema es que el período de espera de 10 minutos para el ICMP
Las rutas redirigidas crean temporalmente una situación de red en la que el tráfico no
ya se enrutará correctamente para el host afectado. Ignorar tales redireccionamientos ICMP limitará la
la exposición del sistema a ataques que afectarán su capacidad para participar en la red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito para su organización. Este objeto de política de grupo está respaldado por lo siguiente
ubicación del registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
505 | Página
https://translate.googleusercontent.com/translate_f 409/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 507
Impacto:
Cuando el servicio de enrutamiento y acceso remoto (RRAS) está configurado como un sistema autónomo
enrutador de límite (ASBR), no importa correctamente las rutas de subred de la interfaz conectada.
En cambio, este enrutador inyecta rutas de host en las rutas OSPF. Sin embargo, el enrutador OSPF
no se puede utilizar como un enrutador ASBR y cuando las rutas de subred de la interfaz
importado a OSPF, el resultado es tablas de enrutamiento confusas con rutas de enrutamiento extrañas.
Habilitado. (Los redireccionamientos ICMP pueden anular las rutas generadas por OSPF).
Referencias:
1. CCE-37988-3
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
506 | Página
Página 508
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia se mantienen los paquetes
se envían en milisegundos 'se establece en' Habilitado: 300.000 o 5 minutos
(recomendado) '(puntuado)
https://translate.googleusercontent.com/translate_f 410/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Este valor controla la frecuencia con la que TCP intenta verificar que una conexión inactiva aún esté intacta
enviando un paquete de mantener vivo. Si la computadora remota aún es accesible, reconoce
el paquete de mantener vivo.
El estado recomendado para esta configuración es: Activado: 300 000 o 5 minutos
(recomendado) .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
300.000 o 5 minutos (recomendado) :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
507 | Página
Página 509
Impacto:
Windows no envía los paquetes Keep-Alive de forma predeterminada. Sin embargo, algunas aplicaciones pueden
configurar el indicador de pila TCP que solicita paquetes de mantenimiento de vida. Para tales configuraciones,
puede reducir este valor de la configuración predeterminada de dos horas a cinco minutos para desconectar
sesiones inactivas más rápidamente.
Referencias:
1. CCE-36868-8
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 411/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
508 | Página
Página 510
Descripción:
NetBIOS sobre TCP / IP es un protocolo de red que, entre otras cosas, proporciona una forma de
Resuelva fácilmente los nombres NetBIOS que están registrados en sistemas basados en Windows a la IP
direcciones que están configuradas en esos sistemas. Este ajuste determina si el
la computadora libera su nombre NetBIOS cuando recibe una solicitud de liberación de nombre.
Razón fundamental:
El protocolo NetBT está diseñado para no utilizar autenticación y, por lo tanto, es vulnerable a
spoofing. La suplantación hace que una transmisión parezca provenir de un usuario que no sea el usuario.
quién realizó la acción. Un usuario malintencionado podría explotar la naturaleza no autenticada del
protocolo para enviar un datagrama de conflicto de nombres a una computadora de destino, lo que
ordenador para renunciar a su nombre y no responder a consultas.
Un atacante podría enviar una solicitud a través de la red y consultar a una computadora para liberar su
Nombre NetBIOS. Al igual que con cualquier cambio que pueda afectar a las aplicaciones, se recomienda que
https://translate.googleusercontent.com/translate_f 412/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prueba este cambio en un entorno de no producción antes de cambiar la producción
ambiente.
509 | Página
Página 511
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
Habilitado.
Referencias:
1. CCE-36879-5
https://translate.googleusercontent.com/translate_f 413/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
510 | Página
Página 512
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
511 | Página
Página 513
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP detecte
https://translate.googleusercontent.com/translate_f 414/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
y configurar las direcciones de puerta de enlace predeterminadas (podría conducir a DoS) 'se establece en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración se utiliza para habilitar o deshabilitar el Protocolo de descubrimiento de enrutadores de Internet (IRDP),
que permite al sistema detectar y configurar automáticamente las direcciones de puerta de enlace predeterminadas
como se describe en RFC 1256 por interfaz.
Razón fundamental:
Un atacante que haya obtenido el control de una computadora en el mismo segmento de red podría
configurar una computadora en la red para hacerse pasar por un enrutador. Otras computadoras con IRDP
habilitado intentaría enrutar su tráfico a través de los ya comprometidos
computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
512 | Página
Página 514
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
https://translate.googleusercontent.com/translate_f 415/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
computadora.
Valor por defecto:
Referencias:
1. CCE-38065-9
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
513 | Página
Página 515
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite la búsqueda segura de DLL
mode (recomendado) 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
El orden de búsqueda de DLL se puede configurar para buscar DLL que se soliciten ejecutando
procesos de una de estas dos formas:
• Busque las carpetas especificadas en la ruta del sistema primero, y luego busque el actual
carpeta de trabajo.
• Busque primero la carpeta de trabajo actual y luego busque las carpetas especificadas en el
ruta del sistema.
Cuando está habilitado, el valor del registro se establece en 1. Con una configuración de 1, el sistema busca primero
las carpetas que se especifican en la ruta del sistema y luego busca el trabajo actual
carpeta. Cuando está deshabilitado, el valor del registro se establece en 0 y el sistema busca primero el
carpeta de trabajo y luego busca las carpetas que se especifican en la ruta del sistema.
Las aplicaciones se verán obligadas a buscar archivos DLL en la ruta del sistema primero. Para aplicaciones que
requieren versiones únicas de estas DLL que se incluyen con la aplicación, esta entrada
podría causar problemas de rendimiento o estabilidad.
https://translate.googleusercontent.com/translate_f 416/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: En este enlace encontrará más información sobre cómo funciona el modo de búsqueda Safe DLL:
Orden de búsqueda de la biblioteca de vínculos dinámicos - Aplicaciones de Windows | Documentos de Microsoft
Razón fundamental:
Si un usuario, sin saberlo, ejecuta código hostil empaquetado con archivos adicionales que
incluir versiones modificadas de las DLL del sistema, el código hostil podría cargar sus propias versiones de
esos archivos DLL y potencialmente aumentar el tipo y grado de daño que el código puede generar.
514 | Página
Página 516
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
Habilitado.
Referencias:
1. CCE-36351-5
https://translate.googleusercontent.com/translate_f 417/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
515 | Página
Página 517
Controles CIS:
Versión 6
8 defensas de malware
Defensas de malware
Versión 7
516 | Página
Página 518
https://translate.googleusercontent.com/translate_f 418/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Windows incluye un período de gracia entre el momento en que se inicia el protector de pantalla y el
la consola se bloquea automáticamente cuando se activa el bloqueo del protector de pantalla.
Razón fundamental:
El período de gracia predeterminado que se permite para el movimiento del usuario antes del bloqueo del protector de pantalla
entra en vigor en cinco segundos. Si deja la configuración predeterminada del período de gracia,
la computadora es vulnerable a un posible ataque de alguien que podría acercarse a la consola
e intente iniciar sesión en la computadora antes de que el bloqueo surta efecto. Una entrada al registro
se puede hacer para ajustar la duración del período de gracia.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
517 | Página
Página 519
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
5 o menos segundos :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
https://translate.googleusercontent.com/translate_f 419/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Los usuarios deberán ingresar sus contraseñas para reanudar sus sesiones de consola tan pronto como
el período de gracia finaliza después de la activación del protector de pantalla.
5 segundos.
Referencias:
1. CCE-37993-3
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
518 | Página
Página 520
Descripción:
Esta configuración controla la cantidad de veces que TCP retransmite un segmento de datos individual
(segmento sin conexión) antes de que se cancele la conexión. El tiempo de espera de retransmisión es
duplicado con cada retransmisión sucesiva en una conexión. Se restablece cuando las respuestas
currículum. El valor de tiempo de espera base se determina dinámicamente por el viaje de ida y vuelta medido
tiempo en la conexión.
Razón fundamental:
Un usuario malintencionado podría agotar los recursos de una computadora de destino si nunca envió ningún
mensajes de confirmación de los datos transmitidos por la computadora de destino.
https://translate.googleusercontent.com/translate_f 420/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
519 | Página
Página 521
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
3:
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
TCP inicia un temporizador de retransmisión cuando cada segmento de salida se pasa a la IP. Si no
se recibe un acuse de recibo para los datos en un segmento dado antes de que expire el temporizador, luego
el segmento se retransmite hasta tres veces.
5 veces.
Referencias:
1. CCE-37846-3
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 421/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
520 | Página
Página 522
Descripción:
Esta configuración controla la cantidad de veces que TCP retransmite un segmento de datos individual
(segmento sin conexión) antes de que se cancele la conexión. El tiempo de espera de retransmisión es
duplicado con cada retransmisión sucesiva en una conexión. Se restablece cuando las respuestas
currículum. El valor de tiempo de espera base se determina dinámicamente por el viaje de ida y vuelta medido
tiempo en la conexión.
Razón fundamental:
Un usuario malintencionado podría agotar los recursos de una computadora de destino si nunca envió ningún
mensajes de confirmación de los datos transmitidos por la computadora de destino.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
521 | Página
https://translate.googleusercontent.com/translate_f 422/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 523
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
3:
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
TCP inicia un temporizador de retransmisión cuando cada segmento de salida se pasa a la IP. Si no
se recibe un acuse de recibo para los datos en un segmento dado antes de que expire el temporizador, luego
el segmento se retransmite hasta tres veces.
5 veces.
Referencias:
1. CCE-36051-1
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
522 | Página
Página 524
https://translate.googleusercontent.com/translate_f 423/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: servidor miembro
Descripción:
Esta configuración puede generar una auditoría de seguridad en el registro de eventos de seguridad cuando el registro alcanza un
umbral definido por el usuario.
Nota: Si la configuración del registro está configurada para sobrescribir eventos según sea necesario o sobrescribir eventos
más de x días, este evento no se generará.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
523 | Página
Página 525
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
90% o menos :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( MSS-legacy.admx / adml ) es obligatorio; está disponible en esta publicación de blog de TechNet:El MSS
configuración: blog de orientación de seguridad de Microsoft
Impacto:
https://translate.googleusercontent.com/translate_f 424/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-36880-3
524 | Página
Página 526
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
https://translate.googleusercontent.com/translate_f 425/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
525 | Página
Página 527
18.5 Red
Esta sección contiene recomendaciones para la configuración de red.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Bits.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
18.5.2 BranchCache
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo nca.admx / adml que es
incluidas con las plantillas administrativas de Microsoft 8.0 y Server 2012 (no R2) (o
más nuevo).
526 | Página
https://translate.googleusercontent.com/translate_f 426/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 528
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo DnsClient.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.5.4.1 (L1) Asegúrese de que 'Desactivar resolución de nombre de multidifusión' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
LLMNR es un protocolo de resolución de nombres secundario. Con LLMNR, las consultas se envían utilizando
multidifusión a través de un enlace de red local en una sola subred desde una computadora cliente a otra
computadora cliente en la misma subred que también tiene LLMNR habilitado. LLMNR no requiere
un servidor DNS o una configuración de cliente DNS, y proporciona resolución de nombres en escenarios en
cuya resolución de nombres DNS convencional no es posible.
Razón fundamental:
Un atacante puede escuchar en una red estos LLMNR (UDP / 5355) o NBT-NS (UDP / 137)
transmite y responde a ellos, engañando al anfitrión haciéndole creer que conoce la ubicación
del sistema solicitado.
Nota: Para mitigar completamente el envenenamiento de la resolución de nombres local, además de esta configuración,
las propiedades de cada NIC instalada también deben establecerse en Desactivar NetBIOS sobre TCP / IP
(en la pestaña WINS en las propiedades de NIC). Desafortunadamente, no existe un escenario global para lograr
esto se aplica automáticamente a todas las NIC; es una configuración por NIC que varía con diferentes
Instalaciones de hardware NIC.
527 | Página
Página 529
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 427/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DnsClient.admx / adml que se incluye con Microsoft Windows 8.0 & Server
2012 (no R2) Plantillas administrativas (o más reciente).
Impacto:
En caso de que el DNS no esté disponible, un sistema no podrá solicitarlo a otros sistemas en
la misma subred.
Referencias:
1. CCE-37450-4
528 | Página
Página 530
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 428/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
529 | Página
Página 531
18.5.5 Fuentes
Esta sección contiene recomendaciones relacionadas con las fuentes.
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 429/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
530 | Página
Página 532
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla GroupPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
Impacto:
Habilitado. (Las fuentes que se incluyen en Windows pero que no se almacenan localmente se
descargado a pedido de un proveedor de fuentes en línea).
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 430/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
531 | Página
Página 533
532 | Página
Página 534
https://translate.googleusercontent.com/translate_f 431/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.5.8.1 (L1) Asegúrese de que 'Habilitar inicios de sesión de invitados no seguros' esté configurado como 'Desha
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el cliente SMB permitirá inicios de sesión de invitados inseguros en una SMB
servidor.
Razón fundamental:
Los servidores de archivos utilizan inicios de sesión de invitados inseguros para permitir el acceso no autenticado a
carpetas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
533 | Página
Página 535
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla LanmanWorkstation.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1511 (o más reciente).
Impacto:
El cliente SMB rechazará los inicios de sesión de invitados no seguros. Este no era originalmente el predeterminado
comportamiento en versiones anteriores de Windows, pero Microsoft cambió el comportamiento predeterminado comenzando
con Windows Server 2016 R1709: El acceso de invitado en SMB2 está deshabilitado de forma predeterminada en Windows
10 y Windows Server 2016
https://translate.googleusercontent.com/translate_f 432/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Server 2016 RTM (R1607) y anteriores: habilitado. (El cliente SMB permitirá a invitados inseguros
inicios de sesión.)
Server 2016 R1709, Server 2019 y más reciente: deshabilitado. (El cliente SMB rechazará inseguro
inicios de sesión de invitado.)
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
534 | Página
Página 536
18.5.9.1 (L2) Asegúrese de que 'Activar controlador Mapper I / O (LLTDIO)' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política cambia el comportamiento operativo del protocolo de red Mapper I / O
conductor.
LLTDIO permite que una computadora descubra la topología de una red a la que está conectada. También
permite que una computadora inicie solicitudes de calidad de servicio, como estimación de ancho de banda y
análisis de salud de la red.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 433/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para ayudar a proteger contra el descubrimiento potencial y la conexión a dispositivos no autorizados, este
La configuración debe estar desactivada para evitar responder al tráfico de la red para la topología de la red.
descubrimiento.
535 | Página
Página 537
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-38170-7
https://translate.googleusercontent.com/translate_f 434/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
536 | Página
Página 538
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
537 | Página
Página 539
https://translate.googleusercontent.com/translate_f 435/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.5.9.2 (L2) Asegúrese de que 'Activar controlador de respuesta (RSPNDR)' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva cambia el comportamiento operativo del protocolo de red Responder
conductor.
El Responder permite que una computadora participe en las solicitudes de descubrimiento de topología de la capa de enlace
para que pueda ser descubierto y localizado en la red. También permite que una computadora
participar en actividades de calidad de servicio tales como estimación de ancho de banda y redes
análisis de salud.
Razón fundamental:
Para ayudar a proteger contra el descubrimiento potencial y la conexión a dispositivos no autorizados, este
La configuración debe estar desactivada para evitar responder al tráfico de la red para la topología de la red.
descubrimiento.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
538 | Página
Página 540
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
https://translate.googleusercontent.com/translate_f 436/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-37959-4
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
539 | Página
Página 541
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo P2P-pnrp.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo P2P-pnrp.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 437/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
El Protocolo de resolución de nombres de pares (PNRP) permite la resolución distribuida de un nombre a
una dirección IPv6 y un número de puerto. El protocolo opera en el contexto de las nubes . Una nube es
un conjunto de equipos del mismo nivel que pueden comunicarse entre sí mediante el mismo IPv6
alcance.
Los protocolos Peer-to-Peer permiten aplicaciones en las áreas de RTC, colaboración, contenido
distribución y procesamiento distribuido.
Razón fundamental:
Esta configuración mejora la seguridad del medio ambiente y reduce el riesgo general
exposición relacionada con la creación de redes entre pares.
540 | Página
Página 542
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo P2P-
pnrp.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas.
Impacto:
Referencias:
1. CCE-37699-6
https://translate.googleusercontent.com/translate_f 438/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
541 | Página
Página 543
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
542 | Página
Página 544
https://translate.googleusercontent.com/translate_f 439/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Esta sección se llamó inicialmente Firewall de Windows, pero Microsoft le cambió el nombre a
Firewall de Windows Defender a partir de Microsoft Windows 10 Release 1709
Plantillas Administrativas.
Descripción:
Puede utilizar este procedimiento para controlar la capacidad del usuario para instalar y configurar una red.
Puente.
543 | Página
Página 545
Razón fundamental:
La configuración de Puente de red, si está habilitada, permite a los usuarios crear un acceso a medios de capa 2
Puente de control (MAC), que les permite conectar dos o más segmentos de red físicos
juntos. Por tanto, un puente de red permite que una computadora que tenga conexiones a dos
redes para compartir datos entre esas redes.
En un entorno gestionado por la empresa, donde es necesario controlar el tráfico de la red para
solo rutas autorizadas, permitir a los usuarios crear un puente de red aumenta el riesgo y
superficie de ataque de la red puenteada.
https://translate.googleusercontent.com/translate_f 440/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Referencias:
1. CCE-38002-2
544 | Página
Página 546
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 441/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
545 | Página
Página 547
Descripción:
Razón fundamental:
Los que no sean administradores no deberían poder activar la función Mobile Hotspot y abrir
su conectividad a Internet hasta los dispositivos móviles cercanos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 442/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo.
NetworkConnections.admx / adml que se incluye con todas las versiones de Microsoft
Plantillas administrativas de Windows.
546 | Página
Página 548
Impacto:
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
547 | Página
https://translate.googleusercontent.com/translate_f 443/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 549
18.5.11.4 (L1) Asegúrese de 'Requerir que los usuarios de dominio eleven cuando configure un
la ubicación de la red 'está establecida en' Habilitada '(puntuada)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si se requiere que los usuarios de dominio eleven al configurar un
ubicación de la red.
Razón fundamental:
Permitir que los usuarios habituales establezcan una ubicación de red aumenta el riesgo y la superficie de ataque.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla NetworkConnections.admx / adml que se incluye con Microsoft Windows 7 y
Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Discapacitado. (Los usuarios pueden establecer la ubicación de una red sin elevarla).
548 | Página
Página 550
Referencias:
1. CCE-38188-9
Controles CIS:
Versión 6
Versión 7
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo NCSI.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
549 | Página
Página 551
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con
"Requerir autenticación mutua" y "Requerir integridad" establecidos para todos
Acciones de NETLOGON y SYSVOL '(puntuadas)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 445/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: habilitado, con "Requerir mutuo
Autenticación "y" Requerir integridad "configurados para todos los NETLOGON y SYSVOL
acciones .
Nota: Si el entorno contiene exclusivamente Windows 8.0 / Server 2012 (no R2) o
sistemas más nuevos, la configuración de " Privacidad " también puede configurarse (opcionalmente) para habilitar SMB
cifrado. Sin embargo, el uso de cifrado SMB representará las rutas compartidas de destino
completamente inaccesible para los sistemas operativos más antiguos, así que solo use esta opción adicional con precaución y
pruebas exhaustivas.
550 | Página
Página 552
Razón fundamental:
En febrero de 2015, Microsoft lanzó un nuevo mecanismo de control para mitigar un riesgo de seguridad.
en la directiva de grupo como parte del Actualización de seguridad MS15-011 / MSKB 3000483 . Este mecanismo
Requiere tanto la instalación de la nueva actualización de seguridad como la implementación de
configuración de políticas de grupo específicas para todas las computadoras en el dominio desde Windows Vista / Server
2008 (no R2) o más reciente (el parche de seguridad asociado para habilitar esta función no fue
lanzado para Server 2003). Una nueva plantilla de política de grupo ( NetworkProvider.admx / adml )
también se le proporcionó la actualización de seguridad.
Una vez que la nueva plantilla de GPO esté en su lugar, los siguientes son los requisitos mínimos para
remediar el riesgo de seguridad de la política de grupo:
Nota: Es posible que sea necesario reiniciar después de aplicar la configuración a una máquina cliente para acceder al
por encima de los caminos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
https://translate.googleusercontent.com/translate_f 446/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
551 | Página
Página 553
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada
con las siguientes rutas configuradas, como mínimo:
\\ * \ NETLOGON RequireMutualAuthentication = 1, RequireIntegrity = 1
\\ * \ SYSVOL RequireMutualAuthentication = 1, RequireIntegrity = 1
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de directiva de grupo adicional
( NetworkProvider.admx / adml ) es obligatorio; se incluye con elMS15-011 / MSKB
3000483 actualización de seguridad o con Microsoft Windows 10 RTM (versión 1507)
Plantillas administrativas (o más recientes).
Impacto:
Windows solo permite el acceso a las rutas UNC especificadas después de cumplir con seguridad adicional
requisitos.
Controles CIS:
Versión 6
Versión 7
552 | Página
https://translate.googleusercontent.com/translate_f 447/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 554
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo QOS.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
18.5.17 SNMP
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Snmp.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
553 | Página
Página 555
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo tcpip.admx / adml que
https://translate.googleusercontent.com/translate_f 448/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo tcpip.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
554 | Página
Página 556
18.5.19.2 Parámetros
Esta sección contiene los valores de configuración de los parámetros de TCP / IP.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo tcpip.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
Descripción:
https://translate.googleusercontent.com/translate_f 449/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El Protocolo de Internet versión 6 (IPv6) es un conjunto de protocolos que utilizan las computadoras para intercambiar
información a través de Internet y redes domésticas y comerciales. IPv6 permite muchos
más direcciones IP para ser asignadas que IPv4. Redes, hosts y funcionamiento más antiguos
Es posible que los sistemas no admitan IPv6 de forma nativa.
Razón fundamental:
Dado que la gran mayoría de las redes administradas por empresas privadas no necesitan utilizar
IPv6 (porque tienen acceso a direcciones IPv4 privadas), deshabilitando componentes IPv6
elimina una posible superficie de ataque en la que también es más difícil controlar el tráfico. Como resultado,
recomendamos configurar IPv6 en un estado deshabilitado cuando no sea necesario.
Auditoría:
Navegue a la ruta del Registro articulada en la sección Remediación y confirme que esté configurada como
prescrito.
555 | Página
Página 557
Remediación:
Impacto:
La conectividad con otros sistemas que utilizan IPv6 dejará de funcionar y el software que depende
en IPv6 dejará de funcionar. Ejemplos de aplicaciones de Microsoft que pueden usar IPv6
incluyen: Asistencia remota, HomeGroup, DirectAccess, Windows Mail.
Este cambio de registro está documentado en el artículo 929852 de Microsoft Knowledge Base: Cómo
deshabilite IPv6 o sus componentes en Windows .
Todos los componentes de IPv6 están habilitados y Windows prefiere IPv6 sobre IPv4.
https://translate.googleusercontent.com/translate_f 450/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
556 | Página
Página 558
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 451/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
557 | Página
Página 559
Descripción:
Esta configuración de política permite la configuración de la configuración inalámbrica mediante Windows Connect
Ahora (WCN). WCN Registrar permite el descubrimiento y la configuración de dispositivos en
Ethernet (UPnP) sobre Wi-Fi 802.11 en banda a través de la API de dispositivo portátil de Windows
(WPD) y mediante unidades flash USB. Hay opciones adicionales disponibles para permitir el descubrimiento y
configuración sobre un medio específico.
Razón fundamental:
Esta configuración mejora la seguridad del medio ambiente y reduce el riesgo general
exposición relacionada con la configuración del usuario de la configuración inalámbrica.
558 | Página
Página 560
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 452/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Impacto:
Referencias:
1. CCE-37481-9
559 | Página
Página 561
Controles CIS:
Versión 6
Versión 7
560 | Página
Página 562
Descripción:
Esta configuración de directiva prohíbe el acceso a los asistentes de Windows Connect Now (WCN).
Razón fundamental:
Permitir que los usuarios estándar accedan al asistente de Windows Connect Now aumenta el riesgo y
superficie de ataque.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 454/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsConnectNow.admx / adml que se incluye con Microsoft Windows 8.0
& Server 2012 (no R2) Plantillas administrativas (o más recientes).
Impacto:
Los asistentes WCN están desactivados y los usuarios no tienen acceso a ninguna de las tareas del asistente. Todos
tareas relacionadas con la configuración, como "Configurar un enrutador o punto de acceso inalámbrico" y "Agregar un
dispositivo inalámbrico "están desactivados.
561 | Página
Página 563
Discapacitado. (Los usuarios pueden acceder a todas las tareas del asistente WCN).
Referencias:
1. CCE-36109-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 455/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
562 | Página
Página 564
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WCM.admx / adml que es
incluido con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
Descripción:
El estado recomendado para esta configuración es: Activado: 3 = Evitar Wi-Fi cuando está encendido
Ethernet .
Razón fundamental:
Evitar las conexiones de red en puente puede ayudar a evitar que un usuario permita sin saberlo
tráfico para enrutar entre redes internas y externas, que corre el riesgo de exposición a sensibles
datos internos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
563 | Página
Página 565
https://translate.googleusercontent.com/translate_f 456/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
3 = Evitar Wi-Fi cuando está en Ethernet :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WCM.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas. Se actualizó con una nueva opción de política de minimización.
subconfiguración que comienza con las plantillas administrativas de la versión 1903 de Windows 10.
Impacto:
Mientras esté conectado a una conexión Ethernet, Windows no permitirá el uso de una WLAN
(automática o manualmente) hasta que se desconecte Ethernet. Sin embargo, si un dato celular
conexión está disponible, siempre permanecerá conectado para los servicios que lo requieran, pero no
El tráfico de Internet se enrutará por celular si hay una conexión Ethernet o WLAN.
Referencias:
1. CCE-38338-0
564 | Página
Página 566
Controles CIS:
Versión 6
12 Defensa de fronteras
Defensa de fronteras
Versión 7
https://translate.googleusercontent.com/translate_f 457/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
565 | Página
Página 567
Descripción:
Esta configuración de política evita que las computadoras se conecten a una red basada en dominios
y una red no basada en dominio al mismo tiempo.
Razón fundamental:
La preocupación potencial es que un usuario, sin saberlo, permita que fluya el tráfico de la red.
entre la red pública insegura y la red administrada por la empresa.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 458/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WcmSvc \ GroupPolicy: fBl
ockNonDomain
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WCM.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
566 | Página
Página 568
Impacto:
Referencias:
1. CCE-37627-7
Controles CIS:
Versión 6
12 Defensa de fronteras
Defensa de fronteras
Versión 7
https://translate.googleusercontent.com/translate_f 459/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
conexiones no autorizadas a las que se puede acceder a través del límite.
567 | Página
Página 569
18.6 Impresoras
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
568 | Página
Página 570
https://translate.googleusercontent.com/translate_f 460/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administrative
Plantillas (o más recientes).
18.7.1 Notificaciones
Esta sección contiene recomendaciones para el menú Inicio y las notificaciones de la barra de tareas.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WPN.admx / adml que es
incluido con las plantillas administrativas de Microsoft 10 Release 1803 (o más reciente).
18.7.1.1 (L2) Asegúrese de que 'Desactivar el uso de la red de notificaciones' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política impide que las aplicaciones usen la red para enviar notificaciones a
actualice mosaicos, insignias de mosaicos, tostadas o notificaciones sin procesar. Esta configuración de política desactiva la
conexión entre Windows y el Servicio de notificaciones push de Windows (WNS). Esta
La configuración de políticas también impide que las aplicaciones puedan sondear los servicios de aplicaciones para actualizar
losas.
Razón fundamental:
Los servicios de notificación push de Windows (WNS) son un mecanismo para recibir
notificaciones y actualizaciones desde la nube / Internet. En un entorno de alta seguridad, externo
Se debe evitar que los sistemas, especialmente aquellos alojados fuera de la organización, tengan
un impacto en las estaciones de trabajo seguras.
569 | Página
Página 571
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 461/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WPN.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
Las aplicaciones y las funciones del sistema no podrán recibir notificaciones de la red.
desde WNS o mediante API de sondeo de notificaciones.
Discapacitado.
Controles CIS:
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
570 | Página
Página 572
18.8 Sistema
Esta sección contiene recomendaciones para la configuración del sistema.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo srm-fci.admx / adml
que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
18.8.2 Aplicación-V
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo appv.admx / adml que es
https://translate.googleusercontent.com/translate_f 462/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
incluido con Microsoft Windows 10 Release 1607 y Server 2016 Administrativo
Plantillas (o más recientes).
571 | Página
Página 573
18.8.3.1 (L1) Asegúrese de que 'Incluir línea de comando en eventos de creación de proceso' esté
establecido en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina qué información se registra en los eventos de auditoría de seguridad cuando
Se ha creado un nuevo proceso.
Razón fundamental:
Cuando esta configuración de política está habilitada, cualquier usuario que tenga acceso de lectura a los eventos de seguridad puede
lea los argumentos de la línea de comandos para cualquier proceso creado con éxito. Línea de comando
Los argumentos pueden contener información confidencial o privada, como contraseñas o datos de usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 463/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría: ProcessCreationIncludeCmdLine_Enabled
572 | Página
Página 574
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AuditSettings.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Discapacitado. (La información de la línea de comando del proceso no se incluirá en el proceso de auditoría
Eventos de creación.)
Referencias:
1. CCE-36925-6
Controles CIS:
Versión 6
Versión 7
573 | Página
https://translate.googleusercontent.com/translate_f 464/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 575
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredSsp.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.8.4.1 (L1) Asegúrese de que 'Encryption Oracle Remediation' esté configurado en 'Enabled:
Forzar clientes actualizados (puntuados)
Aplicabilidad del perfil:
Descripción:
Algunas versiones del protocolo CredSSP que utilizan algunas aplicaciones (como Remote
Desktop Connection) son vulnerables a un ataque de cifrado de Oracle contra el cliente. Esta
La política controla la compatibilidad con clientes y servidores vulnerables y le permite configurar el
nivel de protección deseado para la vulnerabilidad de cifrado de Oracle.
El estado recomendado para esta configuración es: Habilitado: Forzar clientes actualizados .
Razón fundamental:
Esta configuración es importante para mitigar la vulnerabilidad del oráculo de cifrado CredSSP, para la cual
La información fue publicada por Microsoft el 13/03/2018 en CVE-2018-0886 | CredSSP
Vulnerabilidad de ejecución remota de código . Todas las versiones de Windows Server desde Server 2008
(no R2) en adelante se ven afectados por esta vulnerabilidad y serán compatibles con esta
recomendación siempre que hayan sido remendados hasta mayo de 2018 (o más tarde).
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
574 | Página
Página 576
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Forzar clientes actualizados :
https://translate.googleusercontent.com/translate_f 465/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CredSsp.admx / adml que se incluye con Microsoft Windows 10 Release 1803
Plantillas administrativas (o más recientes).
Impacto:
Las aplicaciones cliente que utilizan CredSSP no podrán volver a las versiones inseguras
y los servicios que utilizan CredSSP no aceptarán clientes sin parche. Esta configuración no debe ser
implementado hasta que todos los hosts remotos admitan la versión más reciente, lo que se logra asegurando
que están instaladas todas las actualizaciones de seguridad de Microsoft al menos hasta mayo de 2018.
Sin la actualización de seguridad de mayo de 2018: habilitado: vulnerable (aplicaciones cliente que utilizan
CredSSP expondrá los servidores remotos a los ataques al admitir el respaldo a los inseguros
las versiones y los servicios que utilizan CredSSP aceptarán clientes sin parches).
Con la actualización de seguridad de mayo de 2018: habilitado: mitigado (aplicaciones cliente que utilizan
CredSSP no podrá volver a la versión insegura, pero los servicios que usan CredSSP sí
aceptar clientes sin parche.)
Controles CIS:
Versión 7
575 | Página
Página 577
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de no exportables
credenciales 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Nota: información más detallada sobre Windows Defender Remote Credential Guard y cómo
https://translate.googleusercontent.com/translate_f 466/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
se compara con el modo de administrador restringido que se puede encontrar en este enlace: Proteger el escritorio remoto
credenciales con Windows Defender Remote Credential Guard (Windows 10) | Microsoft
Docs
Razón fundamental:
El modo de administrador restringido se diseñó para ayudar a proteger las cuentas de administrador al garantizar
que las credenciales reutilizables no se almacenan en la memoria de dispositivos remotos que podrían
potencialmente estar comprometido. Windows Defender Remote Credential Guard lo ayuda a proteger
sus credenciales a través de una conexión de escritorio remoto redirigiendo las solicitudes de Kerberos
al dispositivo que solicita la conexión. Ambas funciones deben estar habilitadas y
compatibles, ya que reducen la posibilidad de robo de credenciales.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
576 | Página
Página 578
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CredSsp.admx / adml que se incluye con Microsoft Windows 10 Release 1703
Plantillas administrativas (o más recientes).
Impacto:
Discapacitado. (El modo de administrador restringido y Windows Defender Remote Credential Guard no son
soportado. Los usuarios siempre deberán pasar sus credenciales al anfitrión).
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 467/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
577 | Página
Página 579
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si la seguridad basada en virtualización está habilitada. Virtualización
La seguridad basada usa el hipervisor de Windows para brindar soporte a los servicios de seguridad.
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
578 | Página
https://translate.googleusercontent.com/translate_f 468/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 580
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Discapacitado.
Controles CIS:
Versión 6
Versión 7
579 | Página
Página 581
Descripción:
Esta configuración de directiva especifica si la seguridad basada en virtualización está habilitada. Virtualización
La seguridad basada usa el hipervisor de Windows para brindar soporte a los servicios de seguridad.
El estado recomendado para esta configuración es: Arranque seguro y protección DMA
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
El arranque seguro puede ayudar a reducir el riesgo de ataques del gestor de arranque y junto con DMA
protecciones para ayudar a proteger los datos de ser borrados de la memoria.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
580 | Página
Página 582
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Segura
Protección de arranque y DMA :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
https://translate.googleusercontent.com/translate_f 470/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Discapacitado.
Controles CIS:
Versión 6
Versión 7
581 | Página
Página 583
Descripción:
Esta configuración habilita la protección basada en virtualización de la integridad del código del modo Kernel. Cuando
esto está habilitado, se aplican las protecciones de memoria en modo kernel y la integridad del código
La ruta de validación está protegida por la función de seguridad basada en virtualización.
El estado recomendado para esta configuración es: habilitado con bloqueo UEFI
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
https://translate.googleusercontent.com/translate_f 471/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La opción Activado con bloqueo UEFI garantiza que la protección de código basada en virtualización
La integridad no se puede desactivar de forma remota.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
582 | Página
Página 584
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada
con bloqueo UEFI :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Advertencia n. ° 2: una vez que esta configuración está encendida y activa, la seguridad basada en la virtualización
no se puede deshabilitar únicamente a través de GPO o cualquier otro método remoto. Después de quitar el
configuración de GPO, las funciones también deben desactivarse manualmente localmente en la máquina utilizando
los pasos proporcionados en este enlace:
Discapacitado.
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 472/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
583 | Página
Página 585
Descripción:
Esta opción solo habilitará la protección basada en virtualización de la integridad del código en los dispositivos
con soporte de firmware UEFI para la tabla de atributos de memoria. Dispositivos sin UEFI
La tabla de atributos de memoria puede tener firmware incompatible con la virtualización
Protección basada en la integridad del código que, en algunos casos, puede provocar bloqueos o pérdida de datos o
incompatibilidad con determinadas tarjetas enchufables. Si no configura esta opción, los dispositivos de destino
debe probarse para asegurar la compatibilidad.
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
Esta configuración ayudará a proteger este control para que no se habilite en un sistema que no
compatible, lo que podría provocar un bloqueo o la pérdida de datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
584 | Página
Página 586
Remediación:
https://translate.googleusercontent.com/translate_f 473/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de la IU en TRUE :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
1703 Plantillas administrativas (o más reciente).
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Discapacitado.
Controles CIS:
Versión 6
Versión 7
585 | Página
Página 587
Descripción:
Esta configuración permite a los usuarios activar Credential Guard con seguridad basada en virtualización para ayudar
proteger las credenciales. La opción "Habilitado con bloqueo UEFI" asegura que Credential Guard
no se puede desactivar de forma remota. Para deshabilitar la función, debe configurar la Política de grupo
https://translate.googleusercontent.com/translate_f 474/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
ausuario
"Deshabilitado",
físicamenteasí como eliminar
presente, la de
con el fin funcionalidad de seguridadpersistente
borrar la configuración de cada computadora,
en UEFI. con un
El estado recomendado para esta configuración es: habilitado con bloqueo UEFI , pero solo en miembros
Servidores (no controladores de dominio).
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
La opción Habilitado con bloqueo UEFI asegura que Credential Guard no se pueda deshabilitar
de forma remota.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
586 | Página
Página 588
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada
con bloqueo UEFI (solo en servidores miembro):
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
1511 Plantillas administrativas (o más reciente).
Impacto:
Advertencia: todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Advertencia n. ° 3: una vez que esta configuración está encendida y activa, Credential Guard no se puede
desactivado únicamente a través de GPO o cualquier otro método remoto. Después de quitar el ajuste de
GPO, las funciones también deben deshabilitarse manualmente localmente en la máquina siguiendo los pasos
proporcionado en este enlace:
https://translate.googleusercontent.com/translate_f 475/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado.
587 | Página
Página 589
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 476/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
588 | Página
Página 590
Descripción:
Esta configuración permite a los usuarios activar Credential Guard con seguridad basada en virtualización para ayudar
proteger las credenciales.
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
Credential Guard no es útil en los controladores de dominio y puede causar bloqueos en ellos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
589 | Página
Página 591
https://translate.googleusercontent.com/translate_f 477/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
1511 Plantillas administrativas (o más reciente).
Impacto:
Controles CIS:
Versión 6
Versión 7
590 | Página
Página 592
Descripción:
Nota: la seguridad basada en virtualización requiere una versión de Windows de 64 bits con arranque seguro
habilitado, que a su vez requiere que Windows se haya instalado con un BIOS UEFI
configuración, no una configuración de BIOS heredada. Además, si ejecuta Windows en una
máquina, la función de virtualización de CPU asistida por hardware (Intel VT-x o AMD-V) debe ser
expuesto por el host a la VM invitada.
Puede encontrar más información sobre los requisitos del sistema para esta función en este enlace:
Razón fundamental:
Secure Launch cambia la forma en que Windows se inicia para utilizar la tecnología Intel Trusted Execution
(TXT) y las funciones de resistencia del BIOS en tiempo de ejecución para evitar que las vulnerabilidades de firmware
para afectar la seguridad del entorno de seguridad basada en virtualización de Windows.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
591 | Página
Página 593
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DeviceGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
Plantillas administrativas 1809 y Server 2019 (o más recientes).
Impacto:
Advertencia : todos los controladores del sistema deben ser compatibles con esta función o el sistema
puede chocar. Asegúrese de que esta configuración de política solo se implemente en equipos conocidos
para ser compatible.
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 479/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
16.14 Cifre / Hash todos los archivos de autenticación y supervise su acceso
Verifique que todos los archivos de autenticación estén cifrados o con hash y que estos archivos no se puedan
accede sin privilegios de administrador o root. Audite todos los accesos a los archivos de contraseñas en el
sistema.
Versión 7
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo TPM.admx / adml que es
incluidas con las plantillas administrativas de Microsoft Windows 10 Release 1709 (o
más nuevo).
592 | Página
Página 594
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo DiskQuota.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
593 | Página
Página 595
18.8.11 Pantalla
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Display.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703
(o mas nuevo).
Esta sección de Política de grupo la proporciona la plantilla de política de grupo DCOM.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
594 | Página
https://translate.googleusercontent.com/translate_f 481/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 596
18.8.14.1 (L1) Asegúrese de que 'Boot-Start Driver Initialization Policy' esté configurado en
'Habilitado: bueno, desconocido y malo pero crítico' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite especificar qué controladores de arranque se inicializan en función de un
clasificación determinada por un controlador de inicio de arranque de Early Launch Antimalware. El temprano
Launch Antimalware boot-start driver puede devolver las siguientes clasificaciones para cada
controlador de inicio de arranque:
El estado recomendado para esta configuración es: Habilitado: Bueno, desconocido y malo pero
crítico .
595 | Página
Página 597
Razón fundamental:
Esta configuración de política ayuda a reducir el impacto del malware que ya ha infectado su
sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 482/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Policies \ EarlyLaunch: DriverLoadPo
picante
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Bueno, desconocido y malo pero crítico:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla EarlyLaunchAM.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Impacto:
Discapacitado. (Los controladores de arranque que se determinan como buenos, desconocidos o incorrectos, pero
inicializado y se omite la inicialización de los controladores determinados como defectuosos).
Referencias:
1. CCE-37912-3
596 | Página
Página 598
Controles CIS:
Versión 6
8 defensas de malware
Defensas de malware
Versión 7
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo srm-fci.admx / adml
que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
597 | Página
Página 599
Esta sección de Política de grupo es proporcionada por las plantillas de Política de grupo
FileServerVSSProvider.admx / adml que
se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FileSys.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Nota: Esta sección se llamó inicialmente Sistema de archivos NTFS, pero Microsoft le cambió el nombre a
Sistema de archivos que comienza con Microsoft Windows 7 y Server 2008 R2 administrativo
Plantillas.
https://translate.googleusercontent.com/translate_f 484/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
598 | Página
Página 600
Descripción:
La opción "No aplicar durante el procesamiento en segundo plano periódico" evita que el sistema
de actualizar las políticas afectadas en segundo plano mientras la computadora está en uso. Cuando
las actualizaciones en segundo plano están deshabilitadas, los cambios de política no entrarán en vigor hasta el próximo usuario
inicio de sesión o reinicio del sistema.
El estado recomendado para esta configuración es: Habilitado: FALSO (sin marcar ).
Razón fundamental:
Establecer esta opción en falso (sin marcar) garantizará que los cambios en la política de dominio surtan efecto
más rápidamente, en comparación con esperar hasta el próximo inicio de sesión de usuario o reinicio del sistema.
599 | Página
https://translate.googleusercontent.com/translate_f 485/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 601
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
luego configure la opción No aplicar durante el procesamiento periódico en segundo plano en FALSO
(desenfrenado):
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla GroupPolicy.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Impacto:
Las políticas de grupo se volverán a aplicar cada vez que se actualicen, lo que podría tener un ligero
impacto en el rendimiento.
Discapacitado. (Las políticas de grupo no se vuelven a aplicar hasta el próximo inicio de sesión o reinicio).
Referencias:
1. CCE-36169-1
600 | Página
Página 602
Controles CIS:
Versión 6
3.7 Implementar herramientas de gestión de la configuración del sistema (es decir, herramientas de corrección)
Implementar herramientas de administración de la configuración del sistema, como la directiva de grupo de Active Directory
Objetos para sistemas Microsoft Windows o Puppet para sistemas UNIX que automáticamente
https://translate.googleusercontent.com/translate_f 486/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicar y volver a implementar los ajustes de configuración en los sistemas a intervalos programados regularmente.
Deben ser capaces de activar la redistribución de los ajustes de configuración en un
programado, manual o basado en eventos.
Versión 7
601 | Página
Página 603
Descripción:
La opción "Procesar incluso si los objetos de directiva de grupo no han cambiado" se actualiza y
vuelve a aplicar políticas incluso si las políticas no han cambiado.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 487/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Establecer esta opción en verdadero (marcado) asegurará cambios no autorizados que
configurados localmente se ven obligados a coincidir nuevamente con la configuración de la directiva de grupo basada en el dominio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada ,
luego configure el proceso incluso si los objetos de la directiva de grupo no han cambiado de opción a
VERDADERO (marcado):
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla GroupPolicy.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
602 | Página
Página 604
Impacto:
Las políticas de grupo se volverán a aplicar incluso si no se han cambiado, lo que podría tener un
leve impacto en el rendimiento.
Referencias:
1. CCE-36169-1
Controles CIS:
Versión 6
3.7 Implementar herramientas de gestión de la configuración del sistema (es decir, herramientas de corrección)
Implementar herramientas de administración de la configuración del sistema, como la directiva de grupo de Active Directory
Objetos para sistemas Microsoft Windows o Puppet para sistemas UNIX que automáticamente
Aplicar y volver a implementar los ajustes de configuración en los sistemas a intervalos programados regularmente.
Deben ser capaces de activar la redistribución de los ajustes de configuración en un
programado, manual o basado en eventos.
Versión 7
https://translate.googleusercontent.com/translate_f 488/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
excepciones y alerta cuando se producen cambios no autorizados.
603 | Página
Página 605
18.8.21.4 (L1) Asegúrese de que 'Continuar experiencias en este dispositivo' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Una experiencia entre dispositivos es cuando un sistema puede acceder a la aplicación y enviar mensajes a otros
dispositivos. En un entorno administrado por la empresa, solo los sistemas confiables
comunicarse dentro de la red. Debería prohibirse el acceso a cualquier otro sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla GroupPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
https://translate.googleusercontent.com/translate_f 489/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
604 | Página
Página 606
Impacto:
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
605 | Página
Página 607
18.8.21.5 (L1) Asegúrese de que 'Desactivar la actualización en segundo plano de la directiva de grupo' esté conf
a 'Deshabilitado' (puntuado)
https://translate.googleusercontent.com/translate_f 490/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva evita que la directiva de grupo se actualice mientras la computadora está en uso.
Esta configuración de directiva se aplica a la directiva de grupo para equipos, usuarios y controladores de dominio.
Razón fundamental:
Esta configuración garantiza que los cambios en la política de grupo surtan efecto más rápidamente, en comparación con
esperando hasta el próximo inicio de sesión de usuario o reinicio del sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está en vigor cuando la siguiente ubicación del registro lo hace
no existe:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Impacto:
606 | Página
Página 608
Discapacitado. (Las actualizaciones se pueden aplicar mientras los usuarios están trabajando).
Referencias:
1. CCE-37712-7
Controles CIS:
Versión 6
3.7 Implementar herramientas de gestión de la configuración del sistema (es decir, herramientas de corrección)
Implementar herramientas de administración de la configuración del sistema, como la directiva de grupo de Active Directory
Objetos para sistemas Microsoft Windows o Puppet para sistemas UNIX que automáticamente
Aplicar y volver a implementar los ajustes de configuración en los sistemas a intervalos programados regularmente.
Deben ser capaces de activar la redistribución de los ajustes de configuración en un
https://translate.googleusercontent.com/translate_f 491/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
programado, manual o basado en eventos.
Versión 7
607 | Página
Página 609
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Descripción:
Esta configuración de directiva controla si la computadora puede descargar paquetes de controladores de impresión
a través de HTTP. Para configurar la impresión HTTP, los controladores de impresora que no están disponibles en el estándar
Es posible que la instalación del sistema operativo deba descargarse a través de HTTP.
https://translate.googleusercontent.com/translate_f 492/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
608 | Página
Página 610
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Nota: esta configuración de directiva no impide que el equipo cliente imprima en impresoras en
la intranet o Internet a través de HTTP. Solo prohíbe la descarga de controladores que no
ya instalado localmente.
Referencias:
1. CCE-36625-2
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 493/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
609 | Página
Página 611
Descripción:
Esta configuración desactiva el intercambio de datos desde la herramienta de personalización de reconocimiento de escritura a mano.
La herramienta de personalización de reconocimiento de escritura a mano permite a los usuarios de Tablet PC adaptarse
reconocimiento de escritura a mano a su propio estilo de escritura al proporcionar muestras de escritura. La herramienta
Opcionalmente, puede compartir muestras de escritura del usuario con Microsoft para mejorar la escritura a mano.
reconocimiento en futuras versiones de Windows. La herramienta genera informes y los transmite
a Microsoft a través de una conexión segura.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
610 | Página
Página 612
Remediación:
https://translate.googleusercontent.com/translate_f 494/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ShapeCollector.admx / adml que se incluye con Microsoft Windows 7 y
Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Los usuarios de Tablet PC no pueden optar por compartir muestras de escritura desde el reconocimiento de escritura a mano.
herramienta de personalización con Microsoft.
Los usuarios de Tablet PC pueden elegir si desean o no compartir sus muestras de escritura de
la herramienta de personalización de reconocimiento de escritura a mano con Microsoft.
Referencias:
1. CCE-37911-5
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
611 | Página
Página 613
Descripción:
La herramienta de notificación de errores de reconocimiento de escritura a mano permite a los usuarios informar errores
https://translate.googleusercontent.com/translate_f 495/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
encontrado en el Panel de entrada de Tablet PC. La herramienta genera informes de errores y los transmite
a Microsoft a través de una conexión segura. Microsoft usa estos informes de error para mejorar
reconocimiento de escritura a mano en futuras versiones de Windows.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
612 | Página
Página 614
Impacto:
Los usuarios no pueden iniciar la herramienta de notificación de errores de reconocimiento de escritura a mano ni enviar informes de errores
a Microsoft.
Discapacitado. (Los usuarios de Tablet PC pueden informar errores de reconocimiento de escritura a mano a Microsoft).
Referencias:
1. CCE-36203-8
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 496/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
613 | Página
Página 615
Descripción:
Esta configuración de directiva especifica si el Asistente para la conexión a Internet puede conectarse a
Microsoft para descargar una lista de proveedores de servicios de Internet (ISP).
Razón fundamental:
En un entorno gestionado por la empresa, queremos reducir el riesgo de un usuario sin saberlo
exponer datos sensibles.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
https://translate.googleusercontent.com/translate_f 497/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La ruta "Elija una lista de proveedores de servicios de Internet" en el Asistente para la conexión a Internet
hace que el asistente se cierre. Esto evita que los usuarios recuperen la lista de ISP, que reside
en los servidores de Microsoft.
614 | Página
Página 616
Discapacitado. (Los usuarios pueden conectarse a Microsoft para descargar una lista de ISP para su área).
Referencias:
1. CCE-37163-3
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
615 | Página
Página 617
https://translate.googleusercontent.com/translate_f 498/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de directiva controla si Windows descargará una lista de proveedores para la Web
asistentes de publicación y pedidos en línea.
Razón fundamental:
Aunque el riesgo es mínimo, habilitar esta configuración reducirá la posibilidad de que un usuario
descargar sin saberlo contenido malicioso a través de esta función.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Windows no puede descargar proveedores; solo los proveedores de servicios almacenados en caché
se muestran los registros locales.
616 | Página
Página 618
Discapacitado. (Se descarga una lista de proveedores cuando el usuario utiliza la publicación web o
asistentes de pedidos en línea.)
Referencias:
1. CCE-36096-6
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 499/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
617 | Página
Página 619
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado en 'Habilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite deshabilitar la capacidad del equipo cliente para imprimir a través de HTTP,
que permite que la computadora imprima en impresoras en la intranet así como en Internet.
Razón fundamental:
La información que se transmite a través de HTTP a través de esta capacidad no está protegida y puede
ser interceptado por usuarios malintencionados. Por esta razón, no se usa a menudo en empresas.
entornos gestionados.
https://translate.googleusercontent.com/translate_f 500/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
618 | Página
Página 620
Impacto:
Nota: esta configuración de política afecta únicamente al lado del cliente de la impresión por Internet. Independientemente de cómo
está configurado, una computadora podría actuar como un servidor de impresión de Internet y hacer su uso compartido
impresoras disponibles a través de HTTP.
Discapacitado. (Los usuarios pueden optar por imprimir en impresoras de Internet a través de HTTP).
Referencias:
1. CCE-36920-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 501/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
619 | Página
Página 621
Descripción:
Razón fundamental:
Los usuarios de un entorno gestionado por la empresa no deben registrar sus propias copias de
Windows, proporcionando su propia PII en el proceso.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
620 | Página
https://translate.googleusercontent.com/translate_f 502/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 622
Referencias:
1. CCE-36352-3
Controles CIS:
Versión 7
621 | Página
Página 623
18.8.22.1.8 (L2) Asegúrese de 'Desactivar las actualizaciones del archivo de contenido de Search Companion'
está configurado en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 503/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Razón fundamental:
Existe un pequeño riesgo de que los usuarios, sin saberlo, revelen información confidencial debido a
los temas que están buscando. Este riesgo es muy bajo porque incluso si esta configuración está habilitada
los usuarios aún deben enviar consultas de búsqueda al motor de búsqueda deseado para realizar
búsquedas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
622 | Página
Página 624
Impacto:
Nota: las búsquedas en Internet seguirán enviando el texto de búsqueda y la información sobre la búsqueda a
Microsoft y el proveedor de búsqueda elegido. Si selecciona Búsqueda clásica, la búsqueda
La función complementaria no estará disponible. Puede seleccionar Búsqueda clásica haciendo clic en Inicio,
Busque, cambie las preferencias y luego cambie el comportamiento de búsqueda en Internet.
Discapacitado. (Search Companion descarga actualizaciones de contenido a menos que el usuario esté usando Classic
Buscar.)
Referencias:
1. CCE-36884-5
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 504/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
13 Protección de datos
Protección de Datos
Versión 7
623 | Página
Página 625
18.8.22.1.9 (L2) Asegúrese de que 'Desactivar la tarea de imagen "Solicitar impresiones" esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si la tarea "Solicitar impresiones en línea" está disponible en
Tareas de imágenes en carpetas de Windows.
El Asistente para pedidos de impresiones en línea se utiliza para descargar una lista de proveedores y permitir a los usuarios
pedir impresiones en línea.
Razón fundamental:
En un entorno gestionado por la empresa, queremos reducir el riesgo de un usuario sin saberlo
exponer datos sensibles.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 505/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
624 | Página
Página 626
Impacto:
La tarea "Solicitar impresiones en línea" se elimina de Tareas de imágenes en las carpetas del Explorador de archivos.
Discapacitado. (La tarea "Solicitar impresiones en línea" se muestra en Tareas de imágenes en el Explorador de archivos
carpetas.)
Referencias:
1. CCE-38275-4
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
625 | Página
https://translate.googleusercontent.com/translate_f 506/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 627
18.8.22.1.10 (L2) Asegúrese de que 'Desactive la tarea "Publicar en Web" para archivos y
carpetas 'está configurado en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si las tareas Publicar este archivo en la Web, Publicar esto
carpeta en la Web y Publicar los elementos seleccionados en la Web están disponibles en Archivo y
Tareas de carpeta en carpetas de Windows.
Razón fundamental:
Los usuarios pueden publicar información confidencial o sensible a un servicio público fuera del
control de la organización.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
La tarea "Publicar en la Web" se elimina de las tareas de Archivo y Carpeta en las carpetas de Windows.
626 | Página
Página 628
Discapacitado. (La tarea "Publicar en la Web" se muestra en las tareas de Archivo y Carpeta en las carpetas de Windows).
Referencias:
https://translate.googleusercontent.com/translate_f 507/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37090-8
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
627 | Página
Página 629
Descripción:
Esta configuración de directiva especifica si Windows Messenger puede recopilar información anónima
información sobre cómo se utiliza el software y el servicio Windows Messenger. Microsoft
utiliza la información recopilada a través del Programa de mejora de la experiencia del cliente para
detectar fallas de software para que puedan corregirse más rápidamente, al habilitar esta configuración
Reducir la cantidad de datos que Microsoft puede recopilar para este propósito.
https://translate.googleusercontent.com/translate_f 508/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Es posible que los entornos administrados por grandes empresas no deseen que la información recopile
Microsoft desde equipos cliente administrados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
628 | Página
Página 630
Impacto:
Windows Messenger no recopilará información de uso y la configuración del usuario para habilitar la
no se mostrará la recopilación de información de uso.
Referencias:
1. CCE-36628-6
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 509/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
629 | Página
Página 631
Descripción:
Esta configuración de directiva especifica si Windows Messenger puede recopilar información anónima
información sobre cómo se utiliza el software y el servicio Windows Messenger.
Razón fundamental:
Es posible que los entornos administrados por grandes empresas no deseen que la información recopile
Microsoft desde equipos cliente administrados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 510/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
630 | Página
Página 632
Impacto:
Todos los usuarios se excluyen del Programa de mejora de la experiencia del cliente de Windows.
Referencias:
1. CCE-36174-1
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
631 | Página
Página 633
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado en
'Habilitado' (puntuado)
https://translate.googleusercontent.com/translate_f 511/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
El informe de errores se utiliza para informar información sobre un sistema o aplicación que ha fallado.
o ha dejado de responder y se utiliza para mejorar la calidad del producto.
Razón fundamental:
Si se produce un error de Windows en un entorno seguro gestionado por la empresa, el error debería
ser informado directamente al personal de TI para la resolución de problemas y reparación. No hay ningún beneficio para
la corporación para informar estos errores directamente a Microsoft, y existe cierto riesgo de
exponer, sin saberlo, datos confidenciales como parte del error.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
632 | Página
Página 634
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo ICM.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
https://translate.googleusercontent.com/translate_f 512/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado. (Los errores se pueden informar a Microsoft a través de Internet o a un recurso compartido de archivos corporativo).
Referencias:
1. CCE-35964-6
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
633 | Página
Página 635
18.8.23 iSCSI
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo iSCSI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.8.24 KDC
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo KDC.admx / adml que es
incluidas con las plantillas administrativas de Microsoft Windows Server 2008 (no R2) (o
más nuevo).
https://translate.googleusercontent.com/translate_f 513/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
634 | Página
Página 636
18.8.25 Kerberos
Esta sección contiene recomendaciones para la configuración de Kerberos.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Kerberos.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.8.25.1 (L2) Asegúrese de que 'Admitir autenticación de dispositivo mediante certificado' esté
establecido en 'Habilitado: Automático' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite configurar la compatibilidad con Kerberos para intentar la autenticación mediante
el certificado del dispositivo al dominio.
Razón fundamental:
Se recomienda encarecidamente tener una autenticación de dispositivo más sólida con el uso de certificados
sobre la autenticación estándar de nombre de usuario y contraseña. Tener esto configurado en Automático
Permita que se utilice la autenticación basada en certificados siempre que sea posible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
https://translate.googleusercontent.com/translate_f 514/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
635 | Página
Página 637
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Automático :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Kerberos.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Impacto:
Controles CIS:
Versión 6
Versión 7
636 | Página
Página 638
https://translate.googleusercontent.com/translate_f 515/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo DmaGuard.admx / adml
que se incluye con Microsoft Windows 10 Release 1809 y Server 2019
Plantillas administrativas (o más recientes).
Descripción:
Esta política está destinada a proporcionar seguridad adicional contra dispositivos externos compatibles con DMA.
dispositivos. Permite un mayor control sobre la enumeración de dispositivos externos compatibles con DMA
que no son compatibles con DMA Remapping / aislamiento de memoria de dispositivo y sandboxing.
Nota : esta política no se aplica a los dispositivos 1394, PCMCIA o ExpressCard. La proteccion
también solo se aplica a Windows 10 R1803 o superior, y también requiere un BIOS UEFI para
función.
Nota n. ° 2 : hay más información disponible sobre esta función en este enlace:Protección de Kernel DMA
para Thunderbolt ™ 3 (Windows 10) | Documentos de Microsoft.
Razón fundamental:
El espacio aislado de la memoria del dispositivo permite que el sistema operativo aproveche la unidad de administración de memoria de E / S
(IOMMU) de un dispositivo para bloquear E / S no permitidas, o acceso a memoria, por parte del periférico.
637 | Página
Página 639
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Bloquear todo :
https://translate.googleusercontent.com/translate_f 516/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Protección \ Política de enumeración para dispositivos externos incompatibles con Kernel
Protección DMA
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DmaGuard.admx / adml que se incluye con la versión de Microsoft Windows 10
Plantillas administrativas 1809 y Server 2019 (o más recientes).
Impacto:
Los dispositivos externos que no son compatibles con la reasignación DMA no se enumerarán y
no funcionará a menos que / hasta que el usuario haya iniciado sesión correctamente y tenga un usuario desbloqueado
sesión. Una vez enumerados, estos dispositivos seguirán funcionando, independientemente del estado de
La sesión. Se enumerarán los dispositivos que son compatibles con la reasignación DMA
inmediatamente, con la memoria de su dispositivo aislada.
Windows Server 2019 y versiones posteriores: habilitado si UEFI BIOS está presente. Deshabilitado si usa heredado
BIOS.
Controles CIS:
Versión 7
638 | Página
Página 640
Descripción:
Esta política evita la copia automática de los métodos de entrada del usuario a la cuenta del sistema para su uso
en la pantalla de inicio de sesión. El usuario está restringido al conjunto de métodos de entrada que están habilitados en
la cuenta del sistema.
https://translate.googleusercontent.com/translate_f 517/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Esta es una forma de aumentar la seguridad de la cuenta del sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
639 | Página
Página 641
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Globalization.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Impacto:
Los usuarios tendrán los métodos de entrada habilitados para la cuenta del sistema en la página de inicio de sesión.
Discapacitado. (Los usuarios podrán utilizar métodos de entrada habilitados para su cuenta de usuario en el
página de inicio de sesión.)
Referencias:
1. CCE-36343-2
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 518/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
640 | Página
Página 642
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Logon.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.8.28.1 (L1) Asegúrese de 'Bloquear al usuario para que no muestre los detalles de la cuenta al iniciar sesión
in 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta política evita que el usuario muestre detalles de la cuenta (dirección de correo electrónico o nombre de usuario)
en la pantalla de inicio de sesión.
Razón fundamental:
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o
alguien que pueda conectarse al servidor a través de Servicios de escritorio remoto) podría
ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar
adivine la contraseña, use un diccionario o use un ataque de fuerza bruta para intentar iniciar sesión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
641 | Página
Página 643
https://translate.googleusercontent.com/translate_f 519/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Bloque
que el usuario muestre los detalles de la cuenta al iniciar sesión
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Logon.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Plantillas administrativas de Server 2016 (o más reciente).
Impacto:
El usuario no puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión.
Discapacitado. (El usuario puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión).
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
642 | Página
Página 644
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 520/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración de política le permite controlar si alguien puede interactuar con los
UI de redes en la pantalla de inicio de sesión.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.1 y Server 2012
Plantillas administrativas R2 (o más reciente).
Impacto:
643 | Página
Página 645
Referencias:
1. CCE-38353-9
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 521/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
644 | Página
Página 646
18.8.28.3 (L1) Asegúrese de que 'No enumere los usuarios conectados en el dominio
equipos unidos 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política evita que los usuarios conectados se enumeren en un dominio
ordenadores.
Razón fundamental:
Un usuario malintencionado podría utilizar esta función para recopilar los nombres de cuenta de otros usuarios, que
La información podría usarse junto con otros tipos de ataques, como adivinar
contraseñas o ingeniería social. El valor de esta contramedida es pequeño porque un usuario
con credenciales de dominio podría recopilar la misma información de cuenta utilizando otros métodos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 522/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
645 | Página
Página 647
Impacto:
Referencias:
1. CCE-37838-0
Controles CIS:
Versión 6
Versión 7
646 | Página
https://translate.googleusercontent.com/translate_f 523/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 648
Descripción:
Esta configuración de directiva permite enumerar a los usuarios locales en equipos unidos a un dominio.
Razón fundamental:
Un usuario malintencionado podría utilizar esta función para recopilar los nombres de cuenta de otros usuarios, que
La información podría usarse junto con otros tipos de ataques, como adivinar
contraseñas o ingeniería social. El valor de esta contramedida es pequeño porque un usuario
con credenciales de dominio podría recopilar la misma información de cuenta utilizando otros métodos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
647 | Página
Página 649
Discapacitado. (La IU de inicio de sesión no enumerará a los usuarios locales en equipos unidos a un dominio).
Referencias:
1. CCE-35894-5
https://translate.googleusercontent.com/translate_f 524/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
648 | Página
Página 650
18.8.28.5 (L1) Asegúrese de que esté configurado 'Desactivar notificaciones de aplicaciones en la pantalla de blo
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite evitar que las notificaciones de la aplicación aparezcan en el candado
pantalla.
Razón fundamental:
Auditoría:
https://translate.googleusercontent.com/translate_f 525/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Turn
desactivar las notificaciones de la aplicación en la pantalla de bloqueo
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Logon.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
649 | Página
Página 651
Discapacitado. (Los usuarios pueden elegir qué aplicaciones muestran notificaciones en la pantalla de bloqueo).
Referencias:
1. CCE-35893-7
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 526/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
650 | Página
Página 652
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite controlar si un usuario de dominio puede iniciar sesión con una imagen
contraseña.
Nota: Si se permite la función de contraseña de imagen, la contraseña de dominio del usuario se almacena en caché
la bóveda del sistema cuando lo use.
Razón fundamental:
Las contraseñas de imagen omiten el requisito de una contraseña compleja escrita. En un trabajo compartido
entorno, un simple surf de hombro donde alguien observó los gestos en pantalla
permitiría a esa persona acceder al sistema sin necesidad de conocer el complejo
contraseña. Las pantallas de monitores verticales con una imagen son mucho más visibles a distancia que
pulsaciones de teclas horizontales, lo que aumenta la probabilidad de una observación exitosa del mouse
gestos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
651 | Página
https://translate.googleusercontent.com/translate_f 527/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 653
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Turn
inicio de sesión de contraseña sin imagen
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CredentialProviders.admx / adml que se incluye con Microsoft Windows
8.0 & Server 2012 (no R2) Plantillas administrativas (o más recientes).
Impacto:
Los usuarios no podrán configurar o iniciar sesión con una contraseña de imagen.
Referencias:
1. CCE-37830-7
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
652 | Página
Página 654
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 528/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política le permite controlar si un usuario de dominio puede iniciar sesión con un
PIN de conveniencia. En Windows 10, el PIN de conveniencia se reemplazó por Passport, que tiene
propiedades de seguridad más fuertes. Para configurar Passport para usuarios de dominio, use las políticas
en Configuración del equipo \ Plantillas administrativas \ Windows
Componentes \ Microsoft Passport for Work.
Nota: La contraseña de dominio del usuario se almacenará en caché en la bóveda del sistema cuando se utilice esta
característica.
Razón fundamental:
Un PIN se crea a partir de una selección de caracteres mucho más pequeña que una contraseña, por lo que en la mayoría
casos, un PIN será mucho menos robusto que una contraseña.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
653 | Página
Página 655
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Inicio de sesión \ Activar
inicio de sesión con PIN de conveniencia
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CredentialProviders.admx / adml que se incluye con Microsoft Windows
8.0 & Server 2012 (no R2) Plantillas administrativas (o más recientes).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Activar inicio de sesión con PIN , pero se le cambió el nombre a partir de Windows 10 Release 1511
Plantillas Administrativas.
Impacto:
https://translate.googleusercontent.com/translate_f 529/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Discapacitado. (Un usuario de dominio no puede configurar y usar un PIN de conveniencia).
Referencias:
1. CCE-37528-7
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
654 | Página
Página 656
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Netlogon.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 530/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
655 | Página
Página 657
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OSPolicy.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1709
(o mas nuevo).
18.8.31.1 (L2) Asegúrese de que 'Permitir sincronización del portapapeles entre dispositivos' esté
establecido en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si el contenido del Portapapeles se puede sincronizar entre
dispositivos.
Razón fundamental:
Debido a problemas de privacidad, los datos del portapapeles deben permanecer locales en el sistema y no sincronizados
en todos los dispositivos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 531/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
656 | Página
Página 658
Impacto:
Si deshabilita esta configuración de directiva, el contenido del Portapapeles no se puede compartir con otros dispositivos.
Habilitado.
Controles CIS:
Versión 7
657 | Página
Página 659
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado como 'Deshabilita
https://translate.googleusercontent.com/translate_f 532/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si las actividades de usuario publicadas se pueden cargar en el
nube.
Razón fundamental:
Debido a preocupaciones de privacidad, los datos nunca deben enviarse a terceros, ya que estos datos podrían
contener información sensible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla OSPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
1803 Plantillas administrativas (o más reciente).
658 | Página
Página 660
Impacto:
Las actividades de tipo Actividad del usuario no pueden cargarse en la nube. La línea de tiempo
La función no funcionará en todos los dispositivos.
Habilitado. (Las actividades del tipo Actividad del usuario pueden cargarse en la nube).
Controles CIS:
Versión 7
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Passport.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703
(o mas nuevo).
659 | Página
Página 661
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con Microsoft Windows 10 Release 1607 & Server 2016 Administrative
Plantillas (o más recientes).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
660 | Página
Página 662
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1709 (o
más nuevo).
https://translate.googleusercontent.com/translate_f 535/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
661 | Página
Página 663
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Power.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Descripción:
Razón fundamental:
La desactivación de esta configuración garantiza que los atacantes no puedan acceder a la computadora durante
Red WLAN mientras se deja desatendida, con batería y en estado de suspensión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
662 | Página
Página 664
https://translate.googleusercontent.com/translate_f 536/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Power.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Plantillas administrativas de Server 2016 (o más reciente).
Impacto:
Habilitado. (La conectividad de red se mantendrá en modo de espera mientras esté en batería).
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
663 | Página
Página 665
Descripción:
https://translate.googleusercontent.com/translate_f 537/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
sistemas modernos con capacidad de reserva.
Razón fundamental:
La desactivación de esta configuración garantiza que los atacantes no puedan acceder a la computadora durante
Red WLAN mientras se deja desatendida, enchufada y en estado de suspensión.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Power.admx / adml que se incluye con Microsoft Windows 10 Release 1607 y
Plantillas administrativas de Server 2016 (o más reciente).
664 | Página
Página 666
Impacto:
No se garantiza la conectividad de red en modo de espera (mientras está conectado). Esta conectividad
Actualmente, la restricción solo se aplica a las redes WLAN, pero está sujeta a cambios.
(según Microsoft).
Habilitado. (La conectividad de red se mantendrá en modo de espera mientras esté enchufada).
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 538/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
665 | Página
Página 667
18.8.34.6.3 (L1) Asegúrese de 'Requerir una contraseña cuando se active una computadora
(con batería) 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Habilitar esta configuración asegura que cualquier persona que despierte una computadora desatendida desde la suspensión
El estado tendrá que proporcionar credenciales de inicio de sesión antes de que puedan acceder al sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Power.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
https://translate.googleusercontent.com/translate_f 539/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
(no R2) Plantillas administrativas (o más reciente).
Impacto:
666 | Página
Página 668
Habilitado. (Al usuario se le solicita una contraseña cuando el sistema sale de la suspensión mientras
en la batería.)
Referencias:
1. CCE-36881-1
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
667 | Página
Página 669
https://translate.googleusercontent.com/translate_f 540/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.8.34.6.4 (L1) Asegúrese de 'Requerir una contraseña cuando se active una computadora
(enchufado) 'está configurado como' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Habilitar esta configuración asegura que cualquier persona que despierte una computadora desatendida desde la suspensión
El estado tendrá que proporcionar credenciales de inicio de sesión antes de que puedan acceder al sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Power.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
668 | Página
Página 670
Habilitado. (Al usuario se le solicita una contraseña cuando el sistema sale de la suspensión mientras
conectado.)
Referencias:
1. CCE-37066-8
Controles CIS:
https://translate.googleusercontent.com/translate_f 541/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
18.8.35 Recuperación
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo ReAgent.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
669 | Página
Página 671
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite activar o desactivar la asistencia remota (no solicitada) de la oferta
en esta computadora.
https://translate.googleusercontent.com/translate_f 542/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La mesa de ayuda y el personal de soporte no podrán ofrecer asistencia de manera proactiva, aunque
aún pueden responder a las solicitudes de asistencia al usuario.
Razón fundamental:
Un usuario puede ser engañado y aceptar una oferta de asistencia remota no solicitada de un
usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
670 | Página
Página 672
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla RemoteAssistance.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Impacto:
Discapacitado. (Los usuarios de esta computadora no pueden obtener ayuda de su soporte técnico corporativo
personal que utiliza la oferta de asistencia remota (no solicitada)).
Referencias:
1. CCE-36388-7
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
https://translate.googleusercontent.com/translate_f 543/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
671 | Página
Página 673
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté establecido en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite activar o desactivar la Asistencia remota solicitada (Solicitar)
en esta computadora.
Razón fundamental:
Existe un ligero riesgo de que un administrador deshonesto obtenga acceso al escritorio de otro usuario.
sesión, sin embargo, no pueden conectarse a la computadora de un usuario sin previo aviso o controlarla
sin permiso del usuario. Cuando un experto intenta conectarse, el usuario aún puede
elija denegar la conexión o otorgar privilegios de solo lectura al experto. El usuario debe
haga clic explícitamente en el botón Sí para permitir que el experto controle de forma remota la estación de trabajo.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla RemoteAssistance.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
672 | Página
https://translate.googleusercontent.com/translate_f 544/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 674
Impacto:
Los usuarios de esta computadora no pueden usar el correo electrónico o la transferencia de archivos para pedir ayuda a alguien. También,
los usuarios no pueden utilizar programas de mensajería instantánea para permitir conexiones a esta computadora.
Los usuarios pueden activar o desactivar la asistencia remota solicitada (solicitar) ellos mismos en el sistema
Propiedades en el Panel de control. Los usuarios también pueden configurar los ajustes de Asistencia remota.
Referencias:
1. CCE-37281-3
Controles CIS:
Versión 6
Versión 7
673 | Página
Página 675
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo RPC.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 545/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política controla si los clientes RPC se autentican con Endpoint Mapper
Servicio cuando la llamada que están realizando contiene información de autenticación. El punto final
Mapper Service en equipos que ejecutan Windows NT4 (todos los paquetes de servicio) no puede procesar
información de autenticación proporcionada de esta manera. Esta configuración de directiva puede provocar una
problema con las confianzas de bosque unidireccionales si se aplica a los controladores de dominio de dominio que confían (consulte Microsoft
KB3073942 ) , por lo que no recomendamos aplicarlo a los controladores de dominio.
Razón fundamental:
El acceso anónimo a los servicios de RPC podría resultar en la divulgación accidental de información a
usuarios no autenticados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
674 | Página
Página 676
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla RPC.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
Los clientes RPC se autenticarán en Endpoint Mapper Service para llamadas que contengan
información de autenticación. Los clientes que realicen tales llamadas no podrán comunicarse con
el servicio de mapeador de extremos de Windows NT4 Server.
Discapacitado. (Los clientes RPC no se autenticarán en Endpoint Mapper Service, pero lo harán
https://translate.googleusercontent.com/translate_f 546/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
poder comunicarse con el servicio de mapeador de extremos de Windows NT4 Server.)
Referencias:
1. CCE-37346-4
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
675 | Página
Página 677
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado en
'Habilitado: autenticado' (solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla cómo el tiempo de ejecución del servidor RPC maneja RPC no autenticado
clientes que se conectan a servidores RPC.
Esta configuración de directiva afecta a todas las aplicaciones RPC. En un entorno de dominio, esta política
La configuración debe usarse con precaución, ya que puede afectar una amplia gama de funciones, incluidas
procesamiento de políticas de grupo en sí. Revertir un cambio en esta configuración de política puede requerir una
intervención en cada máquina afectada. Esta configuración de directiva nunca debe aplicarse a un
Controlador de dominio.
Un cliente se considerará un cliente autenticado si utiliza una canalización con nombre para comunicarse
con el servidor o si usa RPC Security. Interfaces RPC que han solicitado específicamente
ser accesible para clientes no autenticados puede estar exento de esta restricción, dependiendo de
el valor seleccionado para esta configuración de directiva.
- " Ninguno " permite que todos los clientes RPC se conecten a los servidores RPC que se ejecutan en la máquina en la que
se aplica la configuración de política.
- " Autenticado " permite que solo los Clientes RPC autenticados (según la definición anterior)
conectarse a los servidores RPC que se ejecutan en la máquina en la que se aplica la configuración de política.
Se otorgan exenciones a las interfaces que las han solicitado.
- " Autenticado sin excepciones " permite solo Clientes RPC autenticados (según el
definición anterior) para conectarse a los servidores RPC que se ejecutan en la máquina en la que la política
https://translate.googleusercontent.com/translate_f 547/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
se aplica el ajuste. No se permiten excepciones. Este valor tiene el potencial de causar
problemas graves y no se recomienda.
Razón fundamental:
676 | Página
Página 678
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Autenticado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla RPC.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
Solo los Clientes RPC autenticados podrán conectarse a los servidores RPC que se ejecutan en el
máquina en la que se aplica la configuración de directiva. Se otorgan exenciones a las interfaces que
los he solicitado.
Habilitado: Ninguno. (Todos los clientes RPC pueden conectarse a servidores RPC que se ejecutan en
máquina.)
Referencias:
1. CCE-36559-3
https://translate.googleusercontent.com/translate_f 548/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
677 | Página
Página 679
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
18.8.39 Scripts
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Scripts.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
678 | Página
Página 680
https://translate.googleusercontent.com/translate_f 549/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
18.8.42 Apagado
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinInit.admx / adml
que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Winsrv.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
679 | Página
Página 681
https://translate.googleusercontent.com/translate_f 550/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
SystemRestore.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
680 | Página
Página 682
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo pca.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 551/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
DiskDiagnostic.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo fthsvc.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
681 | Página
Página 683
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo MSDT.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
Descripción:
Razón fundamental:
Debido a preocupaciones de privacidad, los datos nunca deben enviarse a terceros, ya que estos datos podrían
contener información sensible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 552/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
682 | Página
Página 684
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla MSDT.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
MSDT no se puede ejecutar en modo de soporte y no se pueden recopilar ni enviar datos al soporte
proveedor.
Habilitado. (Los usuarios pueden usar MSDT para recopilar y enviar datos de diagnóstico a un profesional de soporte
para resolver un problema. De forma predeterminada, el proveedor de soporte está configurado en Microsoft Corporation).
Referencias:
1. CCE-38161-6
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
683 | Página
Página 685
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Msi-
FileRecovery.admx / adml que
se incluye con Microsoft Windows 7 y Server 2008 R2
Plantillas administrativas (o más recientes).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo sdiagschd.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo sdiageng.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
684 | Página
Página 686
https://translate.googleusercontent.com/translate_f 554/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
685 | Página
Página 687
18.8.47.11.1 (L2) Asegúrese de que 'Habilitar / Deshabilitar PerfTrack' esté configurado en 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si habilitar o deshabilitar el seguimiento de eventos de capacidad de respuesta.
Razón fundamental:
Cuando está habilitado, los datos agregados de un evento determinado se transmitirán a Microsoft. los
Existe una opción para restringir esta función para un usuario específico, establecer el nivel de consentimiento y designar
https://translate.googleusercontent.com/translate_f 555/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
programas específicos para los que se pueden enviar informes de errores. Sin embargo, restringir centralmente
capacidad de ejecutar PerfTrack para limitar la posibilidad de uso no autorizado o no deseado, datos
fugas o comunicaciones no intencionales se recomienda encarecidamente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
686 | Página
Página 688
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla PerformancePerftrack.admx / adml que se incluye con Microsoft Windows 7
& Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Habilitado. (Los eventos de capacidad de respuesta se procesan y agregan. Los datos agregados
transmitirse a Microsoft a través de SQM).
Referencias:
1. CCE-36648-4
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 556/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
687 | Página
Página 689
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo TPM.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
688 | Página
Página 690
https://translate.googleusercontent.com/translate_f 557/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política desactiva el ID de publicidad, lo que evita que las aplicaciones utilicen el ID para
experiencias en todas las aplicaciones.
Razón fundamental:
El seguimiento de la actividad del usuario con fines publicitarios, incluso de forma anónima, puede ser una cuestión de privacidad.
preocupación. En un entorno administrado por una empresa, las aplicaciones no deberían necesitar ni requerir
seguimiento para publicidad dirigida.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
689 | Página
Página 691
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla UserProfiles.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
https://translate.googleusercontent.com/translate_f 558/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El ID de publicidad está desactivado. Las aplicaciones no pueden usar el ID para experiencias entre aplicaciones.
Discapacitado. (Los usuarios pueden controlar si las aplicaciones pueden usar el ID de publicidad para experiencias
entre aplicaciones.)
Referencias:
1. CCE-36931-4
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
690 | Página
Página 692
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo HotStart.admx / adml
que solo se incluye con Microsoft Windows Vista a través de Windows 8.0 y Server
2012 (no R2) Plantillas administrativas.
https://translate.googleusercontent.com/translate_f 559/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
691 | Página
Página 693
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo W32Time.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo W32Time.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado en 'Habilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si el cliente NTP de Windows está habilitado. Habilitando el
El cliente NTP de Windows permite que su computadora sincronice el reloj de su computadora con otros
Servidores NTP. Es posible que desee deshabilitar este servicio si decide utilizar un tiempo de terceros
proveedor.
Razón fundamental:
Una cuenta del tiempo confiable y precisa es importante para una serie de servicios y seguridad.
requisitos, que incluyen, entre otros, aplicaciones distribuidas, servicios de autenticación,
Bases de datos multiusuario y servicios de registro. El uso de un cliente NTP (con operación segura)
https://translate.googleusercontent.com/translate_f 560/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
692 | Página
Página 694
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nota: esta ruta de política de grupo la proporciona la plantilla de política de grupo W32Time.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Puede configurar el reloj de la computadora local para sincronizar la hora con los servidores NTP.
Discapacitado. (El reloj de la computadora local no sincroniza la hora con los servidores NTP).
Referencias:
1. CCE-37843-0
Controles CIS:
Versión 6
6.1 Utilice al menos dos fuentes de tiempo sincronizadas para todos los servidores y la red
Equipo
Incluya al menos dos fuentes de tiempo sincronizadas desde las cuales todos los servidores y la red
El equipo recupera información de tiempo de forma regular para que las marcas de tiempo en los registros sean
consistente.
Versión 7
693 | Página
https://translate.googleusercontent.com/translate_f 561/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 695
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado como 'Deshabilitado'
(Solo MS) (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite especificar si el servidor NTP de Windows está habilitado.
Nota: En la mayoría de los entornos empresariales administrado, se debe no desactivar la NTP de Windows
Servidor en controladores de dominio, ya que es muy importante para el funcionamiento de NT5DS (dominio
basado en jerarquía) sincronización de tiempo.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: esta ruta de política de grupo la proporciona la plantilla de política de grupo W32Time.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
694 | Página
Página 696
Impacto:
Discapacitado. (La computadora no puede atender las solicitudes NTP de otras computadoras).
Referencias:
https://translate.googleusercontent.com/translate_f 562/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37319-1
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
695 | Página
Página 697
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de política de grupo adfs.admx / adml que es
solo se incluye con Microsoft Windows Vista a través de Windows 8.0 y Server 2012
(no R2) Plantillas administrativas.
https://translate.googleusercontent.com/translate_f 563/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
ActiveXInstallService.admx / adml que
se incluye con todas las versiones de Microsoft
Plantillas administrativas de Windows.
Nota: Esta sección inicialmente se llamó Windows Anytime Upgrade, pero fue renombrada por
Microsoft agregará funciones a Windows x a partir de Microsoft Windows 8.0 y Server
2012 (no R2) Plantillas administrativas.
696 | Página
Página 698
18.9.4.1 (L2) Asegúrese de 'Permitir que una aplicación de Windows comparta datos de aplicaciones
entre usuarios 'está configurado como' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Administra la capacidad de una aplicación de Windows para compartir datos entre usuarios que han instalado la aplicación.
Los datos se comparten a través de la carpeta SharedLocal . Esta carpeta está disponible a través del
API de Windows.Storage .
Razón fundamental:
Los usuarios de un sistema podrían compartir accidentalmente datos confidenciales con otros usuarios en el mismo
sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 564/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
697 | Página
Página 699
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AppxPackageManager.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas RTM (versión 1507) (o más reciente).
Impacto:
Discapacitado. (Las aplicaciones de Windows no podrán compartir datos de aplicaciones con otras instancias de esa aplicación).
Controles CIS:
Versión 6
Versión 7
698 | Página
https://translate.googleusercontent.com/translate_f 565/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 700
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo AppPrivacy.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1511
(o mas nuevo).
699 | Página
Página 701
https://translate.googleusercontent.com/translate_f 566/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
AppXRuntime.admx
(no adml que se incluye
R2) Plantillas/ administrativas conreciente).
(o más Microsoft Windows 8.0 y Server 2012
18.9.6.1 (L1) Asegúrese de que 'Permitir que las cuentas de Microsoft sean opcionales' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite controlar si las cuentas de Microsoft son opcionales para Windows
Aplicaciones de la tienda que requieren una cuenta para iniciar sesión. Esta política solo afecta a las aplicaciones de la Tienda Windows
que lo apoyan.
Razón fundamental:
Habilitar esta configuración permite que una organización use sus cuentas de usuario empresariales en lugar de
usando sus cuentas de Microsoft al acceder a las aplicaciones de la tienda de Windows. Esto proporciona el
organización con mayor control sobre las credenciales relevantes. Las cuentas de Microsoft no pueden
administrado centralmente y, como tal, las políticas de seguridad de credenciales empresariales no se pueden aplicar a
ellos, lo que podría poner en riesgo cualquier información a la que se acceda mediante el uso de cuentas de Microsoft.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
700 | Página
Página 702
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AppXRuntime.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Las aplicaciones de la Tienda Windows que normalmente requieren una cuenta de Microsoft para iniciar sesión permitirán a los usuarios
en su lugar, inicie sesión con una cuenta empresarial.
Discapacitado. (Los usuarios deberán iniciar sesión con una cuenta de Microsoft).
https://translate.googleusercontent.com/translate_f 567/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-38354-7
Controles CIS:
Versión 6
Versión 7
701 | Página
Página 703
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo AppCompat.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 568/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
702 | Página
Página 704
Esta sección de Política de grupo la proporciona la plantilla de política de grupo AutoPlay.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.8.1 (L1) Asegúrese de que 'No permitir reproducción automática para dispositivos sin volumen' esté configur
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política no permite la reproducción automática para dispositivos MTP como cámaras o teléfonos.
Razón fundamental:
Un atacante podría usar esta función para iniciar un programa que dañe un equipo cliente o datos
en la computadora.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AutoPlay.admx / adml que se incluye con Microsoft Windows 8.0 & Server
2012 (no R2) Plantillas administrativas (o más reciente).
https://translate.googleusercontent.com/translate_f 569/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
703 | Página
Página 705
Impacto:
Discapacitado. (La reproducción automática está habilitada para dispositivos sin volumen).
Referencias:
1. CCE-37636-8
Controles CIS:
Versión 6
Versión 7
704 | Página
Página 706
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en
'Habilitado: no ejecutar ningún comando de ejecución automática' (puntuado)
https://translate.googleusercontent.com/translate_f 570/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración de política establece el comportamiento predeterminado de los comandos de ejecución automática. Comandos de ejecución automática
generalmente se almacenan en archivos autorun.inf . A menudo inician el programa de instalación o
otras rutinas.
El estado recomendado para esta configuración es: Habilitado: no ejecuta ninguna ejecución automática.
comandos .
Razón fundamental:
Antes de Windows Vista, cuando se inserta un medio que contiene un comando de ejecución automática,
El sistema ejecutará automáticamente el programa sin la intervención del usuario. Esto crea una
preocupación de seguridad importante ya que el código puede ejecutarse sin el conocimiento del usuario. El valor por defecto
El comportamiento a partir de Windows Vista es preguntar al usuario si el comando de ejecución automática está
para ejecutarse. El comando de ejecución automática se representa como un controlador en el cuadro de diálogo Reproducción automática.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
705 | Página
Página 707
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
No ejecute ningún comando de ejecución automática :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AutoPlay.admx / adml que se incluye con Microsoft Windows 8.0 & Server
2012 (no R2) Plantillas administrativas (o más reciente).
Impacto:
Referencias:
1. CCE-38217-6
Controles CIS:
Versión 6
Versión 7
706 | Página
Página 708
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las u
(Puntuado)
Aplicabilidad del perfil:
Descripción:
La reproducción automática comienza a leer desde una unidad tan pronto como inserta el medio en la unidad, lo que causa
el archivo de instalación para que los programas o medios de audio se inicien inmediatamente. Un atacante podría usar esto
característica para iniciar un programa que dañe la computadora o los datos en la computadora. La reproducción automática es
deshabilitado de forma predeterminada en algunos tipos de unidades extraíbles, como disquetes y unidades de red,
pero no en unidades de CD-ROM.
Nota: No puede usar esta configuración de política para habilitar la reproducción automática en las unidades de computadora en las que
está deshabilitado de forma predeterminada, como disquete y unidades de red.
El estado recomendado para esta configuración es: Activado: todas las unidades .
Razón fundamental:
Un atacante podría usar esta función para iniciar un programa que dañe un equipo cliente o datos
en la computadora.
Auditoría:
https://translate.googleusercontent.com/translate_f 572/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
707 | Página
Página 709
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Todas las unidades :
Impacto:
La reproducción automática se desactivará: los usuarios deberán iniciar manualmente la configuración o la instalación
programas que se proporcionan en medios extraíbles.
Referencias:
1. CCE-36875-3
https://translate.googleusercontent.com/translate_f 573/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
708 | Página
Página 710
Controles CIS:
Versión 6
Versión 7
709 | Página
Página 711
https://translate.googleusercontent.com/translate_f 574/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.10 Biometría
Esta sección contiene recomendaciones relacionadas con la biometría.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Biometrics.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Biometrics.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1511
(o mas nuevo).
Descripción:
Esta configuración de directiva determina si la protección contra la suplantación de identidad mejorada está configurada para dispositivos
que lo apoyan.
Razón fundamental:
Los entornos gestionados por empresas ahora admiten una gama más amplia de dispositivos móviles,
aumentar la seguridad en estos dispositivos ayudará a proteger contra el acceso no autorizado en
Tu red.
710 | Página
Página 712
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 575/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Biometrics.admx / adml que se incluye con la versión de Microsoft Windows 10
1511 Plantillas administrativas (o más reciente).
Nota n. ° 2: en Windows 10 Release 1511 y Windows 10 Release 1607 y Server 2016
Plantillas administrativas, esta configuración se denominó inicialmente Usar anti-spoofing mejorado cuando
disponible . Se le cambió el nombre a Configurar anti-spoofing mejorado comenzando con Windows
10 Plantillas administrativas de la versión 1703.
Impacto:
Windows requerirá que todos los usuarios del dispositivo usen anti-spoofing para rasgos faciales, en
dispositivos que lo soportan.
Controles CIS:
Versión 6
Versión 7
711 | Página
Página 713
https://translate.googleusercontent.com/translate_f 576/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
712 | Página
Página 714
18.9.12 Cámara
Esta sección contiene recomendaciones relacionadas con la cámara.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Camera.admx / adml que
se incluye con Microsoft Windows 10 Release 1607 & Server 2016 Administrative
Plantillas (o más recientes).
18.9.12.1 (L2) Asegúrese de que 'Permitir el uso de la cámara' esté configurado como 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Las cámaras en un entorno de alta seguridad pueden presentar graves riesgos de exfiltración de datos y privacidad
- Deben desactivarse para ayudar a mitigar ese riesgo.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 577/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Componentes \ Cámara \ Permitir el uso de la cámara
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Camera.admx / adml que se incluye con Microsoft Windows 10 Release 1607
& Plantillas administrativas de Server 2016 (o más reciente).
713 | Página
Página 715
Impacto:
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
714 | Página
Página 716
https://translate.googleusercontent.com/translate_f 578/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.13.1 (L1) Asegúrese de que 'Desactivar las experiencias del consumidor de Microsoft' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política desactiva las experiencias que ayudan a los consumidores a aprovechar al máximo sus
dispositivos y cuenta de Microsoft.
Nota: según Microsoft TechNet, esta configuración de política solo se aplica a Windows 10 Enterprise y
Ediciones de Windows 10 Education.
Razón fundamental:
Tener aplicaciones instaladas silenciosamente en un entorno administrado por la empresa no es una buena seguridad
práctica, especialmente si las aplicaciones envían datos a un tercero.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
715 | Página
Página 717
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
1511 Plantillas administrativas (o más reciente).
https://translate.googleusercontent.com/translate_f 579/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Los usuarios ya no verán recomendaciones ni notificaciones personalizadas de Microsoft.
sobre su cuenta de Microsoft.
Discapacitado. (Los usuarios pueden ver sugerencias de Microsoft y notificaciones sobre sus
Cuenta de Microsoft.)
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
716 | Página
Página 718
18.9.14 Conectar
Esta sección contiene recomendaciones relacionadas con Connect.
18.9.14.1 (L1) Asegúrese de que 'Requerir pin para emparejamiento' esté configurado en 'Habilitado: primero
Hora 'O' Habilitado: Siempre '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla si se requiere o no un PIN para emparejar a una red inalámbrica
dispositivo de demostracion.
El estado recomendado para esta configuración es: Activado: Primera vez O Activado: Siempre .
https://translate.googleusercontent.com/translate_f 580/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
717 | Página
Página 719
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Primera vez O habilitado: Siempre :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WirelessDisplay.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Impacto:
La ceremonia de emparejamiento para conectarse a nuevos dispositivos de visualización inalámbricos siempre requerirá un
ALFILER.
Controles CIS:
Versión 6
15.8 Deshabilitar el acceso periférico inalámbrico (es decir, Bluetooth) a menos que sea necesario
Desactive el acceso periférico inalámbrico de dispositivos (como Bluetooth), a menos que dicho acceso sea
requerido para una necesidad comercial documentada.
Versión 7
https://translate.googleusercontent.com/translate_f 581/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
718 | Página
Página 720
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredUI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.15.1 (L1) Asegúrese de que esté configurado 'No mostrar el botón de revelación de contraseña'
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite configurar la visualización del botón de revelación de contraseña en
experiencias de usuario de introducción de contraseña.
Razón fundamental:
Esta es una función útil cuando se ingresa una contraseña larga y compleja, especialmente cuando se usa
una pantalla táctil. El riesgo potencial es que alguien más pueda ver su contraseña mientras
observando subrepticiamente su pantalla.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
719 | Página
https://translate.googleusercontent.com/translate_f 582/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 721
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CredUI.admx / adml que se incluye con Microsoft Windows 8.0 & Server
2012 (no R2) Plantillas administrativas (o más reciente).
Impacto:
El botón de revelación de contraseña no se mostrará después de que un usuario ingrese una contraseña en el
cuadro de texto de entrada de contraseña.
Discapacitado. (El botón de revelación de contraseña se muestra después de que un usuario escribe una contraseña en el
cuadro de texto de entrada de contraseña. Si el usuario hace clic en el botón, se muestra la contraseña escrita
en pantalla en texto sin formato.)
Referencias:
1. CCE-37534-5
Controles CIS:
Versión 6
Versión 7
720 | Página
Página 722
https://translate.googleusercontent.com/translate_f 583/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
• Nivel 1: servidor miembro
Descripción:
Esta configuración de directiva controla si las cuentas de administrador se muestran cuando un usuario
intenta elevar una aplicación en ejecución.
Razón fundamental:
Los usuarios pueden ver la lista de cuentas de administrador, lo que facilita un poco la tarea de
usuario que ha iniciado sesión en una sesión de consola para intentar descifrar las contraseñas de esas cuentas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo CredUI.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
721 | Página
Página 723
Discapacitado. (Los usuarios deberán escribir siempre un nombre de usuario y contraseña para elevar).
Referencias:
1. CCE-36512-2
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 584/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
722 | Página
Página 724
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con Microsoft Windows 10 RTM (versión 1507)
Plantillas (o más recientes).
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad
[Solo para empresas] 'o' Habilitado: 1 - Básico '(puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 585/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La configuración de telemetría de Windows 10 se aplica al sistema operativo Windows y algunas
aplicaciones de fiesta. Esta configuración no se aplica a aplicaciones de terceros que se ejecutan en Windows 10.
El estado recomendado para esta configuración es: Habilitado: 0 - Seguridad [Solo para empresas] o
Habilitado: 1 - Básico .
723 | Página
Página 725
Nota: Si la opción Permitir telemetría está configurada en 0: seguridad [solo para empresas] ,
entonces, las opciones de Windows Update para aplazar actualizaciones y actualizaciones no tendrán ningún efecto.
Razón fundamental:
Enviar cualquier dato a un proveedor externo es un problema de seguridad y solo debe hacerse en un
según sea necesario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
0: seguridad [solo para empresas] o habilitado: 1: básico :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DataCollection.admx / adml que se incluye con Microsoft Windows 10 RTM
(Versión 1507) Plantillas administrativas (o más reciente).
Impacto:
Tenga en cuenta que los valores de configuración de 0 o 1 degradarán ciertas experiencias en el dispositivo.
724 | Página
https://translate.googleusercontent.com/translate_f 586/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 726
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
725 | Página
Página 727
https://translate.googleusercontent.com/translate_f 587/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla si el servicio de telemetría y experiencia del usuario conectado
puede utilizar automáticamente un proxy autenticado para enviar datos a Microsoft.
El estado recomendado para esta configuración es: Habilitado: deshabilita el proxy autenticado
uso .
Razón fundamental:
Enviar cualquier dato a un proveedor externo es un problema de seguridad y solo debe hacerse en un
según sea necesario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Deshabilitar el uso de proxy autenticado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla DataCollection.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1703 (o más reciente).
726 | Página
Página 728
Impacto:
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 588/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
13.3 Supervisar y bloquear el tráfico de red no autorizado
Implemente una herramienta automatizada en los perímetros de la red que monitorea
transferencia de información sensible y bloquea dichas transferencias mientras alerta información
profesionales de la seguridad.
727 | Página
Página 729
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva permite a una organización evitar que sus dispositivos muestren comentarios
preguntas de Microsoft.
Razón fundamental:
Los usuarios no deben enviar comentarios a proveedores externos en una empresa administrada
ambiente.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 589/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla FeedbackNotifications.admx / adml que se incluye con Microsoft Windows
10 Plantillas administrativas de la versión 1511 (o más reciente).
Impacto:
728 | Página
Página 730
Discapacitado. (Los usuarios pueden ver notificaciones a través de la aplicación Windows Feedback solicitando a los usuarios
realimentación. Los usuarios pueden controlar la frecuencia con la que reciben preguntas de retroalimentación).
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 590/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
729 | Página
Página 731
18.9.16.4 (L1) Asegúrese de que 'Alternar control de usuario sobre compilaciones de Insider' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden acceder a los controles de compilación de Insider en el
Opciones avanzadas para Windows Update. Estos controles se encuentran en "Obtener información privilegiada
compila "y permite a los usuarios hacer que sus dispositivos estén disponibles para descargar e instalar
Software de vista previa de Windows.
Nota: Esta configuración de política se aplica solo a dispositivos que ejecutan Windows Server 2016, hasta
Versión 1703. Para la versión 1709 o posterior, Microsoft recomienda usar la vista previa Administrar
configuración de compilaciones (Regla 18.9.102.1.1). Hemos mantenido esta configuración en el punto de referencia para garantizar
que aún se aplican las versiones anteriores de Windows Server 2016 en el entorno.
Razón fundamental:
Puede ser arriesgado que se permitan funciones experimentales en una empresa administrada
entorno porque esto puede introducir errores y agujeros de seguridad en los sistemas, lo que
más fácil para un atacante obtener acceso. Por lo general, se prefiere usar solo productos listos para producción.
construye.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
730 | Página
Página 732
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 591/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AllowBuildPreview.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas RTM (versión 1507) (o más reciente).
Impacto:
Habilitado. (Los usuarios pueden descargar e instalar el software de vista previa de Windows en sus dispositivos).
Controles CIS:
Versión 6
731 | Página
Página 733
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sidebar.admx / adml
https://translate.googleusercontent.com/translate_f 592/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo DWM.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
732 | Página
Página 734
Nota: Esta sección se denominó inicialmente Unión al lugar de trabajo, pero Microsoft la renombró
Registro del dispositivo a partir de Microsoft Windows 10 RTM (versión 1507)
Plantillas Administrativas.
https://translate.googleusercontent.com/translate_f 593/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo la proporciona la plantilla de política de grupo EdgeUI.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 8.1 y Server 2012 R2
(o mas nuevo).
733 | Página
Página 735
18.9.24 EMET
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo EMET.admx / adml que es
incluido con Microsoft EMET.
EMET es un software de seguridad gratuito y compatible desarrollado por Microsoft que permite
empresa para aplicar mitigaciones de vulnerabilidades a las aplicaciones que se ejecutan en Windows. Muchos de estos
Posteriormente, las mitigaciones se codificaron directamente en Windows 10 y Server 2016.
Nota: aunque EMET es bastante eficaz para mejorar la protección contra vulnerabilidades en el servidor Windows
En sistemas operativos anteriores a Server 2016, se recomienda encarecidamente realizar pruebas de compatibilidad en
configuraciones de servidor típicas (incluidas todas las configuraciones de EMET recomendadas por CIS) antes
despliegue generalizado en su entorno.
Nota n. ° 2: Se ha informado que EMET es muy problemático en sistemas operativos de 32 bits; solo
recomiendo usarlo con sistemas operativos de 64 bits.
Nota n. ° 3: Microsoft ha anunciado que EMET estará al final de su vida útil (EOL) el 31 de julio de 2018.
Esto no significa que el software dejará de funcionar, solo que Microsoft no lo actualizará
más allá de esa fecha, ni solucionar nuevos problemas con él. Ellos son en cambio
recomendando que los servidores se actualicen a Server 2016.
https://translate.googleusercontent.com/translate_f 594/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
734 | Página
Página 736
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.26.1 Aplicación
Esta sección contiene recomendaciones para configurar el registro de eventos de la aplicación.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando
el archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo.
Nota: los eventos antiguos pueden o no conservarse de acuerdo con el registro de copia de seguridad automáticamente
cuando se establece la política completa .
Razón fundamental:
Si no se registran nuevos eventos, puede ser difícil o imposible determinar la causa raíz.
de problemas del sistema o actividades no autorizadas de usuarios malintencionados.
735 | Página
Página 737
https://translate.googleusercontent.com/translate_f 595/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado. (Cuando un archivo de registro alcanza su tamaño máximo, los eventos nuevos sobrescriben los eventos antiguos).
Referencias:
1. CCE-37775-4
736 | Página
Página 738
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
https://translate.googleusercontent.com/translate_f 596/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
generado.
737 | Página
Página 739
18.9.26.1.2 (L1) Asegúrese de 'Aplicación: especifique el tamaño máximo del archivo de registro
(KB) 'se establece en' Habilitado: 32.768 o más '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. El registro máximo
el tamaño del archivo se puede configurar entre 1 megabyte (1024 kilobytes) y 4 terabytes
(4,194,240 kilobytes) en incrementos de kilobytes.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 597/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ EventLog \ Aplicación: M
axSize
738 | Página
Página 740
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
32,768 o más :
Impacto:
Cuando los registros de eventos se llenen al máximo, dejarán de registrar información a menos que la retención
El método para cada uno está configurado de modo que la computadora sobrescriba las entradas más antiguas con las
recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar la retención
método para que los eventos más antiguos se sobrescriban según sea necesario.
La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros.
Los atacantes pueden aprovechar esta configuración, porque pueden generar una gran
número de eventos extraños para sobrescribir cualquier evidencia de su ataque. Estos riesgos pueden ser
algo reducido si automatiza el archivo y la copia de seguridad de los datos del registro de eventos.
Idealmente, todos los eventos monitoreados específicamente deben enviarse a un servidor que utilice Microsoft
System Center Operations Manager (SCOM) o alguna otra herramienta de supervisión automatizada.
Esta configuración es particularmente importante porque un atacante que
compromete un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un monitor
servidor, entonces podrá recopilar información forense sobre las actividades del atacante.
Discapacitado. (El tamaño de registro predeterminado es 20,480 KB; este valor lo puede cambiar el
administrador mediante el cuadro de diálogo Propiedades del registro).
https://translate.googleusercontent.com/translate_f 598/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Referencias:
1. CCE-37948-7
739 | Página
Página 741
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
740 | Página
Página 742
https://translate.googleusercontent.com/translate_f 599/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.26.2 Seguridad
Esta sección contiene recomendaciones para configurar el registro de eventos de seguridad.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo.
Nota: los eventos antiguos pueden o no conservarse de acuerdo con el registro de copia de seguridad automáticamente
cuando se establece la política completa .
Razón fundamental:
Si no se registran nuevos eventos, puede ser difícil o imposible determinar la causa raíz.
de problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
741 | Página
Página 743
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 600/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Plantillas
Nota n. ° Administrativas.
2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Retener eventos antiguos , pero se renombró a partir de Windows 8.0 y Server 2012
(no R2) Plantillas administrativas.
Impacto:
Discapacitado. (Cuando un archivo de registro alcanza su tamaño máximo, los eventos nuevos sobrescriben los eventos antiguos).
Referencias:
1. CCE-37145-0
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
742 | Página
Página 744
18.9.26.2.2 (L1) Asegúrese de 'Seguridad: especifique el tamaño máximo del archivo de registro (KB)'
está configurado en 'Habilitado: 196,608 o más' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. El registro máximo
el tamaño del archivo se puede configurar entre 1 megabyte (1024 kilobytes) y 4 terabytes
(4,194,240 kilobytes) en incrementos de kilobytes.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
https://translate.googleusercontent.com/translate_f 601/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
743 | Página
Página 745
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
196,608 o más :
Impacto:
Cuando los registros de eventos se llenen al máximo, dejarán de registrar información a menos que la retención
El método para cada uno está configurado de modo que la computadora sobrescriba las entradas más antiguas con las
recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar la retención
método para que los eventos más antiguos se sobrescriban según sea necesario.
La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros.
Los atacantes pueden aprovechar esta configuración, porque pueden generar una gran
número de eventos extraños para sobrescribir cualquier evidencia de su ataque. Estos riesgos pueden ser
algo reducido si automatiza el archivo y la copia de seguridad de los datos del registro de eventos.
Idealmente, todos los eventos monitoreados específicamente deben enviarse a un servidor que utilice Microsoft
System Center Operations Manager (SCOM) o alguna otra herramienta de supervisión automatizada.
Esta configuración es particularmente importante porque un atacante que
compromete un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un monitor
servidor, entonces podrá recopilar información forense sobre las actividades del atacante.
https://translate.googleusercontent.com/translate_f 602/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado. (El tamaño de registro predeterminado es 20,480 KB; este valor lo puede cambiar el
administrador mediante el cuadro de diálogo Propiedades del registro).
Referencias:
1. CCE-37695-4
744 | Página
Página 746
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
745 | Página
https://translate.googleusercontent.com/translate_f 603/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 747
18.9.26.3 Configuración
Esta sección contiene recomendaciones para configurar el registro de eventos de configuración.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando el regi
el archivo alcanza su tamaño máximo 'se establece en' Deshabilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo.
Nota: los eventos antiguos pueden o no conservarse de acuerdo con el registro de copia de seguridad automáticamente
cuando se establece la política completa .
Razón fundamental:
Si no se registran nuevos eventos, puede ser difícil o imposible determinar la causa raíz.
de problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
746 | Página
Página 748
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 604/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo.
EventLog.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Retener eventos antiguos , pero se renombró a partir de Windows 8.0 y Server 2012
(no R2) Plantillas administrativas.
Impacto:
Discapacitado. (Cuando un archivo de registro alcanza su tamaño máximo, los eventos nuevos sobrescriben los eventos antiguos).
Referencias:
1. CCE-38276-2
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
747 | Página
Página 749
18.9.26.3.2 (L1) Asegúrese de que 'Configuración: Especifique el tamaño máximo del archivo de registro (KB)'
establecido en 'Habilitado: 32,768 o mayor' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. El registro máximo
el tamaño del archivo se puede configurar entre 1 megabyte (1024 kilobytes) y 4 terabytes
(4,194,240 kilobytes) en incrementos de kilobytes.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
https://translate.googleusercontent.com/translate_f 605/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
problemas del sistema o actividades no autorizadas de usuarios malintencionados
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
32,768 o más :
748 | Página
Página 750
Impacto:
Cuando los registros de eventos se llenen al máximo, dejarán de registrar información a menos que la retención
El método para cada uno está configurado de modo que la computadora sobrescriba las entradas más antiguas con las
recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar la retención
método para que los eventos más antiguos se sobrescriban según sea necesario.
La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros.
Los atacantes pueden aprovechar esta configuración, porque pueden generar una gran
número de eventos extraños para sobrescribir cualquier evidencia de su ataque. Estos riesgos pueden ser
algo reducido si automatiza el archivo y la copia de seguridad de los datos del registro de eventos.
Idealmente, todos los eventos monitoreados específicamente deben enviarse a un servidor que utilice Microsoft
System Center Operations Manager (SCOM) o alguna otra herramienta de supervisión automatizada.
Esta configuración es particularmente importante porque un atacante que
compromete un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un monitor
servidor, entonces podrá recopilar información forense sobre las actividades del atacante.
Discapacitado. (El tamaño de registro predeterminado es 20,480 KB; este valor lo puede cambiar el
administrador mediante el cuadro de diálogo Propiedades del registro).
Referencias:
1. CCE-37526-1
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
https://translate.googleusercontent.com/translate_f 606/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
749 | Página
Página 751
18.9.26.4 Sistema
Esta sección contiene recomendaciones para configurar el registro de eventos del sistema.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo EventLog.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo.
Nota: los eventos antiguos pueden o no conservarse de acuerdo con el registro de copia de seguridad automáticamente
cuando se establece la política completa .
Razón fundamental:
Si no se registran nuevos eventos, puede ser difícil o imposible determinar la causa raíz.
de problemas del sistema o actividades no autorizadas de usuarios malintencionados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
750 | Página
https://translate.googleusercontent.com/translate_f 607/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 752
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado. (Cuando un archivo de registro alcanza su tamaño máximo, los eventos nuevos sobrescriben los eventos antiguos).
Referencias:
1. CCE-36160-0
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
751 | Página
Página 753
18.9.26.4.2 (L1) Asegúrese de 'Sistema: especifique el tamaño máximo del archivo de registro (KB)'
está configurado en 'Habilitado: 32.768 o más' (puntuado)
https://translate.googleusercontent.com/translate_f 608/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
• Nivel 1: controlador de dominio
Descripción:
Esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. El registro máximo
el tamaño del archivo se puede configurar entre 1 megabyte (1024 kilobytes) y 4 terabytes
(4,194,240 kilobytes) en incrementos de kilobytes.
Razón fundamental:
Si los eventos no se registran, puede ser difícil o imposible determinar la causa raíz de
problemas del sistema o actividades no autorizadas de usuarios malintencionados
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
32,768 o más :
752 | Página
Página 754
Impacto:
Cuando los registros de eventos se llenen al máximo, dejarán de registrar información a menos que la retención
El método para cada uno está configurado de modo que la computadora sobrescriba las entradas más antiguas con las
recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar la retención
método para que los eventos más antiguos se sobrescriban según sea necesario.
La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros.
Los atacantes pueden aprovechar esta configuración, porque pueden generar una gran
número de eventos extraños para sobrescribir cualquier evidencia de su ataque. Estos riesgos pueden ser
algo reducido si automatiza el archivo y la copia de seguridad de los datos del registro de eventos.
Idealmente, todos los eventos monitoreados específicamente deben enviarse a un servidor que utilice Microsoft
System Center Operations Manager (SCOM) o alguna otra herramienta de supervisión automatizada.
Esta configuración es particularmente importante porque un atacante que
compromete un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un monitor
servidor, entonces podrá recopilar información forense sobre las actividades del atacante.
https://translate.googleusercontent.com/translate_f 609/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado. (El tamaño de registro predeterminado es 20,480 KB; este valor lo puede cambiar el
administrador mediante el cuadro de diálogo Propiedades del registro).
Referencias:
1. CCE-36092-5
Controles CIS:
Versión 6
6.3 Asegúrese de que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación / archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan suficiente espacio de almacenamiento para los registros
generados de forma regular, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros.
Los registros deben archivarse y firmarse digitalmente de forma periódica.
Versión 7
753 | Página
Página 755
Nota: Inicialmente, esta sección se denominó Controles parentales, pero Microsoft le cambió el nombre a
Protección infantil a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
https://translate.googleusercontent.com/translate_f 610/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Plantillas Administrativas.
754 | Página
Página 756
Nota: Esta sección se llamó inicialmente Explorador de Windows, pero Microsoft le cambió el nombre a
Explorador de archivos a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
Plantillas Administrativas.
18.9.30.2 (L1) Asegúrese de que 'Desactivar la prevención de ejecución de datos para Explorer' esté
establecido en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
La desactivación de la Prevención de ejecución de datos puede permitir que ciertas aplicaciones de complementos heredados
funcionar sin terminar Explorer.
Nota: Es posible que algunas aplicaciones de complemento heredadas y otro software no funcionen con Data
Prevención de ejecución y requerirá que se defina una excepción para ese complemento específico
en / software.
https://translate.googleusercontent.com/translate_f 611/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
755 | Página
Página 757
Razón fundamental:
La prevención de ejecución de datos es una función de seguridad importante compatible con Explorer que
ayuda a limitar el impacto de ciertos tipos de malware.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Explorer.admx / adml que se incluye con Microsoft Windows 7 & Server
Plantillas administrativas de 2008 R2 (o más recientes).
Impacto:
Discapacitado. (La Prevención de ejecución de datos evitará que ciertos tipos de malware exploten
Explorador.)
Referencias:
1. CCE-37809-1
756 | Página
Página 758
Controles CIS:
https://translate.googleusercontent.com/translate_f 612/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
757 | Página
Página 759
18.9.30.3 (L1) Asegúrese de que 'Desactivar la terminación del montón en caso de corrupción' esté configurado e
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Sin la terminación del montón por corrupción, las aplicaciones de complementos heredados pueden continuar
funcionar cuando una sesión del Explorador de archivos se haya dañado. Asegurarse de que la terminación del montón
sobre la corrupción está activo evitará esto.
https://translate.googleusercontent.com/translate_f 613/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Permitir que una aplicación funcione después de que su sesión se haya corrompido aumenta el riesgo
postura al sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
758 | Página
Página 760
Referencias:
1. CCE-36660-9
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
https://translate.googleusercontent.com/translate_f 614/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
759 | Página
Página 761
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Limitar la apertura de archivos y carpetas a un conjunto limitado reduce la superficie de ataque del
sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 615/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
WindowsExplorer.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
760 | Página
Página 762
Impacto:
Discapacitado. (El protocolo está en modo protegido, lo que permite que las aplicaciones solo abran un
conjunto limitado de carpetas.)
Referencias:
1. CCE-36809-2
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
761 | Página
Página 763
https://translate.googleusercontent.com/translate_f 616/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FindMy.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703 (o
más nuevo).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Sharing.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
762 | Página
Página 764
https://translate.googleusercontent.com/translate_f 617/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo InetRes.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo IIS.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
763 | Página
Página 765
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sensors.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 618/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Razón fundamental:
Esta configuración afecta la función de ubicación (por ejemplo, GPS u otro seguimiento de ubicación). A partir de una
perspectiva de seguridad, no es una buena idea revelar su ubicación al software en la mayoría de los casos,
pero existen usos legítimos, como el software de mapas. Sin embargo, no deben usarse
en entornos de alta seguridad.
764 | Página
Página 766
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Sensors.admx / adml que se incluye con Microsoft Windows 7 y Server 2008
Plantillas administrativas R2 (o más reciente).
Impacto:
Referencias:
1. CCE-36886-0
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
https://translate.googleusercontent.com/translate_f 619/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
765 | Página
Página 767
Esta sección de Política de grupo la proporciona la plantilla de política de grupo msched.admx / adml que
se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
18.9.41 Mapas
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinMaps.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1511
(o mas nuevo).
18.9.42 MDM
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MDM.admx / adml que es
incluido con Microsoft Windows 10 Release 1607 y Server 2016 Administrativo
Plantillas (o más recientes).
766 | Página
https://translate.googleusercontent.com/translate_f 620/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 768
18.9.43 Mensajería
Esta sección contiene configuraciones de mensajería.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Messaging.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1709
(o mas nuevo).
18.9.43.1 (L2) Asegúrese de que 'Permitir sincronización en la nube del servicio de mensajes' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite realizar copias de seguridad y restaurar mensajes de texto móviles en la nube de Microsoft.
servicios.
Razón fundamental:
En un entorno de alta seguridad, los datos nunca deben enviarse a terceros, ya que estos datos
podría contener información sensible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
767 | Página
Página 769
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Messaging.admx / adml que se incluye con la versión de Microsoft Windows 10
https://translate.googleusercontent.com/translate_f 621/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1709 Plantillas administrativas (o más reciente).
Impacto:
Los mensajes de texto celulares no se respaldarán (ni se restaurarán desde) la nube de Microsoft
servicios.
Habilitado. (Los mensajes de texto móviles se pueden respaldar y restaurar en la nube de Microsoft
servicios.)
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
768 | Página
Página 770
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSAPolicy.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703
(o mas nuevo).
Descripción:
Esta configuración determina si las aplicaciones y los servicios del dispositivo pueden utilizar nuevos
Autenticación de cuenta de Microsoft de consumidor a través de Windows OnlineID y
https://translate.googleusercontent.com/translate_f 622/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
API de WebAccountManager .
El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
769 | Página
Página 771
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla MSAPolicy.admx / adml que se incluye con la versión de Microsoft Windows 10
1703 Plantillas administrativas (o más reciente).
Impacto:
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 623/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
770 | Página
Página 772
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo FidoAuth.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1709
(o mas nuevo).
771 | Página
https://translate.googleusercontent.com/translate_f 624/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 773
18.9.49 NetMeeting
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Conf.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo NAPXPQec.admx / adml
que solo se incluye con Microsoft Windows Server 2008 (no R2) a través del
Plantillas administrativas de actualización de Windows 8.1 y Server 2012 R2 Update.
772 | Página
Página 774
La configuración de la Política de grupo contenida en esta sección es proporcionada por la Política de grupo
plantilla SkyDrive.admx / adml que se incluye con Microsoft Windows 8.1 & Server
https://translate.googleusercontent.com/translate_f 625/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Plantillas administrativas de 2012 R2 (o más recientes).
Nota: Esta sección se llamó inicialmente SkyDrive, pero Microsoft le cambió el nombre a OneDrive
comenzando con las plantillas administrativas de Microsoft Windows 10 RTM (versión 1507).
18.9.52.1 (L1) Asegúrese de que 'Evitar el uso de OneDrive para almacenamiento de archivos' esté
establecido en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite evitar que las aplicaciones y funciones funcionen con archivos en OneDrive
utilizando el cliente de sincronización de próxima generación.
Razón fundamental:
Habilitar esta configuración evita que los usuarios carguen accidentalmente (o intencionalmente)
información corporativa confidencial o sensible al servicio en la nube de OneDrive utilizando el
Cliente de sincronización de próxima generación.
Nota: Este problema de seguridad se aplica a cualquier aplicación de almacenamiento de archivos basada en la nube instalada en
un servidor, no solo el suministrado con Windows Server.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
773 | Página
Página 775
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla SkyDrive.admx / adml que se incluye con Microsoft Windows 8.1 & Server
Plantillas administrativas de 2012 R2 (o más recientes). Sin embargo, le recomendamos encarecidamente que solo
use la versión incluida con Microsoft Windows 10 Release 1607 y Server 2016
Plantillas administrativas (o más recientes). Las versiones anteriores de las plantillas tenían conflictos
configuraciones en diferentes archivos de plantilla para OneDrive y SkyDrive, hasta que se limpió
correctamente en la versión anterior.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se llamaba
Evitar el uso de SkyDrive para el almacenamiento de archivos , pero se le cambió el nombre a partir de Windows
10 Plantillas administrativas de RTM (versión 1507).
Impacto:
https://translate.googleusercontent.com/translate_f 626/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Los usuarios no pueden acceder a OneDrive desde la aplicación OneDrive y el selector de archivos. Aplicaciones de la Tienda Windows
no puede acceder a OneDrive mediante la API de WinRT . OneDrive no aparece en el panel de navegación
en el Explorador de archivos. Los archivos de OneDrive no se mantienen sincronizados con la nube. Los usuarios no pueden automáticamente
cargue fotos y videos de la carpeta del carrete de la cámara.
Nota: Si su organización usa Office 365, tenga en cuenta que esta configuración evitará que los usuarios
desde guardar archivos en OneDrive / SkyDrive.
• Permitir la sincronización de cuentas de OneDrive solo para organizaciones específicas : una computadora
configuración que restringe las conexiones de cliente de OneDrive a solo ID de inquilinos aprobados .
• Evitar que los usuarios sincronicen cuentas personales de OneDrive : una configuración basada en el usuario
que evita el uso de OneDrive para el consumidor (es decir, no comercial).
774 | Página
Página 776
Discapacitado. (Las aplicaciones y características pueden funcionar con el almacenamiento de archivos de OneDrive usando el Siguiente
Cliente de sincronización de generación.)
Referencias:
1. CCE-36939-7
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
13.4 Permitir solo el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados
Solo permita el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados.
18.9.54 OOBE
https://translate.googleusercontent.com/translate_f 627/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OOBE.admx / adml que es
incluido con Microsoft Windows 10 Release 1809 y Server 2019 Administrative
Plantillas (o más recientes).
775 | Página
Página 777
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo PswdSync.admx / adml
que solo se incluye con Microsoft Windows Vista a través de la actualización de Windows 8.1 y
Plantillas administrativas de actualización de Server 2012 R2.
https://translate.googleusercontent.com/translate_f 628/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
776 | Página
Página 778
Nota: Esta sección se llamó inicialmente Terminal Services, pero Microsoft le cambió el nombre a
Servicios de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
Plantillas Administrativas.
Nota: Esta sección se denominó inicialmente Licencia de TS, pero Microsoft la renombró a RD
Licencias a partir de Microsoft Windows 7 & Server 2008 R2 Administrative
Plantillas.
777 | Página
Página 779
https://translate.googleusercontent.com/translate_f 629/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.59.2.2 (L1) Asegúrese de que 'No permitir que se guarden contraseñas' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva ayuda a evitar que los clientes de Escritorio remoto guarden contraseñas en un
computadora.
Nota: Si esta configuración de directiva se configuró previamente como Desactivada o No configurada, cualquier
Las contraseñas guardadas previamente se eliminarán la primera vez que un cliente de Escritorio remoto
se desconecta de cualquier servidor.
Razón fundamental:
778 | Página
Página 780
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
La casilla de verificación para guardar la contraseña se desactivará para los clientes de Escritorio remoto y los usuarios
no poder guardar contraseñas.
Discapacitado. (Los usuarios podrán guardar contraseñas mediante Conexión a escritorio remoto).
Referencias:
1. CCE-36223-6
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
779 | Página
Página 781
Nota: Esta sección se llamó inicialmente Terminal Server, pero Microsoft le cambió el nombre a
Host de sesión de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
Plantillas Administrativas.
Esta sección de directiva de grupo es proporcionada por la plantilla de directiva de grupo TerminalServer-
Server.admx / adml que
se incluye con Microsoft Windows 7 y Server 2008 R2
Plantillas administrativas (o más recientes).
https://translate.googleusercontent.com/translate_f 631/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
780 | Página
Página 782
18.9.59.3.2 Conexiones
Esta sección contiene recomendaciones para las conexiones a la sesión de escritorio remoto
Anfitrión.
Descripción:
Esta configuración de directiva le permite restringir a los usuarios a una sola sesión de Servicios de Escritorio remoto.
Razón fundamental:
Esta configuración garantiza que los usuarios y administradores que tengan un escritorio remoto en un servidor
continuar usando la misma sesión; si se desconectan y se vuelven a conectar, volverán a la
misma sesión que estaban usando antes, evitando la creación de una segunda sesión simultánea
sesión. Esto evita el uso innecesario de recursos al hacer que el servidor
sesiones adicionales innecesarias (que pondrían una carga adicional en el servidor) y también
garantiza una experiencia coherente para el usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 632/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
781 | Página
Página 783
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Habilitado. (Los usuarios que inicien sesión de forma remota mediante los Servicios de escritorio remoto estarán restringidos
a una sola sesión (activa o desconectada) en ese servidor. Si el usuario deja el
sesión en un estado desconectado, el usuario se vuelve a conectar automáticamente a esa sesión en el
siguiente inicio de sesión.)
Referencias:
1. CCE-37708-5
Controles CIS:
Versión 7
782 | Página
Página 784
https://translate.googleusercontent.com/translate_f 633/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto COM' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si se debe evitar la redirección de datos a los puertos COM del cliente.
desde la computadora remota en una sesión de Servicios de Escritorio remoto.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
783 | Página
Página 785
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir los datos del servidor a
https://translate.googleusercontent.com/translate_f 634/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Discapacitado. (Los servicios de escritorio remoto permiten la redirección del puerto COM).
Referencias:
1. CCE-37696-2
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
784 | Página
Página 786
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política evita que los usuarios compartan las unidades locales en sus equipos cliente para
Servidores de escritorio remoto a los que acceden. Las unidades asignadas aparecen en el árbol de carpetas de la sesión
en el Explorador de Windows en el siguiente formato:
Si las unidades locales se comparten, quedan vulnerables a los intrusos que quieren explotar los datos.
que se almacena en ellos.
Razón fundamental:
Los datos se pueden reenviar desde la sesión de Servicios de escritorio remoto del usuario al usuario
computadora local sin ninguna interacción directa del usuario. Software malicioso ya presente en un
El servidor comprometido tendría acceso directo y sigiloso al disco local del usuario.
https://translate.googleusercontent.com/translate_f 635/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
computadora durante la sesión de Escritorio remoto.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
785 | Página
Página 787
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Discapacitado. (Un host de sesión de RD asigna las unidades del cliente automáticamente al conectarse).
Referencias:
1. CCE-36509-8
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 636/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
786 | Página
Página 788
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto LPT' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si se debe evitar la redirección de datos a los puertos LPT del cliente.
durante una sesión de Servicios de Escritorio remoto.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
787 | Página
Página 789
https://translate.googleusercontent.com/translate_f 637/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir los datos del servidor a
(cliente) puertos LPT.
Discapacitado. (Los servicios de escritorio remoto permiten la redirección del puerto LPT).
Referencias:
1. CCE-37778-8
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
788 | Página
Página 790
18.9.59.3.3.4 (L2) Asegúrese de que 'No permitir dispositivos Plug and Play compatibles
redirección 'se establece en' Habilitado '(puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 638/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración de política le permite controlar la redirección de dispositivos Plug and Play compatibles,
como dispositivos portátiles de Windows, a la computadora remota en un servicio de escritorio remoto
sesión.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
789 | Página
Página 791
Impacto:
Los usuarios de una sesión de Servicios de escritorio remoto no podrán redirigir sus
(cliente local) Dispositivos Plug and Play a la computadora remota.
Discapacitado. (Los servicios de escritorio remoto permiten la redirección de dispositivos Plug and Play compatibles).
Referencias:
1. CCE-37477-7
Controles CIS:
Versión 6
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
https://translate.googleusercontent.com/translate_f 639/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
las necesidades comerciales validadas se ejecutan en cada sistema.
18.9.59.3.4 Licencia
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
790 | Página
Página 792
18.9.59.3.6 Perfiles
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Nota: Esta sección se denominó inicialmente Agente de conexión de TS, pero Microsoft la renombró
a RD Connection Broker comenzando con Microsoft Windows 7 y Server 2008 R2
Plantillas Administrativas.
https://translate.googleusercontent.com/translate_f 640/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
791 | Página
Página 793
18.9.59.3.9 Seguridad
Esta sección contiene recomendaciones relacionadas con la seguridad del host de sesión de escritorio remoto.
Descripción:
Esta configuración de directiva especifica si los Servicios de escritorio remoto siempre preguntan al cliente
computadora para obtener una contraseña al conectarse. Puede utilizar esta configuración de directiva para hacer cumplir una
solicitud de contraseña para los usuarios que inician sesión en Servicios de escritorio remoto, incluso si ya
proporcionó la contraseña en el cliente de Conexión a Escritorio remoto.
Razón fundamental:
Los usuarios tienen la opción de almacenar tanto su nombre de usuario como su contraseña cuando crean un nuevo
Acceso directo a la conexión a escritorio remoto. Si el servidor que ejecuta Servicios de escritorio remoto
permite a los usuarios que han utilizado esta función iniciar sesión en el servidor pero no ingresar su
contraseña, entonces es posible que un atacante que haya obtenido acceso físico al usuario
la computadora podría conectarse a un servidor de escritorio remoto a través del escritorio remoto
Atajo de conexión, aunque no conozcan la contraseña del usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
792 | Página
https://translate.googleusercontent.com/translate_f 641/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 794
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Los usuarios no pueden iniciar sesión automáticamente en los Servicios de escritorio remoto proporcionando su
contraseñas en el cliente de Conexión a Escritorio remoto. Se les pedirá una contraseña
para iniciar sesión.
Discapacitado. (Los servicios de escritorio remoto permiten a los usuarios iniciar sesión automáticamente si ingresan un
contraseña en el cliente de Conexión a Escritorio remoto.)
Referencias:
1. CCE-37929-7
793 | Página
Página 795
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 642/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
794 | Página
Página 796
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite especificar si los Servicios de Escritorio remoto requieren seguridad
La comunicación de llamada a procedimiento remoto (RPC) con todos los clientes o permite
comunicación.
Puede usar esta configuración de directiva para fortalecer la seguridad de la comunicación RPC con
clientes al permitir solo solicitudes autenticadas y cifradas.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 643/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Permitir una comunicación RPC no segura puede exponer al servidor a ataques de intermediarios.
y ataques de divulgación de datos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
795 | Página
Página 797
Impacto:
Los servicios de escritorio remoto aceptan solicitudes de clientes RPC que admiten solicitudes seguras,
y no permite la comunicación no segura con clientes que no son de confianza.
Discapacitado. (Los servicios de escritorio remoto siempre solicitan seguridad para todo el tráfico RPC. Sin embargo,
Se permite la comunicación no segura para los clientes RPC que no responden a la solicitud).
Referencias:
1. CCE-37567-5
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
https://translate.googleusercontent.com/translate_f 644/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
796 | Página
Página 798
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para
conexiones remotas (RDP) 'se establece en' Habilitado: SSL '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si se requiere el uso de una capa de seguridad específica para proteger
comunicaciones entre clientes y servidores de host de sesión de Escritorio remoto durante el escritorio remoto
Conexiones de protocolo (RDP).
Nota: a pesar de que esta configuración está etiquetada como SSL , en realidad está aplicando la capa de transporte
Security (TLS) versión 1.0, no el protocolo SSL más antiguo (y menos seguro).
Razón fundamental:
El cifrado nativo del Protocolo de escritorio remoto (RDP) ahora se considera un protocolo débil,
por lo tanto, hacer cumplir el uso de un cifrado de seguridad de la capa de transporte (TLS) más fuerte para todos los RDP
Se prefieren las comunicaciones entre los clientes y los servidores Host de sesión de RD.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
797 | Página
https://translate.googleusercontent.com/translate_f 645/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 799
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
SSL :
Impacto:
Se requerirá TLS 1.0 para autenticarse en el servidor Host de sesión de Escritorio remoto. Si TLS no es
compatible, la conexión falla.
Negociar. (Se aplica el método más seguro que admite el cliente. Si TLS es
compatible, se utiliza para autenticar el servidor Host de sesión de Escritorio remoto. Si TLS no es compatible,
Se utiliza el cifrado RDP nativo, pero el servidor host de sesión de RD no está autenticado).
Referencias:
1. CCE-36598-1
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
798 | Página
Página 800
https://translate.googleusercontent.com/translate_f 646/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Requerir que la autenticación del usuario ocurra antes en el proceso de conexión remota
mejora la seguridad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
799 | Página
Página 801
Impacto:
Solo los equipos cliente que admiten la autenticación de nivel de red pueden conectarse al RD
Servidor de host de sesión.
Nota: Algunas soluciones de autenticación de dos factores de terceros (por ejemplo, agente de autenticación RSA)
puede verse afectado negativamente por esta configuración, ya que la autenticación de nivel de red esperará
contraseña de Windows del usuario y, una vez autenticado correctamente, pasar la credencial
a la sesión de Windows en el host RDP (para completar el inicio de sesión). Si un agente de dos factores es
presente y esperando una credencial diferente en la pantalla de inicio de sesión de RDP, esta conexión inicial
puede resultar en un intento fallido de inicio de sesión.
Referencias:
https://translate.googleusercontent.com/translate_f 647/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
1. CCE-37330-8
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
800 | Página
Página 802
18.9.59.3.9.5 (L1) Asegúrese de que 'Establecer el nivel de cifrado de la conexión del cliente' esté establecido en
'Habilitado: nivel alto' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si se requiere el uso de un nivel de cifrado específico para
comunicaciones seguras entre los equipos cliente y los servidores host de sesión de RD durante
Conexiones de Protocolo de escritorio remoto (RDP). Esta política solo se aplica cuando está utilizando
cifrado RDP nativo. Sin embargo, el cifrado RDP nativo (a diferencia del cifrado SSL) es
no recomendado. Esta política no se aplica al cifrado SSL.
Razón fundamental:
Si se permiten las conexiones de cliente de Escritorio remoto que usan cifrado de bajo nivel, es más
es probable que un atacante pueda descifrar cualquier servicio de escritorio remoto capturado
tráfico de red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 648/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Servicios: MinEncryptionLevel
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nivel alto :
801 | Página
Página 803
Impacto:
Habilitado: nivel alto. (Todas las comunicaciones entre clientes y servidores de host de sesión de RD
durante las conexiones remotas que utilizan el cifrado RDP nativo debe ser de 128 bits. Clientela
que no admiten el cifrado de 128 bits no podrán establecer el servidor de escritorio remoto
sesiones.)
Referencias:
1. CCE-36627-8
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
https://translate.googleusercontent.com/translate_f 649/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
802 | Página
Página 804
18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para control remoto activo pero inactivo
Sesiones de servicios de escritorio 'está configurado en' Habilitado: 15 minutos o menos '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite especificar la cantidad máxima de tiempo que un activo
La sesión de Servicios de escritorio remoto puede estar inactiva (sin intervención del usuario) antes de que se active automáticamente
desconectado.
Razón fundamental:
Esta configuración ayuda a evitar que las sesiones activas de Escritorio remoto inmovilicen la computadora
durante largos períodos de tiempo mientras no están en uso, evitando que los recursos informáticos se
consumido por un gran número de sesiones inactivas. Además, el viejo y olvidado Remote
Las sesiones de escritorio que aún están activas pueden causar bloqueos de contraseña si la contraseña del usuario
ha cambiado pero la sesión anterior aún se está ejecutando. Para sistemas que limitan el número de
usuarios conectados (por ejemplo, servidores en el modo administrativo predeterminado, solo 2 sesiones), otros
Las sesiones antiguas pero aún activas de los usuarios pueden evitar que otro usuario se conecte, lo que
negación efectiva de servicio.
803 | Página
Página 805
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 650/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
15 minutos o menos :
Impacto:
Los servicios de escritorio remoto desconectarán automáticamente las sesiones activas pero inactivas después de 15
minutos (o la cantidad de tiempo especificada). El usuario recibe una advertencia dos minutos antes
la sesión se desconecta, lo que permite al usuario presionar una tecla o mover el mouse para mantener
la sesión activa. Tenga en cuenta que los límites de tiempo de las sesiones inactivas no se aplican a las sesiones de la consola.
Discapacitado. (Los servicios de escritorio remoto permiten que las sesiones permanezcan activas pero inactivas durante un
cantidad de tiempo ilimitada.)
Referencias:
1. CCE-37562-6
804 | Página
Página 806
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 651/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
805 | Página
Página 807
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté
establecido en 'Habilitado: 1 minuto' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite configurar un límite de tiempo para el Escritorio remoto desconectado
Sesiones de servicios.
Razón fundamental:
Esta configuración ayuda a evitar que las sesiones activas de Escritorio remoto inmovilicen la computadora
durante largos períodos de tiempo mientras no están en uso, evitando que los recursos informáticos se
consumido por un gran número de sesiones desconectadas pero aún activas. Además, viejo,
Las sesiones de Escritorio remoto olvidadas que aún están activas pueden causar bloqueos de contraseña si el
la contraseña del usuario ha cambiado pero la sesión anterior aún se está ejecutando. Para sistemas que limitan
número de usuarios conectados (por ejemplo, servidores en el modo administrativo predeterminado - 2 sesiones
solamente), las sesiones antiguas pero aún activas de otros usuarios pueden evitar que otro usuario se conecte,
resultando en una denegación de servicio efectiva. Esta configuración es importante para garantizar una desconexión
la sesión finaliza correctamente.
https://translate.googleusercontent.com/translate_f 652/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
806 | Página
Página 808
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
1 minuto :
Impacto:
Las sesiones de Escritorio remoto desconectadas se eliminan del servidor después de 1 minuto. Nota
que los límites de tiempo de las sesiones desconectadas no se aplican a las sesiones de la consola.
Discapacitado. (Las sesiones de Escritorio remoto desconectadas se mantienen por tiempo ilimitado en
el servidor.)
Referencias:
1. CCE-37949-5
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 653/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
807 | Página
Página 809
18.9.59.3.11.1 (L1) Asegúrese de que esté configurado 'No eliminar carpetas temporales al salir'
a 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica si los Servicios de escritorio remoto retienen la sesión de un usuario
carpetas temporales al cerrar la sesión.
Razón fundamental:
La información confidencial podría estar contenida dentro de las carpetas temporales y ser visible para otros
administradores que inician sesión en el sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
808 | Página
Página 810
https://translate.googleusercontent.com/translate_f 654/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-37946-1
Controles CIS:
Versión 6
Versión 7
809 | Página
Página 811
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté
establecido en 'Deshabilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
De forma predeterminada, los Servicios de escritorio remoto crean una carpeta temporal separada en la sesión de Escritorio remoto
https://translate.googleusercontent.com/translate_f 655/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Servidor host para cada sesión activa que mantiene un usuario en el servidor Host de sesión de Escritorio remoto. los
La carpeta temporal se crea en el servidor Host de sesión de Escritorio remoto en una carpeta Temp bajo el
carpeta de perfil del usuario y se nombra con el id de sesión . Esta carpeta temporal se utiliza para
almacenar archivos temporales individuales.
Para recuperar espacio en disco, la carpeta temporal se elimina cuando el usuario cierra la sesión
sesión.
Razón fundamental:
La desactivación de esta configuración mantiene los datos en caché independientes para cada sesión, lo que reduce
la posibilidad de problemas de datos compartidos en caché entre sesiones, y posiblemente mantener
datos sensibles separados para cada sesión de usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
810 | Página
Página 812
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-38180-6
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 656/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
811 | Página
Página 813
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo InetRes.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Descripción:
Esta configuración de política evita que el usuario tenga adjuntos (archivos adjuntos)
descargado de una fuente RSS a la computadora del usuario.
Razón fundamental:
Permitir que los archivos adjuntos se descarguen a través de la fuente RSS puede introducir archivos que podrían
tener intenciones maliciosas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 657/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
812 | Página
Página 814
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo InetRes.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se llamaba
Desactive la descarga de gabinetes , pero se cambió el nombre a partir de Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2).
Impacto:
Los usuarios no pueden configurar Feed Sync Engine para descargar un gabinete a través de Feed
página de propiedades. Los desarrolladores no pueden cambiar la configuración de descarga a través de las API de feeds.
Discapacitado. (Los usuarios pueden configurar Feed Sync Engine para descargar un gabinete a través de Feed
página de propiedades. Los desarrolladores pueden cambiar la configuración de descarga a través de las API de feeds).
Referencias:
1. CCE-37126-0
Controles CIS:
Versión 6
7.2 Desinstalar / Desactivar complementos de cliente de correo electrónico o navegador innecesarios o no autorizados
Desinstale o deshabilite cualquier navegador o complemento de cliente de correo electrónico innecesario o no autorizado o
aplicaciones complementarias. Cada complemento utilizará la lista blanca de aplicaciones / URL y solo permitirá
el uso de la aplicación para dominios preaprobados.
Versión 7
813 | Página
Página 815
https://translate.googleusercontent.com/translate_f 658/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.61 Buscar
Esta sección contiene recomendaciones para la configuración de búsqueda.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Search.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
18.9.61.1 OCR
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo SearchOCR.admx / adml
que solo se incluye con Microsoft Windows 7 y Server 2008 R2 a través del
Plantillas administrativas de la versión 1511 de Windows 10.
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Activado: Desactivar
Cloud Search '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política permite que la búsqueda y Cortana busquen fuentes en la nube como OneDrive y
SharePoint.
El estado recomendado para esta configuración es: Habilitado: deshabilita la búsqueda en la nube .
Razón fundamental:
Debido a preocupaciones de privacidad, los datos nunca deben enviarse a terceros, ya que estos datos podrían
contener información sensible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
814 | Página
Página 816
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Desactivar la búsqueda en la nube :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla Search.admx / adml que se incluye con Microsoft Windows 10 Release 1709
https://translate.googleusercontent.com/translate_f 659/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Plantillas administrativas (o más recientes).
Impacto:
Habilitado: habilita la búsqueda en la nube. (Permita que la búsqueda y Cortana busquen fuentes en la nube como
OneDrive y SharePoint.)
Controles CIS:
Versión 6
Versión 7
13.4 Permitir solo el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados
Solo permita el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados.
815 | Página
Página 817
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla si se permite indexar los elementos cifrados. Cuando esto
se cambia la configuración, el índice se reconstruye por completo. Cifrado de volumen completo (como
Cifrado de unidad BitLocker o una solución que no sea de Microsoft) para la ubicación de
el índice para mantener la seguridad de los archivos cifrados.
Razón fundamental:
Indexar y permitir a los usuarios buscar archivos cifrados podría revelar información confidencial
datos almacenados dentro de los archivos cifrados.
https://translate.googleusercontent.com/translate_f 660/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo Search.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
816 | Página
Página 818
Discapacitado. (Se esperan componentes del servicio de búsqueda (incluidos los componentes que no son de Microsoft)
no indexar elementos cifrados o tiendas cifradas).
Referencias:
1. CCE-38277-0
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 661/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
817 | Página
Página 819
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Snis.admx / adml que es
solo se incluye con Microsoft Windows Vista a través de Windows 8.1 Update & Server
Plantillas administrativas de actualización de 2012 R2.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinInit.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SmartCard.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
818 | Página
https://translate.googleusercontent.com/translate_f 662/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 820
18.9.66.1 (L2) Asegúrese de que 'Desactivar la validación AVS en línea del cliente KMS' esté configurado
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
El Servicio de administración de claves (KMS) es un método de activación de licencias de Microsoft que implica
configurar un servidor local para almacenar las licencias de software. El propio servidor KMS necesita
conectarse a Microsoft para activar el servicio KMS, pero los clientes subsiguientes en la red pueden
activar el sistema operativo Microsoft Windows y / o su Microsoft Office a través del servidor KMS en lugar de
conectarse directamente a Microsoft. Esta configuración de política le permite optar por no enviar el cliente KMS
datos de activación a Microsoft automáticamente.
Razón fundamental:
Aunque el método de licencia de KMS no requiere que los clientes de KMS se conecten a
Microsoft, todavía envían datos de estado de activación del cliente KMS a Microsoft automáticamente.
Evitar que se envíe esta información puede ayudar a reducir los problemas de privacidad en
entornos de seguridad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
819 | Página
Página 821
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 663/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla AVSValidationGP.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas RTM (versión 1507) (o más reciente).
Impacto:
Discapacitado. (Los datos de activación del cliente KMS se enviarán automáticamente a Microsoft cuando
dispositivo se activa.)
Controles CIS:
Versión 7
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SoundRec.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
820 | Página
Página 822
18.9.68 Habla
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Speech.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703 (o
más nuevo).
18.9.69 Tienda
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo WinStoreUI.admx / adml
que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administrative
Plantillas, o por la plantilla de directiva de grupo WindowsStore.admx / adml que se incluye con
las Plantillas administrativas de Microsoft Windows 10 Release 1511 (o más reciente).
https://translate.googleusercontent.com/translate_f 664/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.71 Tablet PC
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
821 | Página
Página 823
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo TextInput.admx / adml
que solo se incluye con Microsoft Windows 10 RTM (Release 1507) Administrative
Plantillas y plantillas administrativas de Microsoft Windows 10 Release 1511.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WinCal.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo CEIPEnable.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
822 | Página
Página 824
Nota: Esta sección originalmente se llamaba Windows Defender, pero Microsoft la renombró
a Windows Defender Antivirus a partir de Microsoft Windows 10 Release 1703
Plantillas Administrativas.
18.9.77.2 Exclusiones
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
823 | Página
https://translate.googleusercontent.com/translate_f 666/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 825
18.9.77.3 MAPAS
Esta sección contiene recomendaciones relacionadas con Microsoft Active Protection Service
(MAPAS).
Descripción:
Esta configuración de directiva configura una anulación local para que la configuración se una a Microsoft Active
Protection Service (MAPS), que ahora Microsoft ha cambiado de nombre a "Windows Defender
Servicio de protección antivirus en la nube ". Esta configuración solo se puede establecer mediante la directiva de grupo.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
824 | Página
Página 826
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 667/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Componentes \ Windows Defender Antivirus \ MAPS \ Configure la anulación de la configuración local
para informar a Microsoft MAPS
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Discapacitado. (La directiva de grupo tendrá prioridad sobre la configuración de preferencia local).
Referencias:
1. CCE-36940-5
Controles CIS:
Versión 6
8 defensas de malware
Defensas de malware
Versión 7
825 | Página
Página 827
18.9.77.3.2 (L2) Asegúrese de que 'Unirse a Microsoft MAPS' esté configurado como 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite unirse a Microsoft Active Protection Service (MAPS), que
Microsoft ahora ha cambiado de nombre a "Servicio de protección en la nube antivirus de Windows Defender".
Microsoft MAPS / Windows Defender Antivirus Cloud Protection Service es el servicio en línea
comunidad que le ayuda a elegir cómo responder a posibles amenazas. La comunidad también
ayuda a detener la propagación de nuevas infecciones de software malintencionado. Puede elegir enviar básico o
información adicional sobre el software detectado. La información adicional ayuda a Microsoft
https://translate.googleusercontent.com/translate_f 668/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
La membresía básica enviará información básica a Microsoft sobre el software que ha sido
detectado, incluido el origen del software, las acciones que aplica o que son
aplicado automáticamente y si las acciones fueron exitosas.
826 | Página
Página 828
Razón fundamental:
La información que se enviaría puede incluir cosas como la ubicación de los elementos detectados en
su computadora si se eliminó el software dañino. La información sería automáticamente
recogido y enviado. En algunos casos, la información personal podría enviarse involuntariamente a
Microsoft. Sin embargo, Microsoft declara que no utilizará esta información para identificarlo a usted o
contactarte.
Por motivos de privacidad en entornos de alta seguridad, es mejor evitar que estos datos
presentaciones en conjunto.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está en vigor cuando el siguiente valor de registro no
existe, o cuando existe con un valor de 0 :
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
https://translate.googleusercontent.com/translate_f 669/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Ninguno: este es el comportamiento predeterminado.
827 | Página
Página 829
Controles CIS:
Versión 7
18.9.77.4 MpEngine
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
18.9.77.6 Cuarentena
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
https://translate.googleusercontent.com/translate_f 670/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
828 | Página
Página 830
18.9.77.7.1 (L1) Asegúrese de que 'Activar monitoreo de comportamiento' esté configurado en 'Habilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite configurar la supervisión del comportamiento para Windows Defender
Antivirus.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
829 | Página
Página 831
Remediación:
https://translate.googleusercontent.com/translate_f 671/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Referencias:
1. CCE-38389-3
830 | Página
Página 832
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 672/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.77.8 Remediación
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
831 | Página
Página 833
18.9.77.9 Informes
Esta sección contiene configuraciones relacionadas con los informes de Windows Defender.
18.9.77.9.1 (L2) Asegúrese de que 'Configurar eventos de Watson' esté configurado en 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Los eventos de Watson son los informes que se envían a Microsoft cuando un programa o servicio falla
o falla, incluida la posibilidad de envío automático. Evitar que esta información
https://translate.googleusercontent.com/translate_f 673/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
El envío puede ayudar a reducir los problemas de privacidad.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
832 | Página
Página 834
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Habilitado. (Los eventos de Watson se enviarán a Microsoft automáticamente cuando un programa o servicio
se bloquea o falla.)
Referencias:
1. CCE-36950-4
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 674/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
833 | Página
Página 835
18.9.77.10 Escanear
Esta sección contiene configuraciones relacionadas con el análisis de Windows Defender.
18.9.77.10.1 (L1) Asegúrese de que 'Analizar unidades extraíbles' esté configurado en 'Activado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Es importante asegurarse de que todas las unidades extraíbles presentes se incluyan siempre en cualquier tipo
del análisis, ya que es más probable que las unidades extraíbles contengan software malicioso
entorno gestionado por la empresa desde un equipo externo no gestionado.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
834 | Página
Página 836
https://translate.googleusercontent.com/translate_f 675/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
Impacto:
Las unidades extraíbles se analizarán durante cualquier tipo de análisis por parte del Antivirus de Windows Defender.
Discapacitado. (Las unidades extraíbles no se analizarán durante un análisis completo. Las unidades extraíbles pueden
aún se puede escanear durante el escaneo rápido y el escaneo personalizado).
Referencias:
1. CCE-38409-9
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
835 | Página
Página 837
18.9.77.10.2 (L1) Asegúrese de que 'Activar el análisis de correo electrónico' esté configurado como 'Activado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva le permite configurar el análisis de correo electrónico. Cuando el escaneo de correo
https://translate.googleusercontent.com/translate_f 676/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
habilitado, el motor analizará el buzón y los archivos de correo, de acuerdo con su formato específico,
para analizar el cuerpo del correo y los archivos adjuntos. Actualmente hay varios formatos de correo electrónico
soportado, por ejemplo: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac).
Razón fundamental:
Los correos electrónicos entrantes deben ser analizados por una solución antivirus como Windows Defender
Antivirus, ya que los archivos adjuntos de correo electrónico son un vector de ataque comúnmente utilizado para infiltrarse en las computadoras
con software malintencionado.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 8.1 y
Plantillas administrativas de Server 2012 R2 (o más reciente).
836 | Página
Página 838
Impacto:
Discapacitado. (Se desactivará el análisis de correo electrónico por parte del antivirus de Windows Defender).
Referencias:
1. CCE-36958-7
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 677/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Asegúrese de que el software anti-malware de la organización actualice su motor de análisis y
base de datos de firmas de forma regular.
837 | Página
Página 839
Nota: Esta sección se denominó inicialmente Actualizaciones de firmas, pero Microsoft le cambió el nombre a
Actualizaciones de inteligencia de seguridad a partir de Microsoft Windows 10 Release 1903
Plantillas Administrativas.
18.9.77.12 Amenazas
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
https://translate.googleusercontent.com/translate_f 678/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
838 | Página
Página 840
18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté
establecido en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla el estado de las reglas de Reducción de la superficie de ataque (ASR).
Razón fundamental:
La reducción de la superficie de ataque ayuda a prevenir acciones y aplicaciones que suelen ser utilizadas por exploit-
buscando malware para infectar máquinas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
839 | Página
https://translate.googleusercontent.com/translate_f 679/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 841
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1709 (o más reciente).
Impacto:
Cuando se activa una regla, se mostrará una notificación del Centro de actividades.
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
840 | Página
Página 842
https://translate.googleusercontent.com/translate_f 680/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Nota: Puede encontrar más información sobre las reglas de ASR en el siguiente enlace:Usar superficie de ataque
reglas de reducción para prevenir la infección por malware | Documentos de Microsoft
841 | Página
Página 843
Razón fundamental:
La reducción de la superficie de ataque ayuda a prevenir acciones y aplicaciones que suelen ser utilizadas por exploit-
buscando malware para infectar máquinas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 681/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender \ Windows
Defender Exploit Guard \ ASR \ Rules: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender \ Windows
Defender Exploit Guard \ ASR \ Rules: d3e037e1-3eb8-44c8-a917-57927947596d
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender \ Windows
Defender Exploit Guard \ ASR \ Rules: d4f940ab-401b-4efc-aadc-ad5f3c50688a
842 | Página
Página 844
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU para que
26190899-1602-49e8-8b27-eb1d0a1ce869 , 3b576869-a4ec-4529-8536-b80a7769e899 ,
5beb7efe-fd9a-4556-801d-275e5ffc04cc , 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 ,
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c , 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b ,
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 , b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 ,
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 , d3e037e1-3eb8-44c8-a917-57927947596d y
d4f940ab-401b-4efc-aadc-ad5f3c50688a tienen cada uno un valor de 1 :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1709 (o más reciente).
Impacto:
Cuando se activa una regla, se mostrará una notificación del Centro de actividades.
https://translate.googleusercontent.com/translate_f 682/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
843 | Página
Página 845
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
844 | Página
https://translate.googleusercontent.com/translate_f 683/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 846
18.9.77.13.3.1 (L1) Asegúrese de 'Evitar que los usuarios y las aplicaciones accedan
sitios web peligrosos 'está configurado en' Habilitado: Bloquear '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva controla la protección de red de Windows Defender Exploit Guard.
Razón fundamental:
Esta configuración puede ayudar a evitar que los empleados utilicen cualquier aplicación para acceder
dominios que pueden albergar estafas de phishing, sitios de alojamiento de exploits y otro contenido malicioso
En Internet.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
845 | Página
Página 847
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Bloque :
https://translate.googleusercontent.com/translate_f 684/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Protección \ Evite que los usuarios y las aplicaciones accedan a sitios web peligrosos
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefender.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1709 (o más reciente).
Impacto:
Controles CIS:
Versión 6
Versión 7
846 | Página
Página 848
18.9.77.14 (L1) Asegúrese de que 'Configure la detección para aplicaciones potencialmente no deseadas
aplicaciones 'está configurado como' Habilitado: Bloquear '(puntuado)
Aplicabilidad del perfil:
Descripción:
Para obtener más información, consulte este enlace: Bloquea aplicaciones potencialmente no deseadas con Windows
Defender Antivirus | Documentos de Microsoft
https://translate.googleusercontent.com/translate_f 685/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Razón fundamental:
Las aplicaciones potencialmente no deseadas pueden aumentar el riesgo de que su red se infecte
con malware, hacen que las infecciones de malware sean más difíciles de identificar y pueden desperdiciar TI
recursos en la limpieza de las aplicaciones. Deben estar bloqueados para la instalación.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Bloque :
847 | Página
Página 849
Impacto:
Las aplicaciones identificadas por Microsoft como PUA se bloquearán durante la descarga e instalación.
hora.
Controles CIS:
Versión 7
https://translate.googleusercontent.com/translate_f 686/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
848 | Página
Página 850
18.9.77.15 (L1) Asegúrese de que 'Desactivar Windows Defender AntiVirus' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva desactiva el antivirus de Windows Defender. Si el ajuste está configurado para
Deshabilitado, el antivirus de Windows Defender se ejecuta y los equipos se analizan en busca de malware y
otro software potencialmente no deseado.
Razón fundamental:
Es importante asegurarse de que un producto antivirus actualizado y actualizado esté escaneando cada computadora
para la actividad de archivos maliciosos. Microsoft proporciona una solución competente lista para usar en
Antivirus de Windows Defender.
Las organizaciones que opten por comprar una solución antivirus de terceros de buena reputación pueden elegir
eximirse de esta recomendación en lugar de la alternativa comercial.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 687/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
849 | Página
Página 851
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Discapacitado. (El antivirus de Windows Defender se ejecuta y los equipos se analizan en busca de malware y
otro software potencialmente no deseado).
Referencias:
1. CCE-36082-6
850 | Página
Página 852
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 688/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
8.1 Implementar herramientas de protección de endpoints automatizadas
Emplee herramientas automatizadas para monitorear continuamente estaciones de trabajo, servidores y dispositivos móviles.
dispositivos con antivirus, antispyware, firewalls personales y funcionalidad IPS basada en host.
Todos los eventos de detección de malware deben enviarse a la administración antimalware empresarial
herramientas y servidores de registro de eventos.
Versión 7
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo AppHVSI.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1703
(o mas nuevo).
851 | Página
Página 853
18.9.80.1 Explorador
Esta sección contiene recomendaciones para Windows Defender relacionado con el Explorador
Configuración de SmartScreen.
La configuración de la Política de grupo contenida en esta sección es proporcionada por la Política de grupo
plantilla WindowsExplorer.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1703 (o más reciente).
https://translate.googleusercontent.com/translate_f 689/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
El estado recomendado para esta configuración es: Habilitado: advierte y evita la omisión .
Razón fundamental:
Windows SmartScreen ayuda a mantener las PC más seguras al advertir a los usuarios antes de que se ejecuten sin ser reconocidos
programas descargados de Internet. Sin embargo, debido al hecho de que cierta información
enviado a Microsoft sobre archivos y programas que se ejecutan en PC, algunas organizaciones pueden preferir
desactivarlo.
852 | Página
Página 854
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por las siguientes ubicaciones de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Advertir y prevenir bypass :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsExplorer.admx / adml que se incluye con Microsoft Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2) (o más reciente).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Configurar Windows SmartScreen , pero se le cambió el nombre a partir de Windows 10
Plantillas administrativas de la versión 1703.
Impacto:
Los usuarios serán advertidos antes de que se les permita ejecutar programas descargados no reconocidos.
desde Internet.
https://translate.googleusercontent.com/translate_f 690/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Valor por defecto:
Referencias:
1. CCE-35859-8
853 | Página
Página 855
Controles CIS:
Versión 6
Versión 7
7.3 Limitar el uso de lenguajes de secuencias de comandos en navegadores web y clientes de correo electrónico
Asegúrese de que solo los lenguajes de secuencias de comandos autorizados puedan ejecutarse en todos los navegadores web y
clientes de correo electrónico.
https://translate.googleusercontent.com/translate_f 691/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
854 | Página
Página 856
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo GameDVR.admx / adml
que se incluye con Microsoft Windows 10 RTM (versión 1507)
Plantillas (o más recientes).
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Passport.admx / adml
que se incluye con Microsoft Windows 10 RTM (versión 1507)
Plantillas (o más recientes).
Nota: Esta sección se llamó inicialmente Microsoft Passport for Work, pero fue renombrada por
Microsoft a Windows Hello para empresas a partir de la versión de Microsoft Windows 10
Plantillas administrativas 1607 y Server 2016.
855 | Página
Página 857
https://translate.googleusercontent.com/translate_f 692/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.84.1 (L2) Asegúrese de 'Permitir aplicaciones sugeridas en el área de trabajo de Windows Ink'
está configurado como 'Desactivado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si las aplicaciones sugeridas en Windows Ink Workspace son
permitido.
Razón fundamental:
Esta función de Microsoft está diseñada para recopilar datos y sugerir aplicaciones basadas en esos datos.
recogido. Deshabilitar esta configuración ayudará a garantizar que sus datos no se compartan con terceros.
partido.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
856 | Página
Página 858
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsInkWorkspace.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Impacto:
https://translate.googleusercontent.com/translate_f 693/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
857 | Página
Página 859
18.9.84.2 (L1) Asegúrese de que 'Permitir el espacio de trabajo de Windows Ink' esté configurado como 'Habilitad
Activado, pero no permite el acceso por encima del bloqueo 'O' Desactivado 'pero no' Activado: Activado '
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los elementos de Windows Ink están permitidos por encima del candado
pantalla.
El estado recomendado para esta configuración es: Activado: Activado, pero no permite el acceso anterior
bloquear O inhabilitado .
Razón fundamental:
No se recomienda permitir el acceso a las aplicaciones mientras el sistema está bloqueado. Si esto
La función está permitida, solo debe ser accesible una vez que el usuario se autentica con el
cartas credenciales.
Auditoría:
https://translate.googleusercontent.com/translate_f 694/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
858 | Página
Página 860
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Activado, pero no permite el acceso por encima del bloqueo O Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsInkWorkspace.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Impacto:
Habilitado. (Se permite el espacio de trabajo de Windows Ink encima de la pantalla de bloqueo).
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 695/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
859 | Página
Página 861
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSI.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
18.9.85.1 (L1) Asegúrese de que 'Permitir el control del usuario sobre las instalaciones' esté configurado como 'D
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración controla si los usuarios pueden cambiar las opciones de instalación que
normalmente están disponibles solo para administradores de sistemas. Las funciones de seguridad de Windows
El instalador normalmente evita que los usuarios cambien las opciones de instalación que normalmente son
reservado para los administradores del sistema, como especificar el directorio en el que se
instalado. Si Windows Installer detecta que un paquete de instalación ha permitido al usuario
para cambiar una opción protegida, detiene la instalación y muestra un mensaje. Estas
Las funciones de seguridad funcionan solo cuando el programa de instalación se ejecuta en un entorno privilegiado.
contexto de seguridad en el que tiene acceso a directorios denegados al usuario.
Razón fundamental:
En un entorno gestionado por la empresa, solo el personal de TI con derechos administrativos debe
instalar o cambiar software en un sistema. Permitir a los usuarios la capacidad de tener cualquier control
las instalaciones excesivas pueden correr el riesgo de que se instale o elimine software no aprobado de un sistema,
lo que podría hacer que el sistema se volviera vulnerable a compromisos.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
860 | Página
Página 862
https://translate.googleusercontent.com/translate_f 696/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo MSI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se llamaba
Habilite el control del usuario sobre las instalaciones , pero se le cambió el nombre a partir de Windows 8.0 y
Plantillas administrativas de Server 2012 (no R2).
Impacto:
Discapacitado. (Las funciones de seguridad de Windows Installer evitarán que los usuarios cambien
opciones de instalación normalmente reservadas para los administradores del sistema, como especificar el
directorio en el que se instalan los archivos).
Referencias:
1. CCE-36400-0
861 | Página
Página 863
Controles CIS:
Versión 6
Versión 7
862 | Página
Página 864
18.9.85.2 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración controla si Windows Installer debe usar los permisos del sistema o no
cuando instala cualquier programa en el sistema.
Nota: esta configuración aparece tanto en la configuración del equipo como en la configuración del usuario
carpetas. Para que esta configuración sea efectiva, debe habilitar la configuración en ambas carpetas.
Precaución: si está habilitado, los usuarios capacitados pueden aprovechar los permisos que otorga esta configuración
para cambiar sus privilegios y obtener acceso permanente a archivos y carpetas restringidos. Nota
que no se garantiza que la versión de configuración de usuario de esta configuración sea segura.
Razón fundamental:
https://translate.googleusercontent.com/translate_f 698/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Los usuarios con privilegios limitados pueden aprovechar esta función creando un instalador de Windows
paquete de instalación que crea una nueva cuenta local que pertenece al local integrado
Grupo de administradores, agrega su cuenta actual al grupo de administradores integrado local,
instala software malintencionado o realiza otras actividades no autorizadas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
863 | Página
Página 865
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo MSI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Discapacitado. (Windows Installer aplicará los permisos del usuario actual cuando se instale
programas que un administrador del sistema no distribuye ni ofrece. Esto evitará
que los usuarios estándar instalen aplicaciones que afecten a los elementos de configuración de todo el sistema).
Referencias:
1. CCE-36919-9
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 699/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
actividades y no navegación por Internet, correo electrónico o actividades similares.
4.6 Uso de máquinas dedicadas para todas las tareas administrativas
Asegúrese de que los administradores utilicen una máquina dedicada para todas las tareas o tareas administrativas
requiriendo acceso administrativo. Esta máquina estará segmentada de la organización
red principal y no se le permitirá el acceso a Internet. Esta máquina no se utilizará para
leer correo electrónico, redactar documentos o navegar por Internet.
864 | Página
Página 866
Descripción:
Esta configuración de directiva controla si los programas basados en web pueden instalar software
en la computadora sin notificar al usuario.
Razón fundamental:
Suprimir la advertencia del sistema puede suponer un riesgo de seguridad y aumentar la superficie de ataque en
el sistema.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo MSI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Deshabilitar el indicador de seguridad de IE para los scripts de Windows Installer , pero se cambió el nombre al comenzar
con las plantillas administrativas de Windows 8.0 y Server 2012 (no R2).
865 | Página
https://translate.googleusercontent.com/translate_f 700/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 867
Impacto:
Referencias:
1. CCE-37524-6
Controles CIS:
Versión 6
Versión 7
7.3 Limitar el uso de lenguajes de secuencias de comandos en navegadores web y clientes de correo electrónico
Asegúrese de que solo los lenguajes de secuencias de comandos autorizados puedan ejecutarse en todos los navegadores web y
clientes de correo electrónico.
866 | Página
Página 868
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinLogon.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Descripción:
Razón fundamental:
La desactivación de esta función evitará el almacenamiento en caché de las credenciales del usuario y el uso no autorizado de
el dispositivo y también asegúrese de que el usuario esté al tanto del reinicio.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito.
Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
867 | Página
Página 869
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WinLogon.admx / adml que se incluye con Microsoft Windows 8.1 & Server
Plantillas administrativas de 2012 R2 (o más recientes).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Iniciar sesión como último usuario interactivo automáticamente después de un reinicio iniciado por el sistema , pero fue
renombrado a partir de las plantillas administrativas de Windows 10 Release 1903.
Impacto:
El dispositivo no almacena las credenciales del usuario para el inicio de sesión automático después de una
Reinicio de actualización. Las aplicaciones de la pantalla de bloqueo de los usuarios no se reinician después de que se reinicia el sistema. los
El usuario debe presentar las credenciales de inicio de sesión para continuar después del reinicio.
Habilitado. (El dispositivo guarda de forma segura las credenciales del usuario (incluido el nombre de usuario,
dominio y contraseña cifrada) para configurar el inicio de sesión automático después de una actualización de Windows
reiniciar. Después de reiniciar Windows Update, el usuario inicia sesión automáticamente y el
la sesión se bloquea automáticamente con todas las aplicaciones de la pantalla de bloqueo configuradas para ese usuario).
Referencias:
1. CCE-36977-7
Notas:
Deshabilite esta configuración de política para que el dispositivo no almacene las credenciales del usuario para
el inicio de sesión automático después de un reinicio de Windows Update y las aplicaciones de la pantalla de bloqueo de los usuarios no son
reiniciado después de que el sistema se reinicia.
868 | Página
Página 870
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 703/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
869 | Página
Página 871
870 | Página
https://translate.googleusercontent.com/translate_f 704/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 872
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MovieMaker.admx / adml
que solo se incluye con Microsoft Windows Vista y Server 2008 (no R2)
Plantillas Administrativas.
871 | Página
Página 873
https://translate.googleusercontent.com/translate_f 705/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
PowerShellExecutionPolicy.admx / adml que
se incluye con Microsoft Windows 8.0
& Server 2012 (no R2) Plantillas administrativas (o más recientes).
18.9.95.1 (L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté co
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva habilita el registro de todas las entradas del script de PowerShell en Microsoft-Windows-
Registro de eventos de PowerShell / Operational.
Razón fundamental:
Existen riesgos potenciales de capturar contraseñas en los registros de PowerShell. Esta configuración debería
solo se necesita para fines de depuración, y no en funcionamiento normal, es importante
asegúrese de que esté configurado como Desactivado .
872 | Página
Página 874
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla PowerShellExecutionPolicy.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 10 RTM (versión 1507) (o más reciente).
Impacto:
https://translate.googleusercontent.com/translate_f 706/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Habilitado. (PowerShell registrará los bloques de scripts la primera vez que se utilicen).
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
873 | Página
Página 875
Descripción:
Razón fundamental:
Si esta configuración está habilitada, existe el riesgo de que las contraseñas se almacenen en texto sin formato en la
Archivo de salida de PowerShell_transcript .
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
https://translate.googleusercontent.com/translate_f 707/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla PowerShellExecutionPolicy.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 10 RTM (versión 1507) (o más reciente).
Impacto:
874 | Página
Página 876
Discapacitado. (La transcripción de aplicaciones basadas en PowerShell está deshabilitada de forma predeterminada, aunque
la transcripción aún se puede habilitar a través del cmdlet Start-Transcript ).
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
período de inactividad.
Versión 7
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo RacWmiProv.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
https://translate.googleusercontent.com/translate_f 708/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
875 | Página
Página 877
18.9.97.1.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado como 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
La autenticación básica es menos robusta que otros métodos de autenticación disponibles en WinRM
porque las credenciales, incluidas las contraseñas, se transmiten en texto sin formato. Un atacante que es
capaz de capturar paquetes en la red donde se ejecuta WinRM puede ser capaz de determinar
las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
876 | Página
Página 878
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
https://translate.googleusercontent.com/translate_f 709/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-36310-1
877 | Página
Página 879
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 710/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
878 | Página
Página 880
18.9.97.1.2 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Cifrar el tráfico de la red WinRM reduce el riesgo de que un atacante vea o modifique
Mensajes WinRM a medida que transitan por la red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 711/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
879 | Página
Página 881
Discapacitado. (El cliente WinRM envía o recibe solo mensajes encriptados a través de la red).
Referencias:
1. CCE-37726-7
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 712/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
880 | Página
Página 882
18.9.97.1.3 (L1) Asegúrese de que 'No permitir autenticación implícita' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
La autenticación implícita es menos robusta que otros métodos de autenticación disponibles en WinRM,
un atacante que pueda capturar paquetes en la red donde se ejecuta WinRM puede ser
capaz de determinar las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
881 | Página
Página 883
https://translate.googleusercontent.com/translate_f 713/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
El cliente WinRM no utilizará la autenticación implícita.
Referencias:
1. CCE-38318-2
Controles CIS:
Versión 6
Versión 7
882 | Página
Página 884
18.9.97.2.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado como 'Deshabilitado'
(Puntuado)
https://translate.googleusercontent.com/translate_f 714/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
La autenticación básica es menos robusta que otros métodos de autenticación disponibles en WinRM
porque las credenciales, incluidas las contraseñas, se transmiten en texto sin formato. Un atacante que es
capaz de capturar paquetes en la red donde se ejecuta WinRM puede ser capaz de determinar
las credenciales utilizadas para acceder a hosts remotos a través de WinRM.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
883 | Página
Página 885
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-36254-1
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 715/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
16.13 La autenticación de usuario / cuenta debe realizarse a través de canales cifrados
Asegúrese de que todos los nombres de usuario de la cuenta y las credenciales de autenticación se transmitan
redes que utilizan canales encriptados.
Versión 7
884 | Página
Página 886
Descripción:
Razón fundamental:
Cualquier característica es una vía potencial de ataque, aquellas que permiten conexiones de red entrantes.
son particularmente riesgosos. Solo habilite el uso de la administración remota de Windows (WinRM)
servicio en redes confiables y, cuando sea posible, emplee controles adicionales como IPsec.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Este objeto de política de grupo está respaldado por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
https://translate.googleusercontent.com/translate_f 716/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
WindowsRemoteManagement.admx / adml que se incluye con todas las versiones de Microsoft
Plantillas administrativas de Windows.
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Permitir la configuración automática de oyentes , pero se le cambió el nombre comenzando con el
Plantillas administrativas de Windows 8.0 y Server 2012 (no R2).
885 | Página
Página 887
Impacto:
Discapacitado. (El servicio WinRM no responderá a las solicitudes de una computadora remota,
independientemente de si se han configurado o no oyentes de WinRM).
Referencias:
1. CCE-37927-1
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
886 | Página
Página 888
https://translate.googleusercontent.com/translate_f 717/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado como 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Cifrar el tráfico de la red WinRM reduce el riesgo de que un atacante vea o modifique
Mensajes WinRM a medida que transitan por la red.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
887 | Página
Página 889
Discapacitado. (El servicio WinRM envía o recibe solo mensajes cifrados a través del
red.)
Referencias:
1. CCE-38223-4
Controles CIS:
https://translate.googleusercontent.com/translate_f 718/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 6
Versión 7
888 | Página
Página 890
Descripción:
Nota: Si habilita y luego deshabilita esta configuración de directiva, cualquier valor que
configurado para RunAsPassword deberá restablecerse.
Razón fundamental:
Aunque la capacidad de almacenar credenciales RunAs es una característica conveniente, aumenta el riesgo
del compromiso de la cuenta levemente. Por ejemplo, si olvida bloquear su escritorio antes
https://translate.googleusercontent.com/translate_f 719/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
dejándolo desatendido durante unos minutos, otra persona podría acceder no solo al escritorio
de su computadora, pero también cualquier host que administre a través de WinRM con RunAs en caché
cartas credenciales.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
889 | Página
Página 891
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsRemoteManagement.admx / adml que se incluye con Microsoft
Plantillas administrativas de Windows 8.0 y Server 2012 (no R2) (o más reciente).
Impacto:
Si esta configuración se vuelve a deshabilitar más tarde, cualquier valor que se haya configurado previamente para
RunAsPassword deberá reiniciarse.
Referencias:
1. CCE-36000-8
Controles CIS:
Versión 6
16.4 Cerrar automáticamente la sesión de los usuarios después de un período estándar de inactividad
Monitoree regularmente el uso de todas las cuentas, desconectando automáticamente a los usuarios después de un estándar
https://translate.googleusercontent.com/translate_f 720/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
período de inactividad.
Versión 7
890 | Página
Página 892
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado en 'Deshabilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite administrar la configuración del acceso remoto a todos los
shells para ejecutar scripts y comandos.
Nota: El texto de ayuda de GPME para esta configuración está redactado incorrectamente, lo que implica que configurarlo
a Habilitado rechazará nuevas conexiones Shell remoto, y se establece para minusválidos permitirá
Conexiones de Shell remoto. Lo contrario es cierto (y es consistente con el título de la
ajuste). Este es un error de redacción de Microsoft en la plantilla administrativa.
Razón fundamental:
Cualquier característica es una vía potencial de ataque, aquellas que permiten conexiones de red entrantes.
son particularmente riesgosos. Solo habilite el uso de Windows Remote Shell en confiables
redes y, cuando sea posible, emplee controles adicionales como IPsec.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Este objeto de política de grupo está respaldado por la siguiente ubicación de registro:
891 | Página
https://translate.googleusercontent.com/translate_f 721/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 893
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado:
Impacto:
Nota: en el servidor 2012 (no R2) y más reciente, debido a cambios de diseño en el sistema operativo después del servidor
2008 R2, configurar esta configuración según lo prescrito evitará la capacidad de agregar o quitar
Funciones y funciones (incluso localmente) a través de la GUI. Por lo tanto, recomendamos que la necesaria
Los roles y características deben instalarse antes de configurar esta opción en un servidor de nivel 2.
Alternativamente, los roles y características aún se pueden agregar o eliminar usando PowerShell
comandos Add-WindowsFeature o Remove-WindowsFeature en el Administrador del servidor
módulo, incluso con este ajuste configurado.
Referencias:
1. CCE-36499-2
892 | Página
Página 894
Controles CIS:
Versión 6
3.4 Utilice solo canales seguros para la administración remota del sistema
Realice toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y similares
equipos a través de canales seguros. Protocolos como telnet, VNC, RDP u otros que no
apoyar activamente el cifrado fuerte solo debe usarse si se realizan sobre un
https://translate.googleusercontent.com/translate_f 722/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
canal de cifrado secundario, como SSL, TLS o IPSEC.
Versión 7
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
Asegúrese de que solo los puertos, protocolos y servicios de red estén escuchando en un sistema con
las necesidades comerciales validadas se ejecutan en cada sistema.
893 | Página
Página 895
Nota: Esta sección originalmente se llamaba Centro de seguridad de Windows Defender, pero se
renombrado por Microsoft a Seguridad de Windows a partir de la versión de Microsoft Windows 10
Plantillas administrativas 1809 y Server 2019.
https://translate.googleusercontent.com/translate_f 723/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
WindowsDefenderSecurityCenter.admx / adml que se incluye con Microsoft Windows
10 Plantillas administrativas de la versión 1803 (o más reciente).
894 | Página
Página 896
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté establecido en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política evita que los usuarios realicen cambios en la configuración de protección contra vulnerabilidades
área en la configuración de seguridad de Windows.
Razón fundamental:
Solo el personal de TI autorizado debe poder realizar cambios en la configuración de protección contra vulnerabilidades en
para asegurar que la configuración específica de la organización no se modifique.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 724/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
895 | Página
Página 897
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsDefenderSecurityCenter.admx / adml que se incluye con Microsoft
Plantillas administrativas de la versión 1709 de Windows 10 (o más reciente).
Impacto:
Los usuarios locales no pueden realizar cambios en el área de configuración de protección contra vulnerabilidades.
Discapacitado. (Los usuarios locales pueden realizar cambios en el área de configuración de protección contra vulnerabilidades).
Controles CIS:
Versión 6
Versión 7
8.3 Habilitar las funciones anti-explotación del sistema operativo / implementar Anti-Exploit
Tecnologías
Habilite funciones anti-explotación como Prevención de ejecución de datos (DEP) o Dirección
Aleatorización de diseño de espacio (ASLR) que están disponibles en un sistema operativo o implementación
kits de herramientas apropiados que se pueden configurar para aplicar protección a un conjunto más amplio de
aplicaciones y ejecutables.
896 | Página
https://translate.googleusercontent.com/translate_f 725/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 898
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo SideShow.admx / adml
que solo se incluye con las Plantillas administrativas de Microsoft Windows Vista a través de
Plantillas administrativas de Microsoft Windows 8.0 y Server 2012 (no R2).
897 | Página
Página 899
WindowsUpdate.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
Nota: Esta sección se llamó inicialmente Aplazar actualizaciones de Windows, pero fue renombrada por
Actualización de Microsoft a Windows para empresas a partir de la versión de Microsoft Windows 10
1709 Plantillas administrativas.
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado en 'Habilitado:
Deshabilitar compilaciones de vista previa '(puntuadas)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden acceder al programa Windows Insider
controles en Configuración -> Actualización y seguridad. Estos controles permiten a los usuarios hacer su
dispositivos disponibles para descargar e instalar versiones preliminares (beta) de Windows
software.
El estado recomendado para esta configuración es: Habilitado: deshabilita las compilaciones de vista previa .
898 | Página
Página 900
Razón fundamental:
Puede ser arriesgado que se permitan funciones experimentales en una empresa administrada
entorno porque esto puede introducir errores y agujeros de seguridad en los sistemas, lo que
más fácil para un atacante obtener acceso. Por lo general, se prefiere usar solo productos listos para producción.
construye.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
https://translate.googleusercontent.com/translate_f 727/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Deshabilitar compilaciones de vista previa :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsUpdate.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1709 (o más reciente).
Impacto:
Discapacitado. (Las compilaciones de vista previa no se instalan en el dispositivo, a menos que el usuario opte por
Configuración -> Actualización y seguridad)
899 | Página
Página 901
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 728/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
900 | Página
Página 902
18.9.102.1.2 (L1) Asegúrese de 'Seleccionar cuando obtenga una vista previa de las compilaciones y característic
Se reciben actualizaciones 'está configurado como' Habilitado: Canal semianual, 180 o
más días '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina el nivel de la versión preliminar o las actualizaciones de funciones que se recibirán, y
cuando.
El nivel de preparación de Windows para cada nueva actualización de funciones de Windows 10 se clasifica en una
de 5 categorías, dependiendo del nivel de comodidad de su organización al recibirlos:
• Vista previa de compilación - Rápido: los dispositivos configurados en este nivel serán los primeros en recibir nuevas compilaciones
de Windows con funciones que aún no están disponibles para el público en general. Seleccione Rápido para
participar en la identificación y notificación de problemas a Microsoft y proporcionar sugerencias
sobre nuevas funciones.
• Vista previa de compilación - Lento: los dispositivos configurados en este nivel reciben nuevas compilaciones de Windows
antes de que estén disponibles para el público en general, pero a una cadencia más lenta que las
establecido en Rápido, y con los cambios y correcciones identificados en versiones anteriores.
• Vista previa de la versión: reciba versiones de Windows justo antes de que Microsoft las publique
el público general.
• Canal semianual (dirigido): reciba actualizaciones de funciones cuando se publiquen
al público en general.
• Canal semianual : las actualizaciones de funciones llegarán cuando se declaren semianuales.
Canal anual. Esto suele ocurrir aproximadamente 4 meses después del canal semianual.
(Dirigido), que indica que Microsoft, proveedores de software independientes (ISV),
los socios y el cliente creen que la versión está lista para una amplia implementación.
El estado recomendado para esta configuración es: Habilitado: Canal semianual, 180 o más
días .
https://translate.googleusercontent.com/translate_f 729/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
901 | Página
Página 903
Nota n. ° 2: a partir de Windows Server 2016 RTM (versión 1607), Microsoft introdujo un
nuevo comportamiento del cliente de Windows Update (WU) llamado Dual Scan , con miras a la nube
Gestión de actualizaciones. En algunos casos, esta función de escaneo dual puede interferir con Windows
Actualizaciones de Windows Server Update Services (WSUS) y / o actualizaciones manuales de WU. Si tu
está utilizando WSUS en su entorno, es posible que deba establecer la configuración anterior en No
Configurado o configura el ajuste No permitir que las políticas de aplazamiento de actualizaciones provoquen análisis
contra Windows Update (agregado en la versión 1709 administrativa de Windows 10
Plantillas) para evitar que la función de escaneo dual interfiera. Más información sobre
Dual Scan está disponible en estos enlaces:
Nota n. ° 3: antes de Windows Server 2016 R1709, los valores superiores a 180 días no se reconocen
por el SO. A partir de Windows Server 2016 R1709, el número máximo de días que
puede diferir es de 365 días.
Razón fundamental:
Forzar nuevas funciones sin pruebas previas en su entorno podría causar que el software
incompatibilidades, así como la introducción de nuevos errores en el sistema operativo. En un
entorno administrado por la empresa, generalmente se prefiere retrasar las actualizaciones de funciones hasta
Se han realizado pruebas exhaustivas y un plan de implementación. Esta recomendación retrasa la
instalación automática de nuevas funciones el mayor tiempo posible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
902 | Página
Página 904
Remediación:
https://translate.googleusercontent.com/translate_f 730/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Canal semianual, 180 días o más :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WindowsUpdate.admx / adml que se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Nota n. ° 2: en las plantillas administrativas de Microsoft Windows anteriores, esta configuración se
llamado Seleccionar cuando se reciben las actualizaciones de características , pero se le cambió el nombre a Seleccionar al obtener una vista previa
Las compilaciones y las actualizaciones de funciones se reciben a partir de la versión 1709 de Windows 10
Plantillas Administrativas.
Impacto:
Las actualizaciones de funciones se retrasarán hasta 180 días o más después de que se declare que tienen un
Nivel de preparación de Windows del "Canal semianual".
Controles CIS:
Versión 6
Versión 7
903 | Página
Página 905
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté
establecido en 'Habilitado: 0 días' (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 731/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Si la política "Permitir telemetría" se establece en 0, esta política no tendrá efecto.
Nota n. ° 2: a partir de Windows Server 2016 RTM (versión 1607), Microsoft introdujo un
nuevo comportamiento del cliente de Windows Update (WU) llamado Dual Scan , con miras a la nube
Gestión de actualizaciones. En algunos casos, esta función de escaneo dual puede interferir con Windows
Actualizaciones de Windows Server Update Services (WSUS) y / o actualizaciones manuales de WU. Si tu
está utilizando WSUS en su entorno, es posible que deba establecer la configuración anterior en No
Configurado o
configura el ajuste No permitir que las políticas de aplazamiento de actualizaciones provoquen análisis
contra Windows Update (agregado en la versión 1709 administrativa de Windows 10
Plantillas) para evitar que la función de escaneo dual interfiera. Más información sobre
Dual Scan está disponible en estos enlaces:
Razón fundamental:
Las actualizaciones de calidad pueden contener importantes correcciones de errores y / o parches de seguridad, y deben
instalado lo antes posible.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
904 | Página
Página 906
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada: 0
días :
Nota: Esta ruta de directiva de grupo no existe de forma predeterminada. Una plantilla de política de grupo actualizada
( WindowsUpdate.admx / adml ) es necesario; se incluye con Microsoft Windows 10
Plantillas administrativas de la versión 1607 y Server 2016 (o más reciente).
Impacto:
Habilitado: 0 días. (Instale nuevas actualizaciones de calidad tan pronto como estén disponibles).
Controles CIS:
Versión 6
https://translate.googleusercontent.com/translate_f 732/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
905 | Página
Página 907
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado en 'Habilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Después de configurar esta configuración de directiva en Habilitada, seleccione una de las siguientes tres opciones
en el cuadro de diálogo Configurar propiedades de actualizaciones automáticas para especificar cómo funcionará el servicio.
trabajo:
Nota: El subconjunto " Configurar actualización automática: " tiene 4 valores posibles, todos ellos
son válidos dependiendo de las necesidades organizativas específicas, sin embargo, si es posible, sugerimos utilizar un
valor de 4: descarga automática y programa la instalación . Esta sugerencia no se puntúa
requisito.
Nota n. ° 2: las organizaciones que utilizan una solución de terceros para parchear pueden optar por eximir
ellos mismos de esta recomendación, y en su lugar configúrelo como Desactivado para que el
El mecanismo nativo de Windows Update no interfiere con el proceso de parcheo de terceros.
https://translate.googleusercontent.com/translate_f 733/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
906 | Página
Página 908
Razón fundamental:
Aunque cada versión de Windows se prueba exhaustivamente antes del lanzamiento, es posible que
Los problemas se descubrirán después de que se envíen los productos. La configuración automática
La configuración de actualizaciones puede ayudarlo a asegurarse de que las computadoras de su entorno siempre
tener instalados los paquetes de servicio y las actualizaciones críticas del sistema operativo más recientes.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Impacto:
Las actualizaciones críticas del sistema operativo y los paquetes de servicios se instalarán según sea necesario.
Habilitado: 3: descarga automática y notificación de instalación. (Windows encuentra actualizaciones que se aplican a
computadora y los descarga en segundo plano (el usuario no es notificado ni interrumpido
Durante este proceso). Cuando se completen las descargas, se notificará a los usuarios que están
listo para instalar. Después de ir a Windows Update, los usuarios pueden instalarlos).
Referencias:
1. CCE-36172-5
907 | Página
Página 909
https://translate.googleusercontent.com/translate_f 734/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
908 | Página
Página 910
Descripción:
Esta configuración de política especifica cuándo los equipos de su entorno recibirán seguridad
https://translate.googleusercontent.com/translate_f 735/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
actualizaciones de Windows Update o WSUS.
Razón fundamental:
Aunque cada versión de Windows se prueba exhaustivamente antes del lanzamiento, es posible que
Los problemas se descubrirán después de que se envíen los productos. La configuración automática
La configuración de actualizaciones puede ayudarlo a asegurarse de que las computadoras de su entorno siempre
tener instalados los paquetes de servicio y las actualizaciones críticas del sistema operativo más recientes.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en 0 - Cada
día :
909 | Página
Página 911
Impacto:
No definida. (Dado que el valor predeterminado de Configurar actualizaciones automáticas es 3 - Descarga automática
y notificar para la instalación , esta configuración no es aplicable de forma predeterminada).
Referencias:
1. CCE-36172-5
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 736/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
3.4 Implementar herramientas automatizadas de administración de parches del sistema operativo
Implemente herramientas de actualización de software automatizadas para garantizar que los sistemas operativos
están ejecutando las actualizaciones de seguridad más recientes proporcionadas por el proveedor de software.
910 | Página
Página 912
18.9.102.4 (L1) Asegúrese de que 'Sin reinicio automático con usuarios conectados para
instalaciones de actualizaciones automáticas programadas 'se establece en' Desactivado '(puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva especifica que las actualizaciones automáticas esperarán a que se reinicien las computadoras
por los usuarios que han iniciado sesión para completar una instalación programada.
Nota: Esta configuración se aplica solo cuando configura Actualizaciones automáticas para realizar
instalaciones de actualización programadas. Si configura la opción Configurar actualizaciones automáticas para
Desactivada, esta configuración no tiene ningún efecto.
Razón fundamental:
Algunas actualizaciones de seguridad requieren que la computadora se reinicie para completar la instalación. Si
la computadora no se puede reiniciar automáticamente, entonces la actualización más reciente no
instalar y no se descargarán nuevas actualizaciones en la computadora hasta que se reinicie. Sin el
función de reinicio automático, los usuarios que no son conscientes de la seguridad pueden elegir indefinidamente
retrasa el reinicio, por lo que mantiene la computadora en un estado menos seguro.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 737/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
911 | Página
Página 913
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-37027-0
912 | Página
Página 914
https://translate.googleusercontent.com/translate_f 738/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controles CIS:
Versión 6
Versión 7
913 | Página
Página 915
https://translate.googleusercontent.com/translate_f 739/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.1.2 Pantalla
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
914 | Página
Página 916
Nota: Esta sección se llamó inicialmente Temas de escritorio, pero Microsoft la renombró a
Personalización a partir de Microsoft Windows 7 & Server 2008 R2 Administrative
Plantillas.
19.1.3.1 (L1) Asegúrese de que 'Activar protector de pantalla' esté configurado como 'Activado' (puntuado)
Aplicabilidad del perfil:
Descripción:
https://translate.googleusercontent.com/translate_f 740/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta configuración de política habilita / deshabilita el uso de protectores de pantalla de escritorio.
El estado recomendado para esta configuración es: habilitado .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
915 | Página
Página 917
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows 7
& Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Se ejecuta un protector de pantalla, siempre que se cumplan las dos condiciones siguientes: Primero, una pantalla válida
El protector en el cliente se especifica a través de la configuración de protector de pantalla específico Forzar (Regla 19.1.3.2)
oa través del Panel de control en la computadora cliente. En segundo lugar, la configuración del tiempo de espera del protector de pantalla
(Regla 19.1.3.4) se establece en un valor distinto de cero mediante la configuración o mediante el Panel de control.
Referencias:
1. CCE-37970-1
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 741/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
916 | Página
Página 918
Descripción:
Esta configuración de política especifica el protector de pantalla para el escritorio del usuario.
Nota: Si el protector de pantalla especificado no está instalado en una computadora en la que esta configuración
se aplica, la configuración se ignora.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
scrnsave.scr :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows 7
& Plantillas administrativas de Server 2008 R2 (o más reciente).
917 | Página
https://translate.googleusercontent.com/translate_f 742/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 919
Impacto:
El sistema muestra el protector de pantalla especificado en el escritorio del usuario. La lista desplegable de
protectores de pantalla en el cuadro de diálogo Protector de pantalla en Personalización o Panel de control de pantalla
desactivado, evitando que los usuarios cambien el protector de pantalla.
Referencias:
1. CCE-37907-3
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
918 | Página
Página 920
19.1.3.3 (L1) Asegúrese de que 'Proteger el protector de pantalla con contraseña' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 743/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración determina si los protectores de pantalla usados en la computadora son contraseña
protegido.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
919 | Página
Página 921
Impacto:
Todos los protectores de pantalla están protegidos con contraseña. La casilla de verificación "Protegido con contraseña" en el
El cuadro de diálogo Protector de pantalla en Personalización o Panel de control de pantalla se desactivará,
evitar que los usuarios cambien la configuración de protección con contraseña.
Referencias:
1. CCE-37658-2
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
https://translate.googleusercontent.com/translate_f 744/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Versión 7
920 | Página
Página 922
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Habilitado: 900
segundos o menos, pero no 0 '(puntuados)
Aplicabilidad del perfil:
Descripción:
Esta configuración especifica cuánto tiempo de inactividad del usuario debe transcurrir antes de que se active el protector de pantalla.
lanzado.
El estado recomendado para esta configuración es: Habilitado: 900 segundos o menos, pero no 0 .
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
https://translate.googleusercontent.com/translate_f 745/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
921 | Página
Página 923
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
900 o menos, pero no 0 :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla ControlPanelDisplay.admx / adml que se incluye con Microsoft Windows 7
& Plantillas administrativas de Server 2008 R2 (o más reciente).
Impacto:
Referencias:
1. CCE-37908-1
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
https://translate.googleusercontent.com/translate_f 746/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
922 | Página
Página 924
19.2 Escritorio
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.3 Red
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
923 | Página
Página 925
https://translate.googleusercontent.com/translate_f 747/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.5.1 Notificaciones
Esta sección contiene recomendaciones para la configuración de notificaciones.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WPN.admx / adml que es
incluido con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
19.5.1.1 (L1) Asegúrese de que esté configurado 'Desactivar notificaciones de tostadas en la pantalla de bloqueo'
a 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Razón fundamental:
Si bien esta función puede ser útil para los usuarios, las aplicaciones que brindan notificaciones
puede mostrar datos personales o comerciales confidenciales mientras el dispositivo se deja desatendido.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CurrentVersion \ PushNotifications: NoT
oastApplicationNotificationOnLockScreen
924 | Página
Página 926
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla WPN.admx / adml que se incluye con Microsoft Windows 8.0 & Server 2012
(no R2) Plantillas administrativas (o más reciente).
Impacto:
Discapacitado. (Las notificaciones de brindis en la pantalla de bloqueo están habilitadas y pueden desactivarse
https://translate.googleusercontent.com/translate_f 748/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
administrador o usuario.)
Referencias:
1. CCE-36332-5
Controles CIS:
Versión 6
16.5 Asegúrese de que los bloqueos de pantalla de la estación de trabajo estén configurados
Configure bloqueos de pantalla en los sistemas para limitar el acceso a estaciones de trabajo desatendidas.
Versión 7
925 | Página
Página 927
19.6 Sistema
Esta sección contiene recomendaciones para la configuración del sistema.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CtrlAltDel.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.6.2 Pantalla
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Display.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 10 Release 1803
(o mas nuevo).
https://translate.googleusercontent.com/translate_f 749/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
DeviceInstallation.admx / adml que
se incluye con todas las versiones de Microsoft
Plantillas administrativas de Windows.
926 | Página
Página 928
https://translate.googleusercontent.com/translate_f 750/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
927 | Página
Página 929
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Descripción:
Esta configuración de directiva especifica si los usuarios pueden participar en la experiencia de ayuda
Programa de mejora. El programa de mejora de la experiencia de ayuda recopila información
sobre cómo los clientes utilizan la Ayuda de Windows para que Microsoft pueda mejorarla.
Razón fundamental:
Es posible que los entornos administrados por grandes empresas no deseen que la información recopile
Microsoft desde equipos cliente administrados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Assistance \ Client \ 1.0: NoFeedback implícito
928 | Página
Página 930
Remediación:
https://translate.googleusercontent.com/translate_f 751/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Impacto:
Discapacitado. (Los usuarios pueden activar la función del programa Mejora de la experiencia de ayuda desde el
Página de configuración de Ayuda y soporte).
Referencias:
1. CCE-37542-8
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
929 | Página
Página 931
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 752/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
WindowsAnytimeUpgrade.admx / adml que se incluye con Microsoft Windows 7 y
Plantillas administrativas de Server 2008 R2 (o más reciente).
Nota: Esta sección inicialmente se llamó Windows Anytime Upgrade, pero fue renombrada por
Microsoft agregará funciones a Windows x a partir de Microsoft Windows 8.0 y Server
2012 (no R2) Plantillas administrativas.
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo AppCompat.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
930 | Página
Página 932
Descripción:
Esta configuración de política le permite administrar si Windows marca los archivos adjuntos con
información sobre su zona de origen (como restringida, Internet, intranet, local). Esta
requiere NTFS para funcionar correctamente y fallará sin previo aviso en FAT32. Por no
preservando la información de la zona, Windows no puede realizar evaluaciones de riesgo adecuadas.
Nota: La función Attachment Manager advierte a los usuarios cuando abren o ejecutan archivos que
https://translate.googleusercontent.com/translate_f 753/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
están marcados como de una fuente no confiable, a menos que / hasta que la información de la zona del archivo haya
eliminado mediante el botón "Desbloquear" en las propiedades del archivo o mediante una herramienta independiente como
como Secuencias de Microsoft Sysinternals .
Razón fundamental:
Un archivo que se descarga de una computadora en Internet o en la zona de Sitios restringidos puede ser
movido a una ubicación que lo hace parecer seguro, como un archivo compartido de intranet, y ejecutado por un
usuario desprevenido. La función Attachment Manager advertirá a los usuarios al abrir o
ejecutar archivos que están marcados como de una fuente no confiable, a menos que / hasta que el archivo
se ha eliminado la información de la zona.
931 | Página
Página 933
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments: SaveZoneI
información
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Impacto:
Referencias:
1. CCE-37424-9
Controles CIS:
Versión 6
Versión 7
https://translate.googleusercontent.com/translate_f 754/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Asegúrese de que solo los navegadores web y los clientes de correo electrónico totalmente compatibles puedan ejecutar
en la organización, idealmente utilizando solo la última versión de los navegadores y clientes de correo electrónico
proporcionado por el proveedor.
932 | Página
Página 934
Descripción:
Esta configuración de directiva administra el comportamiento de notificación a los programas antivirus registrados. Si
se registran varios programas, todos serán notificados.
Nota: Se debe instalar un programa antivirus actualizado para que funcione esta configuración de directiva.
correctamente.
Razón fundamental:
Es posible que los programas antivirus que no realizan comprobaciones de acceso no puedan escanear
archivos descargados.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments: ScanWithA
ntiVirus
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
933 | Página
Página 935
https://translate.googleusercontent.com/translate_f 755/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Impacto:
Windows le dice a los programas antivirus registrados que escaneen el archivo cuando un usuario abre un archivo
adjunto archivo. Si el programa antivirus falla, se bloquea la apertura del archivo adjunto.
Referencias:
1. CCE-36622-9
Controles CIS:
Versión 6
7.8 Analizar todos los archivos adjuntos de correo electrónico entrante en busca de código malicioso
Escanee y bloquee todos los archivos adjuntos de correo electrónico que ingresan a la puerta de enlace de correo electrónico de la organización si
contienen códigos maliciosos o tipos de archivos que no son necesarios para el negocio de la organización.
Este escaneo debe realizarse antes de que el correo electrónico se coloque en la bandeja de entrada del usuario. Esto incluye
filtrado de contenido de correo electrónico y filtrado de contenido web.
Versión 7
934 | Página
Página 936
Esta sección de Política de grupo la proporciona la plantilla de política de grupo AutoPlay.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 756/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
puntos de referencia es coherente.
935 | Página
Página 937
19.7.7.1 (L1) Asegúrese de que 'Configurar el reflector de Windows en la pantalla de bloqueo' esté configurado
a discapacitados '(puntuados)
Aplicabilidad del perfil:
Descripción:
Nota: según Microsoft TechNet, esta configuración de política solo se aplica a Windows 10 Enterprise y
https://translate.googleusercontent.com/translate_f 757/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Ediciones de Windows 10 Education.
Razón fundamental:
Habilitar esta configuración ayudará a garantizar que sus datos no se compartan con ningún tercero. los
La función Windows Spotlight recopila datos y usa esos datos para mostrar las aplicaciones sugeridas como
así como imágenes de Internet.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: ConfigureWindowsSpotlig
ht
936 | Página
Página 938
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
Impacto:
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 758/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
937 | Página
Página 939
Descripción:
Razón fundamental:
Habilitar esta configuración ayudará a garantizar que sus datos no se compartan con ningún tercero. los
La función Windows Spotlight recopila datos y usa esos datos para mostrar las aplicaciones sugeridas como
así como imágenes de Internet.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: DisableThirdPartySugges
ciones
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
938 | Página
https://translate.googleusercontent.com/translate_f 759/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 940
Impacto:
Windows Spotlight en la pantalla de bloqueo, consejos de Windows, funciones para consumidores de Microsoft y otros
las funciones relacionadas ya no sugerirán aplicaciones y contenido de software de terceros
editores. Es posible que los usuarios sigan viendo sugerencias y consejos para que sean más productivos con
Funciones y aplicaciones de Microsoft.
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
939 | Página
Página 941
19.7.7.3 (L2) Asegúrese de que 'No utilice datos de diagnóstico para experiencias personalizadas'
está configurado en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
https://translate.googleusercontent.com/translate_f 760/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Descripción:
Esta configuración determina si Windows puede usar datos de diagnóstico para brindar experiencias personalizadas
al usuario.
Razón fundamental:
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: DisableTailoredExperien
cesWithDiagnosticData
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
1703 Plantillas administrativas (o más reciente).
940 | Página
Página 942
Impacto:
Windows no utilizará datos de diagnóstico de este dispositivo (estos datos pueden incluir navegador, aplicación
y uso de funciones, según el valor de configuración "Datos de diagnóstico y uso") para
personalizar el contenido que se muestra en la pantalla de bloqueo, consejos de Windows, funciones para el consumidor de Microsoft
y otras características relacionadas. Si estas funciones están habilitadas, los usuarios seguirán viendo
recomendaciones, consejos y ofertas, pero pueden ser menos personalizados.
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
https://translate.googleusercontent.com/translate_f 761/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
13.3 Supervisar y bloquear el tráfico de red no autorizado
Implemente una herramienta automatizada en los perímetros de la red que monitorea
transferencia de información sensible y bloquea dichas transferencias mientras alerta información
profesionales de la seguridad.
941 | Página
Página 943
19.7.7.4 (L2) Asegúrese de que 'Desactivar todas las funciones del reflector de Windows' esté configurado en
'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de política le permite desactivar todas las funciones de Windows Spotlight a la vez.
Nota: según Microsoft TechNet, esta configuración de política solo se aplica a Windows 10 Enterprise y
Ediciones de Windows 10 Education.
Razón fundamental:
Habilitar esta configuración ayudará a garantizar que sus datos no se compartan con ningún tercero. los
La función Windows Spotlight recopila datos y usa esos datos para mostrar las aplicaciones sugeridas como
así como imágenes de Internet.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ CloudContent: Desactivar WindowsSpotlight
Caracteristicas
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada :
https://translate.googleusercontent.com/translate_f 762/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Nota: Es posible que esta ruta de directiva de grupo no exista de forma predeterminada. Lo proporciona la Política de grupo
plantilla CloudContent.admx / adml que se incluye con la versión de Microsoft Windows 10
1607 y plantillas administrativas de Server 2016 (o más recientes).
942 | Página
Página 944
Impacto:
Windows Spotlight en la pantalla de bloqueo, consejos de Windows, funciones para consumidores de Microsoft y otros
las funciones relacionadas se desactivarán.
Controles CIS:
Versión 6
13 Protección de datos
Protección de Datos
Versión 7
943 | Página
https://translate.googleusercontent.com/translate_f 763/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 945
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo CredUI.admx / adml que
se incluye con Microsoft Windows 10 Release 1607 & Server 2016 Administrative
Plantillas (o más recientes).
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sidebar.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo DWM.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
944 | Página
Página 946
DigitalLocker.admx / adml que se incluye con todas las versiones de Microsoft Windows
Plantillas Administrativas.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo EdgeUI.admx / adml que
se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Nota: Esta sección se llamó inicialmente Explorador de Windows, pero Microsoft le cambió el nombre a
Explorador de archivos a partir de Microsoft Windows 8.0 y Server 2012 (no R2)
Plantillas Administrativas.
945 | Página
Página 947
19.7.16 IME
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo EAIME.admx / adml que
se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas (o más recientes).
https://translate.googleusercontent.com/translate_f 765/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WordWheel.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo InetRes.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Sensors.admx / adml
que se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2
(o mas nuevo).
946 | Página
Página 948
Esta sección de directiva de grupo la proporciona la plantilla de directiva de grupo MMC.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
19.7.24 NetMeeting
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
https://translate.googleusercontent.com/translate_f 766/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Conf.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
947 | Página
Página 949
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Sharing.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.7.26.1 (L1) Asegúrese de 'Evitar que los usuarios compartan archivos dentro de sus
perfil.' está configurado en 'Habilitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración de directiva determina si los usuarios pueden compartir archivos dentro de su perfil. Por defecto,
Los usuarios pueden compartir archivos dentro de su perfil con otros usuarios en su red después de un
el administrador opta por la computadora. Un administrador puede optar por la computadora usando el
asistente para compartir para compartir un archivo dentro de su perfil.
Razón fundamental:
Si no se configura correctamente, un usuario podría compartir accidentalmente datos confidenciales con personas no autorizadas.
usuarios. En un entorno gestionado por la empresa, la empresa debe proporcionar un
ubicación para compartir archivos, como un servidor de archivos o SharePoint, en lugar de los archivos compartidos por el usuario
directamente desde su propio perfil de usuario.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer: NoInplaceSha
anillo
https://translate.googleusercontent.com/translate_f 767/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
948 | Página
Página 950
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo Sharing.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Los usuarios no pueden compartir archivos dentro de su perfil mediante el asistente para compartir. Además, el compartir
el asistente no puede crear un recurso compartido en % root% \ Users y solo se puede utilizar para crear recursos compartidos SMB
en carpetas.
Discapacitado. (Los usuarios pueden compartir archivos fuera de su perfil de usuario después de que un administrador haya aceptado
el ordenador.)
Referencias:
1. CCE-38070-9
Controles CIS:
Versión 6
Versión 7
949 | Página
Página 951
19.7.27 OOBE
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
https://translate.googleusercontent.com/translate_f 768/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo OOBE.admx / adml que es
incluido con Microsoft Windows 10 Release 1809 y Server 2019 Administrative
Plantillas (o más recientes).
Nota: Esta sección se llamó inicialmente Terminal Services, pero Microsoft le cambió el nombre a
Servicios de escritorio remoto a partir de Microsoft Windows 7 y Server 2008 R2
Plantillas Administrativas.
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo InetRes.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
950 | Página
Página 952
19.7.31 Buscar
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de política de grupo Search.admx / adml que
se incluye con las plantillas administrativas de Microsoft Windows 7 y Server 2008 R2 (o
más nuevo).
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo SoundRec.admx / adml
https://translate.googleusercontent.com/translate_f 769/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
19.7.33 Tienda
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo WinStoreUI.admx / adml
que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administrativo
Plantillas y Plantillas administrativas de Microsoft Windows 8.1 y Server 2012 R2, o por
la plantilla de directiva de grupo WindowsStore.admx / adml que se incluye con Microsoft
Plantillas administrativas de la versión 1511 de Windows 10 (o más reciente).
19.7.34 Tablet PC
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo Windows.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
951 | Página
Página 953
Esta sección de Política de grupo la proporciona la plantilla de política de grupo WinCal.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
952 | Página
Página 954
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo Passport.admx / adml
que se incluye con Microsoft Windows 10 RTM (versión 1507)
Plantillas (o más recientes).
Nota: Esta sección se llamó inicialmente Microsoft Passport for Work, pero fue renombrada por
Microsoft a Windows Hello para empresas a partir de la versión de Microsoft Windows 10
Plantillas administrativas 1607 y Server 2016.
https://translate.googleusercontent.com/translate_f 771/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
953 | Página
Página 955
Esta sección de Política de grupo la proporciona la plantilla de Política de grupo MSI.admx / adml que es
incluido con todas las versiones de las plantillas administrativas de Microsoft Windows.
19.7.41.1 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado en
'Discapacitado' (puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración controla si Windows Installer debe usar los permisos del sistema o no
cuando instala cualquier programa en el sistema.
Nota: esta configuración aparece tanto en la configuración del equipo como en la configuración del usuario
carpetas. Para que esta configuración sea efectiva, debe habilitar la configuración en ambas carpetas.
Precaución: si está habilitado, los usuarios capacitados pueden aprovechar los permisos que otorga esta configuración
para cambiar sus privilegios y obtener acceso permanente a archivos y carpetas restringidos. Nota
que no se garantiza que la versión de configuración de usuario de esta configuración sea segura.
Razón fundamental:
Los usuarios con privilegios limitados pueden aprovechar esta función creando un instalador de Windows
paquete de instalación que crea una nueva cuenta local que pertenece al local integrado
Grupo de administradores, agrega su cuenta actual al grupo de administradores integrado local,
instala software malintencionado o realiza otras actividades no autorizadas.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ Windows \ Installer: AlwaysInstallElevated
954 | Página
Página 956
https://translate.googleusercontent.com/translate_f 772/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Desactivado :
Nota: Esta ruta de directiva de grupo la proporciona la plantilla de directiva de grupo MSI.admx / adml que
se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
Impacto:
Discapacitado. (Windows Installer aplicará los permisos del usuario actual cuando se instale
programas que un administrador del sistema no distribuye ni ofrece. Esto evitará
que los usuarios estándar instalen aplicaciones que afecten a los elementos de configuración de todo el sistema).
Referencias:
1. CCE-37490-0
Controles CIS:
Versión 6
Versión 7
955 | Página
Página 957
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo WinLogon.admx / adml
que se incluye con todas las versiones de las Plantillas administrativas de Microsoft Windows.
https://translate.googleusercontent.com/translate_f 773/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Esta sección de Política de grupo es proporcionada por la plantilla de Política de grupo
WindowsMail.admx / adml que solo se incluye con Microsoft Windows Vista hasta
las plantillas administrativas de la versión 1703 de Windows 10.
956 | Página
Página 958
19.7.45.1 Redes
Esta sección está intencionalmente en blanco y existe para garantizar la estructura de Windows
puntos de referencia es coherente.
https://translate.googleusercontent.com/translate_f 774/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
957 | Página
Página 959
19.7.45.2 Reproducción
Esta sección contiene recomendaciones relacionadas con la reproducción de Windows Media Player.
19.7.45.2.1 (L2) Asegúrese de que 'Prevenir descarga de códec' esté configurado en 'Habilitado'
(Puntuado)
Aplicabilidad del perfil:
Descripción:
Esta configuración controla si Windows Media Player puede descargar archivos adicionales.
códecs para decodificar archivos multimedia que aún no comprende.
Razón fundamental:
Esto tiene cierto riesgo potencial si se abre un archivo de datos malicioso en Media Player que
requiere la instalación de un códec adicional. Si se requiere un códec especial para un
función de trabajo, entonces ese códec debe probarse primero para asegurarse de que es legítimo, y debe
Ser suministrado por el departamento de TI de la organización.
Auditoría:
Navegue hasta la ruta de la interfaz de usuario articulada en la sección Remediación y confirme que esté configurada como
prescrito. Esta configuración de directiva de grupo está respaldada por la siguiente ubicación de registro:
HKEY_USERS \ [USUARIO
SID] \ Software \ Políticas \ Microsoft \ WindowsMediaPlayer: PreventCodecDownload
https://translate.googleusercontent.com/translate_f 775/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
958 | Página
Página 960
Remediación:
Para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de IU en Habilitada:
Impacto:
Los usuarios pueden cambiar la configuración de la casilla de verificación Descargar códecs automáticamente .
Referencias:
1. CCE-37445-4
Controles CIS:
Versión 6
Versión 7
959 | Página
Página 961
https://translate.googleusercontent.com/translate_f 776/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
960 | Página
Página 962
Controlar Conjunto
Correctamente
sí No
2.2.7 (L1) Asegúrese de que 'Permitir inicio de sesión local' esté configurado como 'Administradores'
□ □
(Puntuado)
2.2.8 (L1) Asegúrese de 'Permitir el inicio de sesión a través de Servicios de escritorio remoto'
□ □
está configurado en 'Administradores' (solo DC) (puntuado)
2.2.9 (L1) Asegúrese de 'Permitir el inicio de sesión a través de Servicios de escritorio remoto'
está configurado en 'Administradores, usuarios de escritorio remoto' (solo MS)□ □
(Puntuado)
2.2.10 (L1) Asegúrese de que 'Copia de seguridad de archivos y directorios' esté configurado en
https://translate.googleusercontent.com/translate_f 777/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
'Administradores' (puntuados) □ □
2.2.11 (L1) Asegúrese de que 'Cambiar la hora del sistema' esté configurado en
□ □
'Administradores, SERVICIO LOCAL' (puntuado)
2.2.12 (L1) Asegúrese de que 'Cambiar la zona horaria' esté configurado en 'Administradores,
□ □
SERVICIO LOCAL '(puntuado)
2.2.13 (L1) Asegúrese de que 'Crear un archivo de paginación' esté configurado como 'Administradores'
□ □
(Puntuado)
2.2.14 (L1) Asegúrese de que 'Crear un objeto token' esté configurado como 'Nadie'
□ □
(Puntuado)
2.2.15 (L1) Asegúrese de que 'Crear objetos globales' esté configurado en 'Administradores,
□ □
SERVICIO LOCAL, SERVICIO DE RED, SERVICIO '(puntuado)
2.2.16 (L1) Asegúrese de que 'Crear objetos compartidos permanentes' esté configurado en 'No
□ □
Uno '(puntuado)
2.2.17 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores'
□ □
(Solo DC) (puntuado)
2.2.18 (L1) Asegúrese de que 'Crear enlaces simbólicos' esté configurado en 'Administradores,
NT VIRTUAL MACHINE \ Virtual Machines '(solo MS) □ □
(Puntuado)
2.2.19 (L1) Asegúrese de que 'Programas de depuración' esté configurado en 'Administradores'
□ □
(Puntuado)
2.2.20 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde el
□ □
network 'para incluir' Invitados '(solo DC) (puntuado)
2.2.21 (L1) Asegúrese de 'Denegar el acceso a esta computadora desde el
red 'para incluir' invitados, cuenta local y miembro de □ □
Grupo de administradores '(solo MS) (puntuado)
2.2.22 (L1) Asegúrese de que 'Denegar inicio de sesión como trabajo por lotes' para incluir 'Invitados'
□ □
(Puntuado)
2.2.23 (L1) Asegúrese de que 'Denegar inicio de sesión como servicio' para incluir 'Invitados'
□ □
(Puntuado)
2.2.24 (L1) Asegúrese de 'Denegar inicio de sesión localmente' para incluir 'Invitados' (puntuados)
□ □
2.2.25 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto'
□ □
para incluir 'Invitados' (solo DC) (puntuados)
961 | Página
Página 963
Controlar Conjunto
Correctamente
sí No
2.2.26 (L1) Asegúrese de 'Denegar el inicio de sesión a través de Servicios de escritorio remoto'
□ □
está configurado en 'Invitados, cuenta local' (solo MS) (puntuado)
2.2.27 (L1) Asegúrese de 'Habilitar cuentas de usuario y de computadora
de confianza para la delegación 'se establece en' Administradores '(solo DC)□ □
(Puntuado)
2.2.28 (L1) Asegúrese de 'Habilitar cuentas de usuario y de computadora
□ □
confiable para delegación 'está configurado como' Nadie '(solo MS) (puntuado)
2.2.29 (L1) Asegúrese de que 'Forzar apagado desde un sistema remoto' esté configurado en
□ □
'Administradores' (puntuados)
2.2.30 (L1) Asegúrese de que 'Generar auditorías de seguridad' esté configurado en 'LOCAL
□ □
SERVICIO, SERVICIO DE RED '(puntuado)
2.2.31 (L1) Asegúrese de que esté configurado 'Suplantar a un cliente después de la autenticación'
a 'Administradores, SERVICIO LOCAL, SERVICIO DE RED, □ □
SERVICIO '(solo DC) (puntuado)
2.2.32 (L1) Asegúrese de que esté configurado 'Suplantar a un cliente después de la autenticación'
a 'Administradores, SERVICIO LOCAL, SERVICIO DE RED,
SERVICE 'y (cuando el rol del servidor web (IIS) con Web □ □
Services Role Service está instalado) 'IIS_IUSRS' (solo MS)
(Puntuado)
2.2.33 (L1) Asegúrese de que 'Aumentar prioridad de programación' esté configurado en
'Administradores, Administrador de ventanas \ Administrador de ventanas □ □
https://translate.googleusercontent.com/translate_f 778/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Grupo '(puntuado)
2.2.34 (L1) Asegúrese de que 'Cargar y descargar controladores de dispositivo' esté configurado en
□ □
'Administradores' (puntuados)
2.2.35 (L1) Asegúrese de que 'Bloquear páginas en la memoria' esté configurado en 'Nadie'
□ □
(Puntuado)
2.2.36 (L2) Asegúrese de que 'Iniciar sesión como trabajo por lotes' esté configurado como 'Administradores'
□ □
(Solo DC) (puntuado)
2.2.37 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en
'Administradores' y (cuando Exchange se ejecuta en □ □
entorno) 'Exchange Servers' (solo DC) (puntuado)
2.2.38 (L1) Asegúrese de que 'Administrar registro de auditoría y seguridad' esté configurado en
□ □
'Administradores' (solo MS) (puntuados)
2.2.39 (L1) Asegúrese de que 'Modificar una etiqueta de objeto' esté configurado como 'Nadie'
□ □
(Puntuado)
2.2.40 (L1) Asegúrese de que 'Modificar valores de entorno de firmware' esté configurado en
□ □
'Administradores' (puntuados)
2.2.41 (L1) Asegúrese de que 'Realizar tareas de mantenimiento de volumen' esté configurado en
□ □
'Administradores' (puntuados)
2.2.42 (L1) Asegúrese de que 'Proceso único de perfil' esté configurado como 'Administradores'
□ □
(Puntuado)
962 | Página
Página 964
Controlar Conjunto
Correctamente
sí No
2.2.43 (L1) Asegúrese de que 'Perfil de rendimiento del sistema' esté configurado en
□ □
'Administradores, NT SERVICE \ WdiServiceHost' (puntuado)
2.2.44 (L1) Asegúrese de que 'Reemplazar un token de nivel de proceso' esté configurado en 'LOCAL
□ □
SERVICIO, SERVICIO DE RED '(puntuado)
2.2.45 (L1) Asegúrese de que 'Restaurar archivos y directorios' esté configurado en
□ □
'Administradores' (puntuados)
2.2.46 (L1) Asegúrese de que 'Apagar el sistema' esté configurado en
□ □
'Administradores' (puntuados)
2.2.47 (L1) Asegúrese de que 'Sincronizar datos del servicio de directorio' esté configurado en 'No
□ □
One '(solo DC) (puntuado)
2.2.48 (L1) Asegúrese de que 'Tomar posesión de archivos u otros objetos' esté configurado
□ □
a 'Administradores' (puntuados)
2.3 Opciones de seguridad
2.3.1 Cuentas
2.3.1.1 (L1) Asegúrese de que 'Cuentas: estado de cuenta de administrador' esté configurado
□ □
a 'Deshabilitado' (solo MS) (puntuado)
2.3.1.2 (L1) Asegúrese de que 'Cuentas: Bloquear cuentas de Microsoft' esté configurado en
□ □
'Los usuarios no pueden agregar o iniciar sesión con cuentas de Microsoft' (puntuado)
2.3.1.3 (L1) Asegúrese de que 'Cuentas: estado de cuenta de invitado' esté configurado en
□ □
'Discapacitado' (solo MS) (puntuado)
2.3.1.4 (L1) Asegúrese de 'Cuentas: Limite el uso de cuentas locales de espacios en blanco
□ □
las contraseñas solo para el inicio de sesión de la consola 'se establece en' Habilitado '(puntuado)
2.3.1.5 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de administrador'
□ □
(Puntuado)
2.3.1.6 (L1) Configurar 'Cuentas: cambiar el nombre de la cuenta de invitado' (puntuado)□ □
2.3.2 Auditoría
2.3.2.1 (L1) Asegurar 'Auditoría: Forzar configuración de subcategoría de política de auditoría
(Windows Vista o posterior) para anular la categoría de política de auditoría □ □
settings 'está establecido en' Enabled '(puntuado)
2.3.2.2 (L1) Asegúrese de 'Auditoría: apague el sistema inmediatamente si no puede
□ □
para registrar auditorías de seguridad 'está configurado como' Desactivado '(puntuado)
2.3.3 DCOM
2.3.4 Dispositivos
https://translate.googleusercontent.com/translate_f 779/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
2.3.4.1 (L1) Asegúrese de que 'Dispositivos: se permita formatear y expulsar □ □
medios extraíbles 'se establece en' Administradores '(puntuados)
2.3.4.2 (L1) Asegúrese de 'Dispositivos: evite que los usuarios instalen la impresora
□ □
drivers 'está configurado en' Habilitado '(puntuado)
2.3.5 Controlador de dominio
2.3.5.1 (L1) Asegúrese de 'Controlador de dominio: Permitir que los operadores del servidor
□ □
programar tareas 'está configurado como' Desactivado '(solo DC) (puntuado)
963 | Página
Página 965
Controlar Conjunto
Correctamente
sí No
2.3.5.2 (L1) Asegúrese de 'Controlador de dominio: firma del servidor LDAP
□ □
requisitos 'se establece en' Requerir firma '(solo DC) (puntuado)
2.3.5.3 (L1) Asegúrese de 'Controlador de dominio: rechazar la cuenta de la máquina
□ □
cambios de contraseña 'está configurado como' Desactivado '(solo DC) (puntuado)
2.3.6 Miembro de dominio
2.3.6.1 (L1) Asegúrese de que 'Miembro del dominio: cifre o firme digitalmente
□ □
datos de canal seguro (siempre) 'se establece en' Habilitado '(puntuado)
2.3.6.2 (L1) Asegúrese de que 'Miembro del dominio: cifre digitalmente
□ □
datos del canal (cuando sea posible) 'se establece en' Habilitado '(puntuado)
2.3.6.3 (L1) Asegúrese de 'Miembro del dominio: firmar digitalmente un canal seguro
□ □
datos (cuando sea posible) 'se establece en' Habilitado '(puntuado)
2.3.6.4 (L1) Asegúrese de que 'Miembro del dominio: deshabilite la cuenta de la máquina
□ □
cambios de contraseña 'se establece en' Desactivado '(puntuado)
2.3.6.5 (L1) Asegúrese de 'Miembro de dominio: cuenta de máquina máxima
□ □
la antigüedad de la contraseña 'se establece en '30 días o menos, pero no en 0' (puntuado)
2.3.6.6 (L1) Asegúrese de que 'Miembro de dominio: requiera un fuerte (Windows
□ □
2000 o posterior) clave de sesión 'está configurada como' Habilitada '(puntuada)
2.3.7 Inicio de sesión interactivo
2.3.7.1 (L1) Asegúrese de 'Inicio de sesión interactivo: no requiere
□ □
CTRL + ALT + SUPR 'está configurado como' Desactivado '(puntuado)
2.3.7.2 (L1) Asegúrese de 'Inicio de sesión interactivo: no mostrar el último inicio de sesión'
□ □
está configurado en 'Habilitado' (puntuado)
2.3.7.3 (L1) Asegúrese de que 'Inicio de sesión interactivo: límite de inactividad de la máquina' sea
□ □
establecido en '900 o menos segundo (s), pero no 0' (puntuado)
2.3.7.4 (L1) Configurar 'Inicio de sesión interactivo: texto del mensaje para los usuarios
□ □
intentando iniciar sesión '(puntuado)
2.3.7.5 (L1) Configurar 'Inicio de sesión interactivo: título del mensaje para los usuarios
□ □
intentando iniciar sesión '(puntuado)
2.3.7.6 (L2) Asegúrese de 'Inicio de sesión interactivo: número de inicios de sesión anteriores
□
a la caché (en caso de que el controlador de dominio no esté disponible) 'se establece □ en
'4 inicios de sesión o menos' (solo MS) (puntuados)
2.3.7.7 (L1) Asegúrese de 'Inicio de sesión interactivo: solicitar al usuario que cambie
contraseña antes de la expiración 'se establece en' entre 5 y 14 □ □
días '(puntuados)
2.3.7.8 (L1) Asegúrese de 'Inicio de sesión interactivo: Requiere controlador de dominio
Autenticación para desbloquear la estación de trabajo 'está configurada como' □ Habilitada
□ '(MS
solamente) (puntuado)
2.3.7.9 (L1) Asegúrese de 'Inicio de sesión interactivo: extracción de la tarjeta inteligente
□ □
comportamiento 'está configurado en' Bloquear estación de trabajo 'o superior (puntuado)
2.3.8 Cliente de red de Microsoft
964 | Página
https://translate.googleusercontent.com/translate_f 780/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 966
Controlar Conjunto
Correctamente
sí No
2.3.8.1 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente
□ □
comunicaciones (siempre) 'está configurado como' Habilitado '(puntuado)
2.3.8.2 (L1) Asegúrese de que el cliente de red de Microsoft: firme digitalmente
comunicaciones (si el servidor está de acuerdo) 'está configurado como' Habilitado
□ '□
(Puntuado)
2.3.8.3 (L1) Asegúrese de que 'Cliente de red de Microsoft: envíe sin cifrar
la contraseña para servidores SMB de terceros 'está configurada como' Deshabilitada
□ □'
(Puntuado)
2.3.9 Servidor de red de Microsoft
2.3.9.1 (L1) Asegúrese de que el servidor de red de Microsoft: cantidad de tiempo de inactividad
obligatorio antes de suspender la sesión 'se establece en '15 o menos □ □
minuto (s) '(puntuados)
2.3.9.2 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente
□ □
comunicaciones (siempre) 'está configurado como' Habilitado '(puntuado)
2.3.9.3 (L1) Asegúrese de que el servidor de red de Microsoft: firme digitalmente
comunicaciones (si el cliente está de acuerdo) 'está configurado como' Habilitado
□ ' □
(Puntuado)
2.3.9.4 (L1) Asegúrese de que el servidor de red de Microsoft: desconecte los clientes
□ □
cuando expiren las horas de inicio de sesión 'se establece en' Habilitado '(puntuado)
2.3.9.5 (L1) Asegúrese de 'Servidor de red de Microsoft: destino SPN del servidor
nivel de validación de nombre 'se establece en' Aceptar si lo proporciona el cliente
□ '□
o superior (solo MS) (puntuado)
2.3.10 Acceso a la red
2.3.10.1 (L1) Asegúrese de 'Acceso a la red: Permitir SID / Nombre anónimos
□ □
traducción 'se establece en' Desactivado '(puntuado)
2.3.10.2 (L1) Asegúrese de 'Acceso a la red: no permita
enumeración de cuentas SAM 'se establece en' Habilitado '(solo MS) □ □
(Puntuado)
2.3.10.3 (L1) Asegúrese de 'Acceso a la red: no permita
enumeración de cuentas y recursos compartidos de SAM 'se establece en' Habilitado
□ □'
(Solo MS) (puntuado)
2.3.10.4 (L2) Asegúrese de 'Acceso a la red: no permita el almacenamiento de
contraseñas y credenciales para la autenticación de red 'está configurado □ □
a 'Habilitado' (puntuado)
2.3.10.5 (L1) Asegurar 'Acceso a la red: Permitir que todos los permisos
□ □
aplicar a usuarios anónimos 'está configurado como' Deshabilitado '(puntuado)
2.3.10.6 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que se pueden
□ □
accedido de forma anónima '(solo DC) (puntuado)
2.3.10.7 (L1) Configurar 'Acceso a la red: canalizaciones con nombre que se pueden
□ □
accedido de forma anónima '(solo MS) (puntuado)
965 | Página
Página 967
Controlar Conjunto
Correctamente
sí No
2.3.10.8 (L1) Configurar 'Acceso a la red: accesible de forma remota
□ □
rutas de registro '(puntuadas)
2.3.10.9 (L1) Configurar 'Acceso a la red: accesible de forma remota
□ □
rutas de registro y subrutas '(puntuadas)
2.3.10.10 (L1) Garantizar 'Acceso a la red: restringir el acceso anónimo a
https://translate.googleusercontent.com/translate_f 781/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Canalizaciones y recursos compartidos con nombre 'está configurado como' □ Habilitado
□ '(puntuado)
2.3.10.11 (L1) Garantizar 'Acceso a la red: Restrinja a los clientes autorizados a
realizar llamadas remotas a SAM 'está configurado en' Administradores: Remoto □ □
Acceso: Permitir '(solo MS) (puntuado)
2.3.10.12 (L1) Asegúrese de 'Acceso a la red: recursos compartidos a los que se puede acceder
□ □
anónimamente 'se establece en' Ninguno '(puntuado)
2.3.10.13 (L1) Garantizar 'Acceso a la red: modelo de seguridad y uso compartido
para cuentas locales 'se establece en' Clásico: los usuarios locales se autentican
□ □
como ellos mismos '(puntuados)
2.3.11 Seguridad de la red
2.3.11.1 (L1) Garantizar la seguridad de la red: permitir que el sistema local utilice
□ □
la identidad de la computadora para NTLM 'se establece en' Habilitado '(puntuado)
2.3.11.2 (L1) Asegúrese de 'Seguridad de la red: Permitir LocalSystem NULL
□ □
el respaldo de la sesión 'está configurado como' Desactivado '(puntuado)
2.3.11.3 (L1) Asegúrese de 'Seguridad de red: Permita la autenticación PKU2U
solicitudes a esta computadora para usar identidades en línea 'se establece en□ □
'Discapacitado' (puntuado)
2.3.11.4 (L1) Asegúrese de 'Seguridad de red: configure los tipos de cifrado
permitido para Kerberos 'se establece en' AES128_HMAC_SHA1, □ □
AES256_HMAC_SHA1, tipos de cifrado futuros '(puntuados)
2.3.11.5 (L1) Asegúrese de 'Seguridad de red: no almacene LAN Manager
valor hash en el próximo cambio de contraseña 'se establece en' Habilitado ' □ □
(Puntuado)
2.3.11.6 (L1) Garantizar 'Seguridad de red: Forzar cierre de sesión al iniciar sesión
□ □
las horas caducan 'se establece en' Habilitado '(sin puntuación)
2.3.11.7 (L1) Asegúrese de 'Seguridad de red: autenticación de LAN Manager
level 'se establece en' Enviar solo respuesta NTLMv2. Rechazar LM & □ □
NTLM '(puntuado)
2.3.11.8 (L1) Garantizar la seguridad de la red: firma del cliente LDAP
□ □
requisitos 'se establece en' Negociar firma 'o superior (puntuado)
2.3.11.9 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión
para clientes basados en NTLM SSP (incluido RPC seguro) 'está configurado en
□ □
'Requiere seguridad de sesión NTLMv2, requiere 128 bits
cifrado '(puntuado)
966 | Página
Página 968
Controlar Conjunto
Correctamente
sí No
2.3.11.10 (L1) Garantizar 'Seguridad de red: seguridad mínima de sesión
para servidores basados en NTLM SSP (incluido RPC seguro) 'está configurado en
□ □
'Requiere seguridad de sesión NTLMv2, requiere 128 bits
cifrado '(puntuado)
2.3.12 Consola de recuperación
2.3.13 Apagar
2.3.13.1 (L1) Asegúrese de 'Apagar: Permita que el sistema se apague
□ □
sin tener que iniciar sesión 'está configurado como' Desactivado '(puntuado)
2.3.14 Criptografía del sistema
2.3.15 Objetos del sistema
2.3.15.1 (L1) Asegúrese de que 'Objetos del sistema: requiera no diferenciar mayúsculas y minúsculas para
□ □
subsistemas que no son de Windows 'se establece en' Habilitado '(puntuado)
2.3.15.2 (L1) Asegúrese de 'Objetos del sistema: fortalezca los permisos predeterminados
de objetos internos del sistema (por ejemplo, enlaces simbólicos) 'se establece
□ en □
'Habilitado' (puntuado)
2.3.16 Ajustes del sistema
2.3.17 Control de cuentas del usuario
2.3.17.1 (L1) Asegúrese de 'Control de cuentas de usuario: Modo de aprobación de administrador
https://translate.googleusercontent.com/translate_f 782/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
para la cuenta de administrador integrada 'está configurado como' Habilitado□' □
(Puntuado)
2.3.17.2 (L1) Garantizar el 'Control de cuentas de usuario: comportamiento del
solicitud de elevación para administradores en Aprobación de administrador
□ □
Mode 'está configurado en' Solicitar consentimiento en el escritorio seguro '
(Puntuado)
2.3.17.3 (L1) Garantizar el 'Control de cuentas de usuario: comportamiento del
solicitud de elevación para usuarios estándar 'se establece en' Automáticamente
□ □
denegar solicitudes de elevación '(puntuado)
2.3.17.4 (L1) Asegúrese de 'Control de cuentas de usuario: Detectar aplicación
instalaciones y solicitud de elevación 'se establece en' Habilitado ' □ □
(Puntuado)
2.3.17.5 (L1) Asegúrese de 'Control de cuentas de usuario: solo eleve UIAccess
□
aplicaciones que están instaladas en ubicaciones seguras 'está configurado para □
'Habilitado' (puntuado)
2.3.17.6 (L1) Asegúrese de 'Control de cuentas de usuario: ejecute todos los administradores en
□ □
Modo de aprobación de administrador 'está configurado como' Habilitado '(puntuado)
2.3.17.7 (L1) Asegúrese de 'Control de cuentas de usuario: cambie a la
escritorio cuando se solicita elevación 'está configurado en' Habilitado ' □ □
(Puntuado)
2.3.17.8 (L1) Asegúrese de 'Control de cuentas de usuario: virtualizar archivo y
errores de escritura del registro en ubicaciones por usuario 'se establece en □ □
'Habilitado' (puntuado)
967 | Página
Página 969
Controlar Conjunto
Correctamente
sí No
3 Registro de eventos
4 Grupos restringidos
5 Servicios del sistema
6 Registro
7 Sistema de archivos
8 Políticas de red cableada (IEEE 802.3)
9 Firewall de Windows con seguridad avanzada
9.1 Perfil de dominio
9.1.1 (L1) Asegúrese de que 'Firewall de Windows: Dominio: estado del firewall' sea
□ □
establecido en 'Activado (recomendado)' (puntuado)
9.1.2 (L1) Asegúrese de 'Firewall de Windows: Dominio: Entrante
□ □
conexiones 'está configurado en' Bloquear (predeterminado) '(puntuado)
9.1.3 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Saliente
□ □
conexiones 'está configurado en' Permitir (predeterminado) '(puntuado)
9.1.4 (L1) Asegúrese de 'Firewall de Windows: Dominio: Configuración: Mostrar un
□ □
notificación 'se establece en' No '(puntuado)
9.1.5 (L1) Asegúrese de que 'Firewall de Windows: Dominio: Registro: Nombre' esté
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ domainfw.log'
(Puntuado)
9.1.6 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Límite de tamaño
□ □
(KB) 'se establece en '16, 384 KB o superior' (puntuado)
9.1.7 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro
□ □
paquetes descartados 'se establece en' Sí '(puntuado)
9.1.8 (L1) Asegúrese de 'Firewall de Windows: Dominio: Registro: Registro
□ □
conexiones correctas 'se establece en' Sí '(puntuado)
9.2 Perfil privado
9.2.1 (L1) Asegúrese de que 'Firewall de Windows: Privado: estado del firewall' sea
□ □
establecido en 'Activado (recomendado)' (puntuado)
9.2.2 (L1) Asegúrese de que 'Firewall de Windows: privado: entrante
□ □
https://translate.googleusercontent.com/translate_f 783/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
conexiones 'está configurado en' Bloquear (predeterminado) '(puntuado)
9.2.3 (L1) Asegúrese de que 'Firewall de Windows: Privado: Saliente
□ □
conexiones 'está configurado en' Permitir (predeterminado) '(puntuado)
9.2.4 (L1) Asegúrese de 'Firewall de Windows: Privado: Configuración: Mostrar un
□ □
notificación 'se establece en' No '(puntuado)
9.2.5 (L1) Asegúrese de que 'Firewall de Windows: Privado: Registro: Nombre' esté
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ privatefw.log'
(Puntuado)
9.2.6 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: límite de tamaño
□ □
(KB) 'se establece en '16, 384 KB o superior' (puntuado)
968 | Página
Página 970
Controlar Conjunto
Correctamente
sí No
9.2.7 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: Registro
□ □
paquetes descartados 'se establece en' Sí '(puntuado)
9.2.8 (L1) Asegúrese de 'Firewall de Windows: Privado: Registro: Registro
□ □
conexiones correctas 'se establece en' Sí '(puntuado)
9.3 Perfil público
9.3.1 (L1) Asegúrese de que 'Firewall de Windows: Público: estado del firewall' esté configurado
□ □
a 'Activado (recomendado)' (puntuado)
9.3.2 (L1) Asegúrese de que 'Firewall de Windows: público: entrante
□ □
conexiones 'está configurado en' Bloquear (predeterminado) '(puntuado)
9.3.3 (L1) Asegúrese de que 'Firewall de Windows: público: saliente
□ □
conexiones 'está configurado en' Permitir (predeterminado) '(puntuado)
9.3.4 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Mostrar un
□ □
notificación 'se establece en' No '(puntuado)
9.3.5 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar local
□ □
reglas de firewall 'se establece en' No '(puntuado)
9.3.6 (L1) Asegúrese de 'Firewall de Windows: Público: Configuración: Aplicar local
□ □
reglas de seguridad de conexión 'se establece en' No '(puntuado)
9.3.7 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Nombre' sea
ajustado a
□ □
'% SystemRoot% \ System32 \ logfiles \ firewall \ publicfw.log'
(Puntuado)
9.3.8 (L1) Asegúrese de 'Firewall de Windows: Público: Registro: límite de tamaño
□ □
(KB) 'se establece en '16, 384 KB o superior' (puntuado)
9.3.9 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro
□ □
paquetes descartados 'se establece en' Sí '(puntuado)
9.3.10 (L1) Asegúrese de que 'Firewall de Windows: Público: Registro: Registro
□ □
conexiones correctas 'se establece en' Sí '(puntuado)
10 Políticas de Network List Manager
11 Políticas de red inalámbrica (IEEE 802.11)
12 Políticas de clave pública
13 Políticas de restricción de software
14 Configuración del cliente NAP de protección de acceso a la red
15 Políticas de control de aplicaciones
dieciséis Políticas de seguridad IP
17 Configuración avanzada de políticas de auditoría
17.1 Inicio de sesión de cuenta
17.1.1 (L1) Asegúrese de que 'Validación de credenciales de auditoría' esté configurado en 'Éxito
□ □
and Failure '(puntuado)
17.1.2 (L1) Asegúrese de que 'Auditar el servicio de autenticación Kerberos' esté configurado en
□ □
'Éxito y fracaso' (solo DC) (puntuado)
969 | Página
https://translate.googleusercontent.com/translate_f 784/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 971
Controlar Conjunto
Correctamente
sí No
17.1.3 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté
□ □
establecido en 'Éxito y fracaso' (solo DC) (puntuado)
17.2 Administración de cuentas
17.2.1 (L1) Asegúrese de que 'Audit Application Group Management' esté configurado en
□ □
'Éxito y fracaso' (puntuado)
17.2.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté configurado en
□ □
incluir 'Éxito' (solo DC) (puntuado)
17.2.3 (L1) Asegúrese de que 'Auditar la gestión del grupo de distribución' esté configurado en
□ □
incluir 'Éxito' (solo DC) (puntuado)
17.2.4 (L1) Asegúrese de que 'Auditar otros eventos de administración de cuentas' esté configurado
□ □
para incluir 'Éxito' (solo DC) (puntuado)
17.2.5 (L1) Asegúrese de que 'Auditar la administración del grupo de seguridad' esté configurado en
□ □
incluir 'Éxito' (puntuado)
17.2.6 (L1) Asegúrese de que 'Auditar administración de cuentas de usuario' esté configurado en
□ □
'Éxito y fracaso' (puntuado)
17.3 Seguimiento detallado
17.3.1 (L1) Asegúrese de que 'Auditar actividad PNP' esté configurado para incluir 'Éxito'
□ □
(Puntuado)
17.3.2 (L1) Asegúrese de que 'Creación del proceso de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17,4 Acceso DS
17.4.1 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado para incluir
□ □
'Fallo' (solo DC) (puntuado)
17.4.2 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado en
□ □
incluir 'Éxito' (solo DC) (puntuado)
17,5 Iniciar sesión / Cerrar sesión
17.5.1 (L1) Asegúrese de que 'Auditar bloqueo de cuenta' esté configurado para incluir
□ □
'Fracaso' (puntuado)
17.5.2 (L1) Asegúrese de que 'Membresía del grupo de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.5.3 □
(L1) Asegúrese de que 'Cierre de sesión de auditoría' esté configurado para incluir 'Éxito' (puntuado) □
17.5.4 (L1) Asegúrese de que 'Audit Logon' esté configurado en 'Success and Failure'
□ □
(Puntuado)
17.5.5 (L1) Asegúrese de que 'Auditar otros eventos de inicio / cierre de sesión' esté configurado en
□ □
'Éxito y fracaso' (puntuado)
17.5.6 (L1) Asegúrese de que 'Auditar inicio de sesión especial' esté configurado para incluir 'Éxito'
□ □
(Puntuado)
17,6 Acceso a objetos
17.6.1 (L1) Asegúrese de que 'Auditar recurso compartido de archivos detallado' esté configurado para incluir
□ □
'Fracaso' (puntuado)
970 | Página
Página 972
Controlar Conjunto
Correctamente
sí No
17.6.2 (L1) Asegúrese de que 'Auditar archivo compartido' esté configurado en 'Éxito y fracaso'
□ □
(Puntuado)
https://translate.googleusercontent.com/translate_f 785/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
17.6.3 (L1) Asegúrese de que 'Auditar otros eventos de acceso a objetos' esté configurado
□ en
□
'Éxito y fracaso' (puntuado)
17.6.4 (L1) Asegúrese de que 'Auditar almacenamiento extraíble' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
17,7 Cambio de política
17.7.1 (L1) Asegúrese de que 'Auditar cambio de política de auditoría' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.7.2 (L1) Asegúrese de que 'Auditar cambio de política de autenticación' esté configurado en
□ □
incluir 'Éxito' (puntuado)
17.7.3 (L1) Asegúrese de que 'Cambio de política de autorización de auditoría' esté configurado en
□ □
incluir 'Éxito' (puntuado)
17.7.4 (L1) Asegúrese de que 'Auditar cambio de política de nivel de regla MPSSVC' esté configurado
□ □
a 'Éxito y fracaso' (puntuado)
17.7.5 (L1) Asegúrese de que 'Auditar otros eventos de cambio de política' esté configurado en
□ □
incluir 'Fallo' (puntuado)
17,8 Uso de privilegios
17.8.1 (L1) Asegúrese de que 'Auditar uso de privilegios sensibles' esté configurado en 'Éxito
□ □
and Failure '(puntuado)
17,9 Sistema
17.9.1 (L1) Asegúrese de que 'Auditar controlador IPsec' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
17.9.2 (L1) Asegúrese de que 'Auditar otros eventos del sistema' esté configurado en 'Éxito
□ □
and Failure '(puntuado)
17.9.3 (L1) Asegúrese de que 'Auditar cambio de estado de seguridad' esté configurado para incluir
□ □
'Éxito' (puntuado)
17.9.4 (L1) Asegúrese de que 'Auditar extensión del sistema de seguridad' esté configurado en
□ □
incluir 'Éxito' (puntuado)
17.9.5 (L1) Asegúrese de que 'Auditar integridad del sistema' esté configurado en 'Éxito y
□ □
Fracaso '(puntuado)
18 Plantillas administrativas (computadora)
18,1 Panel de control
18.1.1 Personalización
18.1.1.1 (L1) Asegúrese de que 'Evitar la activación de la cámara de pantalla de bloqueo' esté configurado en
□ □
'Habilitado' (puntuado)
18.1.1.2 (L1) Asegúrese de que esté configurado "Impedir que se habilite la presentación de diapositivas en la pantalla de bloqueo"
□ □
a 'Habilitado' (puntuado)
18.1.2 Configuración regional y de idioma
18.1.2.1 Personalización de escritura a mano
971 | Página
Página 973
Controlar Conjunto
Correctamente
sí No
18.1.2.2 (L1) Asegúrese de que 'Permitir a los usuarios habilitar el habla en línea
□ □
servicios de reconocimiento 'está configurado como' Desactivado '(puntuado)
18.1.3 (L2) Asegúrese de que 'Permitir sugerencias en línea' esté configurado como□'Deshabilitado'
□ (puntuado)
18,2 VUELTAS
18.2.1 (L1) Asegúrese de que LAPS AdmPwd GPO Extension / CSE esté instalado
□ □
(Solo MS) (puntuado)
18.2.2 (L1) Asegúrese de que 'No permita que el tiempo de caducidad de la contraseña sea mayor
de lo requerido por la política 'se establece en' Habilitado '(solo MS) □ □
(Puntuado)
18.2.3 (L1) Asegúrese de que 'Habilitar administración de contraseñas de administrador local' esté
□ □
establecido en 'Habilitado' (solo MS) (puntuado)
18.2.4 (L1) Asegúrese de que 'Configuración de contraseña: complejidad de contraseña' esté establecida
a 'Habilitado: letras grandes + letras pequeñas + números + especial □ □
caracteres '(solo MS) (puntuados)
18.2.5 (L1) Asegúrese de que 'Configuración de contraseña: Longitud de contraseña' esté
https://translate.googleusercontent.com/translate_f 786/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
'Habilitado: 15 o más' (solo MS) (puntuado) □ □
18.2.6 (L1) Asegúrese de que 'Configuración de contraseña: Antigüedad de la contraseña (días)' esté establecida
□ □
a 'Habilitado: 30 o menos' (solo MS) (puntuado)
18,3 Guía de seguridad de MS
18.3.1 (L1) Asegúrese de 'Aplicar restricciones de UAC a cuentas locales en
□ □
inicios de sesión de red 'está configurado como' Habilitado '(solo MS) (puntuado)
18.3.2 (L1) Asegúrese de que 'Configurar controlador de cliente SMB v1' esté configurado en
□ □
'Habilitado: deshabilitar el controlador (recomendado)' (puntuado)
18.3.3 (L1) Asegúrese de que 'Configurar servidor SMB v1' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.3.4 (L1) Asegúrese de 'Habilitar el manejo de excepciones estructurado
□ □
Protección de sobrescritura (SEHOP) 'está configurada como' Habilitada '(puntuada)
18.3.5 (L1) Garantizar la protección ampliada para la autenticación LDAP
(Solo controladores de dominio) 'está configurado como' Habilitado: Habilitado,
□ □
siempre (recomendado) '(solo DC) (puntuado)
18.3.6 (L1) Asegúrese de que 'NetBT NodeType configuration' esté establecido en
□ □
'Habilitado: nodo P (recomendado)' (puntuado)
18.3.7 (L1) Asegúrese de que 'WDigest Authentication' esté configurado en 'Disabled'
□ □
(Puntuado)
18,4 MSS (heredado)
18.4.1 (L1) Asegúrese de 'MSS: (AutoAdminLogon) Habilitar automático
□ □
Inicio de sesión (no recomendado) 'está configurado como' Desactivado '(puntuado)
18.4.2 (L1) Asegúrese de 'MSS: (Deshabilitar IPv6 de enrutamiento de fuente) Fuente IP
nivel de protección de enrutamiento (protege contra la suplantación de paquetes) '
□ □
está configurado en 'Habilitado: la protección más alta, el enrutamiento de origen es
completamente discapacitado '(puntuado)
972 | Página
Página 974
Controlar Conjunto
Correctamente
sí No
18.4.3 (L1) Asegúrese de que 'MSS: (DisableIPSourceRouting) IP source
nivel de protección de enrutamiento (protege contra la suplantación de paquetes) '
□ □
está configurado en 'Habilitado: la protección más alta, el enrutamiento de origen es
completamente discapacitado '(puntuado)
18.4.4 (L1) Asegúrese de 'MSS: (Habilitar ICMPRedirect) Permitir ICMP
redirecciona para anular las rutas generadas por OSPF 'se establece en □ □
'Discapacitado' (puntuado)
18.4.5 (L2) Asegúrese de 'MSS: (KeepAliveTime) Con qué frecuencia Keep-Alive
los paquetes se envían en milisegundos 'se establece en' Habilitado: 300.000□ □
o 5 minutos (recomendado) '(puntuado)
18.4.6 (L1) Asegúrese de 'MSS: (NoNameReleaseOnDemand) Permitir
computadora para ignorar las solicitudes de liberación de nombre NetBIOS excepto
□ □
de los servidores WINS 'está configurado como' Habilitado '(puntuado)
18.4.7 (L2) Asegúrese de que 'MSS: (PerformRouterDiscovery) Permitir que IRDP
detectar y configurar direcciones de puerta de enlace predeterminadas (podría□ conducir
□
to DoS) 'está configurado como' Desactivado '(puntuado)
18.4.8 (L1) Asegúrese de que 'MSS: (SafeDllSearchMode) Habilite la DLL segura
□ □
modo de búsqueda (recomendado) 'está configurado como' Habilitado '(puntuado)
18.4.9 (L1) Asegúrese de 'MSS: (ScreenSaverGracePeriod) El tiempo en
segundos antes de que expire el período de gracia del protector de pantalla (0
□ □
recomendado) 'está configurado en' Habilitado: 5 segundos o menos '
(Puntuado)
18.4.10 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions IPv6) Cómo
muchas veces se retransmiten datos no reconocidos 'se establece en □ □
'Habilitado: 3' (puntuado)
18.4.11 (L2) Asegúrese de 'MSS: (TcpMaxDataRetransmissions) Cómo
muchas veces se retransmiten datos no reconocidos 'se establece en □ □
'Habilitado: 3' (puntuado)
https://translate.googleusercontent.com/translate_f 787/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.4.12 (L1) Asegúrese de 'MSS: (Nivel de advertencia) Umbral de porcentaje para
el registro de eventos de seguridad en el que el sistema generará un □ □
advertencia 'se establece en' Habilitado: 90% o menos '(puntuado)
18,5 Red
18.5.1 Servicio de transferencia inteligente en segundo plano (BITS)
18.5.2 BranchCache
18.5.3 Configuración de la experiencia del cliente de DirectAccess
18.5.4 Cliente DNS
18.5.4.1 (L1) Asegúrese de que 'Desactivar resolución de nombre de multidifusión' esté configurado en
□ □
'Habilitado' (puntuado)
18.5.5 Fuentes
18.5.5.1 (L2) Asegúrese de que 'Habilitar proveedores de fuentes' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
973 | Página
Página 975
Controlar Conjunto
Correctamente
sí No
18.5.6 Autenticación de hotspot
18.5.7 Servidor Lanman
18.5.8 Estación de trabajo Lanman
18.5.8.1 (L1) Asegúrese de que 'Habilitar inicios de sesión de invitados no seguros' esté configurado en
□ □
'Discapacitado' (puntuado)
18.5.9 Descubrimiento de topología de capa de enlace
18.5.9.1 (L2) Asegúrese de que 'Activar controlador Mapper I / O (LLTDIO)' esté configurado en
□ □
'Discapacitado' (puntuado)
18.5.9.2 (L2) Asegúrese de que 'Activar controlador de respuesta (RSPNDR)' esté configurado en
□ □
'Discapacitado' (puntuado)
18.5.10 Servicios de red punto a punto de Microsoft
18.5.10.1 Protocolo de resolución de nombres de pares
18.5.10.2 (L2) Asegúrese de 'Desactivar la red punto a punto de Microsoft
□ □
Servicios 'está configurado como' Habilitado '(puntuado)
18.5.11 Conexiones de red
18.5.11.1 Firewall de Windows Defender (anteriormente Firewall de Windows)
18.5.11.2 (L1) Asegúrese de 'Prohibir la instalación y configuración de
Puente de red en su red de dominio DNS 'está configurado en □ □
'Habilitado' (puntuado)
18.5.11.3 (L1) Garantizar 'Prohibir el uso de conexión compartida a Internet en
□ □
su red de dominio DNS 'está configurada como' Habilitada '(puntuada)
18.5.11.4 (L1) Asegúrese de 'Requerir que los usuarios de dominio eleven al configurar un
□ □
la ubicación de la red 'está establecida en' Habilitada '(puntuada)
18.5.12 Indicador de estado de conectividad de red
18.5.13 Aislamiento de red
18.5.14 Proveedor de red
18.5.14.1 (L1) Asegúrese de que 'Rutas UNC reforzadas' esté configurado en 'Habilitado, con
Conjunto "Requerir autenticación mutua" y "Requerir integridad" □ □
para todos los recursos compartidos de NETLOGON y SYSVOL '(puntuados)
18.5.15 Archivos sin conexión
18.5.16 agendador de paquetes de QoS
18.5.17 SNMP
18.5.18 Ajustes de configuración SSL
18.5.19 Configuración de TCPIP
18.5.19.1 Tecnologías de transición IPv6
18.5.19.2 Parámetros
18.5.19.2.1 (L2) Deshabilite IPv6 (asegúrese de que el parámetro TCPIP6
□ □
'DisabledComponents' se establece en '0xff (255)') (puntuado)
18.5.20 Windows Connect Now
https://translate.googleusercontent.com/translate_f 788/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
974 | Página
Página 976
Controlar Conjunto
Correctamente
sí No
18.5.20.1 (L2) Asegúrese de 'Configuración de la configuración inalámbrica mediante
□ □
Windows Connect Now 'está configurado como' Deshabilitado '(puntuado)
18.5.20.2 (L2) Asegúrese de 'Prohibir el acceso a Windows Connect Now
□ □
wizards 'está configurado como' Habilitado '(puntuado)
18.5.21 Administrador de conexiones de Windows
18.5.21.1 (L1) Asegúrese de 'Minimizar el número de
conexiones a Internet o un dominio de Windows 'está configurado en □ □
'Habilitado: 3 = Evitar Wi-Fi cuando está en Ethernet' (puntuado)
18.5.21.2 (L2) Asegúrese de 'Prohibir la conexión a redes que no sean de dominio
cuando está conectado a una red autenticada de dominio 'se establece en □ □
'Habilitado' (solo MS) (puntuado)
18,6 Impresoras
18,7 Menú de inicio y barra de tareas
18.7.1 Notificaciones
18.7.1.1 (L2) Asegúrese de que 'Desactivar el uso de la red de notificaciones' esté configurado en
□ □
'Habilitado' (puntuado)
18,8 Sistema
18.8.1 Asistencia de acceso denegado
18.8.2 App-V
18.8.3 Creación de procesos de auditoría
18.8.3.1 (L1) Asegúrese de 'Incluir línea de comando en la creación del proceso
□ □
events 'está configurado como' Disabled '(puntuado)
18.8.4 Delegación de Credenciales
18.8.4.1 (L1) Asegúrese de que 'Encryption Oracle Remediation' esté configurado en
□ □
'Habilitado: Forzar clientes actualizados' (puntuados)
18.8.4.2 (L1) Asegúrese de que 'El host remoto permite la delegación de
□ □
credenciales exportables 'se establece en' Habilitado '(puntuado)
18.8.5 Guardia del dispositivo
18.8.5.1 (NG) Asegúrese de que 'Activar seguridad basada en virtualización' esté configurado en
□ □
'Habilitado' (puntuado)
18.8.5.2 (NG) Asegúrese de 'Activar seguridad basada en virtualización: seleccione
Nivel de seguridad de la plataforma 'está configurado en' Arranque seguro y □DMA □
Protección '(puntuado)
18.8.5.3 (NG) Asegúrese de 'Activar la seguridad basada en virtualización:
Protección basada en virtualización de la integridad del código 'se establece □
en □
'Habilitado con bloqueo UEFI' (puntuado)
18.8.5.4 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: Requerir
La tabla de atributos de memoria UEFI 'se establece en' Verdadero (marcado)□ ' □
(Puntuado)
975 | Página
Página 977
Controlar Conjunto
Correctamente
https://translate.googleusercontent.com/translate_f 789/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
sí No
18.8.5.5 (NG) Asegúrese de 'Activar la seguridad basada en virtualización:
Configuración de Credential Guard 'está configurada como' Habilitada con UEFI □ □
lock '(solo MS) (puntuado)
18.8.5.6 (NG) Asegúrese de 'Activar la seguridad basada en virtualización:
Configuración de Credential Guard 'se establece en' Desactivado '(DC □ □
Solo) (puntuado)
18.8.5.7 (NG) Asegúrese de 'Activar la seguridad basada en virtualización: segura
□ □
Launch Configuration 'está configurado como' Enabled '(puntuado)
18.8.6 Servicio de atestación de estado del dispositivo
18.8.7 Instalación del dispositivo
18.8.7.1 Restricciones de instalación del dispositivo
18.8.8 Redirección de dispositivos
18.8.9 Caché NV de disco
18.8.10 Cuotas de disco
18.8.11 Monitor
18.8.12 COM distribuido
18.8.13 Instalación del controlador
18.8.14 Antimalware de lanzamiento temprano
18.8.14.1 (L1) Asegúrese de que 'Boot-Start Driver Initialization Policy' esté configurado en
□ □
'Habilitado: bueno, desconocido y malo pero crítico' (puntuado)
18.8.15 Acceso de almacenamiento mejorado
18.8.16 Infraestructura de clasificación de archivos
18.8.17 Agente de instantáneas de archivos compartidos
18.8.18 Proveedor de instantáneas de archivos compartidos
18.8.19 Sistema de archivos (anteriormente sistema de archivos NTFS)
18.8.20 Redirección de carpetas
18.8.21 Política de grupo
18.8.21.1 Registro y seguimiento
18.8.21.2 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: no
aplicar durante el procesamiento en segundo plano periódico 'se establece en□ □
'Habilitado: FALSO' (puntuado)
18.8.21.3 (L1) Asegúrese de 'Configurar el procesamiento de la política de registro: proceso
incluso si los objetos de la directiva de grupo no han cambiado 'se establece □
en □
'Habilitado: VERDADERO' (puntuado)
18.8.21.4 (L1) Asegúrese de que 'Continuar experiencias en este dispositivo' esté configurado en
□ □
'Discapacitado' (puntuado)
18.8.21.5 (L1) Asegúrese de que 'Desactivar la actualización en segundo plano de la directiva de grupo' esté
□ □
establecido en 'Deshabilitado' (puntuado)
18.8.22 Gestión de la comunicación por Internet
18.8.22.1 Configuración de comunicación de Internet
976 | Página
Página 978
Controlar Conjunto
Correctamente
sí No
18.8.22.1.1 (L1) Asegúrese de 'Desactivar la descarga de controladores de impresión
□ □
HTTP 'está configurado como' Habilitado '(puntuado)
18.8.22.1.2 (L2) Asegúrese de 'Desactivar los datos de personalización de escritura a mano
□ □
compartir 'está configurado como' Habilitado '(puntuado)
18.8.22.1.3 (L2) Asegúrese de 'Desactivar el error de reconocimiento de escritura a mano
□ □
informes 'está configurado como' Habilitado '(puntuado)
18.8.22.1.4 (L2) Asegúrese de 'Desactivar el asistente de conexión a Internet si la URL
la conexión se refiere a Microsoft.com 'está configurado en' Habilitado ' □ □
(Puntuado)
18.8.22.1.5 (L1) Asegúrese de 'Desactivar la descarga de Internet para la publicación web
□ □
y asistentes de pedidos en línea 'está configurado en' Habilitado '(puntuado)
18.8.22.1.6 (L2) Asegúrese de que 'Desactivar la impresión a través de HTTP' esté configurado como 'Activado'
□ □
https://translate.googleusercontent.com/translate_f 790/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
(Puntuado)
18.8.22.1.7 (L2) Asegúrese de 'Desactivar registro si la conexión URL es
□ □
referirse a Microsoft.com 'está configurado como' Habilitado '(puntuado)
18.8.22.1.8 (L2) Asegúrese de 'Desactivar el archivo de contenido de Search Companion
□ □
actualizaciones 'está configurado en' Habilitado '(puntuado)
18.8.22.1.9 (L2) Asegúrese de que esté configurada la opción 'Desactivar la tarea de imagen "Solicitar impresiones"
□ □
a 'Habilitado' (puntuado)
18.8.22.1.10 (L2) Asegúrese de "Desactivar la tarea" Publicar en la Web "para archivos y
□ □
carpetas 'está configurado en' Habilitado '(puntuado)
18.8.22.1.11 (L2) Asegúrese de 'Apagar Windows Messenger Customer
Programa de mejora de la experiencia 'está configurado como' Habilitado ' □ □
(Puntuado)
18.8.22.1.12 (L2) Asegúrese de 'Desactivar la experiencia del cliente de Windows
□ □
Programa de mejora 'está configurado como' Habilitado '(puntuado)
18.8.22.1.13 (L2) Asegúrese de que 'Desactivar informe de errores de Windows' esté configurado en
□ □
'Habilitado' (puntuado)
18.8.23 iSCSI
18.8.24 KDC
18.8.25 Kerberos
18.8.25.1 (L2) Asegúrese de 'Admitir autenticación de dispositivo mediante certificado'
□ □
está configurado en 'Habilitado: Automático' (puntuado)
18.8.26 Protección de Kernel DMA
18.8.26.1 (L1) Garantizar la política de enumeración para dispositivos externos
incompatible con Kernel DMA Protection 'se establece en' Habilitado: □ □
Bloquear todo '(puntuado)
18.8.27 Servicios locales
18.8.27.1 (L2) Asegúrese de 'No permitir la copia de métodos de entrada de usuario al
□ □
cuenta del sistema para iniciar sesión 'está configurada como' Habilitada '(puntuada)
18.8.28 Iniciar sesión
977 | Página
Página 979
Controlar Conjunto
Correctamente
sí No
18.8.28.1 (L1) Asegúrese de 'Bloquear al usuario para que no muestre detalles de la cuenta en
□ □
inicio de sesión 'está configurado en' Habilitado '(puntuado)
18.8.28.2 (L1) Asegúrese de que 'No mostrar la interfaz de usuario de selección de red' esté configurado en
□ □
'Habilitado' (puntuado)
18.8.28.3 (L1) Asegúrese de que 'No enumere los usuarios conectados en el dominio-
□ □
equipos unidos 'está configurado como' Habilitado '(puntuado)
18.8.28.4 (L1) Asegúrese de 'Enumerar usuarios locales en dominios unidos
□ □
computadoras 'está configurado como' Desactivado '(solo MS) (puntuado)
18.8.28.5 (L1) Asegúrese de que 'Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo' esté
□ □
establecido en 'Habilitado' (puntuado)
18.8.28.6 (L1) Asegúrese de que 'Desactivar el inicio de sesión con contraseña de imagen' esté configurado en
□ □
'Habilitado' (puntuado)
18.8.28.7 (L1) Asegúrese de que 'Activar inicio de sesión con PIN de conveniencia' esté configurado en
□ □
'Discapacitado' (puntuado)
18.8.29 Opciones de mitigación
18.8.30 Inicio de sesión neto
18.8.31 Políticas de SO
18.8.31.1 (L2) Asegúrese de 'Permitir la sincronización del portapapeles en
□ □
dispositivos 'está configurado como' Desactivado '(puntuado)
18.8.31.2 (L2) Asegúrese de que 'Permitir la carga de actividades del usuario' esté configurado en
□ □
'Discapacitado' (puntuado)
18.8.32 Panel de control de rendimiento
18.8.33 Complejidad del PIN
18.8.34 Gestión de energía
18.8.34.1 Configuración de botones
https://translate.googleusercontent.com/translate_f 791/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.8.34.2 Configuración de ahorro de energía
18.8.34.3 Configuración del disco duro
18.8.34.4 Configuración de las notificaciones
18.8.34.5 Configuración de regulación de potencia
18.8.34.6 Configuración de sueño
18.8.34.6.1 (L2) Asegúrese de 'Permitir la conectividad de red durante la conexión
□ □
en espera (con batería) 'está configurado como' Desactivado '(puntuado)
18.8.34.6.2 (L2) Asegúrese de 'Permitir la conectividad de red durante la conexión
□ □
standby (enchufado) 'está configurado como' Desactivado '(puntuado)
18.8.34.6.3 (L1) Asegúrese de 'Solicitar una contraseña cuando se active una computadora
□ □
(con batería) 'está configurado como' Habilitado '(puntuado)
18.8.34.6.4 (L1) Asegúrese de 'Solicitar una contraseña cuando se active una computadora
□ □
(enchufado) 'está configurado como' Habilitado '(puntuado)
18.8.35 Recuperación
18.8.36 Asistencia remota
978 | Página
Página 980
Controlar Conjunto
Correctamente
sí No
18.8.36.1 (L1) Asegúrese de que 'Configurar oferta de asistencia remota' esté configurado en
□ □
'Discapacitado' (puntuado)
18.8.36.2 (L1) Asegúrese de que 'Configurar asistencia remota solicitada' esté establecido en
□ □
'Discapacitado' (puntuado)
18.8.37 Llamada a procedimiento remoto
18.8.37.1 (L1) Asegúrese de 'Habilitar cliente RPC Endpoint Mapper
□ □
Autenticación 'está configurada como' Habilitada '(solo MS) (puntuada)
18.8.37.2 (L2) Asegúrese de que 'Restringir clientes RPC no autenticados' esté configurado en
□ □
'Habilitado: autenticado' (solo MS) (puntuado)
18.8.38 Acceso a almacenamiento extraíble
18.8.39 Guiones
18.8.40 Administrador del servidor
18.8.41 Configuración del administrador de control de servicios
18.8.42 Apagar
18.8.43 Opciones de apagado
18.8.44 Estado de almacenamiento
18.8.45 Sentido de almacenamiento
18.8.46 Restauración del sistema
18.8.47 Diagnóstico y resolución de problemas
18.8.47.1 Diagnóstico de compatibilidad de aplicaciones
18.8.47.2 Recuperación de archivos dañados
18.8.47.3 Diagnóstico de disco
18.8.47.4 Montón tolerante a fallas
18.8.47.5 Herramienta de diagnóstico de soporte de Microsoft
18.8.47.5.1 (L2) Asegúrese de que 'Herramienta de diagnóstico de soporte de Microsoft: encienda
La comunicación interactiva de MSDT con el proveedor de soporte 'es □ □
establecido en 'Deshabilitado' (puntuado)
18.8.47.6 Recuperación de archivos dañados MSI
18.8.47.7 Mantenimiento Programado
18.8.47.8 Diagnósticos con guión
18.8.47.9 Diagnóstico de rendimiento de arranque de Windows
18.8.47.10 Diagnóstico de pérdida de memoria de Windows
18.8.47.11 PerfTrack de rendimiento de Windows
18.8.47.11.1 (L2) Asegúrese de que 'Habilitar / deshabilitar PerfTrack' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.8.48 Servicios de módulo de plataforma confiable
18.8.49 Perfiles de usuario
https://translate.googleusercontent.com/translate_f 792/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.8.49.1 (L2) Asegúrese de que "Desactivar el ID de publicidad" esté configurado como
□ "Activado"
□
(Puntuado)
18.8.50 Protección de archivos de Windows
979 | Página
Página 981
Controlar Conjunto
Correctamente
sí No
18.8.51 Inicio en caliente de Windows
18.8.52 Servicio de hora de Windows
18.8.52.1 Proveedores de tiempo
18.8.52.1.1 (L2) Asegúrese de que 'Habilitar cliente NTP de Windows' esté configurado como 'Habilitado'
□ □
(Puntuado)
18.8.52.1.2 (L2) Asegúrese de que 'Habilitar servidor NTP de Windows' esté configurado en
□ □
'Discapacitado' (solo MS) (puntuado)
18,9 Componentes de Windows
18.9.1 Servicios de federación de Active Directory
18.9.2 Servicio de instalador de ActiveX
18.9.3 Agregue funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime
Potenciar)
18.9.4 Implementación de paquetes de aplicaciones
18.9.4.1 (L2) Asegúrese de 'Permitir que una aplicación de Windows comparta datos de aplicaciones
□ □
entre usuarios 'está configurado como' Desactivado '(puntuado)
18.9.5 Privacidad de la aplicación
18.9.6 Tiempo de ejecución de la aplicación
18.9.6.1 (L1) Asegúrese de que 'Permitir que las cuentas de Microsoft sean opcionales' esté configurado
□ □
a 'Habilitado' (puntuado)
18.9.7 Compatibilidad de aplicaciones
18.9.8 Políticas de reproducción automática
18.9.8.1 (L1) Asegúrese de que 'No permitir reproducción automática para dispositivos sin volumen' esté
□ □
establecido en 'Habilitado' (puntuado)
18.9.8.2 (L1) Asegúrese de que 'Establecer el comportamiento predeterminado para AutoRun' esté configurado en
□ □
'Habilitado: no ejecutar ningún comando de ejecución automática' (puntuado)
18.9.8.3 (L1) Asegúrese de que 'Desactivar reproducción automática' esté configurado en 'Habilitado: todas las unidades'
□ □
(Puntuado)
18.9.9 Apoyo
18.9.10 Biometria
18.9.10.1 Rasgos faciales
18.9.10.1.1 (L1) Asegúrese de que 'Configurar anti-spoofing mejorado' esté establecido en
□ □
'Habilitado' (puntuado)
18.9.11 Cifrado de unidad BitLocker
18.9.12 Cámara
18.9.12.1 (L2) Asegúrese de que 'Permitir el uso de la cámara' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.13 Contenido de la nube
18.9.13.1 (L1) Asegúrese de que esté configurado "Desactivar las experiencias del consumidor de Microsoft"
□ □
a 'Habilitado' (puntuado)
18.9.14 Conectar
980 | Página
Página 982
https://translate.googleusercontent.com/translate_f 793/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controlar Conjunto
Correctamente
sí No
18.9.14.1 (L1) Asegúrese de que 'Requerir pin para emparejamiento' esté configurado como 'Habilitado: primero
□ □
Hora 'O' Habilitado: Siempre '(puntuado)
18.9.15 Interfaz de usuario de credenciales
18.9.15.1 (L1) Asegúrese de que 'No mostrar el botón de revelación de contraseña' esté
□ □
establecido en 'Habilitado' (puntuado)
18.9.15.2 (L1) Asegúrese de 'Enumerar cuentas de administrador en
□ □
elevación 'se establece en' Deshabilitado '(puntuado)
18.9.16 Recopilación de datos y compilaciones de vista previa
18.9.16.1 (L1) Asegúrese de que 'Permitir telemetría' esté configurado en 'Habilitado: 0 - Seguridad
□ □
[Solo para empresas] 'o' Habilitado: 1 - Básico '(puntuado)
18.9.16.2 (L2) Asegúrese de 'Configurar el uso de proxy autenticado para el
El servicio de telemetría y experiencia de usuario conectado 'está configurado
□ en □
'Habilitado: deshabilitar el uso de proxy autenticado' (puntuado)
18.9.16.3 (L1) Asegúrese de que 'No mostrar notificaciones de comentarios' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.16.4 (L1) Asegúrese de que 'Alternar control de usuario sobre compilaciones de Insider' esté configurado
□ □
a 'Deshabilitado' (puntuado)
18.9.17 Optimización de entrega
18.9.18 Gadgets de escritorio
18.9.19 Administrador de ventanas de escritorio
18.9.20 Compatibilidad de dispositivos y controladores
18.9.21 Registro de dispositivo (anteriormente Workplace Join)
18.9.22 Casillero digital
18.9.23 Interfaz de usuario de Edge
18.9.24 EMET
18.9.25 Reenvío de eventos
18.9.26 Servicio de registro de eventos
18.9.26.1 Solicitud
18.9.26.1.1 (L1) Asegúrese de que 'Aplicación: Controle el comportamiento del registro de eventos cuando
el archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado□ ' □
(Puntuado)
18.9.26.1.2 (L1) Asegúrese de 'Aplicación: especifique el tamaño máximo del archivo de registro
□ □
(KB) 'se establece en' Habilitado: 32.768 o más '(puntuado)
18.9.26.2 Seguridad
18.9.26.2.1 (L1) Garantizar 'Seguridad: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado□ ' □
(Puntuado)
18.9.26.2.2 (L1) Asegúrese de 'Seguridad: especifique el tamaño máximo del archivo de registro
□ □
(KB) 'se establece en' Habilitado: 196.608 o superior '(puntuado)
18.9.26.3 Preparar
981 | Página
Página 983
Controlar Conjunto
Correctamente
sí No
18.9.26.3.1 (L1) Asegúrese de 'Configuración: controlar el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado
□ ' □
(Puntuado)
18.9.26.3.2 (L1) Asegúrese de 'Configuración: especifique el tamaño máximo del archivo de registro (KB)'
□ □
está configurado en 'Habilitado: 32.768 o más' (puntuado)
18.9.26.4 Sistema
18.9.26.4.1 (L1) Asegúrese de que 'Sistema: Controle el comportamiento del registro de eventos cuando
El archivo de registro alcanza su tamaño máximo 'se establece en' Desactivado
□ ' □
(Puntuado)
https://translate.googleusercontent.com/translate_f 794/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.26.4.2 (L1) Asegúrese deen'Sistema:
está configurado especifique
'Habilitado: 32.768 oelmás'
tamaño máximo del archivo de registro
(puntuado) □ (KB)'
□
18.9.27 El registro de eventos
18.9.28 Visor de eventos
18.9.29 Seguridad familiar (anteriormente controles parentales)
18.9.30 Explorador de archivos (anteriormente Explorador de Windows)
18.9.30.1 Versión anterior
18.9.30.2 (L1) Asegúrese de 'Desactivar la prevención de ejecución de datos para
□ □
Explorer 'está configurado como' Desactivado '(puntuado)
18.9.30.3 (L1) Asegúrese de que 'Desactivar la terminación del montón en caso de corrupción' esté configurado
□ □
a 'Deshabilitado' (puntuado)
18.9.30.4 (L1) Asegúrese de que 'Desactivar el modo protegido del protocolo de shell' esté configurado
□ □
a 'Deshabilitado' (puntuado)
18.9.31 Historial del archivo
18.9.32 Encuentra mi dispositivo
18.9.33 Explorador de juegos
18.9.34 Escritura
18.9.35 Grupo Hogar
18.9.36 Importar Video
18.9.37 explorador de Internet
18.9.38 Servicios de Información de Internet
18.9.39 Ubicación y sensores
18.9.39.1 Proveedor de ubicación de Windows
18.9.39.2 (L2) Asegúrese de que 'Desactivar ubicación' esté configurado como 'Activado'□ (puntuado)
□
18.9.40 Programador de mantenimiento
18.9.41 Mapas
18.9.42 MDM
18.9.43 Mensajería
18.9.43.1 (L2) Asegúrese de que 'Permitir sincronización en la nube del servicio de mensajes' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.44 Cuenta de Microsoft
982 | Página
Página 984
Controlar Conjunto
Correctamente
sí No
18.9.44.1 (L1) Asegúrese de 'Bloquear todos los usuarios de cuentas de Microsoft
□ □
autenticación 'se establece en' Habilitado '(puntuado)
18.9.45 Microsoft Edge
18.9.46 Autenticación Microsoft FIDO
18.9.47 Factor de autenticación secundario de Microsoft
18.9.48 Virtualización de la experiencia del usuario de Microsoft
18.9.49 Reunión en la red
18.9.50 Protección de acceso a la red
18.9.51 Proyector de red
18.9.52 OneDrive (anteriormente SkyDrive)
18.9.52.1 (L1) Asegúrese de 'Evitar el uso de OneDrive para el almacenamiento de archivos'
□ □
está configurado en 'Habilitado' (puntuado)
18.9.53 Asistencia en línea
18.9.54 OOBE
18.9.55 Sincronización de contraseña
18.9.56 Sistema operativo portátil
18.9.57 Configuración de presentación
18.9.58 Empuje para instalar
18.9.59 Servicios de escritorio remoto (anteriormente Terminal Services)
18.9.59.1 Licencias de RD (anteriormente Licencias de TS)
18.9.59.2 Cliente de conexión a escritorio remoto
18.9.59.2.1 Redirección de dispositivo USB RemoteFX
https://translate.googleusercontent.com/translate_f 795/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.59.2.2 (L1) Asegúrese de que 'No permitir que se guarden contraseñas' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.59.3 Host de sesión de escritorio remoto (anteriormente Terminal Server)
18.9.59.3.1 Compatibilidad de aplicaciones
18.9.59.3.2 Conexiones
18.9.59.3.2.1 (L2) Asegúrese de 'Restringir los usuarios de Servicios de escritorio remoto a un
sesión única de Servicios de Escritorio remoto 'está configurada como' Habilitada
□ '□
(Puntuado)
18.9.59.3.3 Redirección de dispositivos y recursos
18.9.59.3.3.1 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto COM' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.59.3.3.2 (L1) Asegúrese de que 'No permitir redireccionamiento de la unidad' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.59.3.3.3 (L2) Asegúrese de que 'No permitir redireccionamiento del puerto LPT' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.59.3.3.4 (L2) Asegúrese de que 'No permitir dispositivos Plug and Play compatibles
□ □
redirección 'se establece en' Habilitado '(puntuado)
18.9.59.3.4 Licencia
983 | Página
Página 985
Controlar Conjunto
Correctamente
sí No
18.9.59.3.5 Redirección de la impresora
18.9.59.3.6 Perfiles
18.9.59.3.7 Agente de conexión de RD (anteriormente Agente de conexión de TS)
18.9.59.3.8 Entorno de sesión remota
18.9.59.3.9 Seguridad
18.9.59.3.9.1 (L1) Asegúrese de 'Solicitar siempre la contraseña al conectarse'
□ □
está configurado en 'Habilitado' (puntuado)
18.9.59.3.9.2 (L1) Asegúrese de que 'Requerir comunicación RPC segura' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.59.3.9.3 (L1) Asegúrese de 'Requerir el uso de una capa de seguridad específica para
□ □
conexiones remotas (RDP) 'se establece en' Habilitado: SSL '(puntuado)
18.9.59.3.9.4 (L1) Asegúrese de 'Requerir autenticación de usuario para
conexiones mediante autenticación de nivel de red 'se establece en □ □
'Habilitado' (puntuado)
18.9.59.3.9.5 (L1) Asegúrese de que 'Establecer el nivel de cifrado de la conexión del cliente' esté establecido en
□ □
'Habilitado: nivel alto' (puntuado)
18.9.59.3.10 Límites de tiempo de sesión
18.9.59.3.10.1 (L2) Asegúrese de 'Establecer límite de tiempo para control remoto activo pero inactivo
Sesiones de servicios de escritorio 'está configurado en' Habilitado: 15 minutos
□ o □
menos '(puntuado)
18.9.59.3.10.2 (L2) Asegúrese de que 'Establecer límite de tiempo para sesiones desconectadas' esté establecido
□ □
a 'Habilitado: 1 minuto' (puntuado)
18.9.59.3.11 Carpetas temporales
18.9.59.3.11.1 (L1) Asegúrese de que 'No eliminar carpetas temporales al salir' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.59.3.11.2 (L1) Asegúrese de que 'No usar carpetas temporales por sesión' esté configurado
□ □
a 'Deshabilitado' (puntuado)
18.9.60 RSS Feeds
18.9.60.1 (L1) Asegúrese de que 'Evitar la descarga de gabinetes' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.61 Buscar
18.9.61.1 LOC
18.9.61.2 (L2) Asegúrese de que 'Permitir búsqueda en la nube' esté configurado en 'Activado: Desactivar
□ □
Cloud Search '(puntuado)
18.9.61.3 (L1) Asegúrese de que 'Permitir indexación de archivos cifrados' esté configurado en
https://translate.googleusercontent.com/translate_f 796/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
'Discapacitado' (puntuado) □ □
18.9.62 Centro de Seguridad
18.9.63 Servidor para NIS
18.9.64 Opciones de apagado
18.9.65 Tarjeta electrónica
984 | Página
Página 986
Controlar Conjunto
Correctamente
sí No
18.9.66 Plataforma de protección de software
18.9.66.1 (L2) Asegúrese de que 'Desactivar la validación de AVS en línea del cliente KMS' esté
□ □
establecido en 'Habilitado' (puntuado)
18.9.67 Grabadora de sonido
18.9.68 Habla
18.9.69 Tienda
18.9.70 Sincroniza tu configuración
18.9.71 Tableta
18.9.72 Programador de tareas
18.9.73 Entrada de texto
18.9.74 Calendario de Windows
18.9.75 Sistema de color de Windows
18.9.76 Programa de mejora de la experiencia del cliente de Windows
18.9.77 Antivirus de Windows Defender (anteriormente Windows Defender)
18.9.77.1 Interfaz de cliente
18.9.77.2 Exclusiones
18.9.77.3 MAPAS
18.9.77.3.1 (L1) Asegúrese de 'Configurar la anulación de la configuración local para los informes
□ □
a Microsoft MAPS 'está configurado como' Deshabilitado '(puntuado)
18.9.77.3.2 (L2) Asegúrese de que 'Unirse a Microsoft MAPS' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.77.4 MpEngine
18.9.77.5 Sistema de inspección de red
18.9.77.6 Cuarentena
18.9.77.7 Protección en tiempo real
18.9.77.7.1 (L1) Asegúrese de que 'Activar monitoreo de comportamiento' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.77.8 Remediación
18.9.77.9 Reportando
18.9.77.9.1 (L2) Asegúrese de que 'Configurar eventos de Watson' esté establecido en 'Deshabilitado'
□ □
(Puntuado)
18.9.77.10 Escanear
18.9.77.10.1 (L1) Asegúrese de que 'Escanear unidades extraíbles' esté configurado como 'Activado'
□ □
(Puntuado)
18.9.77.10.2 (L1) Asegúrese de que 'Activar el escaneo de correo electrónico' esté configurado en 'Activado'
□ □
(Puntuado)
18.9.77.11 Actualizaciones de inteligencia de seguridad (anteriormente Actualizaciones de firmas)
18.9.77.12 Amenazas
18.9.77.13 Protección contra exploits de Windows Defender
18.9.77.13.1 Reducción de la superficie de ataque
985 | Página
Página 987
https://translate.googleusercontent.com/translate_f 797/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Controlar Conjunto
Correctamente
sí No
18.9.77.13.1.1 (L1) Asegúrese de que 'Configurar reglas de reducción de superficie de ataque' esté configurado
□ □
a 'Habilitado' (puntuado)
18.9.77.13.1.2 (L1) Asegúrese de 'Configurar reglas de reducción de superficie de ataque: Establecer
□ □
el estado de cada regla de ASR 'está' configurado '(puntuado)
18.9.77.13.2 Acceso controlado a carpetas
18.9.77.13.3 Protección de red
18.9.77.13.3.1 (L1) Asegúrese de 'Evitar que los usuarios y las aplicaciones accedan
□ □
sitios web peligrosos 'está configurado en' Habilitado: Bloquear '(puntuado)
18.9.77.14 (L1) Asegúrese de 'Configurar la detección para aplicaciones potencialmente no deseadas
□ □
aplicaciones 'está configurado como' Habilitado: Bloquear '(puntuado)
18.9.77.15 (L1) Asegúrese de que 'Desactivar Windows Defender AntiVirus' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.78 Protección de aplicaciones de Windows Defender
18.9.79 Protección contra exploits de Windows Defender
18.9.80 SmartScreen de Windows Defender
18.9.80.1 Explorador
18.9.80.1.1 (L1) Asegúrese de que 'Configurar Windows Defender SmartScreen' esté
□ □
establecido en 'Habilitado: advertir y evitar omisión' (puntuado)
18.9.81 Informe de errores de Windows
18.9.82 Grabación y transmisión de juegos de Windows
18.9.83 Windows Hello para empresas (anteriormente Microsoft Passport para
Trabajo)
18.9.84 Espacio de trabajo de Windows Ink
18.9.84.1 (L2) Asegúrese de 'Permitir aplicaciones sugeridas en Windows Ink
□ □
Espacio de trabajo 'está configurado como' Deshabilitado '(puntuado)
18.9.84.2 (L1) Asegúrese de que 'Permitir el espacio de trabajo de Windows Ink' esté configurado en
'Habilitado: encendido, pero no permite el acceso por encima del candado' O□'Deshabilitado'
□
pero no "Activado: Activado" (puntuado)
18.9.85 instalador de ventanas
18.9.85.1 (L1) Asegúrese de que 'Permitir el control del usuario sobre las instalaciones' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.85.2 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.85.3 (L2) Asegúrese de que 'Prevenir el mensaje de seguridad de Internet Explorer
□ □
Los scripts de Windows Installer 'están configurados como' Deshabilitados '(puntuados)
18.9.86 Opciones de inicio de sesión de Windows
18.9.86.1 (L1) Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo
□ □
automáticamente después de un reinicio 'se establece en' Desactivado '(puntuado)
18.9.87 Correo de Windows
18.9.88 Windows Media Center
986 | Página
Página 988
Controlar Conjunto
Correctamente
sí No
18.9.89 Gestión de derechos digitales de Windows Media
18.9.90 reproductor de medios de Windows
18.9.91 Espacio para reuniones de Windows
18.9.92 Windows Messenger
18.9.93 Centro de movilidad de Windows
18.9.94 creador de películas de Windows
https://translate.googleusercontent.com/translate_f 798/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
18.9.95
18.9.95.1 Windows PowerShell
(L1) Asegúrese de que 'Activar el registro de bloques de secuencias de comandos de PowerShell' esté configurado
□ □
a 'Deshabilitado' (puntuado)
18.9.95.2 (L1) Asegúrese de que 'Activar la transcripción de PowerShell' esté configurado en
□ □
'Discapacitado' (puntuado)
18.9.96 Análisis de confiabilidad de Windows
18.9.97 Administración remota de Windows (WinRM)
18.9.97.1 Cliente WinRM
18.9.97.1.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.97.1.2 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.9.97.1.3 (L1) Asegúrese de que 'No permitir la autenticación implícita' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.97.2 Servicio WinRM
18.9.97.2.1 (L1) Asegúrese de que 'Permitir autenticación básica' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.97.2.2 (L2) Asegúrese de 'Permitir la administración remota del servidor
□ □
WinRM 'está configurado como' Desactivado '(puntuado)
18.9.97.2.3 (L1) Asegúrese de que 'Permitir tráfico no cifrado' esté configurado en 'Deshabilitado'
□ □
(Puntuado)
18.9.97.2.4 (L1) Asegúrese de 'No permitir que WinRM almacene RunAs
□ □
credenciales 'está configurado como' Habilitado '(puntuado)
18.9.98 Shell remoto de Windows
18.9.98.1 (L2) Asegúrese de que 'Permitir acceso remoto al shell' esté configurado como 'Deshabilitado'
□ □
(Puntuado)
18.9.99 Seguridad de Windows (anteriormente Centro de seguridad de Windows Defender)
18.9.99.1 Protección de cuenta
18.9.99.2 Protección de aplicaciones y navegadores
18.9.99.2.1 (L1) Asegúrese de que 'Evitar que los usuarios modifiquen la configuración' esté establecido en
□ □
'Habilitado' (puntuado)
18.9.100 Windows SideShow
18.9.101 Administrador de recursos del sistema de Windows
18.9.102 actualizacion de Windows
987 | Página
Página 989
Controlar Conjunto
Correctamente
sí No
18.9.102.1 Windows Update para empresas (anteriormente Aplazar actualizaciones de Windows)
18.9.102.1.1 (L1) Asegúrese de que 'Administrar compilaciones de vista previa' esté configurado como 'Habilitado:
□ □
Deshabilitar compilaciones de vista previa '(puntuadas)
18.9.102.1.2 (L1) Asegúrese de seleccionar cuando obtenga una vista previa de las compilaciones y
Se reciben actualizaciones 'está configurado como' Habilitado: Semestral □ □
Canal, 180 o más días '(puntuados)
18.9.102.1.3 (L1) Asegúrese de que 'Seleccionar cuando se reciban actualizaciones de calidad' esté
□ □
establecido en 'Habilitado: 0 días' (puntuado)
18.9.102.2 (L1) Asegúrese de que 'Configurar actualizaciones automáticas' esté configurado en
□ □
'Habilitado' (puntuado)
18.9.102.3 (L1) Asegúrese de 'Configurar actualizaciones automáticas: programadas
□ □
el día de instalación 'se establece en' 0 - Todos los días '(puntuado)
18.9.102.4 (L1) Asegúrese de que 'Sin reinicio automático con usuarios conectados para
instalaciones de actualizaciones automáticas programadas 'se establece en □ □
'Discapacitado' (puntuado)
19 Plantillas administrativas (usuario)
19,1 Panel de control
19.1.1 Añadir o eliminar programas
19.1.2 Monitor
https://translate.googleusercontent.com/translate_f 799/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
19.1.3
19.1.3.1 Personalización
(L1) Asegúrese de(anteriormente, temas de
que 'Activar protector de pantalla'
escritorio)
esté configurado como 'Activado'
□ □
(Puntuado)
19.1.3.2 (L1) Asegúrese de 'Forzar protector de pantalla específico: protector de pantalla
□ □
nombre del ejecutable 'se establece en' Habilitado: scrnsave.scr '(puntuado)
19.1.3.3 (L1) Asegúrese de que 'Proteger con contraseña el protector de pantalla' esté configurado en
□ □
'Habilitado' (puntuado)
19.1.3.4 (L1) Asegúrese de que 'Tiempo de espera del protector de pantalla' esté configurado en 'Activado: 900
□ □
segundos o menos, pero no 0 '(puntuados)
19,2 Escritorio
19,3 Red
19,4 Carpetas compartidas
19,5 Menú de inicio y barra de tareas
19.5.1 Notificaciones
19.5.1.1 (L1) Asegúrese de 'Desactivar las notificaciones de tostadas en la pantalla de bloqueo'
□ □
está configurado en 'Habilitado' (puntuado)
19,6 Sistema
19.6.1 Ctrl + Alt + Del Opciones
19.6.2 Monitor
19.6.3 Instalación del controlador
19.6.4 Redirección de carpetas
988 | Página
Página 990
Controlar Conjunto
Correctamente
sí No
19.6.5 Política de grupo
19.6.6 Gestión de la comunicación por Internet
19.6.6.1 Configuración de comunicación de Internet
19.6.6.1.1 (L2) Asegúrese de 'Desactivar la mejora de la experiencia de ayuda
□ □
El programa 'está configurado como' Habilitado '(puntuado)
19,7 Componentes de Windows
19.7.1 Agregue funciones a Windows 8 / 8.1 / 10 (anteriormente Windows Anytime
Potenciar)
19.7.2 Tiempo de ejecución de la aplicación
19.7.3 Compatibilidad de aplicaciones
19.7.4 Administrador de archivos adjuntos
19.7.4.1 (L1) Asegúrese de 'No conservar la información de la zona en el archivo
□ □
adjuntos 'está configurado como' Desactivado '(puntuado)
19.7.4.2 (L1) Asegúrese de 'Notificar a los programas antivirus al abrir
□ □
adjuntos 'está configurado como' Habilitado '(puntuado)
19.7.5 Políticas de reproducción automática
19.7.6 Apoyo
19.7.7 Contenido de la nube
19.7.7.1 (L1) Asegúrese de que 'Configurar el reflector de Windows en la pantalla de bloqueo' esté
□ □
establecido en Disabled '(puntuado)
19.7.7.2 (L1) Asegúrese de 'No sugerir contenido de terceros en Windows
□ □
Spotlight 'está configurado como' Habilitado '(puntuado)
19.7.7.3 (L2) Asegúrese de que 'No utilice datos de diagnóstico para
□ □
experiencias 'está configurado como' Habilitado '(puntuado)
19.7.7.4 (L2) Asegúrese de que esté configurado 'Desactivar todas las funciones de Windows Spotlight'
□ □
a 'Habilitado' (puntuado)
19.7.8 Interfaz de usuario de credenciales
19.7.9 Recopilación de datos y compilaciones de vista previa
19.7.10 Gadgets de escritorio
19.7.11 Administrador de ventanas de escritorio
19.7.12 Casillero digital
19.7.13 Interfaz de usuario de Edge
https://translate.googleusercontent.com/translate_f 800/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
19.7.14 Explorador de archivos (anteriormente Explorador de Windows)
19.7.15 Revocación de archivos
19.7.16 YO ME
19.7.17 Importar Video
19.7.18 Búsqueda instantánea
19.7.19 explorador de Internet
19.7.20 Ubicación y sensores
19.7.21 Microsoft Edge
989 | Página
Página 991
Controlar Conjunto
Correctamente
sí No
19.7.22 Consola de administración de Microsoft
19.7.23 Virtualización de la experiencia del usuario de Microsoft
19.7.24 Reunión en la red
19.7.25 Proyector de red
19.7.26 Compartir red
19.7.26.1 (L1) Asegúrese de 'Evitar que los usuarios compartan archivos dentro de sus
□ □
perfil.' está configurado en 'Habilitado' (puntuado)
19.7.27 OOBE
19.7.28 Configuración de presentación
19.7.29 Servicios de escritorio remoto (anteriormente Terminal Services)
19.7.30 RSS Feeds
19.7.31 Buscar
19.7.32 Grabadora de sonido
19.7.33 Tienda
19.7.34 Tableta
19.7.35 Programador de tareas
19.7.36 Calendario de Windows
19.7.37 Sistema de color de Windows
19.7.38 SmartScreen de Windows Defender
19.7.39 Informe de errores de Windows
19.7.40 Windows Hello para empresas (anteriormente Microsoft Passport para
Trabajo)
19.7.41 instalador de ventanas
19.7.41.1 (L1) Asegúrese de que 'Instalar siempre con privilegios elevados' esté configurado en
□ □
'Discapacitado' (puntuado)
19.7.42 Opciones de inicio de sesión de Windows
19.7.43 Correo de Windows
19.7.44 Windows Media Center
19.7.45 reproductor de medios de Windows
19.7.45.1 Redes
19.7.45.2 Reproducción
19.7.45.2.1 (L2) Asegúrese de que 'Evitar descarga de códec' esté configurado como 'Activado'
□ □
(Puntuado)
990 | Página
https://translate.googleusercontent.com/translate_f 801/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
Página 992
22/11/2019 1.0.1 ACTUALIZACIÓN - 17.2 (L1) Asegúrese de que 'Auditoría de la gestión del grupo de distribución' esté
establecido en 'Éxito y fracaso' PARA incluir 'Éxito' (sólo DC)
Boleto # 9112
22/11/2019 1.0.1 ACTUALIZAR - 17.4 (L1) Asegúrese de que 'Auditar acceso al servicio de directorio' esté configurado en
'Éxito y fracaso' PARA incluir 'Fallo' (solo DC)
Boleto # 9113
22/11/2019 1.0.1 ACTUALIZACIÓN: 17.4 (L1) Asegúrese de que 'Auditar cambios en el servicio de directorio' esté configurado en
'Éxito y fracaso' PARA incluir 'Éxito' (solo DC)
Boleto # 9114
22/11/2019 1.0.1 REMOVE - 17.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté
establecido en 'Éxito y fracaso' desde el perfil de MS (TODOS -> Sólo DC)
Boleto # 9115
22/11/2019 1.0.1 ACTUALIZACIÓN - 17.2 (L1) Asegúrese de que 'Auditar administración de cuentas de computadora' esté
establecido en 'Éxito y fracaso' PARA incluir 'Éxito' (sólo DC)
Boleto # 9116
Boleto # 9564
14/1/2020 1.1.0 CAMBIAR EL NOMBRE - 18.9.86 (L1) Asegúrese de 'Iniciar sesión como último usuario interactivo
automáticamente después de un reinicio iniciado por el sistema 'se establece en' Desactivado 'TO
Asegúrese de 'Iniciar sesión y bloquear al último usuario interactivo automáticamente después de una
reiniciar 'está configurado como' Deshabilitado '
Boleto # 9565
991 | Página
Página 993
14/1/2020 1.1.0 MOVE & RENAME - 18.5.4 (L1) Establezca 'Tipo de nodo NetBIOS' en 18.3 (L1)
Asegúrese de que 'NetBT NodeType configuration' esté establecido en 'Enabled: P-node
(recomendado)'
Boleto # 9566
https://translate.googleusercontent.com/translate_f 802/803
20/9/2020 CIS Microsoft Windows Server 2019 RTM (versión 1809) Benchmark
14/1/2020 1.1.0 ACTUALIZACIÓN: 18.3 (L1) Asegúrese de que la 'Configuración de NetBT NodeType' esté establecida en
'Habilitado: nodo P (recomendado)' (Agregar al perfil de DC)
Boleto # 9567
14/1/2020 1.1.0 ACTUALIZACIÓN - 18.5.4 (L1) Asegúrese de que esté configurado 'Desactivar la resolución de nombres de multidifusión'
a 'Habilitado' (Agregar al perfil de DC)
Boleto # 9568
14/1/2020 1.1.0 ADD - 17.1 (L1) Asegúrese de que 'Audit Kerberos Authentication Service' esté configurado
a 'Éxito y fracaso' (solo DC)
Boleto # 9569
14/1/2020 1.1.0 ADD - 17.1 (L1) Asegúrese de que 'Auditar operaciones de tickets de servicio Kerberos' esté
establecido en 'Éxito y fracaso' (solo DC)
Boleto # 9570
Boleto # 9684
992 | Página
https://translate.googleusercontent.com/translate_f 803/803