Compartir a través de


CSP de directiva: LocalPoliciesSecurityOptions

Logotipo de Windows Insider.

Importante

Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.

Nota

Para buscar formatos de datos (y otros detalles relacionados con la directiva), consulte Archivo DDF de directiva.

Accounts_BlockMicrosoftAccounts

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Esta configuración de directiva impide que los usuarios agreguen nuevas cuentas de Microsoft en este equipo. Si selecciona la opción "Los usuarios no pueden agregar cuentas de Microsoft", los usuarios no podrán crear nuevas cuentas de Microsoft en este equipo, cambiar una cuenta local a una cuenta microsoft o conectar una cuenta de dominio a una cuenta de Microsoft. Esta es la opción preferida si necesita limitar el uso de cuentas de Microsoft en su empresa. Si selecciona la opción "Los usuarios no pueden agregar o iniciar sesión con cuentas de Microsoft", los usuarios de cuentas de Microsoft existentes no podrán iniciar sesión en Windows. Si selecciona esta opción, es posible que un administrador existente en este equipo no pueda iniciar sesión y administrar el sistema. Si deshabilita o no configura esta directiva (recomendada), los usuarios podrán usar cuentas de Microsoft con Windows.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado (los usuarios podrán usar cuentas de Microsoft con Windows).
1 Habilitado (los usuarios no pueden agregar cuentas de Microsoft).
3 Los usuarios no pueden agregar ni iniciar sesión con cuentas de Microsoft.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: Bloquear cuentas Microsoft
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Accounts_EnableAdministratorAccountStatus

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Esta configuración de seguridad determina si la cuenta de administrador local está habilitada o deshabilitada.

Nota

Si intenta volver a habilitar la cuenta de administrador después de que se haya deshabilitado y si la contraseña de administrador actual no cumple los requisitos de contraseña, no puede volver a habilitar la cuenta. En este caso, un miembro alternativo del grupo Administradores debe restablecer la contraseña en la cuenta de administrador. Para obtener información sobre cómo restablecer una contraseña, consulte Para restablecer una contraseña. Deshabilitar la cuenta de administrador puede convertirse en un problema de mantenimiento en determinadas circunstancias. En Arranque en modo seguro, la cuenta de administrador deshabilitada solo se habilitará si la máquina no está unida a un dominio y no hay ninguna otra cuenta de administrador activa local. Si el equipo está unido a un dominio, el administrador deshabilitado no se habilitará.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: estado de la cuenta de administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Accounts_EnableGuestAccountStatus

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

Esta configuración de seguridad determina si la cuenta de invitado está habilitada o deshabilitada. Nota: Si la cuenta de invitado está deshabilitada y la opción de seguridad Acceso a la red: Uso compartido y modelo de seguridad para cuentas locales está establecida en Solo invitado, se producirá un error en los inicios de sesión de red, como los que realiza Microsoft Network Server (servicio SMB).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: estado de la cuenta de invitado
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Cuentas: limite el uso de contraseñas en blanco en la cuenta local solo para iniciar sesión en la consola Esta configuración de seguridad determina si las cuentas locales que no están protegidas con contraseña se pueden usar para iniciar sesión desde ubicaciones distintas de la consola del equipo físico. Si está habilitada, las cuentas locales que no estén protegidas con contraseña solo podrán iniciar sesión en el teclado del equipo. Advertencia: Los equipos que no están en ubicaciones físicamente seguras siempre deben aplicar directivas de contraseña seguras para todas las cuentas de usuario locales. De lo contrario, cualquier persona con acceso físico al equipo puede iniciar sesión con una cuenta de usuario que no tenga una contraseña. Esto es especialmente importante para los equipos portátiles. Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión a través de Servicios de Escritorio remoto.

Nota

Esta configuración no afecta a los inicios de sesión que usan cuentas de dominio. Es posible que las aplicaciones que usan inicios de sesión interactivos remotos omitan esta configuración.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitada.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Accounts_RenameAdministratorAccount

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Cuentas: cambie el nombre de la cuenta de administrador Esta configuración de seguridad determina si un nombre de cuenta diferente está asociado al identificador de seguridad (SID) del administrador de la cuenta. Cambiar el nombre de la cuenta de administrador conocida hace que sea ligeramente más difícil para las personas no autorizadas adivinar esta combinación de nombre de usuario y contraseña con privilegios. Valor predeterminado: Administrador.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Administrator

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: cambiar el nombre de la cuenta de administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Accounts_RenameGuestAccount

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Cuentas: cambie el nombre de la cuenta de invitado Esta configuración de seguridad determina si un nombre de cuenta diferente está asociado al identificador de seguridad (SID) de la cuenta "Invitado". Cambiar el nombre de la conocida cuenta de invitado hace que sea ligeramente más difícil para las personas no autorizadas adivinar esta combinación de nombre de usuario y contraseña. Valor predeterminado: Invitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Invitado

Asignación de directivas de grupo:

Nombre Valor
Nombre Cuentas: cambiar el nombre de la cuenta de invitado
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Audit_AuditTheUseOfBackupAndRestoreprivilege

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

Auditoría: audite el uso del privilegio Copia de seguridad y restauración Esta configuración de seguridad determina si se debe auditar el uso de todos los privilegios de usuario, incluida la copia de seguridad y la restauración, cuando la directiva de uso de privilegios de auditoría está en vigor. La habilitación de esta opción cuando la directiva de uso de privilegios de auditoría también está habilitada genera un evento de auditoría para cada archivo del que se realiza una copia de seguridad o se restaura. Si deshabilita esta directiva, el uso del privilegio Copia de seguridad o Restauración no se audita incluso cuando está habilitado el uso de privilegios de auditoría.

Nota

En las versiones de Windows anteriores a Windows Vista que configuran esta configuración de seguridad, los cambios no surtirá efecto hasta que reinicie Windows. La habilitación de esta configuración puede provocar una gran cantidad de eventos, a veces cientos por segundo, durante una operación de copia de seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato b64
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado AA==

Valores permitidos:

Valor Descripción
AQ== Habilitar.
AA== (valor predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Auditoría: auditar el uso del privilegio de copias de seguridad y restauración
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Auditoría: forzar la configuración de subcategoría de directivas de auditoría (Windows Vista o posterior) para invalidar la configuración de categoría de directiva de auditoría de Windows Vista y versiones posteriores de Windows permiten que la directiva de auditoría se administre de forma más precisa mediante subcategorías de directivas de auditoría. Al establecer la directiva de auditoría en el nivel de categoría, se invalidará la nueva característica de directiva de auditoría de subcategoría. directiva de grupo solo permite establecer la directiva de auditoría en el nivel de categoría y la directiva de grupo existente puede invalidar la configuración de subcategoría de las máquinas nuevas a medida que se unen al dominio o se actualizan a Windows Vista o versiones posteriores. Para permitir que la directiva de auditoría se administre mediante subcategorías sin necesidad de un cambio en directiva de grupo, hay un nuevo valor del Registro en Windows Vista y versiones posteriores, SCENoApplyLegacyAuditPolicy, que impide que la aplicación de la directiva de auditoría de nivel de categoría directiva de grupo y desde la herramienta administrativa Directiva de seguridad local. Si la directiva de auditoría de nivel de categoría establecida aquí no es coherente con los eventos que se están generando actualmente, la causa podría ser que se establezca esta clave del Registro. Valor predeterminado: habilitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Auditoría: apague el sistema inmediatamente si no puede registrar las auditorías de seguridad Esta configuración de seguridad determina si el sistema se cierra si no puede registrar eventos de seguridad. Si esta configuración de seguridad está habilitada, hace que el sistema se detenga si no se puede registrar una auditoría de seguridad por cualquier motivo. Normalmente, un evento no se registra cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para el registro de seguridad es No sobrescribir eventos o Sobrescribir eventos por días. Si el registro de seguridad está lleno y no se puede sobrescribir una entrada existente y esta opción de seguridad está habilitada, aparece el siguiente error Detención: STOP: C0000244 {Error de auditoría} Error al intentar generar una auditoría de seguridad. Para recuperarlo, un administrador debe iniciar sesión, archivar el registro (opcional), borrar el registro y restablecer esta opción como desee. Hasta que se restablezca esta configuración de seguridad, ningún usuario, excepto un miembro del grupo Administradores, podrá iniciar sesión en el sistema, incluso si el registro de seguridad no está lleno.

Nota

En las versiones de Windows anteriores a Windows Vista que configuran esta configuración de seguridad, los cambios no surtirá efecto hasta que reinicie Windows.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Devices_AllowedToFormatAndEjectRemovableMedia

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Dispositivos: se permite dar formato y expulsar medios extraíbles Esta configuración de seguridad determina quién puede dar formato y expulsar los medios NTFS extraíbles. Esta funcionalidad se puede proporcionar a: Administradores administradores y usuarios interactivos Predeterminado: esta directiva no está definida y solo los administradores tienen esta capacidad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Dispositivos: permitir formatear y expulsar medios extraíbles
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Devices_AllowUndockWithoutHavingToLogon

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Dispositivos: permite desacoplar sin tener que iniciar sesión Esta configuración de seguridad determina si un equipo portátil se puede desacoplar sin tener que iniciar sesión.

  • Si esta directiva está habilitada, no se requiere el inicio de sesión y se puede usar un botón de expulsión de hardware externo para desacoplar el equipo.

  • Si está deshabilitado, un usuario debe iniciar sesión y tener el privilegio Quitar equipo de la estación de acoplamiento para desacoplar el equipo.

Precaución

Deshabilitar esta directiva puede tentar a los usuarios a intentar quitar físicamente el portátil de su estación de acoplamiento mediante métodos distintos del botón de expulsión de hardware externo. Dado que esto puede causar daños en el hardware, esta configuración, en general, solo debe deshabilitarse en configuraciones de portátiles que se puedan proteger físicamente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Permitir.
0 Bloquear.

Asignación de directivas de grupo:

Nombre Valor
Nombre Dispositivos: permitir desacoplamiento sin tener que iniciar sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Dispositivos: impedir que los usuarios instalen controladores de impresora al conectarse a impresoras compartidas Para que un equipo imprima en una impresora compartida, el controlador de esa impresora compartida debe instalarse en el equipo local. Esta configuración de seguridad determina quién puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.

  • Si esta configuración está habilitada, solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.

  • Si esta configuración está deshabilitada, cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida. Valor predeterminado en los servidores: habilitado. Valor predeterminado en estaciones de trabajo: Notas deshabilitadas Esta configuración no afecta a la capacidad de agregar una impresora local. Esta configuración no afecta a los administradores.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Dispositivos: impedir que los usuarios instalen controladores de impresora
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Dispositivos: restrinja el acceso de CD-ROM al usuario que ha iniciado sesión localmente solo Esta configuración de seguridad determina si un CD-ROM es accesible para los usuarios locales y remotos simultáneamente.

  • Si esta directiva está habilitada, solo permite que el usuario que ha iniciado sesión interactivamente acceda a los medios de CD-ROM extraíbles.

  • Si esta directiva está habilitada y nadie ha iniciado sesión de forma interactiva, se puede acceder al CD-ROM a través de la red. Valor predeterminado: esta directiva no está definida y el acceso al CD-ROM no está restringido al usuario que ha iniciado sesión localmente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Dispositivos: restrinja el acceso de los disquetes al usuario que ha iniciado sesión localmente solo Esta configuración de seguridad determina si los medios de disquete extraíbles son accesibles para los usuarios locales y remotos simultáneamente.

  • Si esta directiva está habilitada, solo permite que el usuario que ha iniciado sesión interactivamente acceda a los medios de disquete extraíbles.

  • Si esta directiva está habilitada y nadie ha iniciado sesión de forma interactiva, se puede acceder al disquete a través de la red. Valor predeterminado: esta directiva no está definida y el acceso a la unidad de disco duro no está restringido al usuario que ha iniciado sesión localmente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Dispositivos: restringir el acceso a disquetes sólo al usuario con sesión iniciada localmente
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Miembro del dominio: cifre o firme digitalmente los datos de canal seguro (siempre) Esta configuración de seguridad determina si todo el tráfico de canal seguro iniciado por el miembro de dominio debe estar firmado o cifrado. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Después, cuando se inicia el sistema, usa la contraseña de la cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso a través de NTLM, LSA SID/búsqueda de nombres, etc. Esta configuración determina si todo el tráfico de canal seguro iniciado por el miembro del dominio cumple los requisitos de seguridad mínimos. En concreto, determina si todo el tráfico de canal seguro iniciado por el miembro del dominio debe estar firmado o cifrado.

  • Si esta directiva está habilitada, no se establecerá el canal seguro a menos que se negote la firma o el cifrado de todo el tráfico de canal seguro.

  • Si esta directiva está deshabilitada, el cifrado y la firma de todo el tráfico de canal seguro se negocian con el controlador de dominio, en cuyo caso el nivel de firma y cifrado depende de la versión del controlador de dominio y de la configuración de las dos directivas siguientes: Miembro de dominio: Cifrar digitalmente datos de canal seguro (cuando sea posible) Miembro de dominio: Firmar digitalmente datos de canales seguros (siempre que sea posible) Notas: Si esta directiva está habilitada, se supone que el miembro de dominio de la directiva: Firma digital de datos de canal seguro (cuando sea posible) está habilitado independientemente de su configuración actual. Esto garantiza que el miembro del dominio intenta negociar al menos la firma del tráfico de canal seguro. La información de inicio de sesión transmitida a través del canal seguro siempre se cifra independientemente de si se negocia o no el cifrado de todo el otro tráfico de canal seguro.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Miembro del dominio: cifre digitalmente los datos de canal seguro (cuando sea posible) Esta configuración de seguridad determina si un miembro de dominio intenta negociar el cifrado para todo el tráfico de canal seguro que inicia. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Después, cuando se inicia el sistema, usa la contraseña de la cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso a través de NTLM, LSA SID/name Lookup, etc. Esta configuración determina si el miembro del dominio intenta negociar el cifrado de todo el tráfico de canal seguro que inicia. Si está habilitado, el miembro del dominio solicitará el cifrado de todo el tráfico de canal seguro. Si el controlador de dominio admite el cifrado de todo el tráfico de canal seguro, se cifrará todo el tráfico de canal seguro. De lo contrario, solo se cifrará la información de inicio de sesión transmitida a través del canal seguro. Si esta configuración está deshabilitada, el miembro del dominio no intentará negociar el cifrado de canal seguro. Importante No hay ninguna razón conocida para deshabilitar esta configuración. Además de reducir innecesariamente el posible nivel de confidencialidad del canal seguro, deshabilitar esta configuración puede reducir innecesariamente el rendimiento del canal seguro, ya que las llamadas API simultáneas que usan el canal seguro solo son posibles cuando el canal seguro está firmado o cifrado.

Nota

Los controladores de dominio también son miembros de dominio y establecen canales seguros con otros controladores de dominio en el mismo dominio, así como controladores de dominio en dominios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_DigitallySignSecureChannelDataWhenPossible

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

Miembro del dominio: firma digitalmente datos de canales seguros (cuando sea posible) Esta configuración de seguridad determina si un miembro de dominio intenta negociar la firma de todo el tráfico de canal seguro que inicia. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Después, cuando se inicia el sistema, usa la contraseña de la cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso a través de NTLM, LSA SID/búsqueda de nombres, etc. Esta configuración determina si el miembro del dominio intenta negociar la firma de todo el tráfico de canal seguro que inicia. Si está habilitado, el miembro del dominio solicitará la firma de todo el tráfico de canal seguro. Si el controlador de dominio admite la firma de todo el tráfico de canal seguro, se firmará todo el tráfico de canal seguro, lo que garantiza que no se pueda alterar en tránsito.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_DisableMachineAccountPasswordChanges

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

Miembro de dominio: deshabilitar los cambios de contraseña de la cuenta de equipo Determina si un miembro de dominio cambia periódicamente la contraseña de su cuenta de equipo.

  • Si esta configuración está habilitada, el miembro del dominio no intenta cambiar la contraseña de su cuenta de equipo.

  • Si esta configuración está deshabilitada, el miembro del dominio intenta cambiar la contraseña de su cuenta de equipo según lo especificado por la configuración de Miembro de dominio: Antigüedad máxima para la contraseña de la cuenta de equipo, que de forma predeterminada es cada 30 días. Notas Esta configuración de seguridad no debe estar habilitada. Las contraseñas de cuenta de equipo se usan para establecer comunicaciones de canal seguras entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Una vez establecido, el canal seguro se usa para transmitir información confidencial necesaria para tomar decisiones de autenticación y autorización. Esta configuración no debe usarse en un intento de admitir escenarios de arranque dual que usen la misma cuenta de equipo. Si quiere dos instalaciones de arranque dual que están unidas al mismo dominio, asigne a las dos instalaciones nombres de equipo diferentes.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_MaximumMachineAccountPasswordAge

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

Miembro de dominio: antigüedad máxima de contraseña de la cuenta de equipo Esta configuración de seguridad determina la frecuencia con la que un miembro de dominio intentará cambiar la contraseña de su cuenta de equipo. Valor predeterminado: 30 días.

Importante

Esta configuración se aplica a los equipos con Windows 2000, pero no está disponible a través de las herramientas de seguridad Configuration Manager de estos equipos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 30

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: duración máxima de contraseña de cuenta de equipo
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

DomainMember_RequireStrongSessionKey

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

Miembro del dominio: requiere una clave de sesión segura (Windows 2000 o posterior) Esta configuración de seguridad determina si se requiere una intensidad de clave de 128 bits para los datos de canal seguro cifrados. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Después, cuando se inicia el sistema, usa la contraseña de la cuenta de equipo para crear un canal seguro con un controlador de dominio dentro del dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso a través de NTLM, LSA SID/name Lookup, etc. Dependiendo de la versión de Windows que se ejecute en el controlador de dominio con el que se comunica el miembro de dominio y de la configuración de los parámetros: Miembro del dominio: Cifrar o firmar digitalmente datos de canal seguro (siempre) Miembro del dominio: Cifrar digitalmente datos de canal seguro (cuando sea posible) Se cifrará parte o toda la información que se transmite a través del canal seguro. Esta configuración de directiva determina si se requiere o no una intensidad de clave de 128 bits para la información de canal segura cifrada.

  • Si esta configuración está habilitada, el canal seguro no se establecerá a menos que se pueda realizar el cifrado de 128 bits.

  • Si esta configuración está deshabilitada, la intensidad de la clave se negocia con el controlador de dominio. Importante Para aprovechar esta directiva en estaciones de trabajo y servidores miembros, todos los controladores de dominio que constituyen el dominio del miembro deben ejecutar Windows 2000 o posterior. Para aprovechar esta directiva en los controladores de dominio, todos los controladores de dominio del mismo dominio, así como todos los dominios de confianza, deben ejecutar Windows 2000 o posterior.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Inicio de sesión interactivo:Mostrar información de usuario cuando la sesión está bloqueada Nombre para mostrar de usuario, nombres de dominio y de usuario (1) Solo nombre para mostrar de usuario (2) No mostrar información de usuario (3) Nombres de dominio y de usuario solo (4)

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Nombre para mostrar de usuario, nombres de dominio y de usuario.
2 Solo nombre para mostrar de usuario.
3 No muestre información del usuario.
4 Solo nombres de dominio y de usuario.

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_DoNotDisplayLastSignedIn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Inicio de sesión interactivo: no muestre la última sesión iniciada Esta configuración de seguridad determina si la pantalla de inicio de sesión de Windows mostrará el nombre de usuario de la última persona que inició sesión en este equipo.

  • Si esta directiva está habilitada, no se mostrará el nombre de usuario.

  • Si esta directiva está deshabilitada, se mostrará el nombre de usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado (se mostrará el nombre de usuario).
1 Habilitado (no se mostrará el nombre de usuario).

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: no mostrar el último inicio de sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_DoNotDisplayUsernameAtSignIn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Inicio de sesión interactivo: no muestre el nombre de usuario en el inicio de sesión Esta configuración de seguridad determina si el nombre de usuario de la persona que inicia sesión en este equipo aparece en el inicio de sesión de Windows, después de escribir las credenciales y antes de que se muestre el escritorio del equipo.

  • Si esta directiva está habilitada, no se mostrará el nombre de usuario.

  • Si esta directiva está deshabilitada, se mostrará el nombre de usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado (se mostrará el nombre de usuario).
1 (valor predeterminado) Habilitado (no se mostrará el nombre de usuario).

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: no mostrar el nombre de usuario al iniciar sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_DoNotRequireCTRLALTDEL

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Inicio de sesión interactivo: no necesita CTRL+ALT+DEL Esta configuración de seguridad determina si es necesario presionar CTRL+ALT+SUPR para que un usuario pueda iniciar sesión.

  • Si esta directiva está habilitada en un equipo, no es necesario que un usuario presione CTRL+ALT+SUPR para iniciar sesión. No tener que presionar CTRL+ALT+SUPR deja a los usuarios susceptibles a ataques que intentan interceptar las contraseñas de los usuarios. Si se requiere CTRL+ALT+SUPR antes de que los usuarios inicien sesión, se garantiza que los usuarios se comuniquen mediante una ruta de acceso de confianza al escribir sus contraseñas.

  • Si esta directiva está deshabilitada, cualquier usuario debe presionar CTRL+ALT+SUPR antes de iniciar sesión en Windows. Valor predeterminado en equipos de dominio: habilitado: al menos Windows 8 o deshabilitado: Windows 7 o versiones anteriores. Valor predeterminado en equipos independientes: habilitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitado (no es necesario que un usuario presione CTRL+ALT+SUPR para iniciar sesión).

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: no necesita CTRL+ALT+SUPR
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_MachineAccountLockoutThreshold

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

Inicio de sesión interactivo: umbral de cuenta de máquina. La directiva de bloqueo de máquina solo se aplica en aquellas máquinas que tienen BitLocker habilitado para proteger los volúmenes del sistema operativo. Asegúrese de que están habilitadas las directivas de copia de seguridad de contraseñas de recuperación adecuadas. Esta configuración de seguridad determina el número de intentos de inicio de sesión erróneos que hace que la máquina se bloquee. Una máquina bloqueada solo se puede recuperar proporcionando la clave de recuperación en la consola. Puede establecer el valor entre 1 y 999 intentos de inicio de sesión erróneos. Si establece el valor en 0, la máquina nunca se bloqueará. Los valores de 1 a 3 se interpretarán como 4. Los intentos de contraseña erróneos en estaciones de trabajo o servidores miembros que se han bloqueado mediante CTRL+ALT+DELETE o protectores de pantalla protegidos con contraseña cuentan como intentos de inicio de sesión erróneos. La directiva de bloqueo de máquina solo se aplica en aquellas máquinas que tienen BitLocker habilitado para proteger los volúmenes del sistema operativo. Asegúrese de que están habilitadas las directivas de copia de seguridad de contraseñas de recuperación adecuadas. Valor predeterminado: 0.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: umbral de bloqueo de cuenta del equipo
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_MachineInactivityLimit

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Inicio de sesión interactivo: límite de inactividad de la máquina. Windows observa la inactividad de una sesión de inicio de sesión y, si la cantidad de tiempo de inactividad supera el límite de inactividad, se ejecutará el protector de pantalla, bloqueando la sesión. Valor predeterminado: no aplicado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-599940]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: límite de inactividad del equipo
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Validar:

Valores válidos: de 0 a 599940, donde el valor es la cantidad de tiempo de inactividad (en segundos) después del cual se bloqueará la sesión. Si se establece en cero (0), la configuración está deshabilitada.

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión En esta configuración de seguridad se especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión. Este texto se usa a menudo por razones legales, por ejemplo, para advertir a los usuarios sobre las consecuencias de usar erróneamente la información de la empresa o para advertirles de que sus acciones pueden ser auditadas. Valor predeterminado: no hay ningún mensaje.

Importante

El aprovisionamiento previo de Windows Autopilot no funciona cuando esta configuración de directiva está habilitada. Para obtener más información, consulta Preguntas más frecuentes sobre la solución de problemas de Windows Autopilot.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Inicio de sesión interactivo: el título del mensaje para los usuarios que intentan iniciar sesión en Esta configuración de seguridad permite que la especificación de un título aparezca en la barra de título de la ventana que contiene el inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión. Valor predeterminado: no hay ningún mensaje.

Importante

El aprovisionamiento previo de Windows Autopilot no funciona cuando esta configuración de directiva está habilitada. Para obtener más información, consulta Preguntas más frecuentes sobre la solución de problemas de Windows Autopilot.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

InteractiveLogon_NumberOfPreviousLogonsToCache

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

Inicio de sesión interactivo: número de inicios de sesión anteriores para almacenar en caché (en caso de que el controlador de dominio no esté disponible) La información de inicio de sesión de cada usuario único se almacena en caché localmente para que, en caso de que un controlador de dominio no esté disponible durante los intentos de inicio de sesión posteriores, pueda iniciar sesión. La información de inicio de sesión almacenada en caché se almacena desde la sesión de inicio de sesión anterior. Si un controlador de dominio no está disponible y la información de inicio de sesión de un usuario no está almacenada en caché, se le pedirá al usuario este mensaje: Actualmente no hay ningún servidor de inicio de sesión disponible para atender la solicitud de inicio de sesión. En esta configuración de directiva, un valor de 0 deshabilita el almacenamiento en caché de inicio de sesión. Cualquier valor superior a 50 solo almacena en caché 50 intentos de inicio de sesión. Windows admite un máximo de 50 entradas de caché y el número de entradas consumidas por usuario depende de la credencial. Por ejemplo, un máximo de 50 cuentas de usuario de contraseña únicas se pueden almacenar en caché en un sistema Windows, pero solo se pueden almacenar en caché 25 cuentas de usuario de tarjeta inteligente porque se almacenan tanto la información de contraseña como la información de la tarjeta inteligente. Cuando un usuario con información de inicio de sesión en caché vuelve a iniciar sesión, se reemplaza la información en caché individual del usuario. Valor predeterminado: Windows Server 2008: 25 Todas las demás versiones: 10.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Inicio de sesión interactivo: solicitar al usuario que cambie la contraseña antes de la expiración Determina con qué antelación (en días) se advierte a los usuarios de que su contraseña está a punto de expirar. Con esta advertencia anticipada, el usuario tiene tiempo para construir una contraseña suficientemente segura. Valor predeterminado: 5 días.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 5

InteractiveLogon_SmartCardRemovalBehavior

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Inicio de sesión interactivo: comportamiento de eliminación de tarjeta inteligente Esta configuración de seguridad determina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Las opciones son: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. Si hace clic en Forzar cierre de sesión en el cuadro de diálogo Propiedades de esta directiva, el usuario se cerrará automáticamente cuando se quite la tarjeta inteligente. Si hace clic en Desconectar si hay una sesión de Servicios de Escritorio remoto, la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. Esto permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo.

Nota

Servicios de Escritorio remoto se denominaba Terminal Services en versiones anteriores de Windows Server. Valor predeterminado: esta directiva no está definida, lo que significa que el sistema la trata como Ninguna acción. En Windows Vista y versiones posteriores: para que esta configuración funcione, se debe iniciar el servicio directiva de eliminación de tarjeta inteligente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Sin acción.
1 Bloquear estación de trabajo.
2 Forzar cierre de sesión.
3 Desconecte si una sesión de Servicios de Escritorio remoto.

Asignación de directivas de grupo:

Nombre Valor
Nombre Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) Esta configuración de seguridad determina si el componente de cliente SMB requiere la firma de paquetes. El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de permitir una comunicación adicional con un servidor SMB.

  • Si esta configuración está habilitada, el cliente de red de Microsoft no se comunicará con un servidor de red de Microsoft a menos que ese servidor acepte realizar la firma de paquetes SMB.

  • Si esta directiva está deshabilitada, la firma de paquetes SMB se negocia entre el cliente y el servidor. Importante Para que esta directiva surta efecto en equipos que ejecutan Windows 2000, también debe habilitarse la firma de paquetes del lado cliente. Para habilitar la firma de paquetes SMB del lado cliente, establezca Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de acuerdo).

Nota

Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. En sistemas operativos Windows 2000 y versiones posteriores, la habilitación o la necesidad de la firma de paquetes para los componentes SMB de cliente y servidor se controla mediante las cuatro opciones de configuración siguientes: Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes. Cliente de red de Microsoft: firma digitalmente las comunicaciones (si el servidor está de acuerdo): controla si el componente SMB del lado cliente tiene habilitada la firma de paquetes. Servidor de red de Microsoft: firma digitalmente comunicaciones (siempre): controla si el componente SMB del lado servidor requiere o no la firma de paquetes. Servidor de red de Microsoft: firma digitalmente las comunicaciones (si el cliente está de acuerdo): controla si el componente SMB del lado servidor tiene habilitada la firma de paquetes. La firma de paquetes SMB puede degradar significativamente el rendimiento de SMB, en función de la versión del dialecto, la versión del sistema operativo, los tamaños de archivo, las funcionalidades de descarga del procesador y los comportamientos de E/S de la aplicación. Para obtener más información, consulte:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Cliente de red de Microsoft: firma digitalmente las comunicaciones (si el servidor está de acuerdo) Esta configuración de seguridad determina si el cliente SMB intenta negociar la firma de paquetes SMB. El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta configuración de directiva determina si el componente de cliente SMB intenta negociar la firma de paquetes SMB cuando se conecta a un servidor SMB.

  • Si esta configuración está habilitada, el cliente de red de Microsoft pedirá al servidor que realice la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes se ha habilitado en el servidor, se negociará la firma de paquetes.

  • Si esta directiva está deshabilitada, el cliente SMB nunca negociará la firma de paquetes SMB. Notas Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. En Windows 2000 y versiones posteriores, la habilitación o la necesidad de la firma de paquetes para los componentes SMB de cliente y servidor se controla mediante las cuatro opciones de configuración de directiva siguientes: cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes. Cliente de red de Microsoft: firma digitalmente las comunicaciones (si el servidor está de acuerdo): controla si el componente SMB del lado cliente tiene habilitada la firma de paquetes. Servidor de red de Microsoft: firma digitalmente comunicaciones (siempre): controla si el componente SMB del lado servidor requiere o no la firma de paquetes. Servidor de red de Microsoft: firma digitalmente las comunicaciones (si el cliente está de acuerdo): controla si el componente SMB del lado servidor tiene habilitada la firma de paquetes. Si está habilitada la firma SMB del lado cliente y del lado servidor y el cliente establece una conexión SMB 1.0 con el servidor, se intentará firmar SMB. La firma de paquetes SMB puede degradar significativamente el rendimiento de SMB, en función de la versión del dialecto, la versión del sistema operativo, los tamaños de archivo, las funcionalidades de descarga del procesador y los comportamientos de E/S de la aplicación. Esta configuración solo se aplica a las conexiones SMB 1.0. Para obtener más información, consulte:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitar.
0 Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Cliente de red de Microsoft: enviar contraseña sin cifrar para conectarse a servidores SMB de terceros Si esta configuración de seguridad está habilitada, el redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no cifrado a servidores SMB que no son de Microsoft que no admiten el cifrado de contraseñas durante la autenticación. El envío de contraseñas sin cifrar supone un riesgo para la seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Servidor de red de Microsoft: cantidad de tiempo de inactividad necesario antes de suspender una sesión Esta configuración de seguridad determina la cantidad de tiempo de inactividad continua que debe pasar en una sesión de Bloque de mensajes del servidor (SMB) antes de que se suspenda la sesión debido a la inactividad. Los administradores pueden usar esta directiva para controlar cuándo un equipo suspende una sesión SMB inactiva. Si se reanuda la actividad del cliente, la sesión se restablece automáticamente. Para esta configuración de directiva, un valor de 0 significa desconectar una sesión inactiva lo más rápido posible. El valor máximo es 99999, que es de 208 días; en efecto, este valor deshabilita la directiva. Valor predeterminado: esta directiva no está definida, lo que significa que el sistema la trata como 15 minutos para los servidores y no definida para las estaciones de trabajo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-99999]
Valor predeterminado 99999

Asignación de directivas de grupo:

Nombre Valor
Nombre Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre) Esta configuración de seguridad determina si el componente de servidor SMB requiere la firma de paquetes. El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de permitir una comunicación adicional con un cliente SMB.

  • Si esta configuración está habilitada, el servidor de red de Microsoft no se comunicará con un cliente de red de Microsoft a menos que ese cliente acepte realizar la firma de paquetes SMB.

  • Si esta configuración está deshabilitada, la firma de paquetes SMB se negocia entre el cliente y el servidor. Valor predeterminado: deshabilitado para servidores miembros. Habilitado para controladores de dominio.

Nota

Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. En Windows 2000 y versiones posteriores, la habilitación o la necesidad de la firma de paquetes para los componentes SMB de cliente y servidor se controla mediante las cuatro opciones de configuración de directiva siguientes: cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes. Cliente de red de Microsoft: firma digitalmente las comunicaciones (si el servidor está de acuerdo): controla si el componente SMB del lado cliente tiene habilitada la firma de paquetes. Servidor de red de Microsoft: firma digitalmente comunicaciones (siempre): controla si el componente SMB del lado servidor requiere o no la firma de paquetes. Servidor de red de Microsoft: firma digitalmente las comunicaciones (si el cliente está de acuerdo): controla si el componente SMB del lado servidor tiene habilitada la firma de paquetes. Del mismo modo, si se requiere la firma SMB del lado cliente, ese cliente no podrá establecer una sesión con servidores que no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado servidor solo está habilitada en controladores de dominio. Si la firma SMB del lado servidor está habilitada, la firma de paquetes SMB se negociará con los clientes que tengan habilitada la firma SMB del lado cliente. La firma de paquetes SMB puede degradar significativamente el rendimiento de SMB, en función de la versión del dialecto, la versión del sistema operativo, los tamaños de archivo, las funcionalidades de descarga del procesador y los comportamientos de E/S de la aplicación.

Importante

Para que esta directiva surta efecto en los equipos que ejecutan Windows 2000, también se debe habilitar la firma de paquetes del lado servidor. Para habilitar la firma de paquetes SMB del lado servidor, establezca la siguiente directiva: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Para obtener más información, consulte: <https://go.microsoft.com/fwlink/?LinkID=787136>.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Servidor de red de Microsoft: firma digitalmente las comunicaciones (si el cliente está de acuerdo) Esta configuración de seguridad determina si el servidor SMB negociará la firma de paquetes SMB con los clientes que lo soliciten. El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta configuración de directiva determina si el servidor SMB negociará la firma de paquetes SMB cuando un cliente SMB lo solicite.

  • Si esta configuración está habilitada, el servidor de red de Microsoft negociará la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si se ha habilitado la firma de paquetes en el cliente, se negociará la firma de paquetes.

  • Si esta directiva está deshabilitada, el cliente SMB nunca negociará la firma de paquetes SMB. solo en controladores de dominio.

Importante

Para que los servidores de Windows 2000 negocien la firma con clientes de Windows NT 4.0, el siguiente valor del Registro debe establecerse en 1 en el servidor que ejecuta Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notas Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. Para Windows 2000 y versiones posteriores, la habilitación o necesidad de la firma de paquetes para los componentes SMB de cliente y servidor se controla mediante las cuatro opciones de configuración siguientes: Cliente de red de Microsoft: Firmar digitalmente comunicaciones (siempre): controla si el componente SMB del lado cliente requiere o no la firma de paquetes. Cliente de red de Microsoft: firma digitalmente las comunicaciones (si el servidor está de acuerdo): controla si el componente SMB del lado cliente tiene habilitada la firma de paquetes. Servidor de red de Microsoft: firma digitalmente comunicaciones (siempre): controla si el componente SMB del lado servidor requiere o no la firma de paquetes. Servidor de red de Microsoft: firma digitalmente las comunicaciones (si el cliente está de acuerdo): controla si el componente SMB del lado servidor tiene habilitada la firma de paquetes. Si está habilitada la firma SMB del lado cliente y del lado servidor y el cliente establece una conexión SMB 1.0 con el servidor, se intentará firmar SMB. La firma de paquetes SMB puede degradar significativamente el rendimiento de SMB, en función de la versión del dialecto, la versión del sistema operativo, los tamaños de archivo, las funcionalidades de descarga del procesador y los comportamientos de E/S de la aplicación. Esta configuración solo se aplica a las conexiones SMB 1.0. Para obtener más información, consulte:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Servidor de red de Microsoft: desconecte los clientes cuando expiren las horas de inicio de sesión Esta configuración de seguridad determina si se deben desconectar los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes del servidor (SMB). Cuando esta directiva está habilitada, hace que las sesiones de cliente con el servicio SMB se desconecten por la fuerza cuando expiren las horas de inicio de sesión del cliente.

  • Si esta directiva está deshabilitada, se permite mantener una sesión de cliente establecida después de que las horas de inicio de sesión del cliente hayan expirado. Valor predeterminado en Windows Vista y versiones posteriores: habilitado. Valor predeterminado en Windows XP: deshabilitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Servidor de red de Microsoft: nivel de validación de nombre de destino de SPN del servidor Esta configuración de directiva controla el nivel de validación que un equipo con carpetas compartidas o impresoras (el servidor) realiza en el nombre de entidad de seguridad de servicio (SPN) que proporciona el equipo cliente cuando establece una sesión mediante el protocolo de bloque de mensajes del servidor (SMB). El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresión y otras operaciones de red, como la administración remota de Windows. El protocolo SMB admite la validación del nombre principal de servicio del servidor SMB (SPN) dentro del blob de autenticación proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB denominados ataques de retransmisión SMB. Esta configuración afectará tanto a SMB1 como a SMB2. Esta configuración de seguridad determina el nivel de validación que realiza un servidor SMB en el nombre principal de servicio (SPN) proporcionado por el cliente SMB al intentar establecer una sesión en un servidor SMB. Las opciones son: Desactivado: el SPN no es necesario ni validado por el servidor SMB desde un cliente SMB. Aceptar si lo proporciona el cliente: el servidor SMB aceptará y validará el SPN proporcionado por el cliente SMB y permitirá que se establezca una sesión si coincide con la lista de SPN del servidor SMB por sí mismo. Si el SPN NO coincide, se denegará la solicitud de sesión para ese cliente SMB. Requerido desde el cliente: el cliente SMB DEBE enviar un nombre SPN en la configuración de la sesión y el nombre de SPN proporcionado DEBE coincidir con el servidor SMB que se solicita para establecer una conexión. Si el cliente no proporciona ningún SPN o el SPN proporcionado no coincide, se deniega la sesión. Valor predeterminado: todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. Esta configuración afecta al comportamiento de SMB del servidor y su implementación debe evaluarse y probarse cuidadosamente para evitar interrupciones en las funcionalidades de servicio de archivos e impresión. Puede encontrar información adicional sobre cómo implementar y usar esto para proteger los servidores SMB en el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-2]
Valor predeterminado 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

Acceso a la red: permitir la traducción de nombres o SID anónimos Esta configuración de directiva determina si un usuario anónimo puede solicitar atributos de identificador de seguridad (SID) para otro usuario.

  • Si esta directiva está habilitada, un usuario anónimo puede solicitar el atributo SID para otro usuario. Un usuario anónimo con conocimiento del SID de un administrador podría ponerse en contacto con un equipo que tenga habilitada esta directiva y usar el SID para obtener el nombre del administrador. Esta configuración afecta tanto a la traducción de SID a nombre como a la traducción de nombre a SID.

  • Si esta configuración de directiva está deshabilitada, un usuario anónimo no puede solicitar el atributo SID para otro usuario. Valor predeterminado en estaciones de trabajo y servidores miembros: deshabilitado. Valor predeterminado en los controladores de dominio que ejecutan Windows Server 2008 o posterior: Deshabilitado. Valor predeterminado en los controladores de dominio que ejecutan Windows Server 2003 R2 o versiones anteriores: Habilitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso a la red: permitir la traducción de nombres o SID anónimos
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Acceso a la red: no permita la enumeración anónima de cuentas SAM Esta configuración de seguridad determina qué permisos adicionales se concederán para las conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto resulta conveniente, por ejemplo, cuando un administrador quiere conceder acceso a los usuarios de un dominio de confianza que no mantiene una confianza recíproca. Esta opción de seguridad permite aplicar restricciones adicionales a las conexiones anónimas como se indica a continuación: Habilitado: No permitir la enumeración de cuentas SAM. Esta opción reemplaza Todos con Usuarios autenticados en los permisos de seguridad de los recursos. Deshabilitado: no hay restricciones adicionales. Confíe en los permisos predeterminados. Valor predeterminado en estaciones de trabajo: habilitado. Valor predeterminado en server:Enabled.

Importante

Esta directiva no afecta a los controladores de dominio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitada.
0 Deshabilitado.

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso a la red: no permitir la enumeración anónima de cuentas SAM
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Acceso a la red: no permita la enumeración anónima de cuentas SAM y recursos compartidos Esta configuración de seguridad determina si se permite la enumeración anónima de cuentas SAM y recursos compartidos. Windows permite a los usuarios anónimos realizar determinadas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto resulta conveniente, por ejemplo, cuando un administrador quiere conceder acceso a los usuarios de un dominio de confianza que no mantiene una confianza recíproca. Si no desea permitir la enumeración anónima de cuentas SAM y recursos compartidos, habilite esta directiva.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitado.
0 (Predeterminado) Deshabilitado.

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso a la red: no permitir la enumeración anónima de cuentas y recursos compartidos sam
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Acceso a la red: no permita el almacenamiento de contraseñas y credenciales para la autenticación de red Esta configuración de seguridad determina si el Administrador de credenciales guarda contraseñas y credenciales para su uso posterior cuando obtiene la autenticación de dominio.

  • Si habilita esta configuración, el Administrador de credenciales no almacena contraseñas ni credenciales en el equipo.

  • Si deshabilita o no establece esta configuración de directiva, el Administrador de credenciales almacenará contraseñas y credenciales en este equipo para su uso posterior para la autenticación de dominio.

Nota

Al configurar esta configuración de seguridad, los cambios no surtirá efecto hasta que reinicie Windows.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Acceso a la red: permitir que todos los permisos se apliquen a usuarios anónimos Esta configuración de seguridad determina qué permisos adicionales se conceden para las conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto resulta conveniente, por ejemplo, cuando un administrador quiere conceder acceso a los usuarios de un dominio de confianza que no mantiene una confianza recíproca. De forma predeterminada, el identificador de seguridad Todos (SID) se quita del token creado para las conexiones anónimas. Por lo tanto, los permisos concedidos al grupo Todos no se aplican a los usuarios anónimos. Si se establece esta opción, los usuarios anónimos solo pueden acceder a los recursos para los que se ha concedido explícitamente permiso al usuario anónimo.

  • Si esta directiva está habilitada, el SID Todos se agrega al token que se crea para las conexiones anónimas. En este caso, los usuarios anónimos pueden acceder a cualquier recurso para el que se hayan concedido permisos al grupo Todos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima Esta configuración de seguridad determina qué sesiones de comunicación (canalizaciones) tendrán atributos y permisos que permiten el acceso anónimo. Valor predeterminado: Ninguno.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

Acceso a la red: rutas de acceso del Registro accesibles de forma remota Esta configuración de seguridad determina a qué claves del Registro se puede acceder a través de la red, independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) de la clave del Registro winreg. Valor predeterminado: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Precaución al editar incorrectamente el registro puede dañar gravemente el sistema. Antes de realizar cambios en el registro, debe realizar una copia de seguridad de los datos con valores en el equipo.

Nota

Esta configuración de seguridad no está disponible en versiones anteriores de Windows. La configuración de seguridad que aparece en los equipos que ejecutan Windows XP, "Acceso a la red: rutas de acceso del Registro accesibles de forma remota", corresponde a la opción de seguridad "Acceso a la red: rutas de acceso del Registro y rutas secundarias accesibles remotamente" en los miembros de la familia Windows Server 2003. Para obtener más información, vea Acceso a la red: rutas de acceso del Registro y subpaths accesibles de forma remota.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Acceso a la red: rutas de acceso del Registro y subpaths accesibles de forma remota Esta configuración de seguridad determina a qué rutas de acceso y subtrabatos del Registro se puede acceder a través de la red, independientemente de los usuarios o grupos enumerados en la lista de control de acceso (ACL) de la clave del Registro winreg. Predeterminado: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Precaución Al editar incorrectamente el registro puede dañar gravemente el sistema. Antes de realizar cambios en el registro, debe realizar una copia de seguridad de los datos con valores en el equipo.

Nota

En Windows XP, esta configuración de seguridad se denominaba "Acceso a la red: rutas de acceso del Registro accesibles de forma remota". Si configura esta configuración en un miembro de la familia de Windows Server 2003 que está unido a un dominio, esta configuración la heredan los equipos que ejecutan Windows XP, pero aparecerá como la opción de seguridad "Acceso a la red: rutas de acceso del Registro accesibles de forma remota". Para obtener más información, vea Acceso a la red: rutas de acceso del Registro y subpaths accesibles de forma remota.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Acceso de red: restringir el acceso anónimo a canalizaciones y recursos compartidos con nombre Cuando está habilitado, esta configuración de seguridad restringe el acceso anónimo a recursos compartidos y canalizaciones a la configuración de: Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima Acceso a la red: Recursos compartidos a los que se puede acceder de forma anónima

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitar.
0 Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso a redes: restringir el acceso anónimo a canalizaciones con nombre y recursos compartidos
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Acceso a la red: restrinja los clientes que pueden realizar llamadas remotas a SAM Esta configuración de directiva le permite restringir las conexiones rpc remotas a SAM. Si no está seleccionado, se usará el descriptor de seguridad predeterminado. Esta directiva se admite al menos en Windows Server 2016.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Asignación de directivas de grupo:

Nombre Valor
Nombre Acceso de red: restringir los clientes con permiso para realizar llamadas remotas a SAM
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkAccess_SharesThatCanBeAccessedAnonymously

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

Acceso a la red: recursos compartidos a los que se puede acceder de forma anónima Esta configuración de seguridad determina a qué recursos compartidos de red pueden acceder los usuarios anónimos. Valor predeterminado: no se especificó ninguno.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

Acceso a la red: modelo de uso compartido y seguridad para cuentas locales Esta configuración de seguridad determina cómo se autentican los inicios de sesión de red que usan cuentas locales. Si esta configuración se establece en Clásico, los inicios de sesión de red que usan credenciales de cuenta local se autentican con esas credenciales. El modelo clásico permite un control preciso sobre el acceso a los recursos. Mediante el modelo clásico, puede conceder diferentes tipos de acceso a distintos usuarios para el mismo recurso. Si esta configuración se establece en Solo invitado, los inicios de sesión de red que usan cuentas locales se asignan automáticamente a la cuenta de invitado. Mediante el modelo invitado, puede hacer que todos los usuarios se traten por igual. Todos los usuarios se autentican como invitado y todos reciben el mismo nivel de acceso a un recurso determinado, que puede ser de solo lectura o modificar. Valor predeterminado en los equipos de dominio: clásico. Valor predeterminado en equipos independientes: solo es importante para invitados Con el modelo de solo invitado, cualquier usuario que pueda acceder a su equipo a través de la red (incluidos los usuarios anónimos de Internet) puede acceder a los recursos compartidos. Debe usar firewall de Windows u otro dispositivo similar para proteger el equipo del acceso no autorizado. Del mismo modo, con el modelo clásico, las cuentas locales deben estar protegidas con contraseña; De lo contrario, cualquiera puede usar esas cuentas de usuario para acceder a los recursos del sistema compartido.

Nota

Esta configuración no afecta a los inicios de sesión interactivos que se realizan de forma remota mediante servicios como Telnet o Servicios de Escritorio remoto. Servicios de Escritorio remoto se denominaba Terminal Services en versiones anteriores de Windows Server. Esta directiva no afectará a los equipos que ejecutan Windows 2000. Cuando el equipo no está unido a un dominio, esta configuración también modifica las pestañas Uso compartido y Seguridad de Explorador de archivos para que se correspondan con el modelo de uso compartido y seguridad que se usa.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

Seguridad de red: permitir que la reserva de sesión LOCALSystem NULL permita que NTLM vuelva a la sesión NULL cuando se use con LocalSystem. El valor predeterminado es TRUE hasta Windows Vista y FALSE en Windows 7.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Seguridad de red: permitir que el sistema local use la identidad del equipo para NTLM Esta configuración de directiva permite que los servicios del sistema local que usan Negotiate usen la identidad del equipo al revertir a la autenticación NTLM.

  • Si habilita esta configuración de directiva, los servicios que se ejecutan como sistema local que usan Negotiate usarán la identidad del equipo. Esto puede provocar que se produzcan errores en algunas solicitudes de autenticación entre sistemas operativos Windows y se registre un error.

  • Si deshabilita esta configuración de directiva, los servicios que se ejecutan como sistema local que usan Negotiate al revertir a la autenticación NTLM se autenticarán de forma anónima. De forma predeterminada, esta directiva está habilitada en Windows 7 y versiones posteriores. De forma predeterminada, esta directiva está deshabilitada en Windows Vista. Esta directiva se admite al menos en Windows Vista o Windows Server 2008.

Nota

Windows Vista o Windows Server 2008 no exponen esta configuración en directiva de grupo.

  • Cuando un servicio se conecta con la identidad del dispositivo, se admite la firma y el cifrado para proporcionar protección de datos.
  • Cuando un servicio se conecta de forma anónima, se crea una clave de sesión generada por el sistema, que no proporciona ninguna protección, pero permite que las aplicaciones firmen y cifren los datos sin errores. La autenticación anónima usa una sesión NULL, que es una sesión con un servidor en el que no se realiza ninguna autenticación de usuario; y, por lo tanto, se permite el acceso anónimo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Permitir.
0 Bloquear.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: permitir que LocalSystem use la identidad del equipo para NTLM
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_AllowPKU2UAuthenticationRequests

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Seguridad de red: permite que las solicitudes de autenticación PKU2U a este equipo usen identidades en línea. Esta directiva se desactivará de forma predeterminada en las máquinas unidas a un dominio. Esto impediría que las identidades en línea se autenticaran en el equipo unido al dominio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Bloquear.
1 (valor predeterminado) Permitir.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: permite que las solicitudes de autenticación PKU2U a este equipo usen identidades en línea.
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Nota

Esta directiva está en desuso y puede quitarse en una versión futura.

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Seguridad de red: no almacene el valor hash de LAN Manager en el siguiente cambio de contraseña. Esta configuración de seguridad determina si, en el siguiente cambio de contraseña, se almacena el valor hash del Administrador de LAN (LM) para la nueva contraseña. El hash lm es relativamente débil y propenso a ataques, en comparación con el hash de Windows NT criptográficamente más seguro. Dado que el hash LM se almacena en el equipo local de la base de datos de seguridad, las contraseñas se pueden poner en peligro si se ataca la base de datos de seguridad. Valor predeterminado en Windows Vista y versiones posteriores: habilitado predeterminado en Windows XP: deshabilitado.

Importante

Windows 2000 Service Pack 2 (SP2) y versiones posteriores ofrecen compatibilidad con la autenticación con versiones anteriores de Windows, como Microsoft Windows NT 4.0. Esta configuración puede afectar a la capacidad de los equipos que ejecutan Windows 2000 Server, Windows 2000 Professional, Windows XP y la familia Windows Server 2003 para comunicarse con equipos que ejecutan Windows 95 y Windows 98.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitar.
0 Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: no almacene el valor hash del Administrador de LAN en el siguiente cambio de contraseña.
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de sesión Esta configuración de seguridad determina si se deben desconectar los usuarios que están conectados al equipo local fuera del horario de inicio de sesión válido de su cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes del servidor (SMB). Cuando esta directiva está habilitada, hace que las sesiones de cliente con el servidor SMB se desconecten por la fuerza cuando expiren las horas de inicio de sesión del cliente.

  • Si esta directiva está deshabilitada, se permite mantener una sesión de cliente establecida después de que las horas de inicio de sesión del cliente hayan expirado. Nota: Esta configuración de seguridad se comporta como una directiva de cuenta. En el caso de las cuentas de dominio, solo puede haber una directiva de cuenta. La directiva de cuenta debe definirse en la directiva de dominio predeterminada y la aplican los controladores de dominio que componen el dominio. Un controlador de dominio siempre extrae la directiva de cuenta de la directiva de dominio predeterminada directiva de grupo objeto (GPO), incluso si hay una directiva de cuenta diferente aplicada a la unidad organizativa que contiene el controlador de dominio. De forma predeterminada, las estaciones de trabajo y los servidores que están unidos a un dominio (por ejemplo, equipos miembros) también reciben la misma directiva de cuenta para sus cuentas locales. Sin embargo, las directivas de cuenta locales para equipos miembros pueden ser diferentes de la directiva de cuenta de dominio mediante la definición de una directiva de cuenta para la unidad organizativa que contiene los equipos miembros. La configuración de Kerberos no se aplica a los equipos miembros.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitar.
0 Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_LANManagerAuthenticationLevel

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Nivel de autenticación de LAN Manager de seguridad de red Esta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red. Esta opción afecta al nivel de protocolo de autenticación utilizado por los clientes, al nivel de seguridad de sesión negociado y al nivel de autenticación aceptado por los servidores de la siguiente manera: Enviar respuestas LM y NTLM: los clientes usan la autenticación LM y NTLM y nunca usan la seguridad de sesión NTLMv2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Send LM y NTLM: use la seguridad de sesión NTLMv2 si se negocia: los clientes usan la autenticación LM y NTLM y usan la seguridad de sesión NTLMv2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLM: los clientes usan solo la autenticación NTLM y usan la seguridad de sesión NTLMv2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLMv2: los clientes usan solo la autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLMv2\denegar LM: los clientes usan solo la autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor lo admite; los controladores de dominio rechazan LM (solo aceptan autenticación NTLM y NTLMv2). Enviar solo respuesta NTLMv2\denegar LM y NTLM: los clientes usan solo la autenticación NTLMv2 y usan la seguridad de sesión NTLMv2 si el servidor lo admite; los controladores de dominio rechazan LM y NTLM (solo aceptan la autenticación NTLMv2).

Importante

Esta configuración puede afectar a la capacidad de los equipos que ejecutan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003 para comunicarse con equipos que ejecutan Windows NT 4.0 y versiones anteriores a través de la red. Por ejemplo, en el momento de escribir este artículo, los equipos que ejecutan Windows NT 4.0 SP4 y versiones anteriores no admitieron NTLMv2. Los equipos que ejecutan Windows 95 y Windows 98 no admitieron NTLM. Valor predeterminado: Windows 2000 y Windows XP: enviar respuestas LM y NTLM Windows Server 2003: Enviar respuesta NTLM solo Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2: Enviar solo respuesta NTLMv2.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 3

Valores permitidos:

Valor Descripción
0 Enviar respuestas LM y NTLM.
1 Enviar LM y NTLM-use NTLMv2 seguridad de sesión si se negocia.
2 Enviar solo respuestas LM y NTLM.
3 (valor predeterminado) Envíe solo respuestas LM y NTLMv2.
4 Envíe solo respuestas LM y NTLMv2. Rehúsa LM.
5 Envíe solo respuestas LM y NTLMv2. Rechace LM y NTLM.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: nivel de autenticación de LAN Manager
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_LDAPClientSigningRequirements

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

Seguridad de red: Requisitos de firma de cliente LDAP Esta configuración de seguridad determina el nivel de firma de datos solicitado en nombre de los clientes que emiten solicitudes LDAP BIND, como se indica a continuación: Ninguno: La solicitud LDAP BIND se emite con las opciones especificadas por el autor de la llamada. Negociar firma: si no se ha iniciado la capa de seguridad de la capa de transporte/Capa de sockets seguros (TLS\SSL), la solicitud LDAP BIND se inicia con la opción de firma de datos LDAP establecida además de las opciones especificadas por el autor de la llamada. Si se ha iniciado TLS\SSL, la solicitud LDAP BIND se inicia con las opciones especificadas por el autor de la llamada. Requerir firma: esto es lo mismo que la firma de Negotiate. Sin embargo, si la respuesta saslBindInProgress intermedia del servidor LDAP no indica que se requiere la firma de tráfico LDAP, se indica al autor de la llamada que se produjo un error en la solicitud del comando LDAP BIND.

Precaución

Si establece el servidor en Requerir firma, también debe establecer el cliente. Si no se establece el cliente, se pierde la conexión con el servidor.

Nota

Esta configuración no afecta a ldap_simple_bind ni a ldap_simple_bind_s. Ningún cliente LDAP de Microsoft que se incluye con Windows XP Professional usa ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio. Valor predeterminado: negociar la firma.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-2]
Valor predeterminado 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Seguridad de red: seguridad de sesión mínima para clientes de SSP NTLM (incluido RPC seguro) Esta configuración de seguridad permite a un cliente requerir la negociación del cifrado de 128 bits o la seguridad de sesión NTLMv2. Estos valores dependen del valor de configuración de la configuración de nivel de autenticación de LAN Manager. Las opciones son: Requerir seguridad de sesión NTLMv2: se producirá un error en la conexión si no se negocia el protocolo NTLMv2. Requerir cifrado de 128 bits: la conexión producirá un error si no se negocia el cifrado seguro (128 bits). Valor predeterminado: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 y Windows Server 2008: Sin requisitos. Windows 7 y Windows Server 2008 R2: requieren cifrado de 128 bits.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 536870912

Valores permitidos:

Valor Descripción
0 Ninguna.
524288 Requerir seguridad de sesión NTLMv2.
536870912 (valor predeterminado) Requerir cifrado de 128 bits.
537395200 Requerir NTLM y cifrado de 128 bits.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Seguridad de red: seguridad de sesión mínima para servidores SSP ntlm basados (incluido RPC seguro) Esta configuración de seguridad permite a un servidor requerir la negociación del cifrado de 128 bits o la seguridad de sesión NTLMv2. Estos valores dependen del valor de configuración de la configuración de nivel de autenticación de LAN Manager. Las opciones son: Requerir seguridad de sesión NTLMv2: se producirá un error en la conexión si no se negocia la integridad del mensaje. Requerir cifrado de 128 bits. Se producirá un error en la conexión si no se negocia el cifrado seguro (128 bits). Valor predeterminado: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 y Windows Server 2008: Sin requisitos. Windows 7 y Windows Server 2008 R2: requieren cifrado de 128 bits.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 536870912

Valores permitidos:

Valor Descripción
0 Ninguna.
524288 Requerir seguridad de sesión NTLMv2.
536870912 (valor predeterminado) Requerir cifrado de 128 bits.
537395200 Requerir NTLM y cifrado de 128 bits.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura)
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Seguridad de red: Restringir NTLM: Agregue excepciones de servidor remoto para la autenticación NTLM Esta configuración de directiva le permite crear una lista de excepciones de servidores remotos a los que los clientes pueden usar la autenticación NTLM si se configura la configuración de directiva "Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos".

  • Si configura esta configuración de directiva, puede definir una lista de servidores remotos a los que los clientes pueden usar la autenticación NTLM.

  • Si no configura esta configuración de directiva, no se aplicará ninguna excepción. El formato de nomenclatura de los servidores de esta lista de excepciones es el nombre de dominio completo (FQDN) o el nombre de servidor NetBIOS utilizado por la aplicación, enumerado uno por línea. Para asegurarse de que las excepciones el nombre usado por todas las aplicaciones debe estar en la lista y para asegurarse de que una excepción es precisa, el nombre del servidor debe aparecer en ambos formatos de nomenclatura. Un solo asterisco (*) se puede usar en cualquier lugar de la cadena como carácter comodín.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para autenticación NTLM
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante Esta configuración de directiva le permite auditar el tráfico NTLM entrante. Si selecciona "Deshabilitar" o no configura esta configuración de directiva, el servidor no registrará eventos para el tráfico NTLM entrante. Si selecciona "Habilitar la auditoría para cuentas de dominio", el servidor registrará los eventos de las solicitudes de autenticación de paso a través de NTLM que se bloquearían cuando la configuración de directiva "Seguridad de red: Restringir NTLM: tráfico NTLM entrante" se establezca en la opción "Denegar todas las cuentas de dominio". Si selecciona "Habilitar la auditoría para todas las cuentas", el servidor registrará eventos para todas las solicitudes de autenticación NTLM que se bloquearían cuando la configuración de directiva "Network Security: Restrict NTLM: Incoming NTLM traffic" (Seguridad de red: restringir NTLM: tráfico NTLM entrante) esté establecida en la opción "Denegar todas las cuentas". Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2.

Nota

Los eventos de auditoría se registran en este equipo en el registro "Operativo" que se encuentra en el Registro de aplicaciones y servicios/Microsoft/Windows/NTLM.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitar.
1 Habilite la auditoría para las cuentas de dominio.
2 Habilite la auditoría para todas las cuentas.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Seguridad de red: Restringir NTLM: tráfico NTLM entrante Esta configuración de directiva permite denegar o permitir el tráfico NTLM entrante. Si selecciona "Permitir todo" o no configura esta configuración de directiva, el servidor permitirá todas las solicitudes de autenticación NTLM. Si selecciona "Denegar todas las cuentas de dominio", el servidor denegará las solicitudes de autenticación NTLM para el inicio de sesión de dominio y mostrará un error NTLM bloqueado, pero permitirá el inicio de sesión de la cuenta local. Si selecciona "Denegar todas las cuentas", el servidor denegará las solicitudes de autenticación NTLM del tráfico entrante y mostrará un error NTLM bloqueado. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2.

Nota

Los eventos de bloqueo se registran en este equipo en el registro "Operativo" ubicado en el Registro de aplicaciones y servicios/Microsoft/Windows/NTLM.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permitir todo.
1 Denegar todas las cuentas de dominio.
2 Denegar todas las cuentas.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: restringir NTLM: tráfico NTLM entrante
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos Esta configuración de directiva permite denegar o auditar el tráfico NTLM saliente desde este equipo Windows 7 o este windows server 2008 R2 a cualquier servidor remoto de Windows. Si selecciona "Permitir todo" o no configura esta configuración de directiva, el equipo cliente puede autenticar las identidades en un servidor remoto mediante la autenticación NTLM. Si selecciona "Auditar todo", el equipo cliente registra un evento para cada solicitud de autenticación NTLM en un servidor remoto. Esto le permite identificar los servidores que reciben solicitudes de autenticación NTLM desde el equipo cliente. Si selecciona "Denegar todo", el equipo cliente no puede autenticar identidades en un servidor remoto mediante la autenticación NTLM. Puede usar la configuración de directiva "Seguridad de red: Restringir NTLM: Agregar excepciones de servidor remoto para la autenticación NTLM" para definir una lista de servidores remotos a los que los clientes pueden usar la autenticación NTLM. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2.

Nota

Los eventos de auditoría y bloqueo se registran en este equipo en el registro "Operativo" ubicado en el Registro de aplicaciones y servicios/Microsoft/Windows/NTLM.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permitir todo.
1 Denegar todas las cuentas de dominio.
2 Denegar todas las cuentas.

Asignación de directivas de grupo:

Nombre Valor
Nombre Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

RecoveryConsole_AllowAutomaticAdministrativeLogon

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

Consola de recuperación: permitir inicio de sesión administrativo automático Esta configuración de seguridad determina si se debe proporcionar la contraseña de la cuenta de administrador antes de conceder acceso al sistema. Si esta opción está habilitada, la consola de recuperación no requiere que proporcione una contraseña y se inicia sesión automáticamente en el sistema. Valor predeterminado: esta directiva no está definida y no se permite el inicio de sesión administrativo automático.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Consola de recuperación: permitir el inicio de sesión administrativo automático
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Consola de recuperación: permita la copia de disquetes y el acceso a todas las unidades y carpetas. Al habilitar esta opción de seguridad, el comando SET de la consola de recuperación está disponible, lo que le permite establecer las siguientes variables de entorno de la consola de recuperación: AllowWildCards: habilitar la compatibilidad con caracteres comodín para algunos comandos (como el comando DEL). AllowAllPaths: permite el acceso a todos los archivos y carpetas del equipo. AllowRemovableMedia: permite copiar archivos en medios extraíbles, como un disquete. NoCopyPrompt: no solicite al sobrescribir un archivo existente. Valor predeterminado: esta directiva no está definida y el comando SET de la consola de recuperación no está disponible.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Apagado: permite apagar el sistema sin tener que iniciar sesión Esta configuración de seguridad determina si un equipo se puede apagar sin tener que iniciar sesión en Windows. Cuando esta directiva está habilitada, el comando Apagar está disponible en la pantalla de inicio de sesión de Windows. Cuando esta directiva está deshabilitada, la opción para apagar el equipo no aparece en la pantalla de inicio de sesión de Windows. En este caso, los usuarios deben poder iniciar sesión en el equipo correctamente y tener el derecho Apagar el usuario del sistema antes de poder realizar un apagado del sistema. Valor predeterminado en estaciones de trabajo: habilitado. Valor predeterminado en los servidores: deshabilitado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitado (permitir que el sistema se apague sin tener que iniciar sesión).

Asignación de directivas de grupo:

Nombre Valor
Nombre Apagado: permitir apagar el sistema sin tener que iniciar sesión
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Shutdown_ClearVirtualMemoryPageFile

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Apagado: borrar archivo de página de memoria virtual Esta configuración de seguridad determina si el archivo de página de memoria virtual se borra cuando se apaga el sistema. La compatibilidad con memoria virtual usa un archivo de página del sistema para intercambiar páginas de memoria en disco cuando no se usan. En un sistema en ejecución, este archivo de página lo abre exclusivamente el sistema operativo y está bien protegido. Sin embargo, es posible que los sistemas configurados para permitir el arranque en otros sistemas operativos tengan que asegurarse de que el archivo de página del sistema se borre cuando este sistema se apague. Esto garantiza que la información confidencial de la memoria de proceso que podría entrar en el archivo de página no esté disponible para un usuario no autorizado que administre el acceso directo al archivo de página. Cuando esta directiva está habilitada, hace que el archivo de página del sistema se borre tras el apagado limpio. Si habilita esta opción de seguridad, el archivo de hibernación (hiberfil.sys) también se desactiva cuando la hibernación está deshabilitada.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Apagado: borrar el archivo de paginación de la memoria virtual
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

SystemCryptography_ForceStrongKeyProtection

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

Criptografía del sistema: forzar la protección de claves segura para las claves de usuario almacenadas en el equipo Esta configuración de seguridad determina si las claves privadas de los usuarios requieren que se use una contraseña. Las opciones son: La entrada de usuario no es necesaria cuando se almacenan nuevas claves y se usa El usuario se pregunta cuándo se usa la clave por primera vez. El usuario debe escribir una contraseña cada vez que use una clave Para obtener más información, consulte Infraestructura de clave pública. Valor predeterminado: esta directiva no está definida.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-2]
Valor predeterminado 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Objetos del sistema: requieren insensibilidad de mayúsculas y minúsculas para subsistemas que no son de Windows Esta configuración de seguridad determina si se aplica la insensibilidad de mayúsculas y minúsculas para todos los subsistemas. El subsistema Win32 no distingue mayúsculas de minúsculas. Sin embargo, el kernel admite la distinción entre mayúsculas y minúsculas para otros subsistemas, como POSIX. Si esta configuración está habilitada, se aplica la insensibilidad de mayúsculas y minúsculas para todos los objetos de directorio, vínculos simbólicos y objetos de E/S, incluidos los objetos de archivo. Deshabilitar esta configuración no permite que el subsistema Win32 distinga mayúsculas de minúsculas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Objetos del sistema: refuerce los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos) Esta configuración de seguridad determina la solidez de la lista de control de acceso discrecional (DACL) predeterminada para los objetos. Active Directory mantiene una lista global de recursos del sistema compartido, como nombres de dispositivos DOS, exclusión mutua y semáforos. De este modo, los objetos se pueden ubicar y compartir entre los procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede acceder a los objetos y qué permisos se conceden.

  • Si esta directiva está habilitada, la DACL predeterminada es más segura, lo que permite a los usuarios que no son administradores leer objetos compartidos, pero no permitir que estos usuarios modifiquen objetos compartidos que no crearon.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Control de cuentas de usuario: permite que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro. Esta configuración de directiva controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación usadas por un usuario estándar.

  • Habilitado: los programas UIA, incluida la asistencia remota de Windows, deshabilitan automáticamente el escritorio seguro para los avisos de elevación. Si no deshabilita la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro al solicitar elevación", las solicitudes aparecen en el escritorio del usuario interactivo en lugar del escritorio seguro.

  • Deshabilitado: (Valor predeterminado) El escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o deshabilitar la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro al solicitar elevación".

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado.
1 Habilitado (permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro).

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Control de cuentas de usuario: comportamiento de la solicitud de elevación para los administradores que se ejecutan con protección de administrador. Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los administradores. Las opciones son:

  • Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba una credencial con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.

  • Solicitar consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir cambios o No permitir. Si el usuario selecciona Permitir cambios, la operación continúa con el privilegio más alto disponible del usuario.

Nota

Cuando está habilitada la protección del administrador, esta directiva invalida UserAccountControl_BehaviorOfTheElevationPromptForAdministrators directiva.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Solicite credenciales en el escritorio seguro.
2 Solicitar consentimiento en el escritorio seguro.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: comportamiento de la solicitud de elevación para los administradores que se ejecutan con protección de administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Control de cuentas de usuario: comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los administradores. Las opciones son:

  • Elevar sin preguntar: permite que las cuentas con privilegios realicen una operación que requiere elevación sin necesidad de consentimiento ni credenciales.

    Nota

    Use esta opción solo en los entornos más restringidos.

  • Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.

  • Solicitar consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

  • Solicitar credenciales: cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.

  • Solicitar consentimiento: cuando una operación requiere la elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

  • Solicitar consentimiento para archivos binarios que no son de Windows: (valor predeterminado) Cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

Nota

Cuando la protección del administrador está habilitada, UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection directiva invalida este comportamiento de directiva.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 5

Valores permitidos:

Valor Descripción
0 Elévalo sin preguntar.
1 Solicite credenciales en el escritorio seguro.
2 Solicitar consentimiento en el escritorio seguro.
3 Solicite credenciales.
4 Solicitar consentimiento.
5 (valor predeterminado) Solicitar consentimiento para archivos binarios que no sean de Windows.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Control de cuentas de usuario: comportamiento del símbolo del sistema de elevación de los usuarios estándar Esta configuración de directiva controla el comportamiento de la solicitud de elevación de los usuarios estándar. Las opciones son:

  • Solicitud de credenciales: (valor predeterminado) Cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.

  • Denegar automáticamente solicitudes de elevación: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta opción para reducir las llamadas del departamento de soporte técnico.

  • Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 3

Valores permitidos:

Valor Descripción
0 Denegar automáticamente las solicitudes de elevación.
1 Solicite credenciales en el escritorio seguro.
3 (valor predeterminado) Solicite credenciales.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Control de cuentas de usuario: detecte instalaciones de aplicaciones y solicite elevación Esta configuración de directiva controla el comportamiento de la detección de la instalación de la aplicación para el equipo. Las opciones son: Habilitado: (Valor predeterminado) Cuando se detecta un paquete de instalación de la aplicación que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. Deshabilitado: los paquetes de instalación de la aplicación no se detectan y se les solicita elevación. Las empresas que ejecutan escritorios de usuario estándar y usan tecnologías de instalación delegada como directiva de grupo Instalación de software o Systems Management Server (SMS) deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Habilitar.
0 Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Control de cuentas de usuario: eleva solo los archivos ejecutables firmados y validados Esta configuración de directiva aplica comprobaciones de firma de infraestructura de clave pública (PKI) para las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores empresariales pueden controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de certificados de publicadores de confianza en equipos locales. Las opciones son:

  • Habilitado: aplica la validación de la ruta de certificación PKI para un archivo ejecutable determinado antes de que se pueda ejecutar.

  • Deshabilitado: (valor predeterminado) No aplica la validación de la ruta de certificación PKI antes de que se permita ejecutar un archivo ejecutable determinado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado: no aplica la validación.
1 Habilitado: aplica la validación.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Control de cuentas de usuario: eleva solo las aplicaciones de UIAccess instaladas en ubicaciones seguras Esta configuración de directiva controla si las aplicaciones que solicitan ejecutarse con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema de archivos. Las ubicaciones seguras se limitan a lo siguiente: - .. \Archivos de programa, incluidas las subcarpetas : .. \Windows\system32\ - .. \Archivos de programa (x86), incluidas las subcarpetas para las versiones de 64 bits de Windows Nota: Windows aplica una comprobación de firma de infraestructura de clave pública (PKI) en cualquier aplicación interactiva que solicite ejecutarse con un nivel de integridad UIAccess independientemente del estado de esta configuración de seguridad. Las opciones son:

  • Habilitado: (valor predeterminado) Si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con la integridad de UIAccess.

  • Deshabilitado: una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación segura en el sistema de archivos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado: la aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación segura.
1 (valor predeterminado) Habilitado: la aplicación se ejecuta con integridad de UIAccess solo si reside en una ubicación segura.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Control de cuentas de usuario: active Administración modo de aprobación Esta configuración de directiva controla el comportamiento de toda la configuración de directiva de Control de cuentas de usuario (UAC) para el equipo. Si cambia esta configuración de directiva, debe reiniciar el equipo. Las opciones son:

  • Habilitado: (valor predeterminado) Administración modo de aprobación está habilitado. Esta directiva debe estar habilitada y la configuración de directiva de UAC relacionada también debe establecerse adecuadamente para permitir que la cuenta de administrador integrada y todos los demás usuarios que son miembros del grupo Administradores se ejecuten en Administración modo de aprobación.

  • Deshabilitado: Administración modo de aprobación y todas las configuraciones de directiva de UAC relacionadas están deshabilitadas.

Nota

Si esta configuración de directiva está deshabilitada, Security Center le notifica que se ha reducido la seguridad general del sistema operativo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitada.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Control de cuenta de usuario: cambie al escritorio seguro al solicitar elevación Esta configuración de directiva controla si el símbolo del sistema de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro. Las opciones son:

  • Habilitado: (Valor predeterminado) Todas las solicitudes de elevación van al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para administradores y usuarios estándar.

  • Deshabilitado: todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitada.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_TypeOfAdminApprovalMode

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

Control de cuentas de usuario: configure el tipo de modo de aprobación de Administración. Esta configuración de directiva controla si la protección del administrador se aplica a las elevaciones del modo de aprobación del administrador. Si cambia esta configuración de directiva, debe reiniciar el equipo. Esta directiva solo se admite en Windows Desktop, no en Server. Las opciones son: - Administración modo de aprobación se ejecuta en modo heredado (valor predeterminado). - Administración modo de aprobación se ejecuta con la protección del administrador.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Modo de aprobación Administración heredado.
2 Administración modo de aprobación con protección de administrador.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: configurar el tipo de modo de aprobación de Administración
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_UseAdminApprovalMode

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Control de cuentas de usuario: use Administración modo de aprobación para la cuenta de administrador integrada Esta configuración de directiva controla el comportamiento de Administración modo de aprobación para la cuenta de administrador integrada. Las opciones son:

  • Habilitado: la cuenta de administrador integrada usa Administración modo de aprobación. De forma predeterminada, cualquier operación que requiera la elevación de privilegios pedirá al usuario que apruebe la operación.

  • Deshabilitado: (valor predeterminado) La cuenta de administrador integrada ejecuta todas las aplicaciones con privilegios administrativos completos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Habilitar.
0 (Predeterminado) Deshabilitar.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Control de cuentas de usuario: Virtualizar errores de escritura de archivos y registros en ubicaciones por usuario Esta configuración de directiva controla si los errores de escritura de la aplicación se redirigen a ubicaciones definidas del sistema de archivos y del registro. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32 o HKLM\Software. Las opciones son:

  • Habilitado: (valor predeterminado) Los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.

  • Deshabilitado: se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitada.

Asignación de directivas de grupo:

Nombre Valor
Nombre Control de cuentas de usuario: virtualizar errores de escritura de archivos y de Registro para ubicaciones por usuario
Ruta de acceso Opciones de seguridad de directivas > locales de configuración > de > Windows

Proveedor de servicios de configuración de directivas