I.

-Asignacin de Derechos de Usuario

I.I.- Introduccin
Los derechos de usuario son tareas que un usuario puede llevar a cabo en un sistema o dominio del equipo, porque tiene permiso para ello. Existen dos tipos de derechos de usuario: derechos de inicio de sesin y privilegios. Con los derechos de inicio de sesin se controla quin tiene autorizacin para iniciar sesin en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos de todo el sistema de un equipo y se anulan grupos de permisos en objetos determinados. Un ejemplo de derecho de inicio de sesin es el derecho a iniciar sesin en un equipo de forma local. Un ejemplo de privilegio consistira en el derecho a apagar el sistema. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuracin de seguridad del equipo.

I.II.- Agregar estaciones de trabajo al dominio

El derecho de usuario Agregar estaciones de trabajo al dominio permite al usuario agregar equipos a un dominio especfico. Para que este privilegio tenga efecto, se debe asignar al usuario como parte de la directiva predeterminada de controladores del dominio especfico. Un usuario que disfrute de este privilegio puede agregar hasta 10 estaciones de trabajo. Vulnerabilidad Este derecho de usuario tiene una vulnerabilidad media. Los usuarios con este derecho pueden agregar un equipo al dominio configurado violando las directivas de seguridad corporativa. Por ejemplo, si la organizacin no quiere que los usuarios tengan privilegios administrativos en el equipo, un usuario podra instalar Windows en su equipo y, a continuacin, agregar el equipo al dominio. De este modo, conocera la contrasea para la cuenta de administrador local, por lo que podra iniciar sesin con dicha cuenta y, a continuacin, agregar su cuenta de dominio al grupo Administradores local.

Jorge Alberto Vzquez Corrales

I.III.- Permitir el inicio de sesin local

El derecho de usuario Permitir inicio de sesin local permite al usuario iniciar una sesin interactiva en el equipo. Los usuarios que no disfruten de este derecho an pueden iniciar una sesin interactiva remota en el equipo si disponen del derecho Permitir inicio de sesin a travs de Servicios de Terminal Server . Vulnerabilidad Una cuenta con este derecho se puede utilizar para iniciar una sesin en la consola del equipo. Si este privilegio no se restringe a usuarios legtimos que necesiten iniciar sesin en la consola del sistema, cualquier usuario no autorizado podra descargar y ejecutar un cdigo malicioso para aumentar sus privilegios.

I.IV.- Denegar el acceso desde la red

El derecho de inicio de sesin Denegar el acceso desde equipo prohbe al usuario conectarse al equipo desde la red. Vulnerabilidad Los usuarios que pueden iniciar sesin en el equipo a enumerar listas de nombres de cuentas, nombres compartidos. Los usuarios con permiso de acceso compartidos pueden conectarse a travs de la red modificar datos. la red a este

travs de la red pueden de grupos y recursos a recursos y archivos y, posiblemente, ver o

Jorge Alberto Vzquez Corrales

I.V.- Denegar el inicio de sesin como trabajo por lotes

El derecho de usuario Denegar el inicio de sesin como trabajo por lotes prohbe a un usuario iniciar sesin mediante un servicio de cola por lotes. La cola por lotes es una caracterstica de Windows Server 2003 que se usa para programar tareas con el fin de que se inicien una o ms veces en el futuro. Este derecho de usuario es necesario en aquellas cuentas que se emplean a la hora de programar trabajos a travs del Programador de tareas.

Vulnerabilidad Las cuentas con este derecho de inicio de sesin se pueden utilizar para programar aquellas tareas que consumen demasiados recursos del sistema, lo que provoca una condicin de denegacin de servicio.

I.VI.- Habilitar la opcin De confianza para la delegacin en las cuentas de usuario y de equipo
El privilegio Habilitar la opcin De confianza para la delegacin en las cuentas de usuario y de equipo permite que el usuario cambie el valor De confianza para la delegacin en un usuario u objeto del equipo en Active Directory. El usuario o equipo con este privilegio tambin debe disponer de acceso de escritura a los indicadores de control de cuenta en el objeto.

Vulnerabilidad El uso incorrecto de este privilegio puede hacer que usuarios no autorizados suplanten a otros usuarios de la red. Un atacante podra explotar este privilegio para obtener acceso a los recursos de la red aparentando ser otro usuario, lo que podra dificultar la investigacin posterior a un incidente de seguridad.

Jorge Alberto Vzquez Corrales

I.VII.- Forzar el apagado de un sistema remoto

El privilegio de usuario Forzar el apagado de un sistema remoto permite al usuario apagar un equipo desde una ubicacin remota en la red. Vulnerabilidad Cualquier usuario que pueda apagar un equipo puede provocar una condicin de denegacin de servicio, por lo que este privilegio debe ser estrictamente restringido.

I.VIII.- Cargar y descargar controladores de dispositivo

El privilegio Cargar y descargar controladores de dispositivo determina qu usuarios podrn cargar y descargar controladores de dispositivos. Este privilegio no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del equipo. Vulnerabilidad Los controladores de dispositivos se ejecutan como un cdigo con privilegios elevados. Un usuario con el privilegio Cargar y descargar controladores de dispositivos puede instalar involuntariamente un cdigo malicioso que se haga pasar por un controlador de dispositivo.

Jorge Alberto Vzquez Corrales