Documente Academic
Documente Profesional
Documente Cultură
Índice
1
1. Introducción a la seguridad avanzada de clientes y servidores
2
1.1. Prácticas básicas de seguridad para Active Directory
Cap7-01.jpg
4
1.2. Prácticas básicas de seguridad del servidor
Cap7-02.jpg
Las prácticas básicas de seguridad para servidores son líneas de base a las que
se pueden agregar otras avanzadas. La incorporación de prácticas avanzadas
de seguridad para servidores a las prácticas básicas existentes constituye un
ejemplo de la estrategia de seguridad de defensa en profundidad de Microsoft,
que reconoce que la seguridad es más efectiva cuando los equipos y los datos
están protegidos por más de un nivel de seguridad.
5
• Utilizar directivas de grupo para reforzar los servidores. Puede
utilizar directivas de grupo para:
• Deshabilitar los servicios innecesarios. Cualquier servicio o
aplicación es un posible punto de ataque. Por lo tanto,
deshabilite o quite todos los servicios y los archivos
ejecutables innecesarios con el fin de reducir la parte de un
sistema expuesta a un ataque.
• Implementar directivas de contraseñas estrictas. Puede
reforzar la configuración de directivas de contraseñas y de
bloqueo de cuentas para un controlador de dominio, un
servidor integrante o un servidor independiente, si aplica la
configuración de una plantilla de seguridad apropiada.
• Deshabilitar la autenticación de LAN Manager y NT LAN
Manager (NTLMv1) y el almacenamiento de claves de hash
de LAN Manager. Al deshabilitar estas funciones quizás se
impida el acceso de clientes antiguos. Establezca la
configuración de manera que no deshabilite funciones
necesarias. Windows 2000 y los sistemas operativos
posteriores ofrecen compatibilidad nativa con NTLMv2.
Microsoft Windows NT 4.0 admite NTLMv2 con el Service
Pack 4 o posteriores instalados. Es necesario instalar el
software cliente de Active Directory en equipos con
Windows 9x para que puedan utilizar NTLMv2.
6
1.3. Prácticas básicas de seguridad del cliente
Cap7-03.jpg
Puede considerar estas prácticas básicas de seguridad para clientes como una
línea de base a la que puede agregar otras avanzadas.
7
los archivos ejecutables innecesarios con el fin de reducir la
parte de un sistema expuesta a un ataque.
• Aplicar la plantilla de seguridad adecuada.
Los sistemas operativos Windows XP y Windows 2000
Professional incluyen diversas plantillas de seguridad.
Asimismo, la Guía de seguridad de Microsoft Windows XP
contiene plantillas de seguridad actualizadas que incorporan
opciones de seguridad recomendadas actualmente para
clientes.
• Configurar las opciones de seguridad de Internet Explorer.
Directiva de grupo contiene muchas opciones de seguridad
para Internet Explorer que ayudan a proteger el equipo
cliente y la red a la que está conectado contra contenido
Web malintencionado.
Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policies aplicadas a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a través del entorno.
8
para cumplir con su trabajo. El acceso es limitado a programas aprobados,
servicios y entornos de infraestructura.
9
2. Implementación de seguridad avanzada en el servidor
Servicios
Portafolios Firewall de Escritorio remoto
Servicio de Windows compartido de
informe de errores o Conexión NetMeeting®
(ERS) compartida a Administrador de
SSL de HTTP Internet (ICS) conexión automática
Servicio COM de Messenger de acceso remoto
grabación de CD Servicio POP3 de Administrador de
de IMAPI Microsoft conexión de acceso
Servicio de Index remoto
Server Servicio de publicación
World Wide Web
Hay algunos servicios que deben deshabilitarse a menos que se necesiten para
la función que efectúa el equipo. Muchos de estos servicios están deshabilitados
de forma predeterminada en Windows Server 2003. Algunos de los servicios que
es conveniente deshabilitar son:
10
• Portafolios
• Servicio de informe de errores (ERS)
• SSL (Secure Sockets Layer) de HTTP
• Servicio COM de grabación de CD de IMAPI
• Servicio de Index Server
• Firewall de Windows o Conexión compartida a Internet (ICS)
• Messenger
• Servicio POP3 de Microsoft
• Escritorio remoto compartido de NetMeeting
• Administrador de conexión automática de acceso remoto
• Administrador de conexión de acceso remoto
• Servicio de publicación World Wide Web
11
• Los sistemas más antiguos podrían no admitir configuraciones de
seguridad si no se actualizan. Si esos sistemas no se actualizan, el riesgo
de una infracción de la seguridad es mayor que en los sistemas más
actuales.
Servicios
Servicios de Plug and Play Notificación de sucesos
cifrado Almacenamiento del sistema
Cliente DHCP protegido Ayuda de NetBIOS
Cliente DNS Llamada a sobre TCP/IP
Registro de procedimiento Windows Installer
sucesos remoto (RPC) Instrumental de
Servicios IPSec Servicio de Registro administración de
Netlogon remoto Windows (WMI)
Proveedor de Administrador Windows Time
compatibilidad con de cuentas de Estación de trabajo
seguridad de seguridad
NTLM Servidor
Servicios de cifrado
Cliente DHCP
Cliente DNS
Registro de sucesos
Servicios IPSec
Netlogon
Proveedor de compatibilidad con seguridad de NTLM
12
Plug and Play
Almacenamiento protegido
Llamada a procedimiento remoto (RPC)
Servicio de Registro remoto
Administrador de cuentas de seguridad
Servidor
Notificación de sucesos del sistema
Ayuda de NetBIOS sobre TCP/IP
Windows Installer
Instrumental de administración de Windows (WMI)
Windows Time
Estación de trabajo
13
Cap7-04.jpg
14
2.5. Configuración de servicios en servidores que realizan
varias funciones
Cap7-05.jpg
15
4. Utilice Directiva de grupo para aplicar la plantilla modificada a la unidad
organizativa que contiene el servidor o servidores que realizan varias
funciones.
Los filtros IPSec son una herramienta con la que los administradores de
seguridad de redes pueden permitir o bloquear tráfico TCP/IP selectivo entrante
o saliente de un servidor. Los filtros IPSec pueden proporcionar una manera
eficaz de mejorar el nivel de seguridad de los servidores. Windows 2000,
Windows XP y Windows Server 2003 admiten filtros IPSec.
16
• Utilice filtros IPSec específicos para servidores según la función de
éstos. Consulte la Guía de seguridad de Windows Server 2003
para saber las recomendaciones basadas en funciones de los
filtros IPSec. Como guía sobre el análisis de un servidor para
determinar con exactitud los filtros IPSec que deben aplicarse,
consulte el capítulo 11 de Threats and Countermeasures Guide.
Se recomiendan distintos filtros IPSec para los servidores según sus funciones.
En este tema, se examinarán los filtros IPSec recomendados para los
controladores de dominio.
Nota: los controladores de dominio son muy dinámicos, por lo que debe evaluar
detenidamente la implementación de filtros IPSec en ellos y, después, probar
concienzudamente los filtros en un entorno de prueba. Debido a la gran
interacción que se produce entre los controladores de dominio, es necesario
agregar filtros IPSec para permitir todo el tráfico entre los controladores de
dominio que replican información entre sí. En entornos complejos con muchos
17
controladores de dominio, es necesario crear docenas de filtros adicionales a fin
de proteger de forma eficaz los controladores de dominio. Esto podría dificultar
en gran medida la implementación y administración de directivas IPSec. No
obstante, los entornos con pocos controladores de dominio pueden aprovechar
eficazmente las ventajas de la implementación de filtros IPSec.
18
2.8. Filtros IPSec para controladores de dominio (continuación)
Los puertos de los filtros IPSec indicados en esta tabla representan los puertos
de base que deben estar abiertos para que el servidor pueda realizar sus
funciones específicas. Estos puertos son suficientes si el servidor tiene una
dirección IP estática. Puede ser necesario que estén abiertos otros puertos para
proporcionar funcionalidad adicional. Con otros puertos adicionales abiertos es
más fácil administrar los controladores de dominio; no obstante, pueden reducir
en gran medida la seguridad de estos servidores.
19
2.9. Entradas del Registro para la protección de los controladores de
dominio
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\Ports
debe crearse y configurarse como REG_MULTI_SZ con un valor
que represente el intervalo de puertos que deben estar abiertos.
Por ejemplo, el valor 57901-57950 abrirá 50 puertos para el uso de
tráfico RPC.
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\PortsIn
ternetAvailable debe crearse y configurarse como REG_SZ con el
valor Y.
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\UseInt
ernetPorts debe crearse y configurarse como REG_SZ con el valor
Y.
20
Nota: estos cambios podrían afectar al rendimiento y se deben probar antes de
su implementación en producción. El número exacto de puertos que se abrirán
depende del entorno, así como de la función de servidor. Deben supervisarse los
tiempos de inicio de sesión de los clientes. Puede ser necesario abrir más
puertos si se deteriora el rendimiento en los inicios de sesión.
1. Abra GPMC
2. Modifique el GPO al que desea asignar la directiva de seguridad IP
3. Cree una o varias listas de filtros IPSec
4. Cree una o varias acciones de filtrado
5. Cree una directiva de seguridad IP
6. En la directiva de seguridad IP, cree una regla de seguridad IP para cada
lista de filtros que haya creado
7. Asigne la directiva de seguridad IP
21
2.11. Auditorías de seguridad
Cap7-06.jpg
22
el análisis. EventCombMT se incluye en las herramientas
del Kit de recursos de Microsoft Windows Server 2003.
• La herramienta Log Parser permite extraer información de
archivos de prácticamente cualquier formato mediante
consultas de tipo SQL. Log Parser se incluye en las
herramientas del Kit de recursos de IIS 6.0.
• El servicio SNMP (Simple Network Management Protocol,
Protocolo simple de administración de redes) es un servicio
de Windows 2000, Windows XP y Windows Server 2003 que
permite enviar información de sucesos de seguridad desde
un equipo a una consola de administración SNMP remota
mediante capturas SNMP.
• MACS es una herramienta que puede supervisar y auditar
sistemas de manera centralizada.
Cap7-07.jpg
Microsoft utiliza actualmente MACS a nivel interno, pero estará disponible como
descarga gratuita desde Internet prácticamente al mismo tiempo que el Service
Pack 1 de Windows Server 2003.
23
2.13. Configuración recomendada de directivas de auditoría para
servidores integrantes
24
• Cliente corporativo. Este entorno contiene los siguientes tipos de
equipos cliente: Windows 2000 Professional y Windows XP
Professional.
• Alta seguridad. Al igual que el entorno de clientes corporativos,
este entorno contiene equipos cliente con Windows 2000
Professional y Windows XP Professional. Sin embargo, este
entorno utiliza directivas de seguridad para clientes y servidores
más estrictas que las que se utilizan en el entorno de clientes
corporativos.
25
3. Métodos para la protección de servidores IIS
26
Bloqueo de seguridad de IIS configura diversas opciones de seguridad de
IIS.
Cap7-08.jpg
Nota: IIS 6.0 se incluye con Windows Server 2003. IIS no se instala de forma
predeterminada en instalaciones predeterminadas nuevas de Windows Server
2003 Standard Edition y Enterprise Edition. Cuando un administrador habilita IIS,
se instala con el mismo conjunto mínimo de componentes y las opciones de
seguridad que la herramienta Bloqueo de seguridad de IIS proporciona para
versiones anteriores de IIS. Por este motivo, no hay una versión específica de la
herramienta para IIS 6.0. URLScan 2.5 no se incluye con IIS 6.0, ya que IIS 6.0
tiene características integradas que proporcionan una funcionalidad de
seguridad igual o superior a la que ofrecen la mayoría de las características de
URLScan 2.5.
Cap7-09.jpg
27
(X significa habilitado)
En la tabla anterior se muestran los servicios que están habilitados y los que
están deshabilitados después de ejecutar la herramienta Bloqueo de seguridad
de IIS para cada una de las siguientes funciones:
Información adicional:
3.3. URLScan
Información adicional:
http://www.microsoft.com/technet/security/tools/urlscan.asp (este sitio
está en inglés)
29
Cap7-10.jpg
Deben protegerse los servidores IIS de los equipos cliente que pueden
conectarse a ellos. También deben protegerse las aplicaciones y sitios Web que
se ejecutan en cada uno de estos servidores IIS de las aplicaciones y sitios Web
que se ejecutan en los demás servidores IIS de una intranet corporativa. Las
siguientes acciones proporcionan mayor seguridad a IIS:
30
• Permita todo el tráfico entre el servidor Web y todos los
controladores de dominio del mismo sitio que el servidor
Web para habilitar la autenticación y la autorización.
• Permita todo el tráfico entre el servidor Web y el servidor
MOM si el cliente One-Point se ejecuta en el servidor Web.
• Si administra el servidor Web mediante servicios de
terminal, permita todo el tráfico entrante al puerto TCP 3389.
• Bloquee todo el tráfico que las reglas anteriores no permitan
específicamente.
Información adicional:
Para obtener información sobre la seguridad de aplicaciones Web, consulte:
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp (este
sitio está en inglés)
IIS 6.0 está “bloqueado” inicialmente con los límites de contenido y tiempos de
espera más restrictivos de forma predeterminada
Característica Descripción
IIS 6.0 no se instala de forma predeterminada. Una instalación limpia
Servidor bloqueado
proporciona únicamente compatibilidad con archivos estáticos.
Cuenta
Los procesos de IIS se ejecutan con privilegios bastante más bajos
predeterminada con
si se inicia una sesión con la cuenta SERVICIO DE RED.
pocos privilegios
IIS 6.0 ofrece mejoras significativas en seguridad para los servidores Web. IIS
6.0 está bloqueado de forma predeterminada y limita el área expuesta a ataques
mediante una configuración de seguridad estricta. Además, se ha mejorado la
autenticación y la autorización. IIS 6.0 también ofrece capacidades de
administración mejoradas, administración mejorada con la metabase XML y
nuevas herramientas de línea de comandos. Algunas de las características
específicas son:
• Servidor bloqueado
31
• Lista de extensiones de servicios Web
• Cuenta predeterminada con pocos privilegios
• Autorización
• Comprobación de direcciones URL
• Aislamiento de procesos
32
3.6. Grupos de aplicaciones de IIS 6.0
Cap7-11.jpg
33
un grupo de aplicaciones se puede considerar como un “proceso
de trabajo con nombre”.
Información adicional:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pr
oddocs/deployguide/iisdg_eas_yquz.asp (este sitio está en inglés)
http://www.microsoft.com/windowsserver2003/iis/evaluation/overview/previous.m
spx
http://www.microsoft.com/windowsserver2003/iis/evaluation/demos/default.mspx
http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.as
p (estos sitios están en inglés)
35
4. Implementación de seguridad avanzada en el cliente
Cap7-12.jpg
Con el aumento del uso de redes e Internet en las actividades diarias de los
equipos de las compañías, las posibilidades de encontrarse con código
malintencionado son mayores que nunca. La colaboración se ha vuelto más
sofisticada debido al uso del correo electrónico, la mensajería instantánea y las
aplicaciones de igual a igual. A medida que aumentan estas oportunidades de
36
colaboración, también lo hace el riesgo de que virus, gusanos y otros tipos de
código malintencionado invadan los sistemas. El correo electrónico y la
mensajería instantánea pueden transportar código hostil no solicitado. El código
hostil puede adoptar numerosas formas: ejecutables (.exe) nativos de Windows,
macros en documentos de procesamiento de texto (.doc) o secuencias de
comandos (.vbs).
Información adicional:
37
(Este sitio está en inglés)
Cap7-13.jpg
39
Las directivas de restricción de software proporcionan herramientas eficaces
para limitar las aplicaciones que pueden ejecutar los usuarios. No obstante, la
implementación de estas directivas puede resultar un proceso complejo. Aplique
las siguientes recomendaciones al implementar directivas de restricción de
software:
40
archivos DLL. Para mejorar la seguridad, puede habilitar la
comprobación de archivos DLL.
• Aplicación de reglas a administradores. Es posible que los
administradores necesiten ejecutar cualquier aplicación. Puede
utilizar la configuración de objetos de directiva de grupo (GPO)
para impedir la aplicación de directivas de restricción de software a
los administradores.
• Configuración de tipos de archivo. Las reglas de directivas de
restricción de software se aplican únicamente a un conjunto
predeterminado de tipos de archivo. Si necesita restringir otros
tipos de archivo, agregue la extensión de archivo a la lista
predeterminada.
Cap7-14.jpg
Cap7-15.jpg
43
plantillas de forma centralizada y exigir la aplicación de esta
configuración aunque se modifique en un equipo.
• Puede combinar plantillas y aplicarlas a distintos niveles de la
estructura de Active Directory a fin de reducir el tiempo necesario
para administrar la configuración de seguridad.
• Las guías de configuración de seguridad de Windows contienen
plantillas recomendadas para diversas funciones comunes de los
equipos.
• La Guía de seguridad de Windows Server 2003 incluye 24
plantillas de seguridad. Puede utilizar estas plantillas para
establecer la configuración de seguridad de dominios, así
como la configuración de seguridad para diversas funciones
de servidor y entornos con distintos requisitos en seguridad
(incluidas las plantillas para clientes corporativos, de alta
seguridad y clientes antiguos).
• La Guía de seguridad de Microsoft Windows XP incluye
plantillas de seguridad para clientes corporativos (equipos
de escritorio y equipos portátiles), de alta seguridad
(equipos de escritorio y equipos portátiles) y para clientes
antiguos (cuentas, equipos de escritorio y equipos portátiles
con configuración corporativa y de alta seguridad).
• Las plantillas de seguridad contienen opciones de configuración
para las siguientes áreas:
• Directivas de cuentas
• Directivas locales
• Registro de sucesos
• Grupos restringidos
• Servicios del sistema
• Registro
• Sistema de archivos
44
4.6. Uso de directivas de cuentas en el nivel de dominio
Cap7-16.jpg
Medida
Opción Vulnerabilidad Posibles efectos
preventiva
Ejemplo de directiva de Los usuarios utilizan Los usuarios pueden tener
Utilice el valor
cuentas: Forzar el historial de nuevo la misma anotadas contraseñas
máximo
de contraseñas contraseña antiguas
Habilite esta
Ejemplo de directiva de Las contraseñas que
opción Los usuarios pueden no
cuentas: Las contraseñas no son complejas se
Indique a los recordar contraseñas
deben cumplir los requisitos pueden adivinar
usuarios que complejas
de complejidad fácilmente
utilicen frases
Los usuarios pueden
Si un administrador cambia
cambiar de Establezca 2 días
Ejemplo de directiva de la contraseña de un
contraseña varias para la opción
cuentas: Vigencia mínima de usuario, es posible que el
veces para poder Vigencia mínima
la contraseña usuario no pueda cambiarla
utilizar de nuevo una de la contraseña
durante 2 días
contraseña
Reduzca la
Ejemplo de directiva Los usuarios pueden caducidad de los
Mayor tráfico de red;
Kerberos: Forzar obtener vales de vales y exija una
incapacidad para
restricciones de inicio de sesión para servicios sincronización más
conectarse a los servidores
sesión de usuario no autorizados estricta de los
relojes
45
todos los usuarios del dominio = deshabilitada. La plantilla de
seguridad no define las directivas Kerberos.
Información adicional:
http://www.microsoft.com/technet/security/topics/hardsys/TCG/TCGCH02.asp
(Este sitio está en inglés)
46
4.7. Implementación de plantillas de seguridad
Configuración en la Configuración
Opción plantilla de Requisito de la compañía modificada en la
seguridad plantilla
Sólo unos pocos usuarios
Limite el acceso a
Tener acceso a este Administradores, necesitan tener acceso a los
grupos de seguridad
equipo desde la red Usuarios recursos compartidos en el
específicos
equipo
Los usuarios de equipos Conceda a los usuarios
Haga copia de
portátiles deben poder de equipos portátiles el
seguridad de
Administradores realizar copias de seguridad derecho de realizar
archivos
de archivos sin ser copias de seguridad de
y directorios
administradores archivos
Únicamente los usuarios con
Inicio de sesión tarjetas inteligentes pueden
interactivo: requerir No configurada iniciar una sesión en Habilite la opción
tarjeta inteligente estaciones de trabajo
administrativas
47
• Importe las plantillas predeterminadas a un GPO y modifíquelas si
es necesario. Importe a un GPO la plantilla de seguridad que más
se aproxime a sus requisitos de seguridad. Modifique la
configuración de la plantilla de seguridad para adaptarla a sus
requisitos. Implemente el GPO en los objetos contenedores
adecuados de Active Directory.
Los clientes antiguos son equipos que ejecutan el sistema operativo Windows
2000 o versiones anteriores. La protección de estos clientes en la organización
representa un desafío adicional.
Información adicional:
Para obtener una lista de todas las opciones predeterminadas para objetos
de directiva de grupo, consulte la hoja de cálculo Group Policy Object
Settings en:
http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/gpss.asp (este
sitio está en inglés).
49
• Si el cliente es un equipo independiente o un integrante de un
dominio
• La ubicación del cliente (en un lugar público o una oficina segura)
• El uso del cliente (para explorar la red intranet, comprobar el correo
electrónico o realizar actividades empresariales)
Cap7-17.jpg
51
5. Métodos para proporcionar seguridad a clientes móviles
• Tipos de clientes
• Desafíos de las directivas de grupo para clientes remotos
• Protección del acceso al correo electrónico para clientes remotos
• Compatibilidad con seguridad de clientes inalámbricos
• Prácticas de seguridad para clientes móviles
Cap7-18.jpg
52
• Autenticación de los equipos. Debe limitar el acceso a
únicamente los equipos autorizados.
• Confidencialidad del tráfico de red. Debe asegurarse de que
el tráfico de la red inalámbrica está cifrado.
• Las principales preocupaciones respecto al acceso remoto al
correo son:
• Autenticación de los clientes. Es posible que los clientes se
conecten desde ubicaciones no seguras.
• Confidencialidad del tráfico de correo. Los clientes se
comunican con el servidor a través de Internet.
Cap7-19.jpg
Información adicional:
Cap7-20.jpg
Cuando los usuarios móviles necesitan acceso seguro a los mensajes de correo
electrónico, pero no necesitan acceso total a la red corporativa mediante una red
privada virtual (VPN), es posible proporcionar únicamente acceso al correo
electrónico. Hay varias maneras de proporcionar acceso al correo electrónico:
Windows XP:
Ofrece compatibilidad nativa con
802.1x
Windows 2000:
802.1x está deshabilitado de forma
predeterminada
La configuración requiere una
utilidad de terceros
No se configuran perfiles específicos
de los usuarios
No se puede utilizar Directiva de
grupo para la configuración
Cap7-21.jpg
55
La compatibilidad con redes inalámbricas varía según el sistema operativo que
el cliente inalámbrico utiliza. Windows XP y Windows 2000 admiten 802.1x, que
es un estándar diseñado para mejorar la seguridad de las redes de área local
inalámbricas.
• Compatibilidad con Windows XP. Windows Server 2003 y Windows
XP Professional ofrecen compatibilidad nativa con redes
inalámbricas 802.1x y admiten el uso de directivas de grupo a fin
de configurar opciones para redes inalámbricas.
56
Cap7-22.jpg
57
6. Resumen del capítulo
59
9. Práctica A: Creación de una directiva de seguridad IP
60
El primer paso consiste en crear una nueva 7. Haga click con el botón secundario del mouse
directiva. en Directivas de seguridad IP y, a
Al crear la directiva, deshabilite la regla de continuación, haga click en Crear directiva de
respuesta predeterminada. De esta forma seguridad IP.
se garantiza el bloqueo de todas las 8. En el Asistente para directivas de seguridad
comunicaciones que no coinciden con los IP, haga click en Siguiente.
filtros. 9. En la página Nombre de la directiva de
Después de crear la directiva, puede definir seguridad IP, en el cuadro Nombre, escriba
inmediatamente su configuración. Esta Domain Controllers IPSec Policy (Directiva
directiva incluirá una sola regla de IPSec Controladores de dominio) y, a
seguridad, que permitirá únicamente el continuación, haga click en Siguiente.
tráfico de red seleccionado. 10. En la página Peticiones para la
Observe que la regla no especifica un túnel comunicación segura, desactive la casilla de
ya que define las comunicaciones directas verificación Activar la regla de respuesta
entrantes y salientes de los controladores predeterminada, haga click en Siguiente y,
de dominio. después, en Finalizar.
11. En el cuadro de diálogo Propiedades de
Directiva IPSec Controladores de dominio,
haga click en Agregar.
12. En el cuadro de diálogo Asistente para reglas
de seguridad, haga click en Siguiente.
13. En la página Punto final del túnel, haga click
en Siguiente.
14. En la página Tipo de red, haga click en
Siguiente.
61
El siguiente paso es agregar la lista de 15. En la página Lista de filtros IP, haga click en
filtros que define qué es el tráfico permitido. Agregar.
Agregue el primer filtro para permitir 16. En el cuadro de diálogo Lista de filtros IP, en
conexiones a las carpetas compartidas en el cuadro Nombre, escriba Proteger el tráfico
los controladores de dominio mediante de los controladores de dominio y haga
alojamiento directo. Este método utiliza los click en Agregar.
puertos TCP y UDP 445 de su equipo para 17. En Asistente para filtros IP, haga click en
establecer las conexiones. Las conexiones Siguiente.
pueden provenir de cualquier puerto de 18. En el cuadro Descripción, escriba CIFS/SMB
cualquier otro equipo. TCP, asegúrese de que está seleccionada la
opción Reflejado y, a continuación, haga click
en Siguiente.
19. En el cuadro de dirección Origen, haga click
en Cualquier dirección IP y, después, en
Siguiente.
20. En el cuadro de dirección Destino, haga click
en Mi dirección IP y, después, en Siguiente.
21. En el cuadro Seleccione un tipo de
protocolo, haga click en TCP y, a
continuación, en Siguiente.
22. En la página Puerto de protocolo IP,
compruebe que está seleccionada la opción
Desde cualquier puerto, haga click en A este
puerto, escriba 445, haga click en Siguiente
y, por último, haga click en Finalizar.
23. En Lista de filtros IP, haga click en Agregar.
24. En el Asistente para filtros IP, haga click en
Siguiente.
25. En el cuadro Descripción, escriba Servidor
CIFS/SMB UDP, asegúrese que está
seleccionada la opción Reflejado y, a
continuación, haga click en Siguiente.
26. En el cuadro de dirección Origen, haga click
en Cualquier dirección IP y, después, en
Siguiente.
27. En el cuadro de dirección Destino, haga click
en Mi dirección IP y, después, en Siguiente.
28. En el cuadro Seleccione un tipo de
protocolo, haga click en UDP y, a
continuación, en Siguiente.
29. En la página Puerto de protocolo IP,
compruebe que está seleccionada la opción
Desde cualquier puerto, haga click en A este
puerto, escriba 445, haga click en Siguiente
y, por último, haga clic en Finalizar.
62
A continuación, debe establecer la acción 30. En el cuadro de diálogo Lista de filtros IP,
para el tráfico que coincide con los filtros. haga click en Aceptar.
Permita que se procese este tráfico. 31. En la página Lista de filtros IP, haga click en
Por último, debe asignar la directiva IPSec Proteger el tráfico de los controladores de
que contiene el objeto de directiva de dominio y, a continuación, en Siguiente.
grupo para activarla. 32. En la página Acción de filtrado, haga click en
Permit y, a continuación, en Siguiente.
33. En la página Finalización del Asistente para
reglas de seguridad, desactive la casilla de
verificación Modificar propiedades y,
después, haga click en Finalizar.
34. En el cuadro de diálogo Propiedades de
Domain Controllers IPSec Policy,
compruebe que está activada la casilla de
verificación Proteger el tráfico de los
controladores de dominio y, a continuación,
haga click en Aceptar.
35. En el Editor de objetos de directiva de grupo,
haga clic con el botón secundario del mouse
en Domain Controllers IPSec Policy y,
después, haga click en Asignar.
36. Cierre el Editor de objetos de directiva de
grupo.
Como sólo ha definido los dos primeros 37. En Group Policy Management, haga click con
filtros, si aplicó esta directiva de grupo al el botón secundario del mouse en Seguridad
controlador de dominio no se permitirán de controladores de dominio y, después,
todas las comunicaciones necesarias. desactive Link Enabled (Vínculo habilitado).
Desvincule el objeto de directiva de grupo 38. Cierre Group Policy Management.
(GPO) de la unidad organizativa (OU) 39. Abra una ventana de símbolo del sistema.
Controladores de dominio. Siempre puede
40. En el símbolo del sistema, escriba gpupdate y
volver a vincularlo más adelante, después
de haber definido todos los filtros IPSec presione ENTRAR.
restantes. 41. Cierre la ventana de símbolo del sistema.
63