Directiva de seguridad local
La directiva de seguridad local nos permite definir muchísimos aspectos del sistema relacionados con la seguridad. Es muy similar al concepto de directivas de grupo (Group Policies) que se utiliza en Active Directory, con la diferencia de que esta es únicamente local y no se aplica a través de la red.Para abrir la herramienta de administración de la directiva de seguridad local, podemos ejecutar el siguiente comando:
secpol.msc
A continuación podemos ver una captura de pantalla de la interfaz:
Una vez dentro de la interfaz gráfica, veremos que existen varias categorías para los distintos aspectos de configuración del sistema. A continuación haremos un repaso por los parámetros más significativos:
Account Policies
Permite definir parámetros acerca de las cuentas de usuario local.Password Policy
Enforce Password History: Permite definir un historial de contraseñas para que los usuarios no puedan repetir las últimas N cantidad de contraseñas al realizar el cambio de la misma.Maximum Password Age: Permite definir cuál es el tiempo máximo de vida de una contraseña. Transcurrido este tiempo, el usuario se verá obligado a modificar su contraseña.
Minimum Password Length: Permite definir cuál es la cantidad mínima de caracteres con los que debe contar una contraseña.
Password Must Meet Complexity Requirements: Si está habilitada, obliga a que las contraseñas cumplan con los siguientes requerimientos:
- No contener el nombre de usuario o parte del nombre completo del usuario
- Tener, como mínimo, seis caracteres de longitud
- Tener presentes, por lo menos, tres de las siguientes cuatro categorías de caracteres:
- Mayúsculas (A – Z)
- Minúsculas (a – z)
- Números (0 al 9)
- Caracteres no alfanuméricos (ejemplos: , !, $, #, %)
Account Lockout Policy
Account Lockout Threshold: Después de qué cantidad de intentos de acceso fallidos se va a bloquear una cuenta de usuario.Account Lockout Duration: Cuánto tiempo debe transcurrir para que una cuenta se desbloquee automáticamente.
Local Policies
User Rights Assignment
Act as part of the operating system: Las cuentas de usuario listadas aquí podrán ejecutar procesos en nombre de cualquier usuario del sistema sin que se les requiera autenticación.NOTA: Esto representa un riesgo de seguridad y no se recomienda.
Allow logon through Remote Desktop Services: Las cuentas de usuario listadas aquí podrán acceder al equipo a través de RDP (Remote Desktop Protocol)
Change the system time / Change the time zone: Los usuarios listados aquí podrán realizar cambios en la fecha, hora y zona horaria del sistema.
Load and unload device drivers: Los usuarios listados aquí podrán cargar y descargar controladores de dispositivos y otro tipo de códigos en el núcleo.
NOTA: No aplica para los dispositivos Plug & Play y no se recomienda modificar esta política por motivos de seguridad.
Shutdown the system: Permite definir qué usuarios pueden apagar el sistema.
Take ownership of files or other objects: Estos usuarios podrán modificar quién es el dueño de archivos, directorios y otros objetos.
NOTA: No se recomienda modificar esta política.
Security Options
Accounts: Administrator account status: Por defecto, la cuenta de administrador local se encuentra deshabilitada en Windows 7. Modificando esto, podemos habilitarla.NOTA: Esto no se recomienda.
Accounts: Guest account status: Por defecto, la cuenta de invitado se encuentra deshabilitada en
Windows 7. Modificando esto, podemos habilitarla.
NOTA: Esto no se recomienda.
Interactive Logon: Display user information when the session is locked: Define si se van a mostrar o no los datos del usuario que se encuentra logueado cuando la sesión está bloqueada.
NOTA: Es recomendable definir esta política en “No mostrar información del usuario”.
Interactive Logon: Do not display last user name: Define si se va a mostrar cuál fue la última cuenta en acceder al sistema.
NOTA: Es recomendable habilitar esta política, para no mostrar el nombre de último usuario que accedió al sistema.
Interactive Logon: Do not require CTRL+ALT+DEL: Define si los usuarios están obligados a utilizar la combinación de teclas CTRL+ALT+DEL antes de poder iniciar sesión en el equipo.
NOTA: Se recomienda que esta política esté deshabilitada para obligar a los usuarios a utilizar esta combinación, lo que puede prevenir cierto tipo de ataques.
Network Access: Do not allow anonymous enumeration of SAM accounts: Si está habilitada, no permite se puedan conocer los nombres de usuario válidos a través de conexiones anónimas.
NOTA: Se recomienda que esta política se encuentre habilitada.
Network Security: Do not store LAN Manager Hash value on next password change: Hace que no se almacene el hash LM de la contraseña de los usuarios a partir del próximo cambio de contraseña.
NOTA: Como los hashes LM han demostrado ser muy débiles, es recomendable que esta política se encuentre habilitada.
0 Comentarios