Permitir el inicio de sesión local
Esta configuración de directiva especifica los usuarios que pueden iniciar sesiones interactivas en el controlador de dominio. Los usuarios que no tengan este derecho aún pueden iniciar una sesión interactiva remota en el controlador de dominio si se les ha asignado el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server.

Debe restringir el número de cuentas que pueden iniciar sesión en las consolas de controlador de dominio para evitar el acceso no autorizado a los sistemas de archivos y servicios del sistema de los controladores de dominio. Un usuario que pueda iniciar una sesión en la consola de un controlador de dominio podría aprovecharse malintencionadamente del equipo y poner probablemente en peligro la seguridad de todo el dominio o bosque.

De forma predeterminada, se asigna el derecho de usuario Permitir el inicio de sesión local a los grupos Opers. de cuentas, Operadores de copia de seguridad, Opers. de impresión y Opers. de servidores en los controladores de dominio. Los usuarios de estos grupos no deben necesitar iniciar sesión en un controlador de dominio para realizar las tareas de administración y deben poder efectuar sus tareas desde otras estaciones de trabajo. Sólo los usuarios del grupo Administradores deben realizar tareas de mantenimiento en los controladores de dominio.

Si asigna el derecho de usuario Permitir el inicio de sesión local sólo al grupo Administradores, el acceso físico e interactivo al controlador de dominio está limitado únicamente a los usuarios en los que se tiene mucha confianza, lo que aumenta la seguridad. Por este motivo, el derecho de usuario Permitir el inicio de sesión local sólo se asigna al grupo Administradores en la DCBP para el entorno SSLF. Esta configuración de directiva se establece para incluir los grupos Opers. de servidores y Operadores de copia de seguridad para los entornos LC y EC.

Permitir el inicio de sesión local
Esta configuración de directiva determina si un usuario puede iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho aún pueden iniciar una sesión interactiva remota en el equipo si disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal Server.

Los valores posibles para la configuración Permitir inicio de sesión local son:

• Lista de cuentas definida por el usuario

• No está definido


Vulnerabilidad
Una cuenta con el derecho de usuario Permitir inicio de sesión local puede iniciar sesión en la consola del equipo. Si no restringe este derecho de usuario a usuarios legítimos que necesitan iniciar sesión en la consola del equipo, algún usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida
Para los controladores de dominio, asigne solamente el derecho de usuario Permitir el inicio de sesión local al grupo Administradores. Para las otras funciones del servidor, puede optar por agregar los grupos Operadores de copia de seguridad y Usuarios avanzados. Para los equipos de usuario final, también deberá asignar este derecho al grupo Usuarios.

Otra posibilidad es la de asignar grupos como Operadores de cuenta, Operadores de servidores e Invitados al derecho de usuario Denegar el inicio de sesión localmente.

Impacto potencial
Al quitar estos grupos predeterminados, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Si ha instalado componentes opcionales como ASP.NET o los servicios de Internet Information Services, tal vez necesite asignar el derecho de usuario Permitir inicio de sesión local a cuentas adicionales que estos componentes requieren. IIS requiere que este derecho de usuario se asigne a la cuenta IUSR_<NombreEquipo>. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.