Se quitan las exenciones predeterminadas de IPSec en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 810207 - Ver los productos a los que se aplica este artículo
importante : este artículo contiene información acerca de cómo modificar el registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

La característica de seguridad de protocolo Internet (IPsec) en Windows Server 2003 no se diseñó como un firewall basado en host completo. Se diseñó para permitir básica permitir y bloquear filtrado utilizando información de dirección, protocolo y puerto de paquetes de red. IPsec también se diseñó como herramienta administrativa para mejorar la seguridad de comunicaciones de forma que es transparente para los programas. A causa de esto, permite el filtrado es necesario para negociar la seguridad para el modo de transporte IPsec o IPsec del tráfico modo de túnel, principalmente para entornos de intranet donde estaba disponible en el servicio Kerberos confianza del equipo o para rutas específicas a través de Internet donde se pueden utilizar certificados digitales de infraestructura de claves públicas (PKI).

Las exenciones predeterminadas a filtros de directiva de IPsec están documentadas en el Microsoft Windows 2000 y la Ayuda de Microsoft Windows XP. Estos filtros hacen posible para intercambio de claves de Internet (IKE) y Kerberos para la función. Los filtros también hacen posible para la red Service(QoS) de calidad que señaliza (RSVP) cuando el tráfico de datos está protegido por IPsec y para el tráfico que IPsec no se puede proteger como tráfico de difusión y multidifusión.

Para obtener información adicional acerca de estos filtros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253169Tráfico que puede y no se--pueden proteger mediante IPSec

Más información

Advertencia : si utiliza incorrectamente el Editor del registro, pueden surgir problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad. Como cada vez más se utiliza IPsec para el host de servidor de seguridad básico filtrado de paquetes, especialmente en escenarios expuestos en Internet, ha el efecto de estas exenciones predeterminadas no ha entender totalmente. Debido a esto, algunos administradores de IPsec pueden crear directivas que se creen sea segura, pero que son no protegen contra ataques entrantes que utilizan las exenciones predeterminadas de IPsec.

Por estos motivos, Microsoft ha quitado la mayoría de las exenciones predeterminadas en Windows Server 2003. Esto puede requerir cambios en la directiva IPsec para Windows Server 2003 para escenarios de implementación de IPsec que utiliza IKE para negociar la seguridad y protección de IPsec para tráfico de protocolo de nivel superior.

Eliminación del valor predeterminado de Windows de exenciones

De forma predeterminada, Windows Server 2003, quita las todas las exenciones predeterminadas, excepto la exención IKE. Los cambios en diseños de directiva IPsec existentes pueden ser necesarios para poder utilizar la directiva en Windows Server 2003.

Los administradores deben empezar planear estos cambios para las implementaciones IPsec nuevas y existentes todo utilizando
NoDefaultExempt=1
en sus equipos basados en Windows 2000 y basado en Windows XP. El
NoDefaultExempt=1
clave de registro se admite en Windows Server 2003 para permitir a los administradores restaurar el comportamiento de exención predeterminado por compatibilidad con diseños de directiva de IPsec anteriores y compatibilidad de programas. Durante la actualización a Windows Server 2003, el valor de un existente
NoDefaultExempt=1
se conserva la configuración de la clave del registro.

Para obtener información adicional acerca de las exenciones predeterminadas para equipos basados en Windows 2000 y basado en Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811832Las excepciones predeterminadas de IPSec pueden utilizarse para omitir la protección de IPSec en algunos escenarios
Nota Revise este artículo (811832) antes de utilizar la clave del registro para volver a habilitar las exenciones predeterminadas.

También puede revisar la sección "Especificar predeterminado exenciones a IPSec Filtering" en el kit de desarrollo de IPsec de Windows Server 2003 para obtener más información. Para obtener el Kit de implementación de Microsoft Windows 2003 Server, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Para modificar el comportamiento de filtrado de IPSec de Windows Server 2003 predeterminado, puede utilizar el comando Netsh IPSec o modificar el registro.

Para modificar el comportamiento de filtrado mediante el comando Netsh IPSec predeterminado:
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar .
  2. Escriba cmd y, a continuación, haga clic en Aceptar .
  3. En el símbolo del sistema, escriba netsh ipsec dinámicos Establecer valor de configuración ipsecexempt = { 0 | 1 | 2 | 3}, y, a continuación, presione ENTRAR.
El uso de { 0 | 1 | 2 | 3} en este comando representa todas las opciones disponibles para este comando. Sólo puede utilizar un valor. Dependiendo de las excepciones que desee utilizar, especifique el valor como:
  • El valor 0 especifica que la multidifusión, difusión, el tráfico de RSVP, Kerberos y ISAKMP están exentos del filtrado IPSec. Éste es el valor predeterminado filtrado comportamiento para Windows 2000 y Windows XP. Utilice esta configuración sólo si tiene que para la compatibilidad con una directiva IPsec existente o comportamiento de Windows 2000 y Windows XP.
  • Un valor de 1 especifica que el tráfico de Kerberos y RSVP no están exentos del filtrado IPSec, pero multidifusión, difusión y tráfico de ISAKMP están exentos.
  • Un valor de 2 especifica que no son exento del filtrado IPSec el tráfico de difusión y multidifusión, pero el tráfico de RSVP, Kerberos y ISAKMP están exentos.
  • Un valor de 3 especifica que sólo el tráfico de ISAKMP está exento del filtrado IPSec. Éste es el valor predeterminado filtrado comportamiento para Windows Server 2003.
Si cambia el valor de esta configuración, debe reiniciar el equipo para el nuevo valor surta efecto. Para modificar el comportamiento de filtrado mediante el registro predeterminado:
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar .
  2. Escriba Regedit y, a continuación, haga clic en Aceptar .
  3. Haga clic en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Nota Si utiliza Windows Server 2008, haga clic en la siguiente clave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Haga clic con el botón secundario en IPSEC , seleccione nuevo y, a continuación, haga clic en Valor DWORD .
  5. Nombre de esta nueva entrada NoDefaultExempt .
  6. Asignar esta entrada cualquier valor de 0 a 3 .
  7. Reinicie el equipo.
Los comportamientos de filtrado para cada valor son equivalentes a las que se indican para el netsh ipsec dinámicos Establecer valor de configuración ipsecexempt = x comandos.

Impacto de exención IKE

El efecto de la exención IKE es el mismo que para Windows 2000 y Windows XP. Sin embargo, Windows Server 2003 proporciona mejorado prevención de DoS a ataques de inundación.

Para obtener información adicional acerca de exención IKE para Windows 2000 y Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811832Las excepciones predeterminadas de IPSec pueden utilizarse para omitir la protección de IPSec en algunos escenarios

Efecto de exención de Kerberos

Si
NoDefaultExempt
se establece en 0 o 2 para restaurar la exención, el efecto de exención de Kerberos es el mismo que el descrito para Windows 2000 y Windows XP.

Para obtener más información acerca de exención de Kerberos para Windows 2000 y Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811832Las excepciones predeterminadas de IPSec pueden utilizarse para omitir la protección de IPSec en algunos escenarios

Efecto de exención de RSVP

Si
NoDefaultExempt
se establece en 0 o 2 para restaurar la exención, el riesgo de exención de RSVP está limitado a las implementaciones de RSVP de terceros que pueden instalarse. De forma predeterminada, Windows Server 2003 no incluye el servicio QoS RSVP. La opción ? r se ha quitado la herramienta Pathping para no admite el protocolo RSVP.

Efecto de difusión y multidifusión exenciones

Si
NoDefaultExempt
se establece en 0 o 1 para restaurar la exención, el efecto de difusión y multidifusión exenciones es la misma que la descrita para Windows 2000 y Windows XP. Sin embargo, IPsec de Windows Server 2003 admite el filtrado de tráfico de difusión y multidifusión. Un diseño de directiva de IPsec puede tener filtros que se debería coincidir por salida difusión o multidifusión como un filtro con la dirección origen ? mi dirección de IP ? y una dirección de destino de ? cualquier dirección IP ?. Las directivas IPsec deben probarse en el laboratorio y en la operación para confirmar el efecto de un diseño de directiva existente en este tráfico. Tráfico de difusión y multidifusión se puede bloquear de forma limitada utilizando un filtro IPsec con direcciones de origen y destino de ? cualquier dirección IP ?. El Kit de recursos de Windows Server 2003 contiene más información.

Para obtener información adicional acerca de difusión y multidifusión exenciones para Windows 2000 y Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811832Las excepciones predeterminadas de IPSec pueden utilizarse para omitir la protección de IPSec en algunos escenarios

¿Los programas que pueden recibir tráfico de difusión?

Windows Server 2003 admite una opción de socket para programas deshabilitar explícitamente la recepción de tráfico de difusión, pero no hay ningún cambio el comportamiento predeterminado que los programas que están escuchando en los puertos UDP reciben tráfico de difusión.

¿Qué programas pueden recibir tráfico de multidifusión?

En Windows Server 2003, programas todavía deben registrarse explícitamente con la pila TCPIP recibir tipos de tráfico de multidifusión entrante y tráfico puede desaparecer si el grupo de multidifusión es no registrado.

Utilizar IPsec con el servidor de seguridad de conexión a Internet

Como en Windows XP, ICF y las capacidades de filtrado de IPsec pueden combinarse para crear comportamientos de filtrado avanzados. Esto resulta especialmente útil donde IPsec debe estáticamente permitir determinado tráfico saliente a Internet como HTTP, DNS o SMTP. Esto permite a ICF proporcionar filtrado de estado del tráfico saliente que IPsec permite.

Referencias

Para obtener información adicional sobre el efecto de exenciones predeterminadas de seguridad IP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811832Las exenciones predeterminadas de IPsec pueden utilizarse para eludir la protección de IPsec en algunos escenarios para Windows 2000 y Windows XP
Para obtener más información acerca de filtrado y la Guía de implementación de IPsec en Windows Server 2003, consulte el capítulo de implementación de IPsec en el Kit de implementación de Windows 2003 Server. Para ello, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Propiedades

Id. de artículo: 810207 - Última revisión: lunes, 18 de febrero de 2008 - Versión: 9.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbmt kbinfo KB810207 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 810207

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com