File name: | wsecedit.dll.mui |
Size: | 497152 byte |
MD5: | b8010a853747ec546ca94fe53fbe5de3 |
SHA1: | 071e16c1f9457c9417608d25fe95331af5fc40b8 |
SHA256: | 9dd38a4a90de5e8497d1a263beca19a6309a36f49ae1e48a8d60064b38ae6835 |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Spanish (Modern) language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Spanish (Modern) | English |
---|---|---|
1 | Clase de extensión WSecEdit | WSecEdit Extension Class |
2 | Nombre | Name |
3 | Descripción | Description |
4 | Directiva | Policy |
5 | Configuración de la base de datos | Database Setting |
6 | Configuración del equipo | Computer Setting |
7 | Plantilla de seguridad | Security Template |
8 | Plantillas | Templates |
9 | Última configuración o análisis | Last Configuration/Analysis |
10 | Plantillas de seguridad definidas para configurar o analizar un equipo. | Security templates defined to configure or analyze a computer. |
12 | Directiva de seguridad | Security Policy |
13 | Asignación de derechos de usuario | User Rights Assignment |
14 | Grupos restringidos | Restricted Groups |
15 | Servicios del sistema | System Services |
16 | Registro | Registry |
17 | Sistema de archivos | File System |
19 | Asignaciones de derechos de usuario | User rights assignments |
21 | Configuración de servicios del sistema | System service settings |
22 | Configuración de seguridad del Registro | Registry security settings |
23 | Configuración de seguridad del sistema de archivos | File system security settings |
24 | Plantillas de seguridad | Security Templates |
25 | (no guardado) | (not saved) |
26 | Configuración de seguridad | Security Settings |
27 | Clase de configuración de seguridad WSecEdit | WSecEdit Security Configuration Class |
28 | Clase de administrador de seguridad WSecEdit | WSecEdit Security Manager Class |
29 | ¿Está seguro de que desea eliminar %s? | Are you sure you want to delete %s? |
30 | ¿Desea eliminar todos los elementos seleccionados? | Do you want to delete all selected items? |
31 | Anali&zar el equipo ahora... Compara la configuración del equipo actual y la de seguridad guardada en la base de datos |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | &Exportar plantilla... Exporta la plantilla base para el equipo actual |
&Export Template... Exports the base template for the current computer |
35 | Agregar arc&hivos... Agrega nuevos archivos a esta plantilla |
Add Fi&les... Adds new files to this template |
36 | &Nueva ruta de acceso de búsqueda de plantillas... Agrega una ubicación de plantillas a la ruta de acceso de búsqueda de las plantillas de seguridad.(.inf: formato INF) |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | &Nueva plantilla... Crea una nueva plantilla |
&New Template... Creates a new template |
38 | Quita&r ruta de acceso Quita la ubicación seleccionada de la ruta de acceso de búsqueda |
&Remove Path Removes the selected location from the search path |
39 | Actuali&zar Actualiza esta ubicación para mostrar plantillas agregadas recientemente |
Re&fresh Updates this location to display recently added templates |
40 | Con&figurar el equipo ahora... Configura el equipo de acuerdo con la plantilla seleccionada |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | Windows no puede importar la plantilla desde '%s' | Windows cannot import the template from %s |
43 | Guardar &como... Guarda la plantilla con un nombre nuevo |
Save &As... Saves the template with a new name |
44 | &Copiar Copia la información de plantilla seleccionada en el Portapapeles |
&Copy Copies the selected template information to the Clipboard |
45 | &Pegar Pega la información del Portapapeles en la plantilla |
&Paste Pastes Clipboard information into the template |
46 | GPO de origen | Source GPO |
47 | Actualiza&r Actualiza los datos |
&Refresh Refreshes data |
48 | Es necesaria la seguridad para agregar este objeto | Security is required to add this object |
49 | Windows no importar la plantilla de seguridad | Windows cannot import the security template |
50 | Directiva de contraseñas | Password Policy |
51 | Vigencia máxima de la contraseña días |
Maximum password age days |
52 | Vigencia mínima de la contraseña días |
Minimum password age days |
53 | Longitud mínima de la contraseña caracteres |
Minimum password length characters |
54 | Exigir historial de contraseñas contraseñas recordadas |
Enforce password history passwords remembered |
55 | La contraseña debe cumplir los requisitos de complejidad | Password must meet complexity requirements |
56 | El usuario debe iniciar sesión para cambiar la contraseña | User must log on to change the password |
57 | Directiva de bloqueo de cuenta | Account Lockout Policy |
58 | Umbral de bloqueo de cuenta intentos de inicio de sesión no válidos |
Account lockout threshold invalid logon attempts |
59 | Restablecer el bloqueo de cuenta después de minutos |
Reset account lockout counter after minutes |
60 | Duración del bloqueo de cuenta minutos |
Account lockout duration minutes |
61 | ¿Desea eliminar esta plantilla? | Do you want to delete this template? |
62 | La base de datos no está cargada. | The database is not loaded. |
63 | Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión | Network security: Force logoff when logon hours expire |
65 | Cuentas: cambiar el nombre de la cuenta de administrador | Accounts: Rename administrator account |
67 | Cuentas: cambiar el nombre de cuenta de invitado | Accounts: Rename guest account |
68 | Volver a cargar Volver a cargar las tablas de directivas efectivas y locales desde la base de datos de directivas |
Reload Reloads the local and effective policy tables from the policy database |
69 | Nombre de grupo | Group Name |
70 | Registro de eventos | Event Log |
71 | Tamaño máximo del registro del sistema kilobytes |
Maximum system log size kilobytes |
72 | Método de retención del registro del sistema | Retention method for system log |
73 | Conservar el registro del sistema días |
Retain system log days |
74 | Tamaño máximo del registro de seguridad kilobytes |
Maximum security log size kilobytes |
75 | Método de retención del registro de seguridad | Retention method for security log |
76 | Conservar el registro de seguridad días |
Retain security log days |
77 | Tamaño máximo del registro de la aplicación kilobytes |
Maximum application log size kilobytes |
78 | Método de retención del registro de la aplicación | Retention method for application log |
79 | Conservar el registro de aplicaciones días |
Retain application log days |
80 | Apagar el equipo cuando se llena el registro de auditorías de seguridad | Shut down the computer when the security audit log is full |
81 | Directiva de auditoría | Audit Policy |
82 | Modo de auditoría de eventos | Event Auditing Mode |
83 | Auditar eventos del sistema | Audit system events |
84 | Auditar eventos de inicio de sesión | Audit logon events |
85 | Auditar el acceso a objetos | Audit object access |
86 | Auditar el uso de privilegios | Audit privilege use |
87 | Auditar el cambio de directivas | Audit policy change |
88 | Auditar la administración de cuentas | Audit account management |
89 | Auditar el seguimiento de procesos | Audit process tracking |
90 | Opciones de seguridad | Security Options |
92 | No está definido | Not Defined |
95 | No se puede agregar miembros | Cannot add members |
96 | No se puede mostrar la seguridad | Cannot display security |
97 | No se puede agregar usuarios | Cannot add users |
98 | No se puede agregar un objeto de directorio | Cannot add directory object |
99 | No se puede agregar una carpeta | Cannot add a folder |
100 | -- Miembros | -- Members |
102 | El nombre de archivo contiene algunos caracteres que no se pueden reconocer por el idioma actual del equipo. Debe cambiarle el nombre. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Permiso | Permission |
104 | Auditar | Audit |
106 | Windows no puede agregar un archivo. | Windows cannot add a file. |
107 | El nombre de plantilla no es válido. | The template name is not valid. |
108 | Error al exportar la plantilla almacenada. | An error occurred while exporting the stored template. |
109 | Windows no puede agregar una clave del Registro | Windows cannot add a registry key |
110 | Control total | Full Control |
111 | Modificar | Modify |
112 | Leer y ejecutar | Read and Execute |
113 | Listar el contenido de la carpeta | List Folder Contents |
114 | Leer | Read |
115 | Escribir | Write |
116 | Atravesar carpeta o ejecutar archivo | Traverse Folder/Execute File |
117 | Eliminar | Delete |
120 | Ninguno | None |
124 | Consultar valor | Query Value |
125 | Establecer valor | Set Value |
126 | Crear subclave | Create Subkey |
127 | Enumerar subclaves | Enumerate Subkeys |
128 | Notificar | Notify |
129 | Crear vínculo | Create Link |
130 | Ejecutar | Execute |
131 | No se puede crear un subproceso | Cannot create a thread |
132 | No se pudieron validar las siguientes cuentas: %1 |
The following accounts could not be validated: %1 |
141 | Nombre de archivo de registro | Log File Name |
143 | Realizar análisis de seguridad | Perform Security Analysis |
144 | Configuración de las directivas de seguridad | Security policy settings |
146 | Configuración y análisis de seguridad v1.0 |
Security Configuration and Analysis v1.0 |
147 | Configuración y análisis de seguridad es una herramienta administrativa que se usa para asegurar un equipo y analizar las características de su seguridad. Puede crear o modificar una plantilla de seguridad, aplicarla, realizar análisis basados en una plantilla y mostrar los resultados del análisis. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | El último análisis se realizó el |
Last analysis was performed on |
149 | Descripción de la configuración de seguridad de base: |
Base security configuration description: |
150 | La siguiente plantilla configuró el equipo. No se ha realizado el análisis. |
The computer was configured by the following template. Analysis was not performed. |
151 | No se ha configurado ni analizado la base de datos con la opción Configuración y análisis de seguridad. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | Acerca de Configuración y análisis de seguridad | About Security Configuration and Analysis |
153 | Acerca de Último análisis | About Last Analysis |
154 | Agregar una ubicación de plantillas a las plantillas de seguridad | Add a Template Location to Security Templates |
165 | Nombre del objeto | Object Name |
166 | Valores inconsistentes | Inconsistent Values |
168 | Abrir plantilla | Open Template |
169 | Plantilla de seguridad (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Abrir archivo de registro de errores | Open Error Log File |
172 | log | log |
173 | Archivos de registro (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | Windows no puede abrir el archivo de la plantilla. | Windows cannot open template file. |
195 | Windows no puede leer la información de la plantilla. | Windows cannot read template information. |
196 | No hay información de análisis en la base de datos seleccionada para mostrar. Use la opción del menú Analizar para empezar a usar esta herramienta. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | Según se necesite | As needed |
199 | Por días | By days |
200 | Manualmente | Manually |
201 | Habilitada | Enabled |
202 | Deshabilitada | Disabled |
203 | Activo | On |
204 | Inactivo | Off |
210 | Miembros | Members |
211 | Miembro de | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | Correcto | Succeeded |
229 | Error desconocido | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Tener acceso a este equipo desde la red | Access this computer from the network |
234 | Permitir el inicio de sesión local | Allow log on locally |
235 | Error al guardar | Failed to save |
236 | &Guardar Guarda la plantilla |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Agregar carpeta | Add Folder |
239 | Agregar carp&eta... Agrega una nueva carpeta a esta plantilla |
Add &Folder... Adds a new folder to this template |
240 | Agregar c&lave... Agrega una nueva clave a esta plantilla |
Add &Key... Adds a new key to this template |
241 | Agregar g&rupo... Agrega un grupo nuevo a esta plantilla |
Add &Group... Adds a new group to this template |
248 | Nombre de servicio | Service Name |
249 | Inicio | Startup |
250 | Analizado | Analyzed |
251 | Configurado | Configured |
252 | Automático | Automatic |
253 | Manual | Manual |
254 | Aceptar | OK |
255 | Investigar | Investigate |
256 | Seguridad de base de datos para | Database Security for |
257 | Última seguridad analizada para | Last Analyzed Security for |
258 | Seguridad para | Security for |
262 | Pertenencia a grupos | Group Membership |
263 | Miembros de este grupo | Members of this group |
266 | Directivas de cuenta | Account Policies |
267 | Directivas de bloqueo de contraseña y cuenta | Password and account lockout policies |
268 | Directivas locales | Local Policies |
269 | Directivas de opciones de seguridad, derechos de usuario y auditoría | Auditing, user rights and security options policies |
271 | Configuración del Registro de eventos y Visor de eventos | Event Log settings and Event Viewer |
272 | Auditar el acceso al servicio de directorio | Audit directory service access |
273 | Auditar eventos de inicio de sesión de cuenta | Audit account logon events |
275 | Evitar que el grupo de invitados locales tenga acceso al registro del sistema | Prevent local guests group from accessing system log |
276 | Evitar que el grupo de invitados locales tenga acceso al registro de seguridad | Prevent local guests group from accessing security log |
277 | Evitar que el grupo de invitados locales tenga acceso al registro de aplicaciones | Prevent local guests group from accessing application log |
278 | Siempre | Always |
281 | Omitir | Ignore |
284 | Reemplazar | Replace |
286 | Iniciar sesión como proceso por lotes | Log on as a batch job |
287 | Iniciar sesión como servicio | Log on as a service |
288 | Objetos Active Directory | Active Directory Objects |
289 | Administración de seguridad de objetos Active Directory | Security management of Active Directory objects |
290 | Agregar objeto Active &Directory Agrega un objeto Active Directory a esta plantilla |
Add Directory &Object Adds an Active Directory object to this template |
293 | Listar carpeta / Leer datos | List folder / Read data |
294 | Atributos de lectura | Read attributes |
295 | Atributos extendidos de lectura | Read extended attributes |
296 | Crear archivos / Escribir datos | Create files / Write data |
297 | Crear carpetas / Anexar datos | Create folders / Append data |
298 | Atributos de escritura | Write attributes |
299 | Atributos extendidos de escritura | Write extended attributes |
300 | Eliminar subcarpetas y archivos | Delete subfolders and files |
302 | Permisos de lectura | Read permissions |
303 | Cambiar permisos | Change permissions |
304 | Tomar posesión | Take ownership |
305 | Sincronizar | Synchronize |
306 | Leer, escribir y ejecutar | Read, Write and Execute |
307 | Escribir y ejecutar | Write and Execute |
308 | Recorrer / Ejecutar | Traverse / Execute |
309 | Solo esta carpeta | This folder only |
310 | Esta carpeta, subcarpetas y archivos | This folder, subfolders and files |
311 | Esta carpeta y subcarpetas | This folder and subfolders |
312 | Esta carpeta y archivos | This folder and files |
313 | Solo subcarpetas y archivos | Subfolders and files only |
314 | Solo subcarpetas | Subfolders only |
315 | Solo archivos | Files only |
316 | Solo esta clave | This key only |
317 | Esta clave y sus subclaves | This key and subkeys |
318 | Solo las subclaves | Subkeys only |
321 | Iniciar, detener y poner en pausa | Start, stop and pause |
322 | Consultar plantilla | Query template |
323 | Cambiar plantilla | Change template |
324 | Estado de la consulta | Query status |
325 | Enumerar dependientes | Enumerate dependents |
326 | Iniciar | Start |
327 | Detener | Stop |
328 | Poner en pausa y continuar | Pause and continue |
329 | Interrogar | Interrogate |
330 | Control definido por el usuario | User-defined control |
335 | Crear secundarios | Create children |
336 | Eliminar secundarios | Delete children |
337 | Mostrar contenido | List contents |
338 | Agregar o quitar por sí solo | Add/remove self |
339 | Propiedades de lectura | Read properties |
340 | Propiedades de escritura | Write properties |
341 | Solo este contenedor | This container only |
342 | Este contenedor y los subcontenedores | This container and subcontainers |
343 | Solo los subcontenedores | Subcontainers only |
344 | [[Configuración de directiva de equipo local ]] | [[Local Computer Policy Configuration ]] |
345 | La cuenta no se bloqueará. | Account will not lock out. |
346 | La contraseña se puede cambiar inmediatamente. | Password can be changed immediately. |
347 | No se requiere contraseña. | No password required. |
348 | No guardar historial de contraseñas. | Do not keep password history. |
349 | La contraseña expirará en: | Password will expire in: |
350 | La contraseña se puede cambiar después de: | Password can be changed after: |
351 | La contraseña debe tener al menos: | Password must be at least: |
352 | Guardar el historial de contraseñas durante: | Keep password history for: |
353 | La cuenta se bloqueará después de: | Account will lock out after: |
354 | La cuenta se bloqueará durante: | Account is locked out for: |
355 | Sobrescribir eventos de hace más de: | Overwrite events older than: |
356 | La contraseña nunca expirará. | Password will not expire. |
357 | La cuenta está bloqueada hasta que el administrador la desbloquee. | Account is locked out until administrator unlocks it. |
359 | Almacenar contraseñas con cifrado reversible | Store passwords using reversible encryption |
360 | Directiva Kerberos | Kerberos Policy |
361 | Aplicar restricciones de inicio de sesión de usuario | Enforce user logon restrictions |
362 | Tolerancia máxima para la sincronización de los relojes de los equipos minutos |
Maximum tolerance for computer clock synchronization minutes |
363 | Vigencia máxima del vale de servicio minutos |
Maximum lifetime for service ticket minutes |
364 | Vigencia máxima del vale de usuario horas |
Maximum lifetime for user ticket hours |
365 | Vigencia máxima de renovación de vales de usuario días |
Maximum lifetime for user ticket renewal days |
366 | Agregar miembro | Add Member |
368 | Memoria insuficiente para mostrar esta sección | There is not enough memory to display this section |
369 | No se dispone de información acerca del último análisis | No information is available about the last analysis |
370 | Windows no puede guardar las plantillas cambiadas. | Windows cannot save changed templates. |
372 | Configuración y análisis de seguridad | Security Configuration and Analysis |
374 | &Importar plantilla... Importar una plantilla a esta base de datos |
&Import Template... Import a template into this database |
376 | Windows no puede crear o abrir %s | Windows cannot create or open %s |
377 | Encontrar archivo de registro de errores | Locate error log file |
378 | sdb | sdb |
379 | Archivos de base de datos de seguridad (*.sdb)|*.sdb|Todos los archivos (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Aplicar plantillas al equipo | Apply Template to Computer |
381 | Ruta de acceso al archivo de registro de errores para registrar la progresión de la configuración del equipo | Error log file path to record the progress of configuring the computer |
382 | &Seguridad... | &Security... |
383 | Editar la seguridad para este elemento | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Seguridad Modificar la seguridad de este elemento |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | Abrir base de dat&os... Abrir una base de datos nueva o existente |
O&pen Database... Open an existing or new database |
389 | Base de datos &nueva... Crear y abrir una base de datos nueva |
&New Database... Create and open a new database |
390 | Establecer &descripción... Crea una descripción para las plantillas en este directorio |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Todos los archivos (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Base de datos: %s | Database: %s |
397 | Error desconocido al intentar abrir la base de datos. | An unknown error occurred when attempting to open the database. |
398 | Antes de que pueda usar la base de datos, debe analizarla. Seleccione la opción para analizar en el menú de la base de datos. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | No existe la base de datos que está intentando abrir. En el menú Base de datos, haga clic en Importar plantilla. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | La base de datos está dañada. Para más información acerca de cómo corregir la base de datos, consulte la Ayuda en línea. | The database is corrupt. For information about fixing the database, see online Help. |
401 | No hay memoria disponible suficiente para cargar la base de datos. Cierre algunos programas e inténtelo de nuevo. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | Se ha denegado el acceso a la base de datos. A no ser que los permisos de la base de datos hayan cambiado, debe tener derechos de administración para usarla. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | ¿Desea guardar los cambios hechos a %s? | Do you want to save changes to %s? |
405 | Existe una plantilla importada aún pendiente. Para guardarla, haga clic en Cancelar y realice un análisis o una configuración antes de importar otra plantilla. Para omitirla haga clic en Aceptar. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Todos los archivos seleccionados | All Selected Files |
407 | Denegar el inicio de sesión local | Deny log on locally |
408 | Denegar el acceso a este equipo desde la red | Deny access to this computer from the network |
409 | Denegar el inicio de sesión como servicio | Deny log on as a service |
410 | Denegar el inicio de sesión como trabajo por lotes | Deny log on as a batch job |
411 | Agregar grupo | Add Group |
412 | &Grupo: | &Group: |
413 | No está analizada | Not Analyzed |
414 | Error al analizar | Error Analyzing |
416 | Configuración sugerida | Suggested Setting |
417 | Directiva local ... Crea un archivo plantilla desde la configuración de directiva local |
Local Policy ... Create template file from the local policy settings |
418 | Directiva efectiva ... Crea un archivo plantilla desde la configuración de directiva efectiva |
Effective Policy ... Create template file from the effective policy settings |
419 | Configuración y análisis de seguridad Abrir una base de datos existente Haga clic con el botón secundario en el elemento del ámbito Configuración y análisis de seguridad Haga clic en Abrir base de datos Seleccione una y haga clic en Abrir Para crear una nueva base de datos Haga clic con el botón secundario en el elemento del ámbito Configuración y análisis de seguridad Haga clic en Abrir base de datos Escriba el nombre de una nueva base de datos y haga clic en Abrir Seleccione una plantilla de seguridad para importar y haga clic en Abrir | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | No existe la base de datos que está intentando abrir. | The database you are attempting to open does not exist. |
423 | Puede crear una base de datos de directivas local eligiendo Importar directiva desde el menú de comandos Configuración de seguridad. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | Se ha denegado el acceso a la base de datos. | Access to database has been denied. |
425 | Ver el arc&hivo de registro Alternar la vista entre el archivo de registro y el árbol de carpetas cuando la configuración de seguridad y el nodo de análisis están seleccionados |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Puede configurar o analizar el equipo con la información de esta base de datos. Para configurar el equipoHaga clic con el botón secundario en el elemento del ámbito Configuración y análisis de seguridad Seleccione Configurar el equipo ahoraEn el diálogo, escriba el nombre del archivo de registro que desea ver y haga clic en AceptarNota: cuando la configuración se complete, debe realizar un análisis para ver la información en su base de datos.Para analizar la seguridad de su equipo Haga clic con el botón secundario en el elemento del ámbito Configuración y análisis de seguridad Seleccione Analizar el equipo ahoraEscriba la ruta del archivo de registro en el diálogo y haga clic en AceptarNota: para ver el archivo de registro creado durante la configuración o análisis, seleccione Mostrar archivo de registro en el menú de contexto de Configuración y análisis de seguridad. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Error al leer la ubicación | Error Reading Location |
429 | Configuración de directiva | Policy Setting |
430 | &Asistente para seguridad... Asistente para rol de servidor seguro |
Secure &Wizard... Secure Server Role Wizard |
431 | Windows no puede importar la plantilla incorrecta %s | Windows cannot import invalid template %s |
432 | Cuentas: estado de la cuenta de administrador | Accounts: Administrator account status |
433 | Cuentas: estado de la cuenta de invitado | Accounts: Guest account status |
434 | Propiedades | Properties |
435 | El nombre de usuario no es válido. Está vacío o no puede contener ninguno de los caracteres siguientes: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Sin mínimo | No minimum |
437 | Los nombres de grupo o de usuario no pueden contener ninguno de los caracteres siguientes: %1 |
User and group names may not contain any of the following characters: %1 |
438 | El sistema no encuentra la ruta de acceso especificada: %1 |
The system can not find the path specified: %1 |
439 | El nombre de archivo no puede contener ninguno de los caracteres siguientes: %1 |
File name may not contain any of the following characters: %1 |
440 | Debe seleccionar un modo de inicio. | A startup mode must be selected. |
441 | El objeto "%1" no se puede eliminar porque una ventana abierta está mostrando sus propiedades. Para eliminar este objeto, cierre la ventana y seleccione de nuevo "Eliminar". |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Configurar pertenencia a %.17s... | Configure Membership for %.17s... |
443 | Restablecer el contador de bloqueos tras | Reset account lockout counter after |
444 | Establecer &descripción... Crea una descripción para esta plantilla |
Set Descri&ption... Create a description for this template |
445 | La descripción no puede contener ninguno de los caracteres siguientes: %1 |
Description may not contain any of the following characters: %1 |
446 | Configuración de plantilla | Template Setting |
449 | Asegúrese de que tiene los permisos adecuados para este objeto. | Make sure that you have the right permissions to this object. |
450 | Asegúrese de que existe este objeto. | Make sure that this object exists. |
451 | No se puede usar la carpeta %1. Elija otra carpeta. | The folder %1 cannot be used. Choose another folder. |
452 | Mi PC | My Computer |
453 | El nombre de archivo es muy largo. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
698 | %1 Este nombre de archivo es un nombre reservado para dispositivo. Elija otro nombre. |
%1 This file name is a reserved device name. Choose another name. |
699 | El tipo de archivo no es correcto. | The file type is not correct. |
700 | Debe ser miembro del grupo de administradores para poder realizar la operación solicitada. | You must be a member of the Administrators group to perform the requested operation. |
701 | El nombre de archivo %1 no es válido. Vuelva a escribir el nombre de archivo con el formato correcto, como c:\ubicación\archivo.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | No se ha efectuado ninguna asignación entre los nombres de cuenta y los id. de seguridad | No mapping between account names and security IDs was done |
709 | Para que esta configuración afecte a las cuentas del dominio, debe estar definida en la directiva del dominio predeterminado. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Directiva de seguridad local | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Especial | Special |
753 | Configuración de seguridad para el acceso remoto a SAM | Security Settings for Remote Access to SAM |
754 | Acceso remoto | Remote Access |
762 | Directiva de acceso central | Central Access Policy |
763 | Directivas de acceso central aplicadas al sistema de archivos | Central Access Policies applied to the file system |
764 | Directiva desconocida: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Exigir historial de contraseñas
Esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad, ya que garantiza que no se reutilicen continuamente contraseñas antiguas. Valor predeterminado: 24 en controladores de dominio. 0 en servidores independientes. Nota: de forma predeterminada, los equipos miembro usan la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de haberlas cambiado habilitando también la configuración de directiva de seguridad Vigencia mínima de la contraseña. Para obtener información acerca de la configuración de directiva de seguridad Vigencia mínima de la contraseña, consulte Vigencia mínima de la contraseña. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Vigencia máxima de la contraseña
Esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0. Si la vigencia máxima de la contraseña está comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días. Nota: como recomendación de seguridad, haga que las contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un atacante contará con tiempo limitado para apropiarse la contraseña de un usuario y obtener acceso a los recursos de la red. Valor predeterminado: 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Vigencia mínima de la contraseña
Esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o puede permitir que se realicen cambios de forma inmediata estableciendo el número de días en 0. La vigencia mínima de la contraseña debe ser menor que la vigencia máxima de la contraseña, salvo que esta última esté establecida en 0, lo que indica que las contraseñas no expirarán nunca. Si la vigencia máxima se establece en 0, la vigencia mínima podrá establecerse en cualquier valor comprendido entre 0 y 998. Configure la vigencia mínima de la contraseña de modo que sea mayor que 0 si desea que sea efectiva la configuración Exigir historial de contraseñas. Sin una vigencia mínima, los usuarios pueden recorrer las contraseñas repetidamente hasta llegar a una contraseña favorita antigua. La configuración predeterminada no sigue esta recomendación, de modo que un administrador puede especificar una contraseña para un usuario y, a continuación, pedir al usuario que cambie la contraseña definida por el administrador cuando inicie sesión. Si el historial de contraseñas se establece en 0, el usuario no tiene que elegir una nueva contraseña. Esta es la razón por la que Exigir historial de contraseñas se establece en 1 de forma predeterminada. Valor predeterminado: 1 en controladores de dominio. 0 en servidores independientes. Nota: de forma predeterminada, los equipos miembro usan la configuración de sus controladores de dominio. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Longitud mínima de la contraseña
Esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de un usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede establecer que no se exija contraseña alguna estableciendo el número de caracteres en 0. Valor predeterminado: 7 en controladores de dominio. 0 en servidores independientes. Nota: de forma predeterminada, los equipos miembro usan la configuración de sus controladores de dominio. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | La contraseña debe cumplir los requisitos de complejidad
Esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos Tener una longitud mínima de seis caracteres Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseñas. Valor predeterminado: Habilitada en controladores de dominio. Deshabilitada en servidores independientes. Nota: de forma predeterminada, los equipos miembro usan la configuración de sus controladores de dominio. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Almacenar contraseñas con cifrado reversible
Esta configuración de seguridad determina si el sistema operativo almacena contraseñas con cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones que usan protocolos que exigen el conocimiento de la contraseña del usuario para fines de autenticación. Almacenar contraseñas con cifrado reversible es fundamentalmente lo mismo que almacenar versiones de texto simple de las contraseñas. Por esta razón, esta directiva no debería habilitarse nunca, a menos que los requisitos de la aplicación tengan más importancia que la necesidad de proteger la información de contraseñas. Se exige esta directiva cuando se usa la autenticación CHAP (Protocolo de autenticación por desafío mutuo) a través de acceso remoto o IAS (Servicios de autenticación Internet). También se exige cuando se usa la autenticación implícita en Internet Information Services (IIS). Valor predeterminado: deshabilitada. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Duración del bloqueo de cuenta
Esta configuración de seguridad determina el número de minutos que una cuenta bloqueada permanece en este estado antes de desbloquearse automáticamente. El intervalo disponible oscila entre 0 y 99.999 minutos. Si la duración del bloqueo de cuenta se establece en 0, la cuenta se bloquea hasta que el administrador la desbloquea explícitamente. Si no se define ningún umbral de bloqueo de cuenta, la duración del bloqueo de cuenta será mayor o igual al tiempo de restablecimiento. Valor predeterminado: ninguno, porque esta configuración de directiva solo tiene sentido cuando se especifica un umbral de bloqueo de cuenta. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Umbral de bloqueo de cuenta
Esta configuración de seguridad determina el número de intentos de inicio de sesión incorrectos que hacen que una cuenta de usuario se bloquee. Una cuenta bloqueada no puede usarse hasta que un administrador la restablezca o hasta que expire su duración de bloqueo. Puede establecer un valor comprendido entre 0 y 999 intentos de inicio de sesión incorrectos. Si establece el valor en 0, la cuenta no se bloqueará nunca. Los intentos incorrectos de escribir una contraseña en estaciones de trabajo o servidores miembro bloqueados mediante CTRL+ALT+SUPR o protectores de pantalla protegidos por contraseña se contabilizan como intentos de inicio de sesión incorrectos. Valor predeterminado: 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Restablecer recuentos de bloqueo de cuenta tras
Esta configuración de seguridad determina el número de minutos que deben transcurrir tras un intento de inicio de sesión incorrecto para que el contador de intentos de inicio de sesión incorrectos se restablezca en 0. El intervalo disponible oscila entre 1 y 99.999 minutos. Si se define un umbral de bloqueo de cuenta, este tiempo de restablecimiento debe ser menor o igual a Duración del bloqueo de cuenta. Valor predeterminado: ninguno, porque esta configuración de directiva solo tiene sentido cuando se especifica un umbral de bloqueo de cuenta. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Aplicar restricciones de inicio de sesión de usuario
Esta configuración de seguridad determina si el centro de distribución de claves (KDC) Kerberos V5 valida todas las solicitudes de vales de sesión con la directiva de derechos de usuario de la cuenta de usuario. La validación de cada solicitud de un vale de sesión es opcional porque este paso adicional lleva tiempo y puede ralentizar el acceso de red a los servicios. Valor predeterminado: habilitada. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Vigencia máxima del vale de servicio
Esta configuración de seguridad determina el intervalo máximo de tiempo (en minutos) en que puede usarse un vale de sesión concedido para obtener acceso a un servicio en particular. Este valor de configuración debe ser mayor de 10 minutos y menor o igual al valor de configuración de Vigencia máxima del vale de usuario. Si un cliente presenta un vale de sesión expirado cuando solicita una conexión al servidor, el servidor devuelve un mensaje de error. El cliente debe solicitar un nuevo vale de sesión al centro de distribución de claves (KDC) Kerberos V5. No obstante, una vez autenticada una conexión, deja de importar si el vale de sesión sigue siendo válido. Los vales de sesión se usan solamente para autenticar nuevas conexiones a servidores. Las operaciones en curso no se interrumpen si el vale de sesión que se usa para autenticar la conexión expira durante la conexión. Valor predeterminado: 600 minutos (10 horas). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Vigencia máxima del vale de usuario
Esta configuración de seguridad determina el intervalo máximo de tiempo (en horas) en que puede usarse el vale concedido por el servicio de concesión de vales (TGT) de un usuario. Valor predeterminado: 10 horas. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Vigencia máxima de renovación de vales de usuario
Esta configuración de seguridad determina el período de tiempo (en días) durante el que puede renovarse el vale concedido por el servicio de concesión de vales (TGT) de un usuario. Valor predeterminado: 7 días. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Tolerancia máxima para la sincronización de los relojes de los equipos
Esta configuración de seguridad determina la diferencia horaria máxima (en minutos) tolerada por Kerberos V5 entre la hora del reloj del cliente y la hora del controlador de dominio en el que se ejecuta Windows Server 2003, que proporciona la autenticación Kerberos. Para impedir "ataques de reproducción", Kerberos V5 usa marcas de tiempo como parte de su definición de protocolo. Para que las marcas de tiempo funcionen correctamente, los relojes del cliente y del controlador de dominio tienen que estar sincronizados al máximo. En otras palabras, debe establecerse la misma fecha y hora en ambos equipos. Como los relojes de dos equipos no suelen estar sincronizados, los administradores pueden usar esta directiva para establecer una diferencia máxima aceptable por Kerberos V5 entre el reloj del cliente y el del controlador de dominio. Si la diferencia entre el reloj del cliente y el del controlador de dominio es menor que la diferencia horaria máxima especificada en esta directiva, cualquier marca de tiempo usada en una sesión entre ambos equipos se considera auténtica. Importante Esta configuración no es persistente en plataformas anteriores a Vista. Si establece esta configuración y después reinicia el equipo, la configuración se revierte al valor predeterminado. Valor predeterminado: 5 minutos. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Auditar eventos de inicio de sesión de cuenta
Esta configuración de seguridad determina si el sistema operativo audita cada vez que el equipo valida las credenciales de una cuenta. Los eventos de inicio de sesión de cuenta se generan siempre que un equipo valida las credenciales de una cuenta para la que es autoritativo. Los miembros del dominio y los equipos no unidos al dominio son autoritativos de sus cuentas locales; los controladores de dominio son todos autoritativos de todas las cuentas del dominio. La validación de credenciales puede usarse para un inicio de sesión local o, en el caso de una cuenta de dominio de Active Directory en un controlador de dominio, para el inicio de sesión en otro equipo. La validación de credenciales es independiente del estado, por lo que no hay un evento de cierre de sesión correspondiente para los eventos de inicio de sesión de cuenta. Si se define esta configuración de directiva, el administrador puede especificar si se auditan solo los inicios de sesión correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Valores predeterminados en las ediciones Client: Validación de credenciales: Sin auditoría Operaciones de vales de servicio Kerberos: Sin auditoría Otros eventos de inicio de sesión de cuenta: Sin auditoría Servicio de autenticación Kerberos: Sin auditoría Valores predeterminados en las ediciones Server: Validación de credenciales: Correcto Operaciones de vales de servicio Kerberos: Correcto Otros eventos de inicio de sesión de cuenta: Sin auditoría Servicio de autenticación Kerberos: Correcto Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Auditar la administración de cuentas
Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas: Se crea, cambia o elimina un grupo o una cuenta de usuario. Se cambia el nombre de una cuenta de usuario, se deshabilita o se habilita. Se establece o se cambia una contraseña. Si defines esta configuración de directiva, puedes especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un evento de administración de cuentas correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un evento de administración de cuentas incorrecto. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, activa la casilla Definir esta configuración de directiva y desactiva las casillas Correcto y Error. Valores predeterminados en las ediciones Client: Administración de cuentas de usuario: Correcto Administración de cuentas de equipo: Sin auditoría Administración de grupos de seguridad: Correcto Administración de grupos de distribución: Sin auditoría Administración de grupos de aplicaciones: Sin auditoría Otros eventos de administración de cuentas: Sin auditoría Valores predeterminados en las ediciones Server: Administración de cuentas de usuario: Correcto Administración de cuentas de equipo: Correcto Administración de grupos de seguridad: Correcto Administración de grupos de distribución: Sin auditoría Administración de grupos de aplicaciones: Sin auditoría Otros eventos de administración de cuentas: Sin auditoría Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Auditar el acceso del servicio de directorio
Esta configuración de seguridad determina si el sistema operativo audita los intentos de usuario de obtener acceso a objetos de Active Directory. Solo se generan eventos de auditoría para objetos que tienen listas de control de acceso del sistema (SACL) especificadas, y solo si el tipo de acceso solicitado (como Escritura, Lectura o Modificar) y la cuenta que realiza la solicitud tienen la misma configuración en la lista SACL. El administrador puede especificar si se auditan solo los intentos correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Si se habilita la auditoría de los intentos correctos, se genera una entrada de auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto de Active Directory que tiene especificada una lista SACL coincidente. Si se habilita la auditoría de los intentos incorrectos, se genera una entrada de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a un objeto de Active Directory que tenga especificada una lista SACL coincidente. Valores predeterminados en las ediciones Client: Acceso del servicio de directorio: Sin auditoría Cambios de servicio de directorio: Sin auditoría Replicación de servicio de directorio: Sin auditoría Replicación de servicio de directorio detallada: Sin auditoría Valores predeterminados en las ediciones Server: Acceso del servicio de directorio: Correcto Cambios de servicio de directorio: Sin auditoría Replicación de servicio de directorio: Sin auditoría Replicación de servicio de directorio detallada: Sin auditoría Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Auditar eventos de inicio de sesión
Esta configuración de seguridad determina si el sistema operativo audita cada instancia de un intento de usuario de iniciar o cerrar sesión en este equipo. Se generan eventos de cierre de sesión cuando finaliza la sesión de inicio de una cuenta de usuario que inició sesión. Si se define esta configuración de directiva, el administrador puede especificar si se auditan solo los inicios de sesión correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Valores predeterminados en las ediciones Client: Inicio de sesión: Correcto Cierre de sesión: Correcto Bloqueo de cuenta: Correcto Modo principal de IPsec: Sin auditoría Modo rápido de IPsec: Sin auditoría Modo extendido de IPsec: Sin auditoría Inicio de sesión especial: Correcto Otros eventos de inicio y cierre de sesión: Sin auditoría Servidor de directivas de redes: Correcto, Error Valores predeterminados en las ediciones Server: Inicio de sesión: Correcto, Error Cierre de sesión: Correcto Bloqueo de cuenta: Correcto Modo principal de IPsec: Sin auditoría Modo rápido de IPsec: Sin auditoría Modo extendido de IPsec: Sin auditoría Inicio de sesión especial: Correcto Otros eventos de inicio y cierre de sesión: Sin auditoría Servidor de directivas de redes: Correcto, Error Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Auditar el acceso a objetos
Esta configuración de seguridad determina si el sistema operativo audita los intentos de usuario de obtener acceso a objetos que no son de Active Directory. Solo se generan eventos de auditoría para objetos que tienen listas de control de acceso del sistema (SACL) especificadas, y solo si el tipo de acceso solicitado (como Escritura, Lectura o Modificar) y la cuenta que realiza la solicitud tienen la misma configuración en la lista SACL. El administrador puede especificar si se auditan solo los intentos correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Si se habilita la auditoría de los intentos correctos, se genera una entrada de auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto que no es de Active Directory y que tiene especificada una lista SACL coincidente. Si se habilita la auditoría de los intentos incorrectos, se genera una entrada de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a un objeto que no es de Active Directory y que tiene especificada una lista SACL coincidente. Ten en cuenta que puedes establecer una lista SACL en un objeto del sistema de archivos mediante la ficha Seguridad del cuadro de diálogo Propiedades de dicho objeto. Valor predeterminado: Sin auditoría. Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Auditar el cambio de directivas
Esta configuración de seguridad determina si el sistema operativo audita cada instancia de intentos de cambiar la directiva de asignación de derechos de usuario, la directiva de auditoría, la directiva de cuentas o la directiva de confianza. El administrador puede especificar si auditar solo los intentos correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Si está habilitada la auditoría de eventos correctos, se genera una entrada de auditoría cuando se realiza correctamente un cambio en la directiva de asignación de derechos de usuario, en la directiva de auditoría o en la directiva de confianza. Si está habilitada la auditoría de eventos incorrectos, se genera una entrada de auditoría cada vez que una cuenta no autorizada para realizar el cambio de directiva solicitado intenta cambiar la directiva de asignación de derechos de usuario, la directiva de auditoría o la directiva de confianza. Valores predeterminados: Cambio en la directiva de auditoría: Correcto Cambio en la directiva de autenticación: Correcto Cambio en la directiva de autorización: Sin auditoría Cambio en la directiva del nivel de reglas de MPSSVC: Sin auditoría Cambio en la directiva de Plataforma de filtrado: Sin auditoría Otros eventos de cambio de directivas: Sin auditoría Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Auditar el uso de privilegios
Esta configuración de seguridad determina si debe auditarse cada instancia de un usuario que ejerce un derecho de usuario. Si defines esta configuración de directiva, puedes especificar si auditar los aciertos, los errores o no auditar este tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se realiza correctamente el ejercicio de un derecho de usuario. Las auditorías de errores generan una entrada de auditoría cuando no se realiza correctamente el ejercicio de un derecho de usuario. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, activa la casilla Definir esta configuración de directiva y desactiva las casillas Correcto y Error. Valor predeterminado: Sin auditoría. No se generan auditorías para el uso de los siguientes derechos de usuario, aunque se especifiquen auditorías de aciertos o errores para Auditar el uso de privilegios. Si se habilita la auditoría de estos derechos de usuario, se tiende a generar muchos eventos en el Registro de eventos que pueden ralentizar el rendimiento del equipo. Para auditar los siguientes derechos de usuario, habilita la clave del Registro FullPrivilegeAuditing. Omitir comprobación de recorrido Depurar programas Crear un objeto símbolo (token) Reemplazar un símbolo (token) de nivel de proceso Generar auditorías de seguridad Hacer copias de seguridad de archivos y directorios Restaurar archivos y directorios Precaución La edición incorrecta del Registro puede causar daños graves en el sistema. Antes de realizar cambios en el Registro, debes hacer una copia de seguridad de los datos valiosos del equipo. Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Auditar el seguimiento de procesos
Esta configuración de seguridad determina si el sistema operativo audita eventos relacionados con procesos como la creación de un proceso, la finalización de un proceso, identificadores duplicados y acceso indirecto a objetos. Si se define esta configuración de directiva, el administrador puede especificar si auditar solo los eventos correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Si se habilita la auditoría de eventos correctos, se genera una entrada de auditoría cada vez que el sistema operativo realiza alguna de estas actividades relacionadas con procesos. Si se habilita la auditoría de eventos incorrectos, se genera una entrada de auditoría cada vez que el sistema operativo no consigue realizar alguna de estas actividades. Valor predeterminado: Sin auditoría Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Auditar eventos del sistema
Esta configuración de seguridad determina si el sistema operativo audita los siguientes eventos: • Intento de cambio de hora del sistema • Intento de inicio o cierre del sistema de seguridad • Intento de carga de componentes de autenticación extensible • Pérdida de eventos auditados debido a errores del sistema de auditoría • Tamaño del registro de seguridad que excede un umbral de advertencia configurable. Si se define esta configuración de directiva, el administrador puede especificar si auditar solo los eventos correctos, los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos). Si se habilita la auditoría de eventos correctos, se genera una entrada de auditoría cada vez que el sistema operativo realiza alguna de estas actividades correctamente. Si se habilita la auditoría de eventos incorrectos, se genera una entrada de auditoría cada vez que el sistema operativo intenta y no consigue realizar alguna de estas actividades. Valores predeterminados: Cambio de estado de seguridad: Correcto Extensión del sistema de seguridad: Sin auditoría Integridad del sistema: Correcto, Error Controlador IPsec: Sin auditoría Otros eventos del sistema: Correcto, Error Importante: para un mayor control sobre las directivas de auditoría, usa la configuración del nodo Configuración de directiva de auditoría avanzada. Para obtener más información acerca de la Configuración de directiva de auditoría avanzada, consulta https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Tener acceso a este equipo desde la red
Este derecho de usuario determina qué usuarios y grupos tienen permiso para conectarse al equipo a través de la red. Este derecho de usuario no afecta a Servicios de Escritorio remoto. Nota: Servicios de Escritorio remoto se llamaba Terminal Services en versiones anteriores de Windows Server. Valores predeterminados en estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios Todos Valores predeterminados en controladores de dominio: Administradores Usuarios autenticados Enterprise Domain Controllers Todos Acceso compatible con versiones anteriores a Windows 2000 |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Actuar como parte del sistema operativo
Este derecho de usuario permite a un proceso suplantar a cualquier usuario sin autenticación. Por tanto, el proceso puede obtener acceso a los mismos recursos locales que dicho usuario. Los procesos que necesitan este privilegio deben usar la cuenta LocalSystem, que ya incluye este privilegio, en lugar de usar una cuenta de usuario distinta con este privilegio especialmente asignado. Si su organización solo usa servidores que pertenecen a la familia Windows Server 2003, no necesita asignar este privilegio a los usuarios. Sin embargo, si su organización usa servidores con Windows 2000 o Windows NT 4.0, puede que necesite asignar este privilegio para usar aplicaciones que intercambien contraseñas en texto sin formato. Precaución Asignar este derecho de usuario puede constituir un riesgo para la seguridad. Asigne este derecho de usuario únicamente a usuarios de confianza. Valor predeterminado: ninguno. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Agregar estaciones de trabajo al dominio
Esta configuración de seguridad determina qué grupos o usuarios pueden agregar estaciones de trabajo a un dominio. Esta configuración de seguridad solo es válida en controladores de dominio. De forma predeterminada, cualquier usuario autenticado tiene este derecho y puede crear hasta 10 cuentas de equipo en el dominio. Agregar una cuenta de equipo al dominio permite al equipo participar en una red basada en Active Directory. Por ejemplo, agregar una estación de trabajo a un dominio permite a la estación de trabajo reconocer cuentas y grupos de Active Directory. Valor predeterminado: Usuarios autenticados en controladores de dominio. Nota: los usuarios que disponen del permiso para crear objetos de equipo en el contenedor de equipos de Active Directory también pueden crear cuentas de equipo en el dominio. La distinción consiste en que los usuarios con permisos en el contenedor no están restringidos a la creación de solamente 10 cuentas de equipo. Además, las cuentas de equipo creadas por medio de Agregar estaciones de trabajo al dominio tienen a los administradores de dominio como propietarios de la cuenta de equipo, mientas que las cuentas de equipo creadas por medio de permisos en el contendor de equipos tienen al creador como propietario de la cuenta de equipo. Si un usuario tiene permisos en el contenedor y también cuenta con el derecho de usuario Agregar estaciones de trabajo al dominio, el equipo se agrega en función de los permisos del contenedor de equipos en lugar de hacerlo en función del derecho de usuario. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Ajustar las cuotas de la memoria para un proceso
Este privilegio determina quién puede cambiar la memoria máxima que puede consumir un proceso. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. Nota: este privilegio resulta útil para ajustar el sistema, pero puede usarse incorrectamente; por ejemplo, en un ataque por denegación de servicio. Valor predeterminado: Administradores Servicio local Servicio de red. |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Inicio de sesión local
Determina los usuarios que pueden iniciar sesión en el equipo. Importante Si modificas esta configuración, esto puede tener un impacto en la compatibilidad con clientes, servicios y aplicaciones. Para obtener información de compatibilidad acerca de esta configuración, consulta el artículo sobre permitir inicio de sesión local (https://go.microsoft.com/fwlink/?LinkId=24268 ) en el sitio web de Microsoft. Valor predeterminado: • En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios e Invitado. • En controladores de dominio: Operadores de cuentas, Administradores, Operadores de copia de seguridad y Operadores de impresión. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Permitir inicio de sesión a través de Servicios de Escritorio remoto
Esta configuración de seguridad determina qué usuarios o grupos tienen permiso para iniciar sesión como un cliente de Servicios de Escritorio remoto. Valores predeterminados: En estaciones de trabajo y servidores: Administradores, Usuarios de escritorio remoto. En controladores de dominio: Administradores. Importante Esta configuración no tiene ningún efecto en equipos con Windows 2000 no actualizados al Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Hacer copias de seguridad de archivos y directorios
Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivos y directorios, del Registro y otros permisos de objetos persistentes para hacer una copia de seguridad del sistema. Concretamente, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión en todos los archivos y carpetas del sistema: Atravesar carpeta o ejecutar archivo Mostrar carpeta o leer datos Leer atributos Leer atributos extendidos Leer permisos Precaución Asignar este derecho de usuario puede suponer un riesgo para la seguridad. Como no hay forma de saber con certeza si un usuario está haciendo una copia de seguridad de los datos, robando datos o copiando datos para distribuirlos, solo debe asignar este derecho a usuarios de confianza. Valor predeterminado en estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad. Valor predeterminado en controladores de dominio: Administradores Operadores de copia de seguridad Opers. de servidores |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Omitir comprobación de recorrido
Este derecho de usuario determina qué usuarios pueden recorrer árboles de directorios aunque el usuario no disponga de permisos en el directorio recorrido. Este privilegio no permite al usuario mostrar el contenido de un directorio, solo recorrer directorios. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado en estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios Todos Servicio local Servicio de red Valor predeterminado en controladores de dominio: Administradores Usuarios autenticados Todos Servicio local Servicio de red Acceso compatible con versiones anteriores de Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Cambiar la hora del sistema
Este derecho de usuario determina qué usuarios y grupos pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios a los que se asigna este derecho de usuario pueden influir en la apariencia de los registros de eventos. Si se cambia la hora del sistema, los eventos que se registren reflejarán esta nueva hora, no la hora real a la que se produjeron. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado en estaciones de trabajo y servidores: Administradores Servicio local Valor predeterminado en controladores de dominio: Administradores Opers. de servidores Servicio local |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Crear un archivo de paginación
Este derecho de usuario determina qué usuarios y grupos pueden llamar a una interfaz de programación de aplicaciones (API) interna para crear y cambiar el tamaño de un archivo de paginación. El sistema operativo usa este derecho de usuario internamente y normalmente no es necesario asignárselo a ningún usuario. Para obtener información sobre la forma de especificar el tamaño de un archivo de paginación para una unidad determinada, consulte el tema relativo a cómo cambiar el tamaño del archivo de paginación de memoria virtual. Valor predeterminado: Administradores. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Crear un objeto token Esta configuración de seguridad determina qué cuentas pueden usar los procesos para crear un token que pueda usarse después para obtener acceso a cualquier recurso local cuando el proceso use la interfaz de programación de aplicaciones (API) interna para crear un token de acceso. El sistema operativo usa internamente este derecho de usuario. Salvo que sea necesario, no asigne este derecho de usuario a ningún usuario, grupo o proceso distinto de Sistema local. Precaución Asignar este derecho de usuario puede suponer un riesgo para la seguridad. No asigne este derecho a ningún usuario, grupo o proceso que no desee que tome posesión del sistema. Valor predeterminado: ninguno |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Crear objetos globales
Esta configuración de seguridad determina si los usuarios puede crear objetos globales que estén disponibles en todas las sesiones. Los usuarios pueden crear objetos específicos de su propia sesión aunque no tengan este derecho de usuario. Los usuarios que pueden crear objetos globales pueden afectar a procesos que se ejecutan en sesiones de otros usuarios, lo que podría dar lugar a errores en las aplicaciones o a datos dañados. Precaución Asignar este derecho de usuario puede suponer un riesgo para la seguridad. Asigne este derecho de usuario únicamente a usuarios de confianza. Valor predeterminado: Administradores Servicio local Servicio de red Servicio |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Crear objetos compartidos permanentes
Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un objeto de directorio en el administrador de objetos. El sistema operativo usa este derecho de usuario internamente y resulta útil para los componentes de modo kernel que extienden el espacio de nombres de objetos. Como los componentes que se ejecutan en modo kernel ya tienen asignado este derecho de usuario, no es necesario asignárselo específicamente. Valor predeterminado: ninguno. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Depurar programas
Este derecho de usuario determina qué usuarios pueden adjuntar un depurador a cualquier proceso o al kernel. Los programadores que depuran sus propias aplicaciones no necesitan que se les asigne este derecho de usuario. Los programadores que depuran nuevos componentes del sistema necesitarán este derecho de usuario para poder hacerlo. Este derecho de usuario proporciona acceso total a componentes del sistema operativo confidenciales y críticos. Precaución Asignar este derecho de usuario puede suponer un riesgo para la seguridad. Asigne este derecho de usuario únicamente a usuarios de confianza. Valor predeterminado: Administradores |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Denegar el acceso desde la red a este equipo
Esta configuración de seguridad determina qué usuarios no pueden obtener acceso a un equipo a través de la red. Esta configuración de directiva reemplaza la configuración de directiva Tener acceso a este equipo desde la red si una cuenta de usuario está sometida a ambas directivas. Valor predeterminado: Invitado |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Denegar el inicio de sesión como trabajo por lotes
Esta configuración de seguridad determina qué cuentas no pueden iniciar sesión como trabajo por lotes. Esta configuración de directiva reemplaza a la configuración de directiva Iniciar sesión como proceso por lotes si una cuenta de usuario está sometida a ambas directivas. Valor predeterminado: ninguno. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Denegar el inicio de sesión como servicio
Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como un servicio. Esta configuración de directiva reemplaza la configuración de directiva Iniciar sesión como servicio si una cuenta está sometida a ambas directivas. Nota: esta configuración de seguridad no se aplica a las cuentas System, Servicio local o Servicio de red. Valor predeterminado: ninguno. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Denegar el inicio de sesión localmente
Esta configuración de seguridad determina qué usuarios no pueden iniciar sesión en el equipo. Esta configuración de directiva reemplaza la configuración de directiva Permitir el inicio de sesión local si una cuenta está sometida a ambas directivas. Importante Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión localmente. Valor predeterminado: ninguno. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Denegar inicio de sesión a través de Servicios de Escritorio remoto
Esta configuración de seguridad determina qué usuarios y grupos tienen prohibido iniciar sesión como clientes de Servicios de Escritorio remoto. Valor predeterminado: ninguno. Importante Esta configuración no tiene ningún efecto en equipos con Windows 2000 no actualizados al Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Habilitar confianza con el equipo y las cuentas de usuario para delegación
Esta configuración de seguridad determina qué usuarios pueden establecer la configuración Se confía para delegación en un objeto de equipo o usuario. El usuario u objeto al que se concede este privilegio debe tener acceso de escritura a los marcadores de control de cuenta en el objeto de equipo o usuario. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de confianza para la delegación puede obtener acceso a los recursos de otro equipo mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga establecido el marcador de control de cuenta que indica que la cuenta no se puede delegar. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. Precaución Un uso incorrecto de este derecho de usuario o de la configuración Se confía para delegación podría hacer a la red vulnerable a ataques sofisticados mediante programas de caballo de Troya que suplantan a los clientes entrantes y usan sus credenciales para obtener acceso a los recursos de red. Valor predeterminado: Administradores en controladores de dominio. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Forzar cierre desde un sistema remoto
Esta configuración de seguridad determina qué usuarios tienen permiso para apagar un equipo desde una ubicación remota de la red. El uso incorrecto de este derecho de usuario puede dar lugar a una denegación de servicio. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidores. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Generar auditorías de seguridad
Esta configuración de seguridad determina qué cuentas puede usar un proceso para agregar entradas al registro de seguridad. El registro de seguridad se usa para seguir paso a paso el acceso no autorizado al sistema. El uso incorrecto de este derecho de usuario puede dar lugar a la generación de muchos eventos de auditoría, que podrían ocultar la evidencia de un ataque o provocar una denegación de servicio si está habilitada la configuración de directiva de seguridad Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad. Para obtener más información, consulte Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad Valor predeterminado: Servicio local Servicio de red. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Suplantar a un cliente tras la autenticación
Asignar este privilegio a un usuario permite a los programas que se ejecutan en nombre de dicho usuario suplantar a un cliente. La exigencia de este derecho de usuario para este tipo de suplantación impide que un usuario no autorizado convenza a un cliente para conectarse (por ejemplo, mediante una llamada a procedimiento remoto o canalizaciones con nombre) a un servicio creado por ellos mismos y que suplante a dicho cliente, lo cual puede elevar los permisos del usuario no autorizado a niveles administrativos o del sistema. Precaución Asignar este derecho de usuario puede constituir un riesgo para la seguridad. Asigne este derecho de usuario únicamente a usuarios de confianza. Valor predeterminado: Administradores Servicio local Servicio de red Service Nota: de manera predeterminada, los servicios iniciados por el Administrador de control de servicios tienen el grupo Servicio integrado agregado a sus tokens de acceso. Los servidores COM (Modelo de objetos componentes) iniciados por la infraestructura COM y configurados para ejecutarse bajo una cuenta específica también tienen el grupo Servicio agregado a sus tokens de acceso. Como resultado, estos servicios obtienen este derecho de usuario cuando se inician. Además, un usuario también puede suplantar un token de acceso si se cumple alguna de las siguientes condiciones. El token de acceso que se suplanta es para este usuario. El usuario, en esta sesión de inicio, creó el token de acceso iniciando sesión en la red con credenciales explícitas. El nivel solicitado es menor que Suplantar, como Anónimo o Identificar. Debido a estos factores, los usuarios no suelen necesitar este derecho de usuario. Para obtener más información, busque "SeImpersonatePrivilege" en el SDK de la plataforma Microsoft. Advertencia Si habilita esta configuración, los programas que tenían anteriormente el privilegio Suplantar pueden perderlo y es posible que no se ejecuten. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Aumentar prioridad de programación
Esta configuración de seguridad determina qué cuentas puede usar un proceso con acceso Propiedad de escritura a otro proceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad de programación de un proceso mediante la interfaz de usuario Administrador de tareas. Valor predeterminado: Administradores. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Cargar y descargar controladores de dispositivo
Este derecho de usuario determina qué usuarios pueden cargar y descargar dinámicamente controladores de dispositivo u otro código en modo kernel. Este derecho de usuario no se aplica a los controladores de dispositivos Plug and Play. Se recomienda no asignar este privilegio a otros usuarios. Precaución Asignar este derecho de usuario puede constituir un riesgo para la seguridad. No asigne este derecho a ningún usuario, grupo o proceso que no desee que tome posesión del sistema. Valor predeterminado en estaciones de trabajo y servidores: Administradores. Valor predeterminado en controladores de dominio: Administradores Operadores de impresión |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Bloquear páginas en la memoria
Esta configuración de seguridad determina qué cuentas puede usar un proceso para mantener datos en la memoria física, lo que impide al sistema paginar los datos en la memoria virtual del disco. El ejercicio de este privilegio puede afectar de forma significativa al rendimiento del sistema ya que puede disminuir la cantidad de memoria de acceso aleatorio (RAM) disponible. Valor predeterminado: ninguno. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Iniciar sesión como proceso por lotes
Esta configuración de seguridad permite al usuario iniciar sesión mediante un sistema de cola de procesamiento por lotes y solo se proporciona por compatibilidad con versiones anteriores de Windows. Por ejemplo, si un usuario envía un trabajo a través del Programador de tareas, éste inicia una sesión de aquél como usuario de procesamiento por lotes, no como usuario interactivo. Valor predeterminado: Administradores Operadores de copia de seguridad. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Iniciar sesión como servicio
Esta configuración de seguridad permite a una entidad de seguridad iniciar sesión como servicio. Los servicios se pueden configurar para ejecutarse con las cuentas Sistema local, Servicio local o Servicio de red, que tienen integrado el derecho de iniciar sesión como un servicio. Todo servicio que se ejecute con una cuenta de usuario diferente debe tener asignado el derecho. Valor predeterminado: ninguno. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Administrar registro de seguridad y auditoría
Esta configuración de seguridad determina qué usuarios pueden especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro. Sin embargo, no permite al usuario habilitar el acceso a archivos y objetos en general. Para habilitar este tipo de auditoría, es necesario configurar la opción Auditar el acceso a objetos en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directivas de auditoría. Los eventos auditados se pueden ver en el registro de seguridad del Visor de eventos. Los usuarios que tengan estos privilegios también pueden ver y borrar el contenido del registro de seguridad. Valor predeterminado: Administradores. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Modificar valores de entorno firmware
Esta configuración de seguridad determina quién puede modificar valores de entorno firmware. Las variables de entorno firmware son valores almacenados en la memoria RAM no volátil de los equipos no basados en x86. El efecto de esta configuración depende del procesador. En los equipos basados en x86, el único valor de entorno de firmware que puede modificarse asignando este derecho de usuario es la opción La última configuración válida conocida, que solo debería modificar el sistema. En los equipos basados en Itanium, la información de arranque se almacena en memoria RAM no volátil. Es preciso conceder este derecho a los usuarios para que puedan ejecutar bootcfg.exe y cambiar la opción Sistema operativo predeterminado en la sección Inicio y recuperación de Propiedades del sistema. Para instalar o actualizar Windows, se requiere este derecho de usuario en todos los equipos. Nota: esta configuración de seguridad no afecta a la capacidad de modificar las variables de entorno del sistema y de usuario enumeradas en la pestaña Avanzadas de Propiedades del sistema. Para obtener más información acerca de cómo modificar estas variables, consulte el tema sobre cómo agregar o cambiar los valores de las variables de entorno. Valor predeterminado: Administradores. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Realizar tareas de mantenimiento del volumen
Esta configuración de seguridad determina qué usuarios y grupos pueden ejecutar tareas de mantenimiento en un volumen, por ejemplo, una desfragmentación remota. Asigne este derecho de usuario con precaución. Los usuarios a los que se concede este derecho pueden explorar discos y extender archivos a una memoria que contenga otros datos. Al abrir los archivos extendidos, el usuario podría leer y modificar los datos obtenidos. Valor predeterminado: Administradores |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Generar perfiles de un solo proceso
Esta configuración de seguridad determina qué usuarios pueden usar herramientas de supervisión de rendimiento para supervisar el rendimiento de los procesos que no son del sistema. Valor predeterminado: Administradores, Usuarios avanzados. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Generar perfiles del rendimiento del sistema
Esta configuración de seguridad determina qué usuarios pueden usar herramientas de supervisión de rendimiento para supervisar el rendimiento de los procesos del sistema. Valor predeterminado: Administradores. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Quitar equipo de la estación de acoplamiento
Esta configuración de seguridad determina si el usuario puede desacoplar un equipo portátil de su estación de acoplamiento sin iniciar sesión. Si esta directiva está habilitada, el usuario deberá iniciar sesión antes de quitar el equipo portátil de la estación de acoplamiento. Si está deshabilitada, podrá hacerlo sin iniciar sesión. Valor predeterminado: Administradores, Usuarios avanzados, Usuarios |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Reemplazar un símbolo (token) de nivel de proceso
Esta configuración de seguridad determina qué cuentas de usuario pueden realizar llamadas a la interfaz de programación de aplicaciones (API) CreateProcessAsUser() para que un servicio pueda iniciar otro. Un ejemplo de proceso que usa este derecho de usuario es el Programador de tareas. Para obtener información sobre el Programador de tareas, consulte el tema de introducción al Programador de tareas. Valor predeterminado: Servicio de red, Servicio local. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Restaurar archivos y directorios
Esta configuración de seguridad determina qué usuarios pueden omitir los permisos de archivo, directorio, Registro y otros objetos persistentes al restaurar los archivos y directorios de los que se hizo una copia de seguridad, y determina qué usuarios pueden establecer cualquier entidad de seguridad válida como propietario del objeto. Más concretamente, este derecho de usuario es parecido a la concesión de los siguientes permisos al usuario o grupo en cuestión sobre todos los archivos y carpetas del sistema: Atravesar carpeta o ejecutar archivo Escribir Precaución La concesión de este derecho de usuario puede suponer un riesgo para la seguridad. Puesto que los usuarios a los que se les concede este derecho pueden sobrescribir la configuración del Registro, ocultar datos y obtener la propiedad de objetos del sistema, solo debe asignarse a usuarios de confianza. Valor predeterminado: En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad. En controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidores. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Apagar el sistema
Esta configuración de seguridad determina los usuarios que, habiendo iniciado sesión localmente en el equipo, pueden cerrar el sistema con el comando Apagar. El uso incorrecto de este derecho de usuario puede dar lugar a una denegación de servicio. Valor predeterminado en estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios. Valor predeterminado en servidores: Administradores, Operadores de copia de seguridad. Valor predeterminado en controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidores, Operadores de impresión. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Sincronizar los datos del servicio de directorio
Esta configuración de seguridad determina qué usuarios y grupos disponen de autoridad para sincronizar todos los datos de servicio de directorio. También se denomina sincronización de Active Directory. Valor predeterminado: ninguno. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Tomar posesión de archivos y otros objetos
Esta configuración de seguridad determina qué usuarios pueden tomar posesión de cualquier objeto del sistema que se pueda proteger, incluidos los objetos de Active Directory, los archivos y carpetas, las impresoras, las claves del Registro, los procesos y los subprocesos. Precaución Asignar este derecho de usuario puede constituir un riesgo para la seguridad. Puesto que los propietarios de los objetos tienen pleno control sobre ellos, asigne este derecho solo a usuarios de confianza. Valor predeterminado: Administradores. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Cuentas: estado de la cuenta de administrador
Esta configuración de seguridad determina si la cuenta de administrador local está habilitada o deshabilitada. Notas Si intenta volver a habilitar la cuenta de administrador después de deshabilitarla y la contraseña actual de la misma no cumple los requisitos de las contraseñas, no podrá volver a habilitarla. En este caso, otro miembro del grupo Administradores debe restablecer la contraseña de la cuenta de administrador. Para obtener más información sobre cómo restablecer una contraseña, consulte el tema relativo a cómo restablecer una contraseña. En determinadas circunstancias, si se deshabilita la cuenta Administrador, se puede generar un problema de mantenimiento. Bajo el arranque Modo seguro, la cuenta de administrador deshabilitada se habilitará solo si el equipo no pertenece a ningún dominio y no hay otras cuentas de administrador locales activas. Si el equipo está unido a un dominio, no se habilita la cuenta de administrador deshabilitada. Valor predeterminado: deshabilitada. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Cuentas: estado de la cuenta de invitado
Esta configuración de seguridad determina si la cuenta de invitado está habilitada o deshabilitada. Valor predeterminado: deshabilitada. Nota: si la cuenta de invitado está deshabilitada y la opción de seguridad Acceso a redes: modelo de seguridad y uso compartido para cuentas locales está establecida en Solo invitado, los inicios de sesión de red, como los realizados mediante el Servidor de red Microsoft (servicio SMB), generan un error. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Cuentas: limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola
Esta configuración de seguridad determina si las cuentas locales que no están protegidas mediante contraseña pueden usarse para iniciar sesión desde ubicaciones distintas de la consola física del equipo. Si se habilita, las cuentas locales que no están protegidas mediante contraseña solo podrán iniciar sesión desde el teclado del equipo. Valor predeterminado: habilitada. Advertencia: En los equipos que no se encuentren en ubicaciones físicamente seguras, deben aplicarse siempre directivas de contraseña segura para todas las cuentas de usuario locales. De lo contrario, cualquier persona que tenga acceso físico al equipo podrá iniciar sesión con una cuenta de usuario que no tenga contraseña. Esto es especialmente importante en el caso de los equipos portátiles. Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión a través de Servicios de Escritorio remoto. Notas Esta configuración no afecta a los inicios de sesión en los que se usen cuentas de dominio. Las aplicaciones que emplean inicios de sesión remotos e interactivos pueden evitar esta configuración. Nota: Servicios de Escritorio remoto se llamaba Terminal Services en versiones anteriores de Windows Server. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Cuentas: cambiar el nombre de la cuenta de administrador
Esta configuración de seguridad determina si hay otro nombre de cuenta asociado al identificador de seguridad (SID) de la cuenta Administrador. Si cambia el nombre de la cuenta Administrador conocida, resultará algo más difícil que personas no autorizadas averigüen la combinación de contraseña y nombre de usuario con privilegios. Valor predeterminado: Administrador. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Cuentas: cambiar el nombre de cuenta de invitado
Esta configuración de seguridad determina si hay otro nombre de cuenta asociado al identificador de seguridad (SID) de la cuenta "Invitado". Si cambia el nombre de la conocida cuenta Invitado, resultará algo más difícil que personas no autorizadas averigüen la combinación de contraseña y nombre de usuario. Valor predeterminado: Invitado. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Auditoría: auditar el acceso de objetos globales del sistema
Esta configuración de seguridad determina si se va a auditar el acceso de los objetos globales del sistema. Si esta directiva está habilitada, los objetos del sistema, como las exclusiones mutuas, los eventos, los semáforos y los dispositivos DOS, se crearán con una lista predeterminada de control de acceso al sistema (SACL). Solo se da una lista SACL a los objetos con nombre; a los objetos sin nombre no se les dan listas SACL. Si también está habilitada la directiva de auditoría Auditar el acceso a objetos, se audita el acceso a estos objetos del sistema. Nota: al configurar este valor de seguridad, los cambios no surtirán efecto hasta que reinicie Windows. Valor predeterminado: deshabilitada. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Auditoría: auditar el uso del privilegio de copias de seguridad y restauración
Esta configuración de seguridad determina si se va a auditar el uso de todos los privilegios de usuario, incluidos los de copias de seguridad y restauración, cuando tenga efecto la directiva Auditar el uso de privilegios. Si se habilita esta opción y está también habilitada la directiva Auditar el uso de privilegios, se generará un evento de auditoría para cada archivo restaurado o del que se haga una copia de seguridad. Si se deshabilita esta directiva, no se auditará el uso de los privilegios de copias de seguridad y restauración aunque esté habilitada la directiva Auditar el uso de privilegios. Nota: en versiones de Windows anteriores a Windows Vista, al configurar este valor de seguridad, los cambios no se aplicarán hasta que reinicie Windows. Habilitar este valor puede dar lugar a muchísimos eventos, a veces cientos por segundo, durante una operación de copia de seguridad. Valor predeterminado: deshabilitada. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad
Esta configuración de seguridad determina si el sistema se cierra cuando no puede registrar los eventos de seguridad. Si está habilitada, el sistema se detiene cuando una auditoría de seguridad no se puede registrar por cualquier motivo. Normalmente, los eventos no se pueden registrar cuando el registro de auditorías de seguridad está lleno y el método de retención especificado para éste es No sobrescribir eventos o Sobrescribir eventos por días. Si el registro de seguridad está lleno y no se puede sobrescribir una entrada existente, y esta opción de seguridad está habilitada, aparece el siguiente error de detención: STOP: C0000244 {Error de auditoría} Error al intentar generar una auditoría de seguridad. Para recuperarse del error, un administrador debe iniciar sesión, archivar el registro (opcional), borrar el registro y restablecer esta opción según corresponda. Ningún usuario que no sea miembro del grupo Administradores podrá iniciar sesión en el sistema hasta que se restablezca esta configuración de seguridad, aunque el registro de seguridad no esté lleno. Nota: en versiones de Windows anteriores a Windows Vista, al configurar este valor de seguridad, los cambios no surtirán efecto hasta que reinicie Windows. Valor predeterminado: deshabilitada. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Dispositivos: permitir desacoplamiento sin tener que iniciar sesión
Esta configuración de seguridad determina si un equipo portátil se puede desacoplar sin tener que iniciar sesión. Si esta directiva está habilitada, no es necesario iniciar sesión y se puede usar un botón de expulsión de hardware externo para desacoplar el equipo. Si está deshabilitada, el usuario deberá iniciar sesión y tendrá que disponer del privilegio Quitar equipo de la estación de acoplamiento para desacoplar el equipo. Valor predeterminado: habilitada. Precaución Si se deshabilita esta directiva, se puede tentar a algunos usuarios a intentar quitar el equipo portátil de la estación de acoplamiento empleando métodos distintos del botón de expulsión de hardware externo. Puesto que ello puede provocar daños en el hardware, por regla general, esta opción solo debe estar deshabilitada en configuraciones de equipos portátiles que se puedan proteger físicamente. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Dispositivos: permitir formatear y expulsar medios extraíbles
Esta configuración de seguridad determina a quién le está permitido formatear y expulsar medios NTFS extraíbles. Esta capacidad se puede conceder a: Administradores Administradores y usuarios interactivos Valor predeterminado: esta directiva no se define y solo pueden hacerlo los Administradores. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Dispositivos: impedir que los usuarios instalen controladores de impresora cuando se conecten a impresoras compartidas
Para que un equipo imprima en una impresora compartida, el controlador de esa impresora compartida debe estar instalado en el equipo local. Esta configuración de seguridad determina quién puede instalar un controlador de impresora como parte del proceso de conectar una impresora compartida. Si esta configuración está habilitada, solo pueden hacerlo los administradores. Si está deshabilitada, puede hacerlo cualquier usuario. Valor predeterminado en servidores: habilitada. Valor predeterminado en estaciones de trabajo: deshabilitada. Notas Esta configuración no afecta a la capacidad de conectar una impresora local. Tampoco afecta a los administradores. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Dispositivos: restringir el acceso al CD-ROM solo al usuario con sesión iniciada localmente
Esta configuración de seguridad determina si tanto los usuarios locales como los remotos pueden tener acceso al CD-ROM simultáneamente. Si esta directiva está habilitada, solo permitirá el acceso a los medios de CD-ROM extraíbles a los usuarios que iniciaran sesión de modo interactivo. Si la directiva está habilitada y ningún usuario inició una sesión de modo interactivo, se podrá obtener acceso al CD-ROM a través de la red. Valor predeterminado: esta directiva no se define y el acceso al CD-ROM no se restringe para el usuario que iniciara sesión de forma local. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Dispositivos: restringir el acceso a disquetes solo al usuario con sesión iniciada localmente
Esta configuración de seguridad determina si tanto los usuarios locales como los remotos pueden tener acceso a los medios de disquete extraíble simultáneamente. Si esta directiva está habilitada, solo permitirá el acceso a los medios de disquete extraíbles a los usuarios que iniciaran sesión de modo interactivo. Si la directiva está habilitada y ningún usuario inició sesión de modo interactivo, se podrá obtener acceso al disquete a través de la red. Valor predeterminado: esta directiva no se define y el acceso al disquete no se restringe para el usuario que iniciara sesión de forma local. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Dispositivos: comportamiento de instalación de controlador no firmado
Esta configuración de seguridad determina lo que ocurre cuando se realiza un intento de instalar un controlador de dispositivo (mediante la API de instalación) no probado en el Laboratorio de calidad de hardware de Windows (WHQL). Las opciones son: Realizar correctamente sin notificación Advertir pero permitir la instalación No permitir la instalación Valor predeterminado: Advertir pero permitir la instalación. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Controlador de dominio: permitir a los operadores de servidor programar tareas
Esta configuración de seguridad determina si se permite que los operadores de servidor envíen tareas mediante la utilidad de programación de AT. Nota: esta configuración de seguridad solo afecta a la utilidad de programación de AT, no al Programador de tareas. Valor predeterminado: esta directiva no está definida, así que el sistema la trata como deshabilitada. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Controlador de dominio: requisitos de firma de servidor LDAP
Esta configuración de seguridad determina si el servidor LDAP requiere que la firma se negocie con clientes LDAP, del modo siguiente: Ninguno: la firma de datos no es necesaria para enlazar con el servidor. Si el cliente solicita la firma de los datos, el servidor la admite. Requerir firma: a menos que se esté usando TLS\SSL, la opción de firma de datos LDAP debe negociarse. Valor predeterminado: esta directiva no está definida, lo que tiene el mismo efecto que Ninguno. Precaución Si establece el valor Requerir firma para el servidor, deberá configurar también el cliente del mismo modo; de lo contrario, se perderá la conexión con el servidor. Notas Esta configuración no afecta al enlace simple LDAP o el enlace simple LDAP mediante SSL. Ninguno de los clientes LDAP de Microsoft incluidos en Windows XP Professional usan el enlace simple LDAP o enlace simple LDAP mediante SSL para comunicarse con un controlador de dominio. Si se requiere la firma, se rechazarán las solicitudes de enlace simple LDAP y enlace simple LDAP mediante SSL. Ninguno de los clientes LDAP de Microsoft con Windows XP Professional o la familia Windows Server 2003 usan el enlace simple LDAP o enlace simple LDAP mediante SSL para enlazar con servicios de directorio. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo
Esta configuración de seguridad determina si los controladores de dominio rechazarán las solicitudes realizadas por los equipos miembros de cambiar las contraseñas de las cuentas de equipo. De manera predeterminada, los equipos miembros cambian sus contraseñas de cuentas de equipo cada 30 días. Si esta configuración está habilitada, el controlador de dominio rechazará las solicitudes de cambio de contraseña de cuentas de equipo. Si está habilitada, esta configuración no permite que los controladores de dominio acepten ningún cambio de contraseña en la cuenta de equipo. Valor predeterminado: esta directiva no se define, lo que significa que el sistema la trata como deshabilitada. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Esta configuración de seguridad determina si todo el tráfico de un canal seguro que inicia un miembro de dominio debe estar firmado o cifrado. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Una vez hecho esto, al iniciar el sistema se usará la contraseña de cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso NTLM, la búsqueda de SID/nombre de LSA, etc. Esta configuración determina si todo el tráfico de canal seguro que inicia el miembro de dominio cumple los requisitos de seguridad mínimos. Más concretamente, determina si todo el tráfico de canal seguro que inicia el miembro de dominio debe firmarse o cifrarse. Si esta directiva está habilitada, no se establecerá el canal seguro hasta que se negocie la firma o el cifrado de todo su tráfico. Si la directiva está deshabilitada, el cifrado y la firma de todo el tráfico de canal seguro se negocia con el controlador de dominio, en cuyo caso el nivel de la firma y del cifrado dependerá de la versión del controlador de dominio y de la configuración de las dos directivas siguientes: Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible) Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) Valor predeterminado: habilitada. Notas: Si esta directiva está habilitada, se dará por hecho que la directiva Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) está habilitada, con independencia de la configuración actual. Con ello, se garantizará que el miembro de dominio intente al menos negociar la firma del tráfico del canal seguro. Si esta directiva está habilitada, se dará por hecho que la directiva Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) está habilitada, con independencia de la configuración actual. Con ello, se garantizará que el miembro de dominio intente al menos negociar la firma del tráfico del canal seguro. La información de inicio de sesión transmitida a través del canal seguro siempre está cifrada, tanto si se negocia el cifrado del resto del tráfico del canal seguro como si no. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Esta configuración de seguridad determina si un miembro de dominio intenta negociar el cifrado de todo el tráfico de canal seguro que inicia. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Una vez hecho esto, al iniciar el sistema se usará la contraseña de cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso NTLM, la búsqueda de SID/nombre de LSA, etc. Esta configuración determina si el miembro de dominio intenta o no negociar el cifrado de todo el tráfico de canal seguro que inicia. Si está habilitada, el miembro de dominio solicitará el cifrado de todo el tráfico de canal seguro y, a continuación, se cifrará todo el tráfico de canal seguro. En caso contrario, solo se cifrará la información de inicio de sesión transmitida a través del canal seguro. Si esta configuración está deshabilitada, el miembro de dominio no intentará negociar el cifrado de canal seguro. Valor predeterminado: habilitada. Importante No se conoce ningún motivo por el que esta configuración debiera estar deshabilitada. Además de reducir innecesariamente el nivel de confidencialidad posible del canal seguro, si se deshabilita esta configuración, se puede reducir innecesariamente el rendimiento del canal seguro, ya que las llamadas API simultáneas que usan el canal seguro solo son posibles cuando éste está firmado o cifrado. Nota: los controladores de dominio son, además, miembros de dominio y establecen canales seguros con otros controladores de dominio del mismo dominio y con controladores de dominio de los dominios de confianza. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Esta configuración de seguridad determina si un miembro de dominio intenta negociar la firma de todo el tráfico de canal seguro que inicia. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Una vez hecho esto, al iniciar el sistema se usará la contraseña de cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso NTLM, la búsqueda de SID/nombre de LSA, etc. Esta configuración determina si el miembro de dominio intenta o no negociar la firma de todo el tráfico de canal seguro que inicia. Si está habilitada, el miembro de dominio solicitará la firma de todo el tráfico de canal seguro. Si el controlador de dominio lo admite, se firmará todo el tráfico de canal seguro, lo cual impedirá la manipulación de los datos mientras estén en tránsito. Valor predeterminado: habilitada. Notas Si la directiva Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) está habilitada, se dará por hecho que esta directiva está habilitada, con independencia de la configuración actual. Los controladores de dominio son, además, miembros de dominio y establecen canales seguros con otros controladores de dominio del mismo dominio y con controladores de dominio de los dominios de confianza. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Miembro de dominio: duración máxima de contraseña de cuenta de equipo
Esta configuración de seguridad determina la frecuencia con que un miembro del dominio intentará cambiar la contraseña de su cuenta de equipo. Valor predeterminado: 30 días. Importante Esta configuración se aplica a equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad en esos equipos. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior)
Esta configuración de seguridad determina si se requiere el cifrado de claves con seguridad de 128 bits para los datos de canal seguro. Cuando un equipo se une a un dominio, se crea una cuenta de equipo. Una vez hecho esto, al iniciar el sistema se usará la contraseña de cuenta de equipo para crear un canal seguro con un controlador de dominio para su dominio. Este canal seguro se usa para realizar operaciones como la autenticación de paso NTLM, la búsqueda de SID/nombre de LSA, etc. Según la versión de Windows que se esté ejecutando en el controlador de dominio con el que se está comunicando el miembro de dominio y la configuración de los parámetros: Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible) Se cifrará toda la información que se transmita a través del canal seguro o solo una parte de ella. Esta configuración de directiva determina si se requiere o no el cifrado de claves con seguridad de 128 bits para la información del canal seguro que está cifrada. Si está habilitada, solo se establecerá el canal seguro si se puede realizar el cifrado de 128 bits. Si la configuración está deshabilitada, el cifrado de claves se negociará con el controlador de dominio. Valor predeterminado: habilitada. Importante Para aprovechar las ventajas de esta directiva en estaciones de trabajo y servidores miembro, todos los controladores de dominio que constituyen el dominio del miembro deben ejecutar Windows 2000 o una versión posterior. Para aprovechar las ventajas de esta directiva en controladores de dominio, todos los controladores del mismo dominio y todos los dominios de confianza deben ejecutar Windows 2000 o una versión posterior. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo
Determina si un miembro de dominio cambia periódicamente su contraseña de cuenta de equipo. Si esta configuración está habilitada, el miembro del dominio no intenta cambiar su contraseña de cuenta de equipo. Si está deshabilitada, el miembro de dominio intenta cambiar su contraseña de cuenta de equipo del modo especificado en la configuración de Miembro de dominio: duración máxima de contraseña de cuenta de equipo, cuyo valor predeterminado es de 30 días. Valor predeterminado: deshabilitada. Notas Esta configuración de seguridad no debe habilitarse. Las contraseñas de cuenta de equipo se usan para establecer canales de comunicación seguros entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Una vez establecido, el canal seguro se usa para transmitir información confidencial necesaria para tomar decisiones de autenticación y autorización. Esta configuración no debe usarse para intentar compatibilizar escenarios de arranque dual que usen la misma cuenta de equipo. Si desea realizar un arranque dual de dos instalaciones unidas al mismo dominio, asigne un nombre de equipo distinto a cada instalación. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Inicio de sesión interactivo: No mostrar último inicio de sesión
Esta configuración de seguridad determina si la ventana información de inicio de sesión de Windows mostrará el nombre de usuario de la última persona que inició sesión en este PC. Si se habilita esta directiva, no se mostrará el nombre del usuario. Si se deshabilita esta directiva, se mostrará el nombre del usuario. Valor predeterminado: Deshabilitado. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr
Este ajuste de seguridad determina si es necesario presionar Ctrl+Alt+Supr para que el usuario pueda iniciar sesión. Si esta directiva está habilitada en el equipo, no es necesario que el usuario presione Ctrl+Alt+Supr para iniciar sesión. Al no tener que presionar dicha combinación de teclas, el usuario queda expuesto a ataques que intentan interceptar su contraseña. Si se requiere del usuario que presione Ctrl+Alt+Supr, se garantiza que este se comunique mediante una ruta de acceso de confianza al escribir su contraseña. Si esta directiva está deshabilitada, todos los usuarios tienen que presionar Ctrl+Alt+Supr para iniciar sesión en Windows. Valor predeterminado en equipos del dominio: habilitado (al menos Windows 8) / deshabilitado (Windows 7 o anteriores). Valor predeterminado en equipos independientes: habilitado. |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión
Esta configuración de seguridad especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión. A menudo, este texto se usa con fines legales, por ejemplo, para advertir a los usuarios de que sus acciones pueden auditarse y de que pueden incurrir en responsabilidades legales por el uso indebido de la información de la empresa. Valor predeterminado: ningún mensaje. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión
Esta configuración de seguridad permite que el título especificado aparezca en la barra de títulos de la ventana que contiene Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión. Valor predeterminado: Ningún mensaje. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible)
Toda la información de inicio de sesión de cada usuario se almacena localmente en caché para que, en el supuesto de que un controlador de dominio no esté disponible durante los siguientes intentos de inicio de sesión, los usuarios puedan iniciar sesión. La información de inicio de sesión en caché se almacena de la sesión de inicio de sesión anterior. Si un controlador de dominio no está disponible y la información de inicio de sesión de un usuario está almacenada en caché, éste recibirá el siguiente mensaje: No hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión. En esta configuración de directiva, el valor 0 deshabilita el almacenamiento en caché de la información de inicio de sesión. Aunque se especifique un valor superior a 50, solo se almacenarán en caché 50 intentos de inicio de sesión como máximo. Windows admite un máximo de 50 entradas de cache y el número de entradas de caché consumidas por usuario depende de la credencial. Por ejemplo, puede almacenarse en cache un máximo de 50 cuentas de usuario con contraseña única en un sistema de Windows, pero solo pueden almacenarse en caché 25 cuentas de usuario con tarjeta inteligente porque se almacenan tanto la información de la contraseña como la información de la tarjeta inteligente. Cuando un usuario con la información de inicio de sesión almacenada en caché inicia sesión de nuevo, se reemplaza la información almacenada en caché individual del usuario. Valor predeterminado: Windows Server 2008: 25 Todas las otras versiones: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire
Determina la antelación (en días) con la que se avisa a los usuarios que sus contraseñas están a punto de expirar. Gracias a este aviso, el usuario tiene tiempo para crear una contraseña que sea suficientemente segura. Valor predeterminado: 5 días. |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo
Para desbloquear un equipo bloqueado, es necesario proporcionar la información de inicio de sesión. En las cuentas de dominio, esta configuración de seguridad determina si es necesario ponerse en contacto con un controlador de dominio para desbloquear un equipo. Si esta configuración de seguridad está deshabilitada, el usuario puede desbloquear el equipo con las credenciales almacenadas en caché. Si está habilitada, el controlador de dominio debe autenticar la cuenta de dominio que se está usando para desbloquear el equipo. Valor predeterminado: deshabilitada. Importante Esta configuración se aplica a los equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad en esos equipos. |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Inicio de sesión interactivo: requerir Windows Hello para empresas o tarjeta inteligente
Esta configuración de seguridad requiere que los usuarios inicien sesión en un dispositivo con Windows Hello para empresas o una tarjeta inteligente. Las opciones son: Habilitado: los usuarios solo pueden iniciar sesión en el dispositivo con Windows Hello para empresas o una tarjeta inteligente. Deshabilitado o no configurado: los usuarios pueden iniciar sesión en el dispositivo con cualquier método. Importante Esta configuración se aplica a cualquier equipo que ejecute Windows 2000 mediante cambios en el Registro, pero la configuración de seguridad no se puede consultar con el conjunto de herramientas del Administrador de configuración de seguridad. Requerir el inicio de sesión con Windows Hello para empresas o una tarjeta inteligente no se admite en Windows 10 v1607 o una versión anterior. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente
Esta configuración de seguridad determina lo que ocurre cuando la tarjeta inteligente de un usuario que inició sesión se quita del lector de tarjeta inteligente. Las opciones son: Ninguna acción Bloquear estación de trabajo Forzar cierre de sesión Desconectar si es una sesión de Servicios de Escritorio remoto Si se hace clic en Bloquear estación de trabajo del cuadro de diálogo Propiedades de esta directiva, la estación de trabajo se bloqueará cuando se quite la tarjeta inteligente, lo que permitirá a los usuarios abandonar el área, llevarse su tarjeta inteligente y mantener protegida la sesión. Si se hace clic en Forzar cierre de sesión del cuadro de diálogo Propiedades de esta directiva, la sesión del usuario se cerrará automáticamente al quitar la tarjeta inteligente. Si se hace clic en Desconectar si es una sesión de Servicios de Escritorio remoto, al quitar la tarjeta inteligente se desconectará la sesión sin que se cierre la sesión del usuario. Esto permitirá al usuario insertar la tarjeta inteligente y reanudar la sesión más tarde (o en otro equipo con lector de tarjeta inteligente) sin tener que iniciar sesión de nuevo. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo. Nota: Servicios de Escritorio remoto se llamaba Terminal Services en versiones anteriores de Windows Server. Valor predeterminado: esta directiva no está definida, lo que significa que el sistema la trata como Ninguna acción. En Windows Vista y posterior: para que funcione esta configuración, debe iniciarse el servicio Directiva de extracción de tarjetas inteligentes. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Cliente de red de Microsoft: firma digital de comunicaciones (siempre)
Esta configuración de seguridad determina si el componente SMB de cliente debe solicitar la firma de paquetes. El protocolo Bloque de mensajes de servidor (SMB) te proporciona las bases para el uso compartido de archivos e impresoras, así como para otras operaciones de red como, por ejemplo, la administración remota de Windows. Para evitar ataques de tipo "man-in-the-middle" que modifican los paquetes SMB en movimiento, el protocolo SMB es compatible con la firma digital de paquetes SMB. Esta configuración de directiva determina si la firma de paquetes SMB debe negociarse antes de permitir cualquier otra comunicación con un servidor SMB. Si la configuración está habilitada, el cliente de red de Microsoft no se comunicará con el servidor de red de Microsoft a menos que este último acepte realizar la firma de paquetes SMB. Si se deshabilita esta directiva, la firma de paquetes SMB se negociará entre el cliente y el servidor. Predeterminado: deshabilitado. Importante Para que esta directiva tenga efecto en equipos que ejecuten Windows 2000, la firma de paquetes del lado servidor también debe estar habilitada. Para habilitar la firma de paquetes SMB del lado cliente, debes establecer el cliente de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo). Notas Todos los sistemas operativos Windows son compatibles con los componentes SMB del lado cliente y del lado servidor, En Windows 2000 y otros sistemas operativos posteriores, las siguientes cuatro opciones de configuración de directiva se encargan de habilitar o solicitar la firma de paquetes a aquellos componentes SMB de los lados cliente y servidor: Cliente de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado cliente debe solicitar la firma de paquetes. Cliente de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo). Controla si el componente SMB del lado cliente tiene la firma de paquetes habilitada. Servidor de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado servidor debe solicitar la firma de paquetes. Servidor de red de Microsoft: firma digital de comunicaciones (si el cliente está de acuerdo). Controla si el componente SMB del lado servidor tiene habilitada la firma de paquetes. Recuerda que la firma de paquetes SMB puede reducir considerablemente el rendimiento de SMB, en función de la versión de dialecto, la versión del sistema operativo, el tamaño de los archivos, la capacidad de descarga del procesador y el comportamiento de E/S de las aplicaciones. Si quieres obtener más información, consulta: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Cliente de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo)
Esta configuración de seguridad determina si el cliente SMB debe intentar negociar la firma de paquetes SMB. El protocolo Bloque de mensajes de servidor (SMB) te proporciona las bases para el uso compartido de archivos e impresoras, así como para otras operaciones de red como, por ejemplo, la administración remota de Windows. Para evitar ataques de tipo "man-in-the-middle" que modifican los paquetes SMB en movimiento, el protocolo SMB permite la firma digital de los paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB al comunicar con un servidor SMB. Si se habilita esta configuración, el cliente de red de Microsoft solicitará al servidor que realice la firma de paquetes SMB en el momento de la configuración de la sesión. Si la firma de paquetes se habilitó en el servidor, esta se negociará. Si esta directiva está deshabilitada, el cliente SMB nunca negociará la firma de paquetes SMB. Predeterminado: habilitado. Notas Todos los sistemas operativos Windows son compatibles con los componentes SMB del lado cliente y del lado servidor. En Windows 2000 y versiones posteriores, las siguientes cuatro opciones de configuración de directiva se encargan de habilitar o solicitar la firma de paquetes a aquellos componentes SMB de los lados cliente y servidor: Cliente de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado cliente debe solicitar la firma de paquetes. Cliente de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo). Controla si el componente SMB del lado cliente tiene habilitada la firma de paquetes. Servidor de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado servidor debe solicitar la firma de paquetes. Servidor de red de Microsoft: firma digital de comunicaciones (si el cliente está de acuerdo). Controla si el componente SMB del lado servidor tiene la firma de paquetes habilitada. Si la firma SMB del lado cliente y lado servidor está habilitada y el cliente establece una conexión SMB 1.0 con el servidor, se intentará realizar la firma SMB. Recuerda que la firma de paquetes SMB puede reducir considerablemente el rendimiento de SMB, en función de la versión de dialecto, la versión del sistema operativo, el tamaño de los archivos, la capacidad de descarga del procesador y el comportamiento de E/S de las aplicaciones. Esta configuración solo se aplica a conexiones SMB 1.0. Si quieres obtener más información, consulta: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Cliente de redes de Microsoft: enviar contraseña sin cifrar para conectar con servidores SMB de terceros
Si esta configuración de seguridad está habilitada, se permite que el redirector del Bloque de mensajes del servidor (SMB) envíe contraseñas de texto sin formato a servidores SMB que no sean de Microsoft y que no admitan el cifrado de contraseñas durante la autenticación. Enviar contraseñas sin cifrar supone un riesgo para la seguridad. Valor predeterminado: deshabilitada. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión
Esta configuración de seguridad determina el período de tiempo de inactividad continuo que debe transcurrir en una sesión de Bloque de mensajes del servidor (SMB) para que ésta se suspenda por falta de actividad. Los administradores pueden usar esta directiva para controlar cuándo suspende el equipo una sesión SMB inactiva. Si la actividad del cliente se reanuda, la sesión se restablecerá automáticamente. En la configuración de esta directiva, el valor 0 equivale a desconectar la sesión inactiva tan pronto como sea razonablemente posible. El valor máximo es 99999, que equivale a 208 días; en la práctica, este valor deshabilita la directiva. Valor predeterminado: esta directiva no se define, lo que significa que el sistema la trata como 15 minutos para los servidores y Sin definir para las estaciones de trabajo. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Servidor de red de Microsoft: firma digital de comunicaciones (siempre)
Esta configuración de seguridad determina si la firma de paquetes es necesaria de acuerdo al componente del servidor SMB. El protocolo Bloque de mensajes de servidor (SMB) te proporciona las bases para el uso compartido de archivos e impresoras, así como para otras operaciones de red como, por ejemplo, la administración remota de Windows. Para evitar ataques de tipo "man-in-the-middle" que modifican los paquetes SMB en movimiento, el protocolo SMB permite la firma digital de los paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de permitir la comunicación con un cliente SMB. Si esta configuración está habilitada, el servidor de red de Microsoft no se comunicará con un cliente de red de Microsoft a menos que ese cliente permita la firma de paquetes SMB. Si esta configuración está deshabilitada, la firma de paquetes SMB se negociará entre el cliente y el servidor. Predeterminado: Deshabilitado para servidores miembro. Habilitado para controladores de dominio. Notas Todos los sistemas operativos Windows son compatibles con los componentes SMB del lado cliente y del lado servidor. En Windows 2000 y otras versiones posteriores, las siguientes cuatro opciones de configuración de directiva se encargan de habilitar o solicitar la firma de paquetes a aquellos componentes SMB de los lados cliente y servidor: Cliente de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado cliente debe solicitar la firma de paquetes. Servidor de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo). Controla si el componente SMB del lado cliente tiene la firma de paquetes habilitada. Servidor de red de Microsoft: firma digital de comunicaciones (siempre). Controla si el componente SMB del lado servidor debe solicitar la firma de paquetes. Servidor de red de Microsoft: firma digital de comunicaciones (si el cliente está de acuerdo). Controla si el componente SMB del lado servidor tiene la firma de paquetes habilitada. Igualmente, si la firma SMB del lado cliente es necesaria, ese cliente no podrá establecer una sesión con servidores que no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado servidor se habilita solo en controladores de dominio. Si la firma SMB del lado servidor está habilitada, esta se negociará con clientes que tengan la firma SMB del lado cliente habilitada. Recuerda que la firma de paquetes SMB puede reducir considerablemente el rendimiento de SMB, en función de la versión de dialecto, la versión del sistema operativo, los tamaños de los archivos, la capacidad de descarga del procesador y el comportamiento de E/S de las aplicaciones. Importante Para que esta directiva tenga algún efecto en aquellos equipos que ejecuten Windows 2000, debes tener habilitada también la firma de paquetes del lado servidor. Para habilitar la firma de paquetes SMB del lado servidor, debes establecer la siguiente directiva: Servidor de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo) Para que los servidores de Windows 2000 negocien la firma con los clientes de Windows NT 4.0, debes establecer el siguiente valor de Registro en 1 en el servidor de Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Si quieres obtener más información, consulta: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Servidor de red de Microsoft: firma digital de comunicaciones (si el cliente está de acuerdo)
Esta configuración de seguridad determina si el servidor SMB negociará la firma del paquete SMB con aquellos clientes que lo hayan solicitado. El protocolo Bloque de mensajes del servidor te proporciona las bases para el uso compartido de archivos e impresoras de Microsoft, así como para muchas otras operaciones de red como, por ejemplo, la administración remota de Windows. Para evitar ataques de tipo "man-in-the-middle", que modifican los paquetes SMB en movimiento, el protocolo SMB es compatible con la firma digital de los paquetes SMB. Gracias a esta configuración de directiva, podrás determinar si el servidor SMB negociará la firma del paquete SMB en el momento en que un cliente SMB lo solicite. Si habilitas esta configuración, el servidor de red de Microsoft negociará la firma del paquete SMB tal como solicitó el cliente. Es decir, si la firma de paquetes se habilitó en el cliente, esta firma se negociará. Si por el contrario la directiva está deshabilitada, el cliente SMB nunca negociará la firma del paquete SMB. Predeterminado: solo está habilitada en controladores de dominio. Importante Para que aquellos servidores de Windows 2000 negocien la firma con los clientes de Windows NT 4.0, se debe establecer en 1 el siguiente valor de Registro que se encuentra en el servidor que ejecuta Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notas Todos los sistemas operativos Windows son compatibles con un componente SMB tanto del lado cliente como del lado servidor. En cuanto a Windows 2000 y otras versiones posteriores, las siguientes cuatro opciones de configuración de directiva se encargan de habilitar o solicitar la firma de paquetes a aquellos componentes SMB de los lados cliente y servidor: Cliente de red de Microsoft: firma digital de comunicaciones (siempre). Se encarga de controlar si el componente SMB del lado cliente debe firmar el paquete. Cliente de red de Microsoft: firma digital de comunicaciones (si el servidor está de acuerdo). Se encarga de controlar si el componente SMB del lado cliente tiene la firma de paquetes habilitada. Servidor de red de Microsoft: firma digital de comunicaciones (siempre). Se encarga de controlar si la firma de paquetes es necesaria para el componente SMB del lado cliente. Servidor de red de Microsoft: firma digital de comunicaciones (si el cliente está de acuerdo). Se encarga de controlar si el componente SMB del lado servidor tiene la firma de paquetes habilitada. Si tanto las firmas SMB del lado cliente como del lado servidor están habilitadas y el cliente establece una conexión de tipo SMB 1.0 con el servidor, se intentará realizar la firma SMB. La firma de paquetes SMB puede reducir considerablemente el rendimiento de SMB, dependiendo de la versión del dialecto, la versión del sistema operativo, el tamaño de los archivos, la capacidad de descarga del procesador y el comportamiento de E/S de las aplicaciones. Esta configuración solo se aplica a conexiones de SMB 1.0. Para obtener más información, consulta: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Servidor de red Microsoft: desconectar a los clientes cuando expiren las horas de inicio de sesión
Esta configuración de seguridad determina si se va a desconectar a los usuarios conectados al equipo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes del servidor (SMB). Cuando se habilita esta directiva, fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando las horas de inicio de sesión del cliente expiren. Si se deshabilita esta directiva, se permite mantener una sesión de cliente establecida una vez expiradas las horas de inicio de sesión del cliente. Valor predeterminado en Windows Vista y versiones posteriores: habilitada. Valor predeterminado en Windows XP: deshabilitada. |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Acceso de red: permitir traducción SID-nombre anónima
Esta configuración de directiva determina si un usuario anónimo puede solicitar atributos de identificador de seguridad (SID) para otro usuario. Si se habilita esta directiva, un usuario anónimo puede solicitar el atributo SID para otro usuario. Un usuario anónimo con conocimiento del SID de un administrador podría ponerse en contacto con un equipo que tenga esta directiva habilitada y usarlo para obtener el nombre del administrador. Esta configuración afecta tanto a la traducción de SID a nombre como a la traducción de nombre a SID. Si se deshabilita esta configuración de directiva, un usuario anónimo no puede solicitar el atributo SID para otro usuario. Valor predeterminado en estaciones de trabajo y servidores miembro: deshabilitada. Valor predeterminado en controladores de dominio que ejecutan Windows Server 2008 o posterior: deshabilitada Valor predeterminado en controladores de dominio que ejecutan Windows 2003 R2 o anterior: habilitada. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM
Esta configuración de seguridad determina los permisos adicionales que se concederán para las conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar ciertas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto es conveniente, por ejemplo, cuando un administrador desea conceder acceso a usuarios a un dominio de confianza que no mantiene una confianza recíproca. Esta opción de seguridad permite que se apliquen restricciones adicionales en las conexiones anónimas de la forma siguiente: Habilitada: no permite la enumeración de cuentas SAM. Esta opción reemplaza Todos con Usuarios autenticados en los permisos de seguridad para recursos. Deshabilitada: sin restricciones adicionales. Se basa en los permisos predeterminados. Valor predeterminado en estaciones de trabajo: habilitada. Valor predeterminado en servidores: habilitada. Importante Esta directiva no afecta a los controladores de dominio. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM
Esta configuración de seguridad determina si se permite la enumeración anónima de cuentas y recursos compartidos SAM. Windows permite a los usuarios anónimos realizar ciertas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto es conveniente, por ejemplo, cuando un administrador desee conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Si no desea permitir la enumeración anónima de cuentas y recursos compartidos SAM, habilite esta directiva. Valor predeterminado: deshabilitada. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para la autenticación de la red
Esta configuración de seguridad determina si el Administrador de credenciales guarda las contraseñas y credenciales para usarlas más adelante cuando obtenga la autenticación de dominio. Si se habilita esta configuración, el Administrador de credenciales no almacena contraseñas ni credenciales en el equipo. Si se deshabilita o no se establece esta configuración de directiva, el Administrador de credenciales almacenará las contraseñas y credenciales en este equipo a fin de usarlas más adelante para la autenticación de dominio. Nota: al establecer esta configuración de seguridad, los cambios no surtirán efecto hasta que reinicie Windows. Valor predeterminado: deshabilitada. |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos
Esta configuración de seguridad determina los permisos adicionales que se conceden para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar ciertas actividades, como enumerar los nombres de cuentas de dominio y recursos compartidos de red. Esto es conveniente, por ejemplo, cuando un administrador desee conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. De manera predeterminada, se quita el identificador de seguridad (SID) de Todos del token creado para conexiones anónimas. Por tanto, los permisos concedidos al grupo Todos no se aplican a los usuarios anónimos. Si se establece esta opción, los usuarios anónimos solo tienen acceso a los recursos para los que se les haya concedido permiso explícitamente. Si se habilita esta directiva, se agrega el SID de Todos al token creado para conexiones anónimas. En este caso, los usuarios anónimos tienen acceso a todos los recursos para los que se haya concedido permiso al grupo Todos. Valor predeterminado: deshabilitada. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Acceso a redes: canalizaciones con nombre accesibles anónimamente
Esta configuración de seguridad determina las sesiones de comunicación (canalizaciones) que tendrán atributos y permisos que permitan el acceso anónimo. Valor predeterminado: ninguno. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Acceso a redes: rutas del Registro accesibles remotamente
Esta configuración de seguridad determina las claves del Registro a las que se tiene acceso a través de la red, independientemente de los usuarios o grupos incluidos en la lista de control de acceso (ACL) de la clave del Registro winreg. Valor predeterminado: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Precaución La edición incorrecta del Registro puede causar daños graves al sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos del equipo. Nota: esta configuración de seguridad no está disponible en versiones anteriores de Windows. La configuración de seguridad que aparece en los equipos con Windows XP, "Acceso de red: rutas de Registro accesibles remotamente", corresponde a la opción de seguridad "Acceso de red: rutas y subrutas de Registro accesibles remotamente" en miembros de la familia Windows Server 2003. Para obtener más información, consulte Acceso de red: rutas y subrutas de Registro accesibles remotamente. Valor predeterminado: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Acceso de red: rutas y subrutas de Registro accesibles remotamente
Esta configuración de seguridad determina las rutas y subrutas del Registro a las que se tiene acceso a través de la red, independientemente de los usuarios o grupos incluidos en la lista de control de acceso (ACL) de la clave del Registro winreg. Valor predeterminado: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Precaución La edición incorrecta del Registro puede causar daños graves al sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos del equipo. Nota: en Windows XP, esta configuración de seguridad se llamaba "Acceso de red: rutas de Registro accesibles remotamente". Si configura este valor en un miembro de la familia Windows Server 2003 unido a un dominio, el valor se hereda en los equipos con Windows XP, pero aparecerá como la opción de seguridad "Acceso de red: rutas de Registro accesibles remotamente". Para obtener más información, consulte Acceso de red: rutas y subrutas de Registro accesibles remotamente. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos
Cuando está habilitada, esta configuración de seguridad restringe el acceso anónimo a recursos compartidos y canalizaciones a la configuración para: Acceso a redes: canalizaciones con nombre accesibles anónimamente Acceso a redes: recursos compartidos accesibles anónimamente Valor predeterminado: habilitada. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Acceso a redes: recursos compartidos accesibles anónimamente
Esta configuración de seguridad determina los recursos compartidos de red a los que tienen acceso los usuarios anónimos. Valor predeterminado: ninguno especificado. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Acceso a redes: modelo de seguridad y uso compartido para cuentas locales
Esta configuración de seguridad determina cómo se autentican los inicios de sesión de red que usan cuentas locales. Si esta configuración está establecida en Clásico, los inicios de sesión de red que usen credenciales de cuenta local se autentican con esas credenciales. El modelo Clásico permite ofrece un gran control sobre el acceso a recursos. Con él, puede conceder diferentes tipos de acceso a diferentes usuarios para el mismo recurso. Si esta configuración se establece en Solo invitado, los inicios de sesión de red que usen cuentas locales se asignan automáticamente a la cuenta Invitado. Con el modelo Invitado, puede tratar a todos los usuarios de manera igual. Todos los usuarios se autentican como invitados y reciben el mismo nivel de acceso a un recurso dado, que puede ser Solo lectura o Modificar. Valor predeterminado en equipos de dominio: Clásico Valor predeterminado en equipos independientes: Solo invitado Importante Con el modelo Solo invitado, cualquier usuario con acceso a su equipo a través de la red (incluidos usuarios de Internet anónimos) tiene acceso a sus recursos compartidos. Debe usar Firewall de Windows u otro dispositivo similar para proteger el equipo ante accesos no autorizados. Del mismo modo, con el modelo Clásico, las cuentas locales deben estar protegidas mediante contraseña; de lo contrario, las puede usar cualquier persona para tener acceso a los recursos compartidos del sistema. Nota: Esta configuración no afecta a los inicios de sesión interactivos que se realizan de forma remota con servicios como Telnet o Servicios de Escritorio Remoto. Nota: Servicios de Escritorio remoto se llamaba Terminal Services en versiones anteriores de Windows Server Esta directiva no afectará a los equipos que ejecuten Windows 2000. Cuando el equipo no está unido a un dominio, esta configuración también modifica las pestañas Seguridad y Compartir del Explorador de archivos para que se correspondan con el modelo de seguridad y uso compartido que se esté usando. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña
Esta configuración de seguridad determina si, en el siguiente cambio de contraseña, se almacena el valor de hash de LAN Manager (LM) para la nueva contraseña. El hash de LM es relativamente poco seguro y vulnerable a ataques, si se compara con el hash de Windows NT, con mayor seguridad criptográfica. Puesto que el hash de LM se almacena en el equipo local, en la base de datos de seguridad, las contraseñas pueden estar en peligro si la base de datos de seguridad resulta atacada. Valor predeterminado en Windows Vista y versiones posteriores: habilitada. Valor predeterminado en Windows XP: deshabilitada. Importante Windows 2000 Service Pack 2 (SP2) y posteriores ofrecen compatibilidad con la autenticación en versiones anteriores de Windows, como Microsoft Windows NT 4.0. Esta configuración puede afectar a la capacidad de los equipos con Windows 2000 Server, Windows 2000 Professional, Windows XP y la familia Windows Server 2003 para comunicarse con equipos con Windows 95 y Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión
Esta configuración de seguridad determina si se desconecta a los usuarios conectados al equipo local fuera de las horas de inicio de sesión válidas de la cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes del servidor (SMB). Cuando se habilita esta directiva, fuerza la desconexión de las sesiones de cliente con el servidor SMB cuando las horas de inicio de sesión del cliente expiren. Si se deshabilita esta directiva, se permite mantener una sesión de cliente establecida una vez expiradas las horas de inicio de sesión del cliente. Valor predeterminado: habilitada. Nota: esta configuración de seguridad funciona como una directiva de cuenta. Para las cuentas de dominio, solo puede existir una directiva de cuenta. Ésta se debe definir en la directiva de dominio predeterminada y la exigen los controladores de dominio que forman el dominio. Los controladores de dominio siempre extraen la directiva de cuenta del objeto de directiva de grupo (GPO) de la directiva de dominio predeterminada, incluso si hay una directiva de cuenta diferente aplicada a la unidad organizativa que contiene el controlador de dominio. De manera predeterminada, las estaciones de trabajo y los servidores unidos a un dominio (por ejemplo, equipos miembros) también reciben la misma directiva de cuenta para sus cuentas locales. Sin embargo, las directivas de cuenta locales para los equipos miembros pueden diferir de la directiva de cuenta de dominio si se define una directiva de cuenta para la unidad organizativa que contiene los equipos miembros. La configuración de Kerberos no se aplica a los equipos miembros. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Seguridad de red: nivel de autenticación de LAN Manager
Esta configuración de seguridad determina el protocolo de autenticación desafío/respuesta que se usa para inicios de sesión de red. Esta opción afecta al nivel de protocolo de autenticación usado por los clientes, el nivel de seguridad de sesión negociado y el nivel de autenticación aceptado por los servidores de la siguiente manera: Enviar respuestas LM y NTLM: los clientes usan la autenticación LM y NTLM, y no usan nunca la seguridad de sesión NTLMv2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia: los clientes usan la autenticación LM y NTLM, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLM: los clientes solo usan la autenticación NTLM, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLMv2: los clientes usan solo la autenticación NTLMv2, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. Enviar solo respuesta NTLMv2 y rechazar LM: los clientes solo usan la autenticación NTLMv2, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio rechazan LM (solo aceptan la autenticación NTLM y NTLMv2). Enviar solo respuesta NTLMv2 y rechazar LM y NTLM: los clientes solo usan la autenticación NTLMv2, así como la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio rechazan LM y NTLM (solo aceptan la autenticación NTLMv2). Importante Esta configuración puede afectar a la capacidad de los equipos para ejecutar Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003 para comunicarse con equipos que ejecuten Windows NT 4.0 y anteriores a través de la red. Por ejemplo, en el momento de esta redacción, los equipos con SP4 de Windows NT 4.0 y anteriores no admitían NTLMv2. Los equipos con Windows 95 y Windows 98 no admitían NTLM. Valor predeterminado: Windows 2000 y Windows XP: enviar respuestas LM y NTLM Windows Server 2003: enviar solo respuesta NTLM Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2: enviar solo respuesta NTLMv2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Seguridad de red: requisitos de firma de cliente LDAP
Esta configuración de seguridad determina el nivel de firma de datos que se solicita en nombre de clientes que emiten solicitudes LDAP BIND, de la forma siguiente: Ninguno: la solicitud LDAP BIND se emite con las opciones especificadas por el autor de la llamada. Negociar firma: si no se inició Seguridad de la capa de transporte/Capa de sockets seguros (TLS/SSL), la solicitud LDAP BIND se inicia con la opción de firma de datos LDAP establecida, además de la opción especificada por el autor de la llamada. Si se inició TLS/SSL, la solicitud LDAP BIND se inicia con las opciones especificadas por el autor de la llamada. Requerir firma: es igual que Negociar firma. No obstante, si la respuesta saslBindInProgress intermedia del servidor LDAP no indica que se requiere la firma del tráfico LDAP, se indica al autor de la llamada el error en la solicitud del comando LDAP BIND. Precaución Si establece el valor del servidor en Requerir firma, también debe establecer el del cliente. Si no lo hace, se perderá la conexión con el servidor. Nota: esta configuración no afecta a ldap_simple_bind ni ldap_simple_bind_s. Ninguno de los clientes LDAP de Microsoft incluidos en Windows XP Professional usan ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio. Valor predeterminado: Negociar firma. |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura)
Esta configuración de seguridad permite a un cliente requerir la negociación del cifrado de 128 bits y/o la seguridad de sesión NTLMv2. Estos valores dependen del valor de la configuración de seguridad Nivel de autenticación de LAN Manager. Las opciones son: Requerir seguridad de sesión NTLMv2: se producirá un error en la conexión si no se negocia el protocolo NTLMv2. Requerir cifrado de 128 bits: se producirá un error en la conexión si no se negocia el cifrado de alta seguridad (128 bits). Valor predeterminado: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 y Windows Server 2008: sin requisitos. Windows 7 y Windows Server 2008 R2: requerir cifrado de 128 bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura)
Esta configuración de seguridad permite a un servidor requerir la negociación del cifrado de 128 bits y/o la seguridad de sesión NTLMv2. Estos valores dependen del valor de la configuración de seguridad Nivel de autenticación de LAN Manager. Las opciones son: Requerir seguridad de sesión NTLMv2: se producirá un error en la conexión si no se negocia el protocolo NTLMv2. Requerir cifrado de 128 bits: se producirá un error en la conexión si no se negocia el cifrado de alta seguridad (128 bits). Valor predeterminado: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 y Windows Server 2008: sin requisitos. Windows 7 y Windows Server 2008 R2: requerir cifrado de 128 bits |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Consola de recuperación: permitir el inicio de sesión administrativo automático
Esta configuración de seguridad determina si se debe proporcionar la contraseña para la cuenta Administrador para que se conceda acceso al sistema. Si se habilita esta opción, la Consola de recuperación no requiere que se proporcione una contraseña e inicia sesión automáticamente en el sistema. Valor predeterminado: esta directiva no se define y no se permite el inicio de sesión administrativa automático. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas
Si habilita esta opción de seguridad, el comando SET de la Consola de recuperación estará disponible, lo que permite establecer las siguientes variables de entorno de la Consola de recuperación: AllowWildCards: habilita la compatibilidad con comodines de algunos comandos (como el comando DEL). AllowAllPaths: permite el acceso a todos los archivos y carpetas del equipo. AllowRemovableMedia: permite que los archivos se copien en medios extraíbles, como disquetes. NoCopyPrompt: no pregunta antes de sobrescribir un archivo existente. Valor predeterminado: esta directiva no se define y el comando SET de la Consola de recuperación no está disponible. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Apagado: permitir apagar el sistema sin tener que iniciar sesión
Esta configuración de seguridad determina si se puede apagar un equipo sin tener que iniciar sesión en Windows. Cuando se habilita esta directiva, el comando Apagar está disponible en la pantalla de inicio de sesión de Windows. Cuando se deshabilita, la opción para apagar el equipo no aparece en la pantalla de inicio de sesión de Windows. En este caso, los usuarios deben poder iniciar sesión en el equipo correctamente y tener el derecho de usuario Apagar el sistema para poder realizar el apagado. Valor predeterminado en estaciones de trabajo: habilitada. Valor predeterminado en servidores: deshabilitada. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Apagado: borrar el archivo de paginación de la memoria virtual
Esta configuración de seguridad determina si el archivo de paginación de la memoria virtual se borra cuando se apaga el sistema. La compatibilidad con memoria virtual usa un archivo de paginación del sistema para intercambiar páginas de memoria en disco cuando no se usan. En un sistema en ejecución, solo abre este archivo de paginación el sistema operativo y el archivo está bien protegido. Sin embargo, es posible que los sistemas configurados para permitir el arranque en otros sistemas operativos deban asegurarse de que el archivo de paginación del sistema se borró cuando se cierra este sistema. Esto garantiza que la información confidencial de la memoria de proceso que pueda incluirse en el archivo de paginación no esté disponible para un usuario no autorizado que obtenga acceso directo al archivo de paginación. Cuando se habilita esta directiva, hace que se borre el archivo de paginación del sistema al cerrarse. Si habilita esta opción de seguridad, el archivo de hibernación (hiberfil.sys) también se pone a cero cuando se deshabilita la hibernación. Valor predeterminado: deshabilitada. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Criptografía de sistema: forzar la protección con claves seguras para las claves de usuario almacenadas en el equipo
Esta configuración de seguridad determina si las claves privadas del usuario requieren el uso de una contraseña. Las opciones son: No es necesaria la intervención del usuario al guardar y usar claves nuevas. Se preguntará al usuario cuando se use la clave por primera vez. El usuario debe escribir una contraseña cada vez que use una clave. Para obtener más información, consulte Infraestructura de clave pública. Valor predeterminado: esta directiva no se define. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Criptografía de sistema: usar algoritmos criptográficos que cumplan FIPS 140, incluidos algoritmos criptográficos, hash y de firma
Para el Proveedor de servicios de seguridad Schannel (SSP), esta configuración de seguridad deshabilita los protocolos Capa de sockets seguros (SSL) que son más débiles y admite solo protocolos Seguridad de la capa de transporte (TLS) como cliente y como servidor (si procede). Si se habilita esta configuración, el Proveedor de seguridad TLS/SSL (Seguridad de la capa de transporte/Capa de sockets seguros) usa solo algoritmos criptográficos FIPS 140 aprobados: 3DES y AES para cifrado, criptografía de clave pública RSA o ECC para el intercambio y la autenticación de claves TLS, y solo el Algoritmo hash seguro (SHA1, SHA256, SHA384 y SHA512) para los requisitos de hash TLS. Para el servicio del Sistema de cifrado de archivos (EFS), admite los algoritmos criptográficos 3DES (Triple Data Encryption Standard) y AES (Estándar de cifrado avanzado) para cifrar datos de archivo admitidos por el sistema de archivos NTFS. De forma predeterminada, EFS usa el algoritmo AES con una clave de 256 bits en la familia Windows Server 2003 y Windows Vista, y el algoritmo DESX en Windows XP para cifrar datos de archivo. Para obtener información acerca de EFS, vea Sistema de cifrado de archivos. Para Servicios de Escritorio remoto, admite solo el algoritmo criptográfico 3DES para cifrar la comunicación de red de Servicios de Escritorio remoto. Nota: Servicios de Escritorio remoto se llamaba Terminal Services en versiones anteriores de Windows Server Para BitLocker, esta directiva debe estar habilitada antes de que se genere cualquier clave de cifrado. Las contraseñas de recuperación creadas cuando esta directiva está habilitada son incompatibles con BitLocker en Windows 8, Windows Server 2012 y en sistemas operativos anteriores. Si se aplica esta directiva en equipos que ejecutan sistemas operativos anteriores a Windows 8.1 y Windows Server 2012 R2, BitLocker impedirá la creación y el uso de contraseñas de recuperación; en su lugar, se deben usar claves de recuperación para esos equipos. Valor predeterminado: deshabilitada. Nota: el Estándar federal de procesamiento de información (FIPS) 140 es una implementación de seguridad diseñada para certificar software criptográfico. El gobierno de Estados Unidos y otras instituciones importantes requieren software validado con FIPS 140. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Objetos del sistema: propietario predeterminado de los objetos creados por miembros del grupo Administradores
Descripción Esta configuración de seguridad determina la entidad de seguridad (SID) que se asignará al PROPIETARIO de los objetos cuando los crea un miembro del grupo Administradores. Valor predeterminado: Windows XP: SID de usuario Windows 2003 : Grupo Administradores. |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows
Esta configuración de seguridad determina si se exige que no se distinga mayúsculas de minúsculas en todos los subsistemas. El subsistema Win32 no distingue mayúsculas de minúsculas. Sin embargo, el kernel admite la distinción entre mayúsculas y minúsculas para otros subsistemas, como POSIX. Si se habilita esta configuración, se exige que no se distinga mayúsculas de minúsculas para todos los objetos de directorio, vínculos simbólicos y objetos de E/S, incluidos objetos de archivo. Si deshabilita esta configuración, no se permite que el subsistema Win32 distinga mayúsculas de minúsculas. Valor predeterminado: habilitada. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos)
Esta configuración de seguridad determina la seguridad de la lista de control de acceso discrecional (DACL) predeterminada para objetos. Active Directory mantiene una lista global de recursos del sistema compartidos, como nombres de dispositivo DOS, exclusiones mutuas y semáforos. De esta manera, los objetos se pueden ubicar y compartir entre procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién tiene acceso a los objetos y qué permisos se conceden. Si se habilita esta directiva, la DACL predeterminada es más segura, lo que permite a los usuarios que no sean administradores leer objetos compartidos, pero no modificar los que no crearon. Valor predeterminado: habilitada. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Configuración del sistema: subsistemas opcionales
Esta configuración de seguridad determina los subsistemas que se pueden iniciar opcionalmente para la compatibilidad de las aplicaciones. Con esta configuración de seguridad, puede especificar tantos subsistemas como el entorno requiera. Valor predeterminado: POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Configuración del sistema: usar reglas de certificado en ejecutables de Windows para directivas de restricción de software
Esta configuración de seguridad determina si se procesan los certificados digitales cuando un usuario o proceso intenta ejecutar software con una extensión de nombre de archivo .exe. Esta configuración de seguridad se usa para habilitar o deshabilitar reglas de certificado, un tipo de regla de directivas de restricción de software. Con las directivas de restricción de software, puede crear una regla de certificado que permita o impida la ejecución de software firmado con Authenticode, según el certificado digital asociado con el software. Para que las reglas de certificado surtan efecto, debe habilitar esta configuración de seguridad. Cuando se habilitan las reglas de certificado, las directivas de restricción de software comprobarán una lista de revocación de certificados (CRL) para asegurarse de que el certificado y la firma del software sean válidos. Esto puede reducir el rendimiento cuando se inicien programas firmados. Puede deshabilitar esta característica. En Propiedades de Editores de confianza, desactive las casillas Proveedor y Marca de tiempo. Para obtener más información, consulte el tema sobre cómo establecer opciones de editores de confianza. Valor predeterminado: deshabilitada. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Tamaño máximo del registro de la aplicación
Esta configuración de seguridad especifica el tamaño máximo del registro de eventos de la aplicación, que tiene un máximo teórico de 4 GB. En la práctica, el límite es inferior (~300 MB) Notas Los tamaños de archivo de registro deben ser un múltiplo de 64 KB. Si escribe un valor que no sea múltiplo de 64 KB, el Visor de eventos redondeará a la alza el tamaño del archivo de registro a un múltiplo de 64 KB. Esta configuración no aparece en el objeto de directiva de equipo local. Se deben definir el tamaño de registro de eventos y el ajuste de registro para que cumplan los requisitos de seguridad y de la empresa que determinó al diseñar el plan de seguridad de la empresa. Implemente estos valores del registro de eventos a nivel de sitio, dominio o unidad organizativa, para sacar partido de la configuración de directiva de grupo. Valor predeterminado: para la familia Windows Server 2003, 16 MB; para Windows XP Professional con Service Pack 1, 8 MB; para Windows XP Professional, 512 KB. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Tamaño máximo del registro de seguridad
Esta configuración de seguridad especifica el tamaño máximo del registro de eventos de seguridad, que tiene un máximo teórico de 4 GB. En la práctica, el límite es inferior (~300 MB) Notas Los tamaños de archivo de registro deben ser un múltiplo de 64 KB. Si escribe un valor que no sea múltiplo de 64 KB, el Visor de eventos redondeará a la alza el tamaño del archivo de registro a un múltiplo de 64 KB. Esta configuración no aparece en el objeto de directiva de equipo local. Se deben definir el tamaño de registro de eventos y el ajuste de registro para que cumplan los requisitos de seguridad y de la empresa que determinó al diseñar el plan de seguridad de la empresa. Implemente estos valores del registro de eventos a nivel de sitio, dominio o unidad organizativa, para sacar partido de la configuración de directiva de grupo. Valor predeterminado: para la familia Windows Server 2003, 16 MB; para Windows XP Professional con Service Pack 1, 8 MB; para Windows XP Professional, 512 KB. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Tamaño máximo del registro del sistema
Esta configuración de seguridad especifica el tamaño máximo del registro de eventos del sistema, que tiene un máximo teórico de 4 GB. En la práctica, el límite es inferior (~300 MB) Notas Los tamaños de archivo de registro deben ser un múltiplo de 64 KB. Si escribe un valor que no sea múltiplo de 64 KB, el Visor de eventos redondeará a la alza el tamaño de archivo de registro a un múltiplo de 64 KB. Esta configuración no aparece en el objeto de directiva de equipo local. Se deben definir el tamaño de registro de eventos y el ajuste de registro para que cumplan los requisitos de seguridad y de la empresa que determinó al diseñar el plan de seguridad de la empresa. Implemente estos valores del registro de eventos a nivel de sitio, dominio o unidad organizativa, para sacar partido de la configuración de directiva de grupo. Valor predeterminado: para la familia Windows Server 2003, 16 MB; para Windows XP Professional con Service Pack 1, 8 MB; para Windows XP Professional, 512 KB. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Evitar que el grupo de invitados locales y los usuarios de INICIO DE SESIÓN ANÓNIMO tengan acceso al registro de aplicaciones
Esta configuración de seguridad determina si se impide a los invitados tener acceso al registro de eventos de la aplicación. Notas Esta configuración no aparece en el objeto de directiva de equipo local. Esta configuración de seguridad solo afecta a equipos con Windows 2000 y Windows XP. Valor predeterminado: habilitada para Windows XP, deshabilitada para Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Evitar que el grupo de invitados locales y los usuarios de INICIO DE SESIÓN ANÓNIMO tengan acceso al registro de seguridad
Esta configuración de seguridad determina si se impide a los invitados tener acceso al registro de eventos de seguridad. Notas Esta configuración no aparece en el objeto de directiva de equipo local. Esta configuración de seguridad solo afecta a equipos con Windows 2000 y Windows XP. Valor predeterminado: habilitada para Windows XP, deshabilitada para Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Evitar que el grupo de invitados locales y los usuarios de INICIO DE SESIÓN ANÓNIMO tengan acceso al registro del sistema
Esta configuración de seguridad determina si se impide a los invitados tener acceso al registro de eventos del sistema. Notas Esta configuración no aparece en el objeto de directiva de equipo local. Esta configuración de seguridad solo afecta a equipos con Windows 2000 y Windows XP. Valor predeterminado: habilitada para Windows XP, deshabilitada para Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Conservar el registro de aplicaciones
Esta configuración de seguridad determina el número de días de eventos que se conservarán para el registro de la aplicación si el método de retención del registro de aplicación es Por días. Establezca este valor solo si archiva el registro a intervalos programados y se asegura de que el Tamaño máximo del registro de la aplicación es suficiente para dar cabida al intervalo. Nota: esta configuración no aparece en el objeto de directiva de equipo local. Valor predeterminado: ninguno. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Conservar el registro de seguridad
Esta configuración de seguridad determina el número de días de eventos que se conservarán para el registro de seguridad si el método de retención del registro de seguridad es Por días. Establezca este valor solo si archiva el registro a intervalos programados y se asegura de que el Tamaño máximo del registro de seguridad es suficiente para dar cabida al intervalo. Notas Esta configuración no aparece en el objeto de directiva de equipo local. El usuario debe poseer el derecho de usuario Administrar registro de seguridad y auditoría para tener acceso al registro de seguridad. Valor predeterminado: ninguno. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Conservar el registro del sistema
Esta configuración de seguridad determina el número de días de eventos que se conservarán para el registro del sistema si el método de retención del registro del sistema es Por días. Establezca este valor solo si archiva el registro a intervalos programados y se asegura de que el Tamaño máximo del registro del sistema es suficiente para dar cabida al intervalo. Nota: esta configuración no aparece en el objeto de directiva de equipo local. Valor predeterminado: ninguno. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Método de retención del registro de la aplicación
Esta configuración de seguridad determina el método de "ajuste" para el registro de la aplicación. Si no archiva el registro de la aplicación, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos cuando sea necesario. Si archiva el registro a intervalos programados, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos por días y especifique el número de días adecuado en la configuración Conservar el registro de aplicaciones. Asegúrese de que el Tamaño máximo del registro de la aplicación sea suficiente para dar cabida al intervalo. Si debe conservar todos los eventos en el registro, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en No sobrescribir eventos (borrado manual del registro). Esta opción requiere que se borre el registro manualmente. En este caso, cuando se alcance el tamaño máximo del registro, se omiten los nuevos eventos. Nota: esta configuración no aparece en el objeto de directiva de equipo local. Valor predeterminado: ninguno. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Método de retención del registro de seguridad
Esta configuración de seguridad determina el método de "ajuste" para el registro de seguridad. Si no archiva el registro de seguridad, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos cuando sea necesario. Si archiva el registro a intervalos programados, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos por días y especifique el número de días adecuado en la configuración Conservar el registro de seguridad. Asegúrese de que el Tamaño máximo del registro de seguridad sea suficiente para dar cabida al intervalo. Si debe conservar todos los eventos en el registro, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en No sobrescribir eventos (borrado manual del registro). Esta opción requiere que se borre el registro manualmente. En este caso, cuando se alcanza el tamaño máximo del registro, se omiten los nuevos eventos. Notas Esta configuración no aparece en el objeto de directiva de equipo local. El usuario debe poseer el derecho de usuario Administrar registro de seguridad y auditoría para tener acceso al registro de seguridad. Valor predeterminado: ninguno. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Método de retención del registro del sistema
Esta configuración de seguridad determina el método de "ajuste" para el registro del sistema. Si no archiva el registro del sistema, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos cuando sea necesario. Si archiva el registro a intervalos programados, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en Sobrescribir eventos por días y especifique el número de días adecuado en la configuración Conservar el registro del sistema. Asegúrese de que el tamaño máximo del registro del sistema sea suficiente para dar cabida al intervalo. Si debe conservar todos los eventos en el registro, en el cuadro de diálogo Propiedades para esta directiva, active la casilla Definir esta configuración de directiva y después haga clic en No sobrescribir eventos (borrado manual del registro). Esta opción requiere que se borre el registro manualmente. En este caso, cuando se alcance el tamaño máximo del registro, se omiten los nuevos eventos. Nota: esta configuración no aparece en el objeto de directiva de equipo local. Valor predeterminado: ninguno. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Grupos restringidos
Esta configuración de seguridad permite a un administrador definir dos propiedades para los grupos relativos a la seguridad (grupos "restringidos"). Las dos propiedades son Miembros y Miembro de. La lista Miembros define quién pertenece al grupo restringido y quién no. La lista Miembro de especifica a qué otros grupos pertenece el grupo restringido. Cuando se exige una directiva Grupos restringidos, se quita cualquier miembro actual de un grupo restringido que no esté en la lista Miembros. Se agrega cualquier usuario de la lista Miembros que no sea actualmente miembro del grupo restringido. Puede usar la directiva Grupos restringidos para controlar quién es miembro del grupo. Con esta directiva, puede especificar los miembros que forman parte de un grupo. Los que no se especifiquen en la directiva se quitan durante la configuración o actualización. Además, la opción de configuración de pertenencia inversa garantiza que cada grupo restringido sea miembro solo de aquellos grupos especificados en la columna Miembro de. Por ejemplo, puede crear una directiva Grupos restringidos para solo permitir que determinados usuarios (por ejemplo, Alicia y Juan) sean miembros del grupo Administradores. Cuando se actualiza la directiva, solo quedarán Alicia y Juan como miembros del grupo Administradores. Hay dos formas de aplicar la directiva Grupos restringidos: Defina la directiva en una plantilla de seguridad, que se aplicará durante la configuración del equipo local. Defina la configuración en un objeto de directiva de grupo (GPO) directamente, lo que supone que la directiva surte efecto cada vez que se actualice la directiva. Estas configuraciones de seguridad se actualizan cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio. Además, las configuraciones se actualizan cada 16 horas, haya o no haya cambios. Valor predeterminado: ninguno especificado. Precaución Si se define una directiva Grupos restringidos y se actualiza la directiva de grupo, se quitará cualquier miembro actual que no esté en la lista de miembros de la directiva Grupos restringidos. Esto puede incluir miembros predeterminados, como los administradores. Notas Grupos restringidos se debe usar principalmente para configurar la pertenencia de grupos locales en estaciones de trabajo o servidores miembro. Una lista Miembros vacía significa que el grupo restringido carece de miembros; una lista Miembro de vacía quiere decir que no se especifican los grupos a los que pertenece el grupo restringido. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Configuración de servicios del sistema
Permite que un administrador defina el modo de inicio (manual, automático o deshabilitado), así como los permisos de acceso (Iniciar, Detener y Pausar) para todos los servicios del sistema. Valor predeterminado: Sin definir. Notas Esta configuración no aparece en el objeto de directiva de equipo local. Si elige establecer el inicio de los servicios del sistema en Automático, realice pruebas adecuadas para comprobar que los servicios se pueden iniciar sin intervención del usuario. Para optimizar el rendimiento, establezca los servicios no usados o innecesarios en Manual. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Configuración de seguridad del Registro
Permite que un administrador defina los permisos de acceso (en listas de control de acceso discrecional (DACL)) y la configuración de auditoría (en listas de control de acceso del sistema (SACL)) para claves del Registro con Administrador de configuración de seguridad. Valor predeterminado: Sin definir. Nota: esta configuración no aparece en el objeto de directiva de equipo local. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Configuración de seguridad de archivos
Permite que un administrador defina los permisos de acceso (en listas de control de acceso discrecional (DACL)) y la configuración de auditoría (en listas de control de acceso del sistema (SACL)) para objetos de sistema de archivos con Administrador de configuración de seguridad. Valor predeterminado: Sin definir. Nota: esta configuración no aparece en el objeto de directiva de equipo local. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Auditoría: forzar que la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) invalide la configuración de categoría de directiva de auditoría.
Windows Vista y las versiones posteriores de Windows permiten administrar la directiva de auditoría de una manera más precisa mediante subcategorías de directiva de auditoría. Si se establece una directiva de auditoría en el nivel de categoría, se invalidará la nueva característica de directiva de auditoría de subcategorías. La directiva de grupo solo permite establecer una directiva de auditoría en el nivel de categoría y una directiva de grupo existente puede invalidar la configuración de subcategorías de nuevos equipos conforme se incorporan al dominio o se actualizan a Windows Vista o versiones posteriores. Para que se pueda administrar la directiva de auditoría con subcategorías sin tener que modificar la directiva de grupo, se incluye un nuevo valor del Registro en Windows Vista y en las versiones posteriores, SCENoApplyLegacyAuditPolicy, que evita la aplicación de una directiva de auditoría de nivel de categoría desde la directiva de grupo y desde la herramienta administrativa Directiva de seguridad local. Si la directiva de auditoría de nivel de categoría establecida no es coherente con los eventos que se están generando actualmente, es posible que esto se deba a que ya se estableció esta clave del Registro. Valor predeterminado: habilitada. |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Control de cuentas de usuario: usar Modo de aprobación de administrador para la cuenta predefinida Administrador
Esta configuración de directiva controla el comportamiento del Modo de aprobación de administrador para la cuenta predefinida Administrador. Las opciones son: • Habilitada: la cuenta predefinida Administrador usa el Modo de aprobación de administrador. De manera predeterminada, cualquier operación que requiera la elevación de privilegios pedirá al usuario que apruebe la operación. • Deshabilitada: (valor predeterminado) la cuenta predefinida Administrador ejecuta todas las aplicaciones con privilegios de administración completos. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL)
Esta configuración de directiva determina los usuarios o grupos que pueden tener acceso a la aplicación DCOM de forma local o remota. Esta configuración se usa para controlar la superficie expuesta a ataques del equipo para las aplicaciones DCOM. Puede usar esta configuración de directiva para especificar permisos de acceso a todos los equipos a usuarios concretos de aplicaciones DCOM de la empresa. Cuando se especifican los usuarios o grupos que deben obtener permiso, el campo del descriptor de seguridad se rellena con la representación del Lenguaje de definición de descriptores de seguridad de esos grupos y privilegios. Si el descriptor de seguridad se deja en blanco, la configuración de directiva se define en la plantilla, pero no se aplica. Los usuarios y grupos pueden obtener privilegios explícitos Permitir o Denegar para el acceso tanto local como remoto. La configuración del Registro que se crea como resultado de habilitar la configuración de directiva DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) tiene prioridad sobre la configuración del Registro anterior en esta área. Los servicios de llamada a procedimiento remoto (RpcSs) buscan las restricciones del equipo en las nuevas claves del Registro de la sección de directivas y estas entradas del Registro tienen prioridad sobre las claves del Registro existentes en OLE. Esto significa que la configuración del Registro anterior ya no tiene efecto alguno y que si realiza cambios en la configuración existente no se cambiarán los permisos de acceso al equipo. Tenga cuidado al configurar su lista de usuarios y grupos. Los valores posibles de esta configuración de directiva son: En blanco. Representa el modo en que la directiva de seguridad local elimina la clave de cumplimiento de la directiva. Este valor elimina la directiva y luego la establece en el estado Sin definir. Para establecer el valor En blanco, use el editor ACL, vacíe la lista y presione Aceptar. SDDL. Es la representación del Lenguaje de definición de descriptores de seguridad (SDDL) de los grupos y privilegios que se especifican al habilitar esta directiva. Sin definir. Es el valor predeterminado. Nota Si se deniega al administrador el permiso para tener acceso a las aplicaciones DCOM debido a cambios realizados en DCOM en Windows, el administrador puede usar la configuración de directiva DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) para administrar el acceso de DCOM en el equipo. El administrador puede especificar los usuarios y grupos que pueden tener acceso a la aplicación DCOM en el equipo, de forma tanto local como remota, con esta configuración. Esto restaurará el control de la aplicación DCOM al administrador y los usuarios. Para realizarlo, abra la configuración de directiva DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) y haga clic en Modificar seguridad. Especifique los grupos que desee incluir y los permisos de acceso al equipo para dichos grupos. De esta forma se define la configuración y se establece el valor de SDDL apropiado. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL)
Esta configuración de directiva determina los usuarios o grupos que pueden iniciar o activar aplicaciones DCOM de forma local o remota. Esta configuración se usa para controlar la superficie expuesta a ataques del equipo para las aplicaciones DCOM. Puede usar esta configuración para conceder acceso a todos los equipos a los usuarios de aplicaciones DCOM. Cuando se define esta configuración y se especifican los usuarios o grupos que deben obtener permiso, el campo del descriptor de seguridad se rellena con la representación del Lenguaje de definición de descriptores de seguridad de esos grupos y privilegios. Si el descriptor de seguridad se deja en blanco, la configuración de directiva se define en la plantilla, pero no se aplica. Los usuarios y grupos pueden obtener privilegios explícitos Permitir o Denegar para el inicio local, el inicio remoto, la activación local y la activación remota. La configuración del Registro que se crea como resultado de esta directiva tiene prioridad sobre la configuración del Registro anterior en esta área. Los servicios de llamada a procedimiento remoto (RpcSs) buscan las restricciones del equipo en las nuevas claves del Registro de la sección de directivas. Estas entradas del Registro tienen prioridad sobre las claves del Registro existentes en OLE. Los valores posibles de esta configuración de directiva de grupo son: En blanco. Representa el modo en que la directiva de seguridad local elimina la clave de cumplimiento de la directiva. Este valor elimina la directiva y luego la establece en el estado Sin definir. Para establecer el valor En blanco, use el editor ACL, vacíe la lista y presione Aceptar. SDDL. Es la representación del Lenguaje de definición de descriptores de seguridad de los grupos y privilegios que se especifican al habilitar esta directiva. Sin definir. Es el valor predeterminado. Nota Si se deniega al administrador el acceso para activar e iniciar aplicaciones DCOM debido a cambios realizados en DCOM en esta versión de Windows, esta configuración de directiva puede usarse para controlar la activación y el inicio de DCOM en el equipo. El administrador puede especificar los usuarios y grupos que pueden iniciar y activar aplicaciones DCOM en el equipo, de forma tanto local como remota, con la configuración de directiva DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). Esto devolverá el control de la aplicación DCOM al administrador y los usuarios especificados. Para hacerlo, abra la configuración DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) y haga clic en Modificar seguridad. Especifique los grupos que desee incluir y los permisos de inicio del equipo para dichos grupos. De esta forma se define la configuración y se establece el valor de SDDL apropiado. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador
Esta configuración de seguridad controla el comportamiento de la petición de elevación para los administradores. Las opciones son: • Elevar sin preguntar: permite a las cuentas con privilegios realizar una operación que requiera elevación sin requerir consentimiento o credenciales. Nota: use esta opción solo en los entornos más restringidos. • Pedir credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios pide al usuario del escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continuará con el mayor privilegio disponible del usuario. • Pedir consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario del escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el mayor privilegio disponible del usuario. • Pedir credenciales: cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. • Pedir consentimiento: cuando una operación requiere la elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el mayor privilegio disponible del usuario. • Pedir consentimiento para binarios que no son de Windows: (valor predeterminado) cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario del escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el mayor privilegio disponible del usuario. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar
Esta configuración de directiva controla el comportamiento de la petición de elevación para los usuarios estándar. Las opciones son: o Pedir credenciales: (valor predeterminado) cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. o Rechazar solicitudes de elevación automáticamente: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta configuración para reducir las llamadas al departamento de soporte técnico. o Pedir credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, en el escritorio seguro se pide al usuario que escriba un nombre de usuario y una contraseña diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación
Esta configuración de directiva controla el comportamiento de la detección de instalaciones de aplicaciones en el equipo. Las opciones son: o Habilitada: (valor predeterminado) cuando se detecta un paquete de instalación de aplicaciones que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. o Deshabilitada: los paquetes de instalación de aplicaciones no se detectan ni se pide la elevación. Las empresas que ejecuten escritorios de usuarios estándar y usen las tecnologías de instalación delegada como la Directiva de grupo de Instalación de software o Systems Management Server (SMS) deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Control de cuentas de usuario: elevar solo los archivos ejecutables firmados y validados
Esta configuración de directiva aplica comprobaciones de firma de infraestructura de clave pública (PKI) a cualquier aplicación interactiva que solicite la elevación de privilegios. Los administradores de empresa pueden controlar las aplicaciones cuya ejecución se permite mediante la adición de certificados al almacén de certificados Editores de confianza en los equipos locales. Las opciones son: • Habilitada: aplica la validación de la ruta de certificación de PKI de un archivo ejecutable determinado antes de que se permita su ejecución. • Deshabilitada: (valor predeterminado) no aplica la validación de la ruta de certificación de PKI antes de permitir la ejecución de un archivo ejecutable determinado. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Control de cuentas de usuario: elevar solo aplicaciones UIAccess instaladas en ubicaciones seguras
Esta configuración de directiva controla si las aplicaciones que solicitan la ejecución con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben encontrarse en una ubicación segura en el sistema de archivos. Las ubicaciones seguras se limitan a: - …\Archivos de programa\, incluidas las subcarpetas - …\Windows\system32\ - …\Archivos de programa (x86)\, incluidas las subcarpetas de las versiones de 64 bits de Windows Nota: Windows aplica una comprobación de firma de infraestructura de clave pública (PKI) a cualquier aplicación interactiva que solicite la ejecución con un nivel de integridad UIAccess, independientemente del estado de esta configuración de seguridad. Las opciones son: • Habilitada: (valor predeterminado) si una aplicación se encuentra en una ubicación segura del sistema de archivos, solo se ejecuta con integridad UIAccess. • Deshabilitada: una aplicación se ejecuta con integridad UIAccess aunque no se encuentre en una ubicación segura del sistema de archivos. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Control de cuentas de usuario: activar el Modo de aprobación de administrador.
Esta configuración de directiva controla el comportamiento de todas las configuraciones de directiva del Control de cuentas de usuario (UAC) en el equipo. Si cambia esta configuración de directiva, debe reiniciar el equipo. Las opciones son: • Habilitada: (valor predeterminado) se habilita el Modo de aprobación de administrador. Debe habilitarse esta directiva y las configuraciones de directiva de UAC relacionadas también se deben establecer de forma apropiada para permitir que se ejecuten en Modo de aprobación de administrador la cuenta predefinida Administrador y el resto de usuarios que son miembros del grupo Administradores. • Deshabilitada: se deshabilitan el Modo de aprobación de administrador y todas las configuraciones de directiva de UAC relacionadas. Nota: si se deshabilita esta configuración de directiva, el Centro de seguridad notifica que disminuyó la seguridad global del sistema operativo. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación
Esta configuración de directiva controla si se muestra la solicitud de elevación en el escritorio del usuario interactivo o en el escritorio seguro. Las opciones son: • Habilitada: (valor predeterminado) todas las solicitudes de elevación van al escritorio seguro independientemente de la configuración de la directiva de comportamiento de petición para administradores y usuarios estándar. • Deshabilitada: todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la configuración de directiva de comportamiento de petición para administradores y usuarios estándar. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Control de cuentas de usuario: virtualizar los errores de escritura de archivo y del Registro a ubicaciones por usuario
Esta configuración de directiva controla si se redireccionan los errores de escritura de aplicaciones a ubicaciones definidas en el Registro y el sistema de archivos. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como administrador y que escriben los datos de aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%; %Windir%\system32 o HKLM\Software. Las opciones son: • Habilitada: (valor predeterminado) los errores de escritura de aplicaciones se redireccionan en tiempo de ejecución a ubicaciones de usuario definidas tanto en el sistema de archivos como en el Registro. • Deshabilitada: las aplicaciones que escriben datos en ubicaciones protegidas devuelven un error. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Crear vínculos simbólicos
Este privilegio determina si el usuario puede crear un vínculo simbólico desde el equipo en el que inició sesión. Valor predeterminado: Administrador ADVERTENCIA: este privilegio solo debería concederse a usuarios de confianza. Los vínculos simbólicos pueden exponer las vulnerabilidades de seguridad en aplicaciones que no están diseñadas para manejarlos. Nota Esta configuración puede usarse junto con una configuración symlink filesystem que puede manipularse con la utilidad de línea de comandos para controlar los tipos de symlink que se permiten en los equipos. Escriba 'fsutil behavior set symlinkevaluation /?' en la línea de comandos para obtener más información acerca de fsutil y los vínculos simbólicos. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Modificar la etiqueta de un objeto
Este privilegio determina las cuentas de usuario que pueden modificar la etiqueta de integridad de los objetos como archivos, claves del Registro o procesos que sean propiedad de otros usuarios. Los procesos que se ejecutan bajo una cuenta de usuario pueden modificar la etiqueta de un objeto que sea propiedad de dicho usuario en un nivel inferior sin este privilegio. Valor predeterminado: ninguno |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro.
Esta configuración de directiva controla si los programas de accesibilidad de la interfaz del usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las peticiones de elevación usadas por un usuario estándar. • Habilitada: los programas UIA, incluida Asistencia remota de Windows, deshabilitan el escritorio seguro para peticiones de elevación. Si no deshabilita la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación", las peticiones aparecen en el escritorio del usuario interactivo en lugar del escritorio seguro. • Deshabilitada: (valor predeterminado) el escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o si se deshabilita la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación". |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | El administrador de credenciales usa este valor durante operaciones de copia de seguridad y restauración. Ninguna cuenta debe tener este privilegio, ya que está asignado solo a Winlogon. Puede verse comprometida la seguridad de las credenciales de usuario guardadas si se otorga este privilegio a otras entidades. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Cambiar la zona horaria
Este derecho de usuario determina los usuarios y grupos que pueden cambiar la zona horaria que usa el equipo para mostrar la hora local, que es la hora del sistema más el desplazamiento de la zona horaria. La hora del sistema en sí es absoluta y no se ve afectada si cambia la zona horaria. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de las estaciones de trabajo y los servidores. Valor predeterminado: Administradores, Usuarios |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Aumentar el espacio de trabajo de un proceso
Este privilegio determina las cuentas de usuario que pueden aumentar o disminuir el tamaño del espacio de trabajo de un proceso. Valor predeterminado: Usuarios El espacio de trabajo de un proceso es el conjunto de páginas de memoria visibles actualmente para el proceso en la memoria RAM física. Estas páginas son residentes y están disponibles para que las use una aplicación sin generar un error de página. Los tamaños máximo y mínimo del espacio de trabajo afectan al comportamiento de paginación de memoria virtual de un proceso. Advertencia: al aumentar el espacio de trabajo de un proceso, disminuye la cantidad de memoria física disponible para el resto del sistema. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos
Esta configuración de directiva permite denegar o auditar el tráfico NTLM saliente de este equipo Windows 7 o Windows Server 2008 R2 hacia cualquier servidor remoto Windows. Si selecciona "Permitir todo" o no establece esta configuración de directiva, el equipo cliente puede autenticar identidades en un servidor remoto con la autenticación NTLM. Si selecciona "Auditar todo", el equipo cliente registra un evento para cada solicitud de autenticación NTLM en un servidor remoto. Esto permite identificar los servidores que reciben solicitudes de autenticación NTLM del equipo cliente. Si selecciona "Denegar todo", el equipo cliente no puede autenticar identidades en un servidor remoto con la autenticación NTLM. Puede usar la configuración de directiva "Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para autenticación NTLM" para definir una lista de servidores remotos en los que los clientes pueden usar autenticación NTLM. Esta directiva se admite en Windows 7 o Windows Server 2008 R2 como mínimo. Nota: los eventos de auditoría y bloqueo se registran en este equipo en el registro "Operativo" que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Seguridad de red: restringir NTLM: tráfico NTLM entrante
Esta configuración de directiva permite denegar o permitir el tráfico NTLM entrante. Si selecciona "Permitir todo" o no establece esta configuración de directiva, el servidor permitirá todas las solicitudes de autenticación NTLM. Si selecciona "Denegar todas las cuentas de dominio", el servidor denegará las solicitudes de autenticación NTLM para el inicio de sesión en el dominio y mostrará un mensaje de error de NTLM bloqueado pero permitirá el inicio de sesión en una cuenta local. Si selecciona "Denegar todas las cuentas", el servidor denegará las solicitudes de autenticación NTLM del tráfico entrante y mostrará un mensaje de error de NTLM bloqueado. Esta directiva se admite en Windows 7 o Windows Server 2008 R2 como mínimo. Nota: los eventos de bloqueo se registran en este equipo en el registro "Operativo" que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Seguridad de red: restringir NTLM: autenticación NTLM en este dominio
Esta configuración de directiva permite denegar o permitir la autenticación NTLM en un dominio de este controlador de dominio. Esta directiva no afecta al inicio de sesión interactivo en este controlador de dominio. Si selecciona "Deshabilitada" o no establece esta configuración de directiva, el controlador de dominio permitirá todas las solicitudes de autenticación de acceso directo NTLM en el dominio. Si selecciona "Denegar para cuentas de dominio en servidores de dominio" el controlador de dominio denegará todos los intentos de inicio de sesión de autenticación NTLM en todos los servidores del dominio que usan las cuentas de dominio y devolverá un error de NTLM bloqueado a menos que el nombre del servidor esté en la lista de excepciones de la configuración de directiva "Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio". Si selecciona "Denegar para cuentas de dominio" el controlador de dominio denegará todos los intentos de inicio de sesión de autenticación NTLM de cuentas de dominio y devolverá un error de NTLM bloqueado a menos que el nombre del servidor esté en la lista de excepciones de la configuración de directiva "Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio". Si selecciona "Denegar para servidores de dominio" el controlador de dominio denegará las solicitudes de autenticación NTLM a todos los servidores del dominio y devolverá un error de bloqueo de NTLM a menos que el nombre del servidor esté en la lista de excepciones de la configuración de directiva "Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio". Si selecciona "Denegar todo", el controlador de dominio denegará todas las solicitudes de autenticación de acceso directo NTLM de sus servidores y para sus cuentas y devolverá un error de NTLM bloqueado a menos que el nombre del servidor esté en la lista de excepciones de la configuración de directiva "Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio". Esta directiva se admite en Windows Server 2008 R2 como mínimo. Nota: los eventos de bloqueo se registran en este equipo en el registro "Operativo" en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para autenticación NTLM
Esta configuración de directiva permite crear una lista de excepciones de servidores remotos en los que los clientes pueden usar la autenticación NTLM si está establecida la configuración de directiva "Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos". Si establece esta configuración de directiva, puede definir una lista de servidores remotos en los que los clientes pueden usar la autenticación NTLM. Si no establece esta configuración de directiva, no se aplicarán excepciones. El formato de nombre de los servidores de esta lista de excepciones es el nombre de dominio completo (FQDN) o el nombre de servidor NetBIOS que usa la aplicación, enumerados uno por línea. Para garantizar las excepciones, el nombre usado por todas las aplicaciones debe estar en la lista, y para garantizar que una excepción es precisa, el nombre de servidor debe aparecer en ambos formatos de nomenclatura. Se puede usar un asterisco (*) en cualquier lugar de la cadena como carácter comodín. |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio
Esta configuración de directiva permite crear una lista de excepciones de servidores de este dominio en los que los clientes pueden usar la autenticación de acceso directo NTLM si está establecida la configuración de directiva "Seguridad de red: restringir NTLM: denegar autenticación NTLM en este dominio". Si establece esta configuración de directiva, puede definir una lista de servidores de este dominio en los que los clientes pueden usar la autenticación NTLM. Si no establece esta configuración de directiva, no se aplican excepciones. El formato de nombre de los servidores de esta lista de excepciones es el nombre de dominio completo (FQDN) o el nombre de servidor NetBIOS que usa la aplicación que realiza la llamada, enumerados uno por línea. Puede usar un asterisco (*) al principio o al final de la cadena como carácter comodín. |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Seguridad de red: permitir retroceso a sesión NULL de LocalSystem
Permite que NTLM retroceda a una sesión NULL cuando se usa con LocalSystem. El valor predeterminado es TRUE hasta Windows Vista y FALSE en Windows 7. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Seguridad de red: configurar tipos de cifrado permitidos para Kerberos
Esta configuración de directiva permite establecer los tipos de cifrado que puede usar Kerberos. Si no se selecciona, no se permitirá el tipo de cifrado. Esta configuración puede afectar a la compatibilidad con equipos cliente o servicios y aplicaciones. Se pueden seleccionar varios tipos. Esta directiva se admite en Windows 7 o Windows Server 2008 R2 como mínimo. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en Internet.
Esta directiva está desactivada de forma predeterminada en equipos unidos a un dominio. Esto evitará que las identidades en Internet se autentiquen en un equipo unido al dominio. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Seguridad de red: restringir NTLM: auditar tráfico NTLM entrante
Esta configuración de directiva permite auditar el tráfico NTLM entrante. Si selecciona "Deshabilitar" o no establece esta configuración de directiva, el servidor no registrará eventos por el tráfico NTLM entrante. Si selecciona "Habilitar la auditoría para cuentas de dominio", el servidor registra eventos para las solicitudes de autenticación de acceso directo NTLM que estarían bloqueadas si la configuración de directiva "Seguridad de red: restringir NTLM: tráfico NTLM entrante" estuviera establecida en la opción "Denegar todas las cuentas de dominio". Si selecciona "Habilitar la auditoría para todas las cuentas", el servidor registra eventos para todas las solicitudes de autenticación NTLM que estarían bloqueadas si la configuración de directiva "Seguridad de red: restringir NTLM: tráfico NTLM entrante" estuviera establecida en la opción "Denegar todas las cuentas". Esta directiva se admite en Windows 7 o Windows Server 2008 R2 como mínimo. Nota: los eventos de auditoría se registran en este equipo en el registro "Operativo" que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio
Esta directiva de seguridad permite auditar la autenticación NTLM en un dominio desde este controlador de dominio. Si selecciona "Deshabilitar" o no establece esta configuración de directiva, el controlador de dominio no registrará eventos para la autenticación NTLM de este dominio. Si selecciona "Habilitar para cuentas de dominio en servidores de dominio", el controlador de dominio registrará eventos para los intentos de inicio de sesión de autenticación NTLM para las cuentas de dominio en servidores de dominio cuando la autenticación NTLM se denegaría por estar seleccionada la opción "Denegar para cuentas de dominio en servidores de dominio" en la configuración de directiva "Seguridad de red: restringir NTLM: autenticación NTLM en este dominio". Si selecciona "Habilitar para cuentas de dominio", el controlador de dominio registrará eventos para los intentos de inicio de sesión con autenticación NTLM que usan cuentas de dominio cuando la autenticación NTLM se denegaría por estar seleccionada la opción "Denegar para cuentas de dominio" en la configuración de directiva "Seguridad de red: restringir NTLM: autenticación NTLM en este dominio". Si selecciona "Habilitar para servidores de dominio", el controlador de dominio registrará eventos por las solicitudes de autenticación NTLM en todos los servidores del dominio cuando la autenticación NTLM se denegaría por estar seleccionada la opción "Denegar para servidores de dominio" en la configuración de directiva "Seguridad de red: restringir NTLM: autenticación NTLM en este dominio". Si selecciona "Habilitar todo", el controlador de dominio registrará eventos para las solicitudes de autenticación de acceso directo NTLM desde sus servidores y para sus cuentas, que se denegarían por estar seleccionada la opción "Denegar todo" en la configuración de directiva "Seguridad de red: restringir NTLM: autenticación NTLM en este dominio". Esta directiva se admite en Windows Server 2008 R2 como mínimo. Nota: los eventos de auditoría se registran en este equipo en el registro "Operativo" que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Seguridad de red: permitir que LocalSystem use la identidad del PC para NTLM
Esta configuración de directiva permite que los servicios de LocalSystem que usan Negotiate usen la identidad del PC cuando retrocedan a la autenticación NTLM. Si habilitas esta configuración de directiva, los servicios que se ejecutan como LocalSystem y que usan Negotiate usarán la identidad del PC. Esto puede causar errores en las solicitudes de autenticación entre sistemas operativos Windows y el registro de un error. Si deshabilitas esta configuración de directiva, los servicios que se ejecuten como LocalSystem y usen Negotiate cuando retrocedan a la autenticación NTLM se autenticarán de forma anónima. De manera predeterminada, esta directiva está habilitada en Windows 7 y versiones posteriores. De manera predeterminada, esta directiva está deshabilitada en Windows Vista. Esta directiva se admite, al menos, en Windows Vista o Windows Server 2008. Nota: Windows Vista o Windows Server 2008 no exponen esta configuración en Directiva de grupo. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor
Esta configuración de directiva controla el nivel de validación que realiza un equipo con carpetas o impresoras compartidas (el servidor) en el nombre de entidad de seguridad de servicio (SPN) proporcionado por el equipo cliente al establecer una sesión mediante el protocolo Bloque de mensajes del servidor (SMB). El protocolo Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e impresoras y otras operaciones de red, como la administración remota de Windows. El protocolo SMB admite la validación del nombre de entidad de seguridad de servicio (SPN) del servidor SMB dentro del blob de autenticación proporcionado por un cliente SMB para evitar una clase de ataques contra servidores SMB que se conocen como ataques de retransmisión SMB. Este valor afectará tanto a SMB1 como a SMB2. Esta configuración de seguridad determina el nivel de validación que realiza un servidor SMB en el nombre de entidad de seguridad de servicio (SPN) proporcionado por el cliente SMB al intentar establecer una sesión en un servidor SMB. Las opciones son: Desactivado: el SPN no es necesario o no fue validado por el servidor SMB desde un cliente SMB. Aceptar si lo proporciona el cliente: el servidor SMB aceptará y validará el SPN proporcionado por el cliente SMB y permitirá que se establezca una sesión si coincide con la lista de SPN del servidor SMB. Si el SPN NO coincide, se denegará la solicitud de sesión para ese cliente SMB. Requerido del cliente: el cliente SMB DEBE enviar un nombre SPN en la configuración de la sesión y el nombre SPN proporcionado DEBE coincidir con el servidor SMB al que se solicita establecer una conexión. Si el cliente no proporciona ningún SPN o el SPN proporcionado no coincide, se deniega la sesión. Valor predeterminado: Desconectado Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB del lado servidor. Esta configuración afecta al comportamiento del servidor SMB y su implementación debería evaluarse y probarse detenidamente para evitar problemas en las capacidades de servicio a impresoras y archivos. Puedes encontrar información adicional acerca de la implementación y el uso de esta configuración para proteger los servidores SMB en el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Servidor de red Microsoft: intentar S4U2Self para obtener información de notificaciones
Esta opción de seguridad permite admitir clientes que ejecuten una versión de Windows anterior a Windows 8 y que intentan acceder a un recurso compartido de archivos que requiere notificaciones de usuario. Determina si el servidor de archivos local intentará usar la funcionalidad Service-For-User-To-Self (S4U2Self) de Kerberos para obtener notificaciones de una entidad de seguridad del cliente de la red desde el dominio de cuenta del cliente. Esta opción se establece como "Habilitado" únicamente si el servidor de archivos usa notificaciones de cliente para controlar el acceso a los archivos, y si admitirá las entidades de seguridad del cliente cuyas cuentas puedan estar en un dominio que tenga equipos cliente y controladores de dominio que ejecuten una versión de Windows anterior a Windows 8. Esta opción debe establecerse como "Automático" (valor predeterminado) para que el servidor de archivos pueda evaluar automáticamente si el usuario necesita notificaciones. Un administrador deseará establecer esta opción explícitamente en "Habilitado" solo si hay directivas de acceso a archivos locales que incluyen notificaciones del usuario. Cuando esta opción de seguridad está habilitada, el servidor de archivos de Windows examina el token de acceso de una entidad de seguridad de cliente de red autenticado y determina si contiene información de notificaciones. Si no contiene notificaciones, el servidor de archivos usa las características S4U2Self de Kerberos para intentar ponerse en contacto con un controlador de dominio de Windows Server 2012 en el dominio de cuenta del cliente, y obtener un token de acceso habilitado para las notificaciones para la entidad de seguridad del cliente. Es posible que sea necesario un token habilitado para notificaciones que permita acceder a los archivos o las carpetas que tengan aplicada una directiva de control de acceso basada en notificaciones. Si esta opción está deshabilitada, el servidor de archivos de Windows no intentará obtener un token de acceso habilitado para notificaciones para la entidad de seguridad del cliente. Valor predeterminado: Automático. |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Cuentas: bloquear cuentas Microsoft
Esta configuración de directiva evita que los usuarios agreguen nuevas cuentas Microsoft a este equipo. Si selecciona la opción "Los usuarios no pueden agregar cuentas Microsoft", los usuarios no podrán crear nuevas cuentas Microsoft en este equipo, cambiar una cuenta local a una cuenta Microsoft ni conectar una cuenta de dominio a una Microsoft. Esta opción es idónea si necesita limitar el uso de las cuentas Microsoft en la empresa. Si selecciona la opción "Los usuarios no pueden agregar cuentas Microsoft ni iniciar sesión con ellas", los usuarios de cuentas Microsoft existentes no podrán iniciar sesión en Windows. Si se selecciona esta opción, podría provocar que un administrador actual de este equipo no pueda iniciar sesión en el sistema y administrarlo. Si se deshabilita esta opción o no se configura esta directiva (recomendado), los usuarios podrán usar las cuentas Microsoft con Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Inicio de sesión interactivo: umbral de cuentas del equipo.
La directiva de bloqueo del equipo se aplica únicamente en los equipos que tienen Bitlocker habilitado para proteger los volúmenes de SO. Asegúrese de que estén habilitadas las directivas de copia de seguridad de contraseñas de recuperación apropiadas. Esta configuración de seguridad determina el número de intentos de inicio de sesión con error que provocará el bloqueo del equipo. Un equipo bloqueado solo se puede recuperar proporcionando la clave de recuperación en la consola. Puede establecer el valor entre 1 y 999 intentos de inicio de sesión con error. Si establece el valor en 0, el equipo nunca se bloqueará. Los valores de 1 a 3 se interpretarán como 4. Los intentos de contraseña con error en estaciones de trabajo o servidores miembro que han sido bloqueados mediante CTRL+ALT+SUPR o mediante protectores de pantalla protegidos por contraseña cuentan como intentos de inicio de sesión con error. La directiva de bloqueo del equipo se aplica únicamente en las máquinas que tienen Bitlocker habilitado para proteger los volúmenes de SO. Asegúrese de que estén habilitadas las directivas de copia de seguridad de contraseñas de recuperación. Valor predeterminado: 0. |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Inicio de sesión interactivo: límite de inactividad de equipo.
Windows detecta inactividad en una sesión de inicio de sesión y, si el tiempo de inactividad excede el límite de inactividad, se ejecutará el protector de pantalla y se bloqueará la sesión. Valor predeterminado: no aplicado. |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Obtén un token de suplantación para otro usuario en la misma sesión.
Asignar este privilegio a un usuario permite que los programas que se ejecutan en nombre del usuario obtengan un token de suplantación de otros usuarios que iniciaron sesión de forma interactiva en la misma sesión si el autor de llamada tiene un token de suplantación del usuario de la sesión. No es aplicable en ventanas de escritorio cliente/servidor, donde cada usuario obtiene una sesión independiente. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Acceso de red: evitar que los clientes con permiso realicen llamadas remotas a SAM
Esta configuración de directiva te permite restringir conexiones remotas de RPC a SAM. Si no la seleccionas, se usará el descriptor de seguridad predeterminado. Esta directiva es compatible con Windows Server 2016, como mínimo. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Inicio de sesión interactivo: No mostrar el nombre de usuario al iniciar sesión
Esta configuración de seguridad determina si aparecerá el nombre de usuario de la persona que inicia sesión en este PC al iniciar sesión en Windows, una vez introducidas las credenciales y antes de que se muestre el escritorio del equipo. Si se habilita esta directiva, no se mostrará el nombre del usuario. Si se deshabilita esta directiva, se mostrará el nombre del usuario. Valor predeterminado: Deshabilitado. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Se cambiará la configuración de seguridad de este servicio. Si se cambia la seguridad predeterminada del servicio podrían producirse problemas debido a diferencias de configuración entre este servicio y otros servicios de los que depende. ¿Desea continuar? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Está a punto de importar nueva información de plantilla en la directiva de equipo local de este equipo. Esto cambiará la configuración actual de seguridad de su equipo. ¿Desea continuar? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Configurando la seguridad del equipo | Configuring Computer Security |
57350 | Base de datos de configuración de seguridad actual: base de datos de directivas locales %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Base de datos de configuración actual de seguridad: base de datos privada %s | Current Security Configuration Database: Private Database %s |
57352 | Generando información de análisis | Generating analysis information |
57353 | Error al importar | Import Failed |
57354 | Elementos secundarios definidos | Subitems defined |
57355 | No disponible | Not Available |
57356 | Nuevo servicio | New Service |
57357 | Configurando: | Configuring: |
57358 | Agregar a&rchivo... Agregar un nuevo archivo o carpeta a esta plantilla |
Add &File... Adds a new file or folder to this template |
57359 | Agregar este archivo o carpeta a la plantilla: | Add this file or folder to the template: |
57360 | Agregar archivo o carpeta | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | Plantillas de seguridad es un complemento MMC que ofrece recursos de edición para archivos de plantillas de seguridad. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | Configuración y análisis de seguridad es un complemento MMC que ofrece configuración y análisis de seguridad para equipos con Windows que usan archivos de plantillas de seguridad. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | El complemento Extensión de configuración de seguridad extiende el complemento de directivas de grupo y le ayuda a definir directivas de seguridad para los equipos de su dominio. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | &Importar directiva... Importa un archivo de plantilla a este objeto de directiva. |
&Import Policy... Import a template file into this policy object. |
57367 | &Exportar directiva... Exporta un archivo de plantilla de este objeto de directiva. |
E&xport policy... Export template from this policy to a file. |
57368 | Ya existe el archivo %s. ¿Desea sobrescribirlo? |
File %s already exists. Do you want to overwrite it? |
57370 | Erróneo | Failure |
57371 | Sin auditoría | No auditing |
57372 | Windows no puede actualizar las directivas. | Windows cannot update the policies. |
57373 | Windows no puede copiar la sección | Windows cannot copy the section |
57374 | Seleccionar el archivo para agregar | Select File to Add |
57375 | Abrir base de datos | Open database |
57376 | Crear base de datos | Create Database |
57377 | Exportar la directiva a | Export Policy To |
57378 | Importar la directiva desde | Import Policy From |
57380 | Importar plantilla | Import Template |
57381 | Exportar plantilla a | Export Template To |
57384 | Windows no puede abrir la base de datos de directivas locales. | Windows cannot open the local policy database. |
57385 | Base de datos de directivas locales | Local Policy Database |
57386 | No se puede modificar la base de datos de configuración de seguridad local desde el complemento Configuración y análisis de seguridad. Use el complemento de directivas de grupo para modificar la configuración de la seguridad local. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | No hay nuevas configuraciones de directivas en su equipo. ¿Desea actualizar la vista de la directiva efectiva? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Configuración del equipo en %s | Computer setting on %s |
57396 | No se puede crear esta base de datos porque no se seleccionó ningún archivo de plantilla. Para abrir una base de datos existenteHaga clic con el botón secundario en el elemento de ámbito Configuración y análisis de seguridad. Elija Abrir base de datos Elija una base de datos y haga clic en Abrir Para crear una nueva base de datos Haga clic con el botón secundario en el elemento de ámbito Configuración y análisis de seguridad . Elija Abrir base de datos. Escriba un nuevo nombre para la base de datos y haga clic en Abrir. Elija un archivo de configuración de seguridad para importar y haga clic en Abrir. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | &Reemplazar los permisos existentes en todas las subclaves con permisos heredables | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | &Propagar los permisos heredables a todas las subclaves | &Propagate inheritable permissions to all subkeys |
57399 | &No permitir que se reemplacen permisos en esta clave | &Do not allow permissions on this key to be replaced |
57400 | Configurar pertenencia para %s | Configure Membership for %s |
57401 | El vale expira en: | Ticket expires in: |
57402 | El vale no expira. | Ticket doesn't expire. |
57403 | La renovación del vale expira en: | Ticket renewal expires in: |
57404 | La renovación del vale está deshabilitada. | Ticket renewal is disabled. |
57405 | Máxima tolerancia: | Maximum tolerance: |
57407 | No aplicable | Not Applicable |
57410 | Nombres de usuario y grupo | User and group names |
57411 | Agregar usuario o grupo | Add User or Group |
57412 | No desconectar clientes: | Do not disconnect clients: |
57413 | Desconectar cuando el tiempo de inactividad supere: | Disconnect when idle time exceeds: |
57414 | No almacenar en caché inicios de sesión: | Do not cache logons: |
57415 | Caché: | Cache: |
57416 | Comenzar a pedir esto muchos días antes de que expire la contraseña: | Begin prompting this many days before password expires: |
57418 | &Configurar esta clave | &Configure this key then |
57419 | No se pudo guardar la descripción de ubicación global | Could not save global location description |
57420 | No se pudo guardar la descripción de ubicación | Could not save location description |
57421 | Volver a cargar Volver a cargar la directiva de seguridad |
Reload Reload the security policy |
57422 | ¿Desea guardar los cambios hechos a %1 antes de volver a cargarlo? | Save changes to %1 before reloading it? |
57423 | Configuración de seguridad local | Local Security Settings |
57425 | Clase de configuración de seguridad local WSecEdit | WSecEdit Local Security Settings Class |
57428 | El complemento de configuración de seguridad local le ayuda a definir la seguridad en el sistema local. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Clase de configuración de seguridad RSOP WSecEdit | WSecEdit RSOP Security Settings Class |
57431 | El complemento de extensión de la configuración de seguridad de RSOP amplía el complemento RSOP y le ayuda a ver las directivas de seguridad resultantes de equipos en su dominio. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Aplicar | &Apply |
57436 | No se pudo determinar la configuración de seguridad de la directiva de grupo que se aplican a este equipo. El error devuelto al tratar de recuperar esta configuración desde la base de datos de directivas locales (%%windir%%\security\database\secedit.sdb) fue: %s Se mostrarán todas las configuraciones de seguridad local pero no se darán detalles acerca de si una configuración de seguridad dada fue creada o no por una directiva de grupo. Toda configuración local de seguridad modificada a través de esta interfaz de usuario será por tanto invalidada por directivas de dominio. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | No se pudo determinar la configuración de seguridad de la directiva de grupo que se aplican a este equipo. El error devuelto al tratar de recuperar esta configuración desde la base de datos de directivas locales (%%windir%%\security\database\secedit.sdb) fue: %s Se mostrarán todas las configuraciones de seguridad local pero no se darán detalles acerca de si una configuración de seguridad dada fue creada o no por una directiva de grupo. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Archivo de registro: | Log file: |
57439 | Nombre de la directiva | Policy Name |
57440 | Configuración | Setting |
57441 | La directiva %1 se aplicó correctamente. | The policy %1 was correctly applied. |
57442 | Error al configurar el elemento secundario de esta objeto o el motor de directivas intentó incorrectamente configurar el elemento secundario de una configuración de directiva específica. Para obtener más información, consulte %windir%\security\logs\winlogon.log | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | Error %2 en la directiva %1. Para obtener más información, consulte %windir%\security\logs\winlogon.log en el equipo de destino. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | La directiva %1 devolvió un estado no válido y se registró. Para obtener más información, consulte %%windir%%\security\logs\winlogon.log en el equipo de destino. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | El motor de directivas no intentó la configuración de los valores. Para obtener más información, consulte %windir%\security\logs\winlogon.log en el equipo de destino. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | &Ver seguridad... | &View Security... |
57447 | No se puede exportar la plantilla a %1. Error devuelto: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | ¿Desea guardar los cambios en la base de datos de seguridad? | Save changes to Security Database? |
57449 | Denegar inicio de sesión a través de Servicios de Escritorio remoto | Deny log on through Remote Desktop Services |
57450 | Permitir inicio de sesión a través de Servicios de Escritorio remoto | Allow log on through Remote Desktop Services |
57451 | No se puede agregar la ruta de búsqueda de plantillas | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | El componente de seguridad de esta directiva de grupo solo puede editarse con el simulador de PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | Esta configuración no es compatible con equipos que ejecutan Windows 2000 Service Pack 1 o anterior. Aplique objetos de directivas de grupo, que contienen esta configuración, solo a equipos que ejecuten una versión posterior del sistema operativo. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Cierre todas las páginas de propiedades antes de eliminar %1 | Close all property pages before deleting %1 |
57457 | El valor debe ser entre %d y %d | Value must be between %d and %d |
57458 | Acceso de red: permitir traducción SID/nombre anónima | Network access: Allow anonymous SID/Name translation |
57459 | Los administradores deben poder iniciar sesión localmente. | Administrators must be granted the logon local right. |
57460 | No puede denegar a todos los usuarios o administradores el inicio de sesión local. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Algunas cuentas no pueden traducirse. | Some accounts cannot be translated. |
57462 | Para aplicar sus cambios o cerrar esta hoja de propiedades, cierre todas las ventanas secundarias. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | Esta ventana no se puede abrir. Windows no puede crear un subproceso de interfaz para la hoja de propiedades. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | ¿Qué es esto? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | El valor debe estar comprendido entre %d y %d ó 0 | Value must be between %d and %d or 0 |
57469 | Esta configuración afecta solo a los sistemas operativos anteriores a Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | Si modifica esta configuración, esto puede tener un impacto en la compatibilidad con clientes, servicios y aplicaciones. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Para obtener más información, consulte %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Va a cambiar esta configuración a un valor que puede afectar la compatibilidad con clientes, servicios y aplicaciones. %1 ¿Desea continuar con el cambio? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Se debe conceder a los administradores y SERVICE el privilegio de suplantación de cliente tras autenticación. | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Esta configuración no se puede aplicar si se configura otra directiva para invalidar la directiva la auditoría de nivel de categoría. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Para obtener más información, vea %1 en la referencia técnica de directivas de seguridad. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | Esta acción no tiene ningún texto explicativo. | No explain text for this action |
58003 | El equipo se bloqueará después de | Machine will be locked after |
58100 | Administrar directivas de acceso central... Agregar o quitar directivas de acceso central de esta plantilla |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Esta directiva de acceso incluye las reglas siguientes: | This Access Policy includes the following Policy rules: |
58108 | Estado | Status |
58109 | Descargando directivas de acceso central desde Active Directory... | Downloading central access policies from active directory... |
58110 | Error: no se pudieron descargar las directivas de acceso central | Error: Central access policies could not be downloaded |
58111 | Listo... | Ready... |
58113 | No se encuentra esta directiva de acceso central. Es posible que se haya eliminado de Active Directory o que su configuración no sea válida. Restaure la directiva en el Centro de administración de Active Directory (AD AC) o quítela de la configuración. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Cuentas: limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Auditoría: auditar el acceso de objetos globales del sistema | Audit: Audit the access of global system objects |
59003 | Auditoría: auditar el uso del privilegio de copias de seguridad y restauración | Audit: Audit the use of Backup and Restore privilege |
59004 | Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad | Audit: Shut down system immediately if unable to log security audits |
59005 | Dispositivos: impedir que los usuarios instalen controladores de impresora | Devices: Prevent users from installing printer drivers |
59010 | Dispositivos: permitir desacoplamiento sin tener que iniciar sesión | Devices: Allow undock without having to log on |
59011 | Controlador de dominio: permitir a los operadores de servidor programar tareas | Domain controller: Allow server operators to schedule tasks |
59012 | Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo | Domain controller: Refuse machine account password changes |
59013 | Controlador de dominio: requisitos de firma de servidor LDAP | Domain controller: LDAP server signing requirements |
59015 | Requerir firma | Require signing |
59016 | Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo | Domain member: Disable machine account password changes |
59017 | Miembro de dominio: duración máxima de contraseña de cuenta de equipo | Domain member: Maximum machine account password age |
59018 | Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible) | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) | Domain member: Digitally sign secure channel data (when possible) |
59021 | Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Inicio de sesión interactivo: No mostrar último inicio de sesión | Interactive logon: Don't display last signed-in |
59024 | Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión | Interactive logon: Display user information when the session is locked |
59025 | Nombre para mostrar del usuario, nombres de dominio y usuario | User display name, domain and user names |
59026 | Solo nombre para mostrar del usuario | User display name only |
59027 | No mostrar la información del usuario | Do not display user information |
59028 | Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión | Interactive logon: Message text for users attempting to log on |
59029 | Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión | Interactive logon: Message title for users attempting to log on |
59030 | Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible) | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire | Interactive logon: Prompt user to change password before expiration |
59032 | Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Inicio de sesión interactivo: requerir Windows Hello para empresas o tarjeta inteligente | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente | Interactive logon: Smart card removal behavior |
59035 | Ninguna acción | No Action |
59036 | Bloquear estación de trabajo | Lock Workstation |
59037 | Forzar cierre sesión | Force Logoff |
59038 | Desconectar si es una sesión de Servicios de Escritorio remoto | Disconnect if a remote Remote Desktop Services session |
59039 | Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) | Microsoft network client: Digitally sign communications (always) |
59040 | Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión | Microsoft network server: Amount of idle time required before suspending session |
59043 | Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) | Microsoft network server: Digitally sign communications (always) |
59044 | Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para la autenticación de la red | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos | Network access: Let Everyone permissions apply to anonymous users |
59050 | Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Acceso a redes: canalizaciones con nombre accesibles anónimamente | Network access: Named Pipes that can be accessed anonymously |
59052 | Acceso a redes: recursos compartidos accesibles anónimamente | Network access: Shares that can be accessed anonymously |
59053 | Acceso a redes: rutas y subrutas del Registro accesibles remotamente | Network access: Remotely accessible registry paths and sub-paths |
59054 | Acceso a redes: rutas del Registro accesibles remotamente | Network access: Remotely accessible registry paths |
59055 | Acceso a redes: modelo de seguridad y uso compartido para cuentas locales | Network access: Sharing and security model for local accounts |
59056 | Clásico: usuarios locales se autentican con credenciales propias | Classic - local users authenticate as themselves |
59057 | Solo invitado: los usuarios locales se autentican como invitados | Guest only - local users authenticate as Guest |
59058 | Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña | Network security: Do not store LAN Manager hash value on next password change |
59059 | Seguridad de red: nivel de autenticación de LAN Manager | Network security: LAN Manager authentication level |
59060 | Enviar respuestas LM y NTLM | Send LM & NTLM responses |
59061 | Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Enviar solo respuesta NTLM | Send NTLM response only |
59063 | Enviar solo respuesta NTLMv2 | Send NTLMv2 response only |
59064 | Enviar solo respuesta NTLMv2 y rechazar LM | Send NTLMv2 response only. Refuse LM |
59065 | Enviar solo respuesta NTLMv2 y rechazar LM y NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Requerir seguridad de sesión NTLMv2 | Require NTLMv2 session security |
59071 | Requerir cifrado de 128 bits | Require 128-bit encryption |
59072 | Seguridad de red: requisitos de firma de cliente LDAP | Network security: LDAP client signing requirements |
59074 | Negociar firma | Negotiate signing |
59076 | Consola de recuperación: permitir el inicio de sesión administrativo automático | Recovery console: Allow automatic administrative logon |
59077 | Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Apagado: permitir apagar el sistema sin tener que iniciar sesión | Shutdown: Allow system to be shut down without having to log on |
59079 | Apagado: borrar el archivo de paginación de la memoria virtual | Shutdown: Clear virtual memory pagefile |
59080 | Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo Administradores | System objects: Default owner for objects created by members of the Administrators group |
59082 | Grupo Administradores | Administrators group |
59083 | Creador de objetos | Object creator |
59084 | Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Criptografía de sistema: forzar la protección con claves seguras para las claves de usuario almacenadas en el equipo | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | Intervención de usuario no necesaria al guardar y usar claves nuevas. | User input is not required when new keys are stored and used |
59088 | Se preguntará al usuario cuando se use la clave por primera vez. | User is prompted when the key is first used |
59089 | El usuario debe escribir una contraseña cada vez que use una clave. | User must enter a password each time they use a key |
59090 | Configuración del sistema: usar reglas de certificado en ejecutables de Windows para directivas de restricción de software | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Configuración del sistema: subsistemas opcionales | System settings: Optional subsystems |
59092 | inicios de sesión | logons |
59093 | días | days |
59094 | minutos | minutes |
59095 | segundos | seconds |
59096 | DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Dispositivos: restringir el acceso al CD-ROM solo al usuario con sesión iniciada localmente | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Dispositivos: permitir formatear y expulsar medios extraíbles | Devices: Allowed to format and eject removable media |
59100 | Administradores | Administrators |
59101 | Administradores y usuarios avanzados | Administrators and Power Users |
59102 | Administradores y usuarios interactivos | Administrators and Interactive Users |
59103 | Dispositivos: restringir el acceso a disquetes solo al usuario con sesión iniciada localmente | Devices: Restrict floppy access to locally logged-on user only |
59104 | Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Permitir todo | Allow all |
59107 | Denegar todo | Deny all |
59108 | Seguridad de red: restringir NTLM: tráfico NTLM entrante | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Denegar todas las cuentas de dominio | Deny all domain accounts |
59111 | Denegar todas las cuentas | Deny all accounts |
59112 | Seguridad de red: restringir NTLM: autenticación NTLM en este dominio | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Deshabilitar | Disable |
59114 | Denegar para cuentas de dominio en servidores de dominio | Deny for domain accounts to domain servers |
59115 | Denegar para cuentas de dominio | Deny for domain accounts |
59116 | Denegar para servidores de dominio | Deny for domain servers |
59118 | Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para autenticación NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Seguridad de red: restringir NTLM: agregar excepciones de servidor en este dominio | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Seguridad de red: permitir retroceso a sesión NULL de LocalSystem | Network security: Allow LocalSystem NULL session fallback |
59121 | Seguridad de red: configurar tipos de cifrado permitidos para Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Tipos de cifrado futuros | Future encryption types |
59129 | Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en Internet.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Auditar todo | Audit all |
59131 | Seguridad de red: restringir NTLM: auditar el tráfico NTLM entrante | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Seguridad de red: permitir que LocalSystem use la identidad del equipo para NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Habilitar la auditoría para cuentas de dominio | Enable auditing for domain accounts |
59136 | Habilitar la auditoría para todas las cuentas | Enable auditing for all accounts |
59138 | Habilitar para cuentas de dominio en servidores de dominio | Enable for domain accounts to domain servers |
59139 | Habilitar para cuentas de dominio | Enable for domain accounts |
59140 | Habilitar para servidores de dominio | Enable for domain servers |
59141 | Habilitar todo | Enable all |
59142 | Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor | Microsoft network server: Server SPN target name validation level |
59143 | Desactivado | Off |
59144 | Aceptar si lo proporciona el cliente | Accept if provided by client |
59145 | Requerido del cliente | Required from client |
59146 | Servidor de red de Microsoft: intentar S4U2Self para obtener información de notificaciones | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Valor predeterminado | Default |
59148 | Habilitado | Enabled |
59149 | Deshabilitado | Disabled |
59150 | Cuentas: bloquear cuentas Microsoft | Accounts: Block Microsoft accounts |
59151 | Esta directiva está deshabilitada | This policy is disabled |
59152 | Los usuarios no pueden agregar cuentas Microsoft | Users can't add Microsoft accounts |
59153 | Los usuarios no pueden agregar cuentas Microsoft ni iniciar sesión con ellas | Users can't add or log on with Microsoft accounts |
59154 | Inicio de sesión interactivo: umbral de bloqueo de cuenta del equipo | Interactive logon: Machine account lockout threshold |
59155 | Inicio de sesión interactivo: límite de inactividad del equipo | Interactive logon: Machine inactivity limit |
59156 | intentos de inicio de sesión no válidos | invalid logon attempts |
59157 | Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Inicio de sesión interactivo: No mostrar el nombre de usuario al iniciar sesión | Interactive logon: Don't display username at sign-in |
File Description: | Módulo de UI de configuración de seguridad |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Todos los derechos reservados. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Sistema operativo Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0xC0A, 1200 |