Reglas de seguridad para Firewall de Windows y para conexiones de IPsec en Windows Vista y en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 942957 - Ver los productos a los que se aplica este artículo
Información de la versión beta
En este artículo se describe una versión Beta de un producto de Microsoft. La información contenida en este artículo se proporciona tal cual y está sujeta a cambios sin previo aviso.

No hay disponible soporte técnico formal del producto por parte de Microsoft para esta versión Beta. Para obtener información acerca de cómo obtener soporte técnico para una versión beta, consulte la documentación que se incluye con los archivos de producto beta o busque en el sitio Web donde descargó la versión.
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo describe lo siguiente:
  • Reglas de seguridad para Firewall de Windows en Windows Vista
  • Reglas de seguridad para conexiones de IPsec en Windows Vista y en Windows Server 2008
  • Cómo establecer una conexión cifrada entre Windows Vista y Windows XP o entre Windows Vista y Windows Server 2003

Más información

En Windows Vista, nuevas reglas de seguridad de Firewall de Windows y las nuevas reglas de seguridad de conexión basada en IPsec están totalmente integradas en directiva de grupo. Por tanto, la configuración de compatibilidad con combina y delegar el comportamiento de la misma manera que otras opciones de directiva de grupo.

Reglas de seguridad para Firewall de Windows en Windows Vista

El complemento "Firewall de Windows con seguridad avanzada" Microsoft Management Control (MMC) admite los siguientes tipos de reglas de seguridad.

Nota Se combinan la lista de reglas de seguridad de Firewall de Windows y la lista de reglas de seguridad de conexión de configuración de directiva de grupo aplicable todo. A continuación, se procesan estas reglas de seguridad en el orden siguiente. Siempre se aplica el siguiente orden, independientemente del origen de las reglas de seguridad.
  • regla de consolidación de servicio de Windows
    La regla de consolidación de servicio de Windows impide que los servicios establecer conexiones. Restricciones de servicio se configuran de manera que los servicios de Windows sólo pueden comunicarse de una manera específica. Por ejemplo, puede restringir el tráfico a través de un puerto específico. Sin embargo, hasta que cree una regla de firewall, no se permite el tráfico.
  • regla de seguridad de conexión
    La regla de seguridad de conexión define cómo y cuándo los equipos se autentican mediante la característica de IPsec. Reglas de seguridad de conexión se utilizan para establecer el aislamiento de servidor y para establecer el aislamiento de dominio. Además, las reglas de seguridad de conexión se utilizan para exigir la directiva de protección de acceso de red (NAP).
  • autenticado Omitir regla
    El autenticado omite regla permite determinados equipos estar conectado si el tráfico está protegido mediante la característica IPsec independientemente de otras reglas entrantes. Equipos especificados pueden omitir las reglas entrantes que bloquean el tráfico. Por ejemplo, puede habilitar la administración remota de Firewall desde determinados equipos creando reglas de omisión autenticada para los equipos. O, puede habilitar la compatibilidad con Asistencia remota llamando al servicio de asistencia técnica.
  • regla de bloqueo
    La regla de bloque bloquea explícitamente un tipo determinado de tráfico entrante o un tipo determinado de tráfico saliente.
  • Permitir regla
    La regla permitir explícitamente permite para determinados tipos de tráfico entrante o ciertos tipos de tráfico saliente.
  • regla de forma predeterminada
    La regla predeterminada está configurada de tal manera que la regla predeterminada entrantes bloquea las conexiones y la regla predeterminada de salida permite conexiones.

Reglas de seguridad para conexiones de IPsec en Windows Vista y en Windows Server 2008

Los dos siguientes tipos de reglas IPsec se pueden aplicar a un equipo basado en Windows Vista o a un equipo basado en Windows Server 2008:
  • reglas IPsec
    Actualmente se implementan las reglas anteriores de IPsec en Windows 2000 y en Windows Server 2003. Las reglas de IPsec anteriores se administran mediante el servicio PolicyAgent. Estas reglas de IPsec son reglas de intercambio de claves de Internet (IKE) que admiten sólo autenticación de Kerberos basada en el equipo, certificados x.509 o autenticación de clave previamente compartida. Estas reglas IPsec se configuran en el complemento MMC de "Administración de directivas IPsec". Se aplican las reglas de PolicyAgent basadas en IKE de la misma manera que en Windows 2000 y en Windows Server 2003. Aunque pueden aplicar varias directivas a un equipo dado, sólo la directiva última que se aplica es correcta. Esto es según el método de "última prevalece". Además, Se pueden combinar opciones de directiva de IKE.
  • reglas de seguridad de conexión
    Reglas de seguridad de conexión sólo se admiten en Windows Vista y en Windows Server 2008. Reglas de seguridad de conexión son compatibles con una extensión a IKE que se llama IP autenticado (AuthIP). AuthIP agrega compatibilidad con los mecanismos de autenticación siguientes:
    • Credenciales de Kerberos de usuario interactivo o credenciales de usuario interactivo NTLMv2
    • Certificados x.509 de usuario
    • Certificados de capa de sockets seguro (SSL) de equipo
    • Certificados de mantenimiento NAP
    • Autenticación anónima (autenticación opcional)
    Puede configurar reglas de seguridad para el complemento "Firewall de Windows y seguridad avanzada" mediante las herramientas siguientes:
    • Directiva de grupo basada en dominio
    • El complemento "Firewall de Windows con seguridad avanzada"

      Nota El complemento "Firewall de Windows con seguridad avanzada" es la ubicación de almacenamiento predeterminada para las directivas que pueden obtener acceso mediante el comando wf.msc .
    • El complemento local directiva de grupo (gpedit.msc)
    • El comando netsh advfirewall

      Nota El comando netsh advfirewall apunta al mismo almacén como el comando wf.msc .
    Al igual que otro firewall y reglas de directiva de grupo, se combinarán reglas de seguridad de conexión desde todos los objetos de directiva de grupo aplicables.

    Crear directivas de IPsec que son compatibles con IKE versiones basado en 1 clientes, como Microsoft Windows 2000, Windows XP y Windows Server 2003 se pueden configurar directivas de seguridad de conexión. También se pueden configurar directivas de seguridad de conexión para crear directivas que admiten comunicaciones sólo entre equipos basados en Windows Vista y los equipos basados en Windows Server 2008.

    Un administrador puede crear una directiva de seguridad de conexión mediante los métodos siguientes:
    • El administrador puede crear una directiva de seguridad de conexión que admite sólo Kerberos autenticación, certificados x.509 de usuario o la autenticación de equipo.

      notas
      • En este caso, el Mpssvc servicio crea automáticamente tanto AuthIP como IKE anterior directivas.
      • Si se especifica autenticación clave previamente compartida basada en el equipo, no se crean reglas de AuthIP.
    • El administrador puede crear una directiva de seguridad de conexión que requiere autenticación de usuario.

      Nota En este caso, se crea sólo directiva AuthIP para negociaciones de Windows Vista a Windows Vista y para las negociaciones de Windows Vista a Windows Server 2008. Esto es porque IKE no admite la autenticación de usuario.
    • El administrador puede crear una directiva de seguridad de conexión en que las opciones de autenticación de usuario se agregan a la directiva. Además, el administrador también puede seleccionar la opción de segunda autenticación es opcional .

      Nota El servicio Mpssvc crea directivas de AuthIP y directivas IKE anteriores. Autenticación de usuario opcionales se incluye en el conjunto de AuthIP. Autenticación de usuario opcionales no se incluye en la directiva IKE anterior.
    • El administrador puede crear una directiva de seguridad de conexión que requiere la autenticación NTLM.

      Nota En este caso, sólo directiva AuthIP se crea para las negociaciones de Windows Vista a Windows Vista y para Windows Vista a Windows Server 2008 negociaciones porque IKE no admite la autenticación NTLM.
    • El administrador selecciona el algoritmo "Diffie-Hellman" en el algoritmo de "Exchange de clave de modo principal" global que es incompatible con clientes anteriores, tales como algoritmo de "elíptica curva Diffie-Hellman P-256".

      notas
      • En este caso, el algoritmo "Diffie-Hellman" no se admitirán por clientes de versión 1 de IKE anteriores. Además, las negociaciones IKE son incorrectas.
      • Recomendamos que utilice la configuración de "Diffie-Hellman Group 2" porque esta configuración es compatible en la gama más amplia de clientes.
      • El valor de "Diffie-Hellman Group 14" se admite en Windows XP Service Pack 2 (SP2) y en Windows Server 2003.
      • En este caso, el cambio de comportamiento de teclas es que el algoritmo "Diffie-Hellman" generalmente no se utiliza para las negociaciones de AuthIP.
      • Cuando el servicio Mpssvc crea reglas de AuthIP, el servicio Mpssvc especifica que las negociaciones de Windows Vista a Windows Vista o Windows Vista a Windows Server 2008 negociaciones deben sólo utilizar el algoritmo "Diffie-Hellman" Si el método de autenticación de modo principal se establece en anónimo .
      • Cuando el servicio Mpssvc crea reglas de IKE, el servicio Mpssvc siempre utiliza el algoritmo de "Diffie-Hellman" específica de la configuración de Exchange de claves de modo principal global.
      • Un secreto compartido de interfaz del proveedor de soporte de seguridad SSPI se utiliza para generar el material de claves en intercambios de AuthIP en que el intercambio de claves de modo principal no tiene un intercambio Diffie-Hellman.

    Certificados utilizados por AuthIP

    • AuthIP usa certificados SSL que tienen la configuración de autenticación de cliente configurado o que tienen configuración autenticación del servidor. Los certificados SSL pueden ser certificados de autenticación de cliente. O, los certificados SSL pueden ser los certificados de autenticación de cliente y los certificados de autenticación de servidor.
    • Si crear directivas para usar autenticación de certificados para Windows Vista, debe tener los certificados que funcionan con AuthIP. Esto significa que los certificados que implementar en los clientes tienen que ser los certificados SSL que utilizan autenticación de cliente o autenticación de servidor. La autenticación depende de si desea autenticación unidireccional o la autenticación mutua. Los certificados SSL se diferencian de los certificados digitales estándar que se utilizan en Windows XP o en Windows Server 2003.
    • De forma predeterminada, los certificados SSL se utilizan las implementaciones de NAP.

Directiva de grupo procesamiento para el complemento "Firewall de Windows con seguridad avanzada"

Se combinarán reglas de seguridad de conexión desde todos los objetos de directiva de grupo aplicables. Sin embargo, es un grupo relacionado de configuración de IPsec y de AuthIP que administra la predeterminada, el comportamiento de IPsec no aditivos. Este grupo de configuración incluye conjuntos de autenticación global, configuración de modo rápido, configuración de intercambio de claves y exenciones de mensajes de control de Internet (ICMP).

El conjunto de opciones de seguridad de conexión u opciones de IPsec que se aplican desde el objeto de mayor prioridad de directiva de grupo (GPO) predeterminado se realizará correctamente en un cliente basado en Windows Vista. Por ejemplo, todas las conexión reglas de seguridad en el cliente basado en Windows Vista que utilizan conjuntos de autenticación predeterminados o conjuntos criptográficos utilizará los conjuntos de la prioridad más alta GPO. Si desea más flexibilidad, puede utilizar las siguientes opciones:
  • Para conjuntos de autenticación, configurar la autenticación mediante la regla de seguridad de conexión en lugar de mediante la autenticación predeterminada.
  • Para conjuntos de cifrado de modo rápido, utilice el comando netsh para configurar configuración criptográfica de modo rápido para cada regla de seguridad de conexión según sea necesario.
  • Conjuntos de cifrado de modo principal, se admite sólo un conjunto criptográfico de modo principal para cada directiva. Cuando establece varios modo principal reciben conjuntos criptográficos, el cifrado de modo principal desde la prioridad más alta GPO se aplicará a todas las reglas de seguridad de conexión en la directiva de grupo. Sin embargo, no se puede personalizar las reglas para utilizar diferentes conjuntos de cifrado de modo principal.
  • Cuando configura el GPO para directivas de seguridad de conexión y para las directivas de firewall, puede deshabilitar el uso de reglas de firewall local y reglas de seguridad de conexión. Por consiguiente, sólo la configuración de directiva de grupo está vinculada al GPO, el GPO de dominio o GPO de unidad organizativa (OU) del sitio puede controlar el comportamiento de Firewall de Windows.
Para ver las notas del producto "Introducción a Firewall de Windows con seguridad avanzada" para Windows Vista, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
Para obtener más información acerca de AuthIP en Windows Vista, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Para obtener más información sobre el nuevo Firewall de Windows en Windows Vista y en Windows Server 2008, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Cómo establecer una conexión cifrada entre Windows Vista y Windows XP o entre Windows Vista y Windows Server 2003

En Windows Server 2003 y en Windows XP, configuración de directiva de IPsec normalmente consta de un conjunto de reglas para proteger la mayoría del tráfico en la red y otro conjunto de reglas de exenciones de tráfico protegido. Puede incluir una configuración de aislamiento de servidor y aislamiento de dominio. Las excepciones son necesarias para comunicación no protegida con servidores de infraestructura de red como servidores de protocolo de configuración dinámica de host (DHCP), servidores Sistema de nombres de dominio (DNS) y controladores de dominio. Cuando se inicia un equipo, el equipo debe ser capaz de obtener una dirección IP y debe ser capaz de utilizar DNS para buscar un controlador de dominio. Además, el equipo debe poder iniciar sesión en su dominio antes de que el equipo puede empezar a utilizar la autenticación Kerberos para autenticarse como un IPsec del mismo nivel. Otras excepciones son necesarios para comunicarse con nodos de red que no son compatibles con IPsec. En algunos casos, hay muchas excepciones que resulte más difícil para implementar la protección de IPsec en una red de empresa y para mantener la red de empresa a lo largo del tiempo.

En Windows Server 2008 y Windows Vista, IPsec proporciona un comportamiento opcional para negociar la protección IPsec. Suponga que IPsec está habilitado y que un nodo IPsec que ejecuta Windows Server 2008 o Windows inicia la comunicación con otro nodo de red. En este caso, se pruebe el nodo de IPsec para comunicarse sin cifrado, o "en"desactive. El nodo intentará negociar la comunicación protegida en paralelo. Si el interlocutor IPsec que se inicia no recibe una respuesta para el intento de negociación inicial, la comunicación continúa en la desactive. Si el interlocutor IPsec que se inicia recibe una respuesta para el intento de negociación inicial, la comunicación continúa hasta que finalice la negociación. Cuando la negociación está completa, las comunicaciones sucesivas reciben mayor protección. El nodo inicial de IPsec puede averiguar si el nodo de red que se comunica con puede realizar IPsec. El nodo IPsec que se inicia a continuación, se comporta según corresponda. Este comportamiento del nodo IPsec es debido al comportamiento opcional de IPsec de. Además, este comportamiento es debido la configuración recomendada que requiere protección para comunicaciones entrantes iniciadas y que las solicitudes de protección para comunicaciones iniciadas de salida. Este nuevo comportamiento simplifica enormemente la configuración de directiva de IPsec. Por ejemplo, el nodo IPsec que se inicia no es necesario disponer de un conjunto de filtros IPsec predefinidos para excluir un conjunto de hosts que no se puede proteger tráfico de red mediante IPsec. El nodo IPsec que se inicia intenta tráfico protegido y desprotegido tráfico en paralelo. Si no es posible la comunicación protegida, el nodo IPsec que se inicia utiliza comunicación no protegida.

El nuevo comportamiento de negociación también mejora el rendimiento de conexiones no protegidas que se realizan en hosts. Un nodo IPsec que se ejecuta Windows Server 2003 o Windows XP está configurado para solicitar comunicaciones protegidas, pero permite a comunicaciones no protegidas. Este comportamiento de nodo de IPsec se conoce como retroceso para borrar. El nodo de IPsec envía mensajes de negociación y espera una respuesta. El nodo IPsec que se inicia espera hasta tres segundos antes de recurrir a borrar y trata las comunicaciones no protegidas. En Windows Server 2008 y Windows Vista, ya no es un retraso de segundo tres cuando revirtiendo a desactivar porque las comunicaciones en texto sin cifrar ya están en curso cuando el nodo IPsec inicial está esperando una respuesta.

Para obtener más información acerca de aislamiento de servidor y aislamiento de dominio, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Puntos clave para establecer una conexión cifrada entre Windows Vista y Windows XP o entre Windows Vista y Windows Server 2003

  • Si sólo se habilita una conexión cifrada en Windows Vista, Windows negocia sólo en el nivel de IPsec con todos los demás clientes. Esto incluye a clientes basados en Windows XP.
  • De forma predeterminada, Windows XP o Windows Server 2003 no negocia el nivel de IPsec. Por lo tanto, tenemos que asignar una regla de IPsec en Windows XP o en Windows Server 2003 para establecer una conexión cifrada entre Windows Vista y Windows XP o entre Windows Vista y Windows Server 2003.
  • De forma predeterminada, si está activada la opción Permitir conexiones sólo seguras , Windows Vista se negocia mediante el método de cifrado de AES-128 y el método de cifrado 3DES. El método de cifrado de AES-128 no se admite en Windows XP. El método de cifrado 3DES es compatible en Windows XP y en Windows Server 2003.
  • De forma predeterminada, si IPsec está habilitado en Windows XP o en Windows Server 2003, IPsec negociará mediante el método de cifrado 3DES.
Para establecer una conexión cifrada entre un equipo basado en Windows Vista y un equipo basado en Windows mediante el complemento "Firewall de Windows con seguridad avanzada", siga estos pasos:
  1. En el equipo basado en Windows Vista, haga clic en
    Contraer esta imagenAmpliar esta imagen
    the Start button
    Inicio , escriba firewall en el cuadro Iniciar búsqueda y, a continuación, haga clic en Firewall de Windows con seguridad avanzada en la lista de programas .
  2. En el árbol de consola, haga clic en Reglas de entrada .
  3. En la lista de reglas de entrada, haga doble clic en Escritorio remoto (TCP de entrada) y, a continuación, haga clic en la ficha General .
  4. En el área acción , haga clic en Permitir conexiones sólo seguras , en la casilla de verificación Requerir cifrado de y, a continuación, haga clic en Aceptar .
  5. En el árbol de consola, haga clic en Reglas de seguridad de conexión y, a continuación, haga clic en Nueva en el menú acción .
  6. Haga clic en aislamiento y, a continuación, haga clic en siguiente .
  7. Haga clic en Requerir autenticación para conexiones entrantes y salientes y, a continuación, haga clic en siguiente .
  8. Haga clic en predeterminado y, a continuación, haga clic en siguiente .
  9. Active las casillas de verificación siguientes y, a continuación, haga clic en siguiente :
    • dominio
    • privada
    • pública
  10. Escriba el nombre de la regla en el cuadro nombre , escriba la descripción de la regla en el cuadro Descripción (opcional) si desea y, a continuación, haga clic en Finalizar .
  11. En el menú archivo , haga clic en Salir .
  12. En el equipo basado en Windows XP, haga clic en Inicio , haga clic en Ejecutar , escriba secpol.msc y, a continuación, haga clic en Aceptar .
  13. En el árbol de consola, haga clic con el botón secundario en Directivas de seguridad IP en el equipo local y, a continuación, haga clic en Crear directiva de seguridad de IP .
  14. Haga clic en siguiente y siga las instrucciones del Asistente para directivas de seguridad IP para crear la directiva de seguridad IP. Utilice la configuración predeterminada para crear esta directiva.
  15. Haga clic con el botón secundario en Nueva directiva de seguridad de IP y, a continuación, haga clic en asignar .
  16. En el menú archivo , haga clic en Salir .

Propiedades

Id. de artículo: 942957 - Última revisión: viernes, 26 de octubre de 2007 - Versión: 1.5
La información de este artículo se refiere a:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Palabras clave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB942957 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 942957

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com