Se aplica a: Windows Server 2008 R2
La Autenticación a nivel de red es un método de autenticación que se puede usar para mejorar la seguridad del servidor de Host de sesión de Escritorio remoto exigiendo para ello que el usuario se autentique en el servidor de Host de sesión de Escritorio remoto antes de crear una sesión.
La Autenticación a nivel de red completa la autenticación del usuario antes de que se establezca una conexión a Escritorio remoto y de que aparezca la pantalla de inicio de sesión. Se trata de un método de autenticación más seguro que puede ayudar a proteger el equipo remoto de usuarios y software malintencionados. Las ventajas de la Autenticación a nivel de red son las siguientes:
- Inicialmente requiere menos recursos del equipo remoto. El equipo remoto usa un número limitado de recursos antes de autenticar al usuario, en lugar de iniciar una conexión completa al Escritorio remoto como en versiones anteriores.
- Puede ayudar a mejorar la seguridad al reducir el riesgo de los ataques por denegación de servicio.
Para usar la Autenticación a nivel de red, deben cumplirse todos los requisitos siguientes:
- El equipo cliente debe usar como mínimo la versión 6.0 de Conexión a Escritorio remoto.
- El equipo cliente debe usar un sistema operativo como Windows 7, Windows Vista o Windows XP con Service Pack 3,que admita el protocolo Proveedor de compatibilidad con seguridad de credenciales (CredSSP).
- El servidor de Host de sesión de Escritorio remoto debe ejecutar Windows Server 2008 R2 o Windows Server 2008.
Realice el procedimiento siguiente para configurar la Autenticación a nivel de red para una conexión.
Para completar este procedimiento, lo mínimo que se necesita es pertenecer al grupo local Administradores o un grupo equivalente. Vea los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en http://go.microsoft.com/fwlink/?LinkId=83477.
Para configurar la Autenticación a nivel de red para una conexión
- En el servidor de host de sesión de Escritorio remoto, abra Configuración de host de sesión de Escritorio remoto. Para abrir Configuración de host de sesión de Escritorio remoto, haga clic en Inicio, seleccione Herramientas administrativas, seleccione Servicios de Escritorio remoto y, a continuación, haga clic en Configuración de host de sesión de Escritorio remoto.
- En Conexiones, haga clic con el botón secundario en el nombre de la conexión y, a continuación, haga clic en Propiedades.
- En la ficha General, active la casilla Permitir conexiones solo de equipos que ejecuten Escritorio remoto con Autenticación a nivel de red.Si la casilla Permitir conexiones solo de equipos que ejecuten Escritorio remoto con Autenticación a nivel de red está activada y aparece atenuada, significa que la opción de directiva de grupo Requerir la autenticación del usuario para las conexiones remotas mediante Autenticación a nivel de red ha sido habilitada y se ha aplicado al servidor de Host de sesión de Escritorio remoto.
- Haga clic en Aceptar.
La configuración de Autenticación a nivel de red para un servidor de Host de sesión de Escritorio remoto también se puede establecer de las siguientes maneras:
- Durante la instalación del servicio de rol Servidor de Host de sesión de Escritorio remoto en Administrador del servidor, en la página Especificar método de autenticación para host de sesión de Escritorio remoto del Asistente para agregar roles.
- En la ficha Acceso remoto del cuadro de diálogo Propiedades del sistema en un servidor de Host de sesión de Escritorio remoto.Si la casilla Permitir las conexiones desde equipos que ejecuten cualquier versión de Escritorio remoto (menos seguro) no está activada y aparece atenuada, significa que la opción de directiva de grupo Requerir la autenticación del usuario para las conexiones remotas mediante Autenticación a nivel de red está habilitada y se ha aplicado al servidor de Host de sesión de Escritorio remoto.Para configurar la Autenticación a nivel de red mediante la ficha Acceso remoto del cuadro de diálogo Propiedades del sistema de un servidor de Host de sesión de Escritorio remoto, vea Cambiar la configuración de conexión remota.
- Mediante la aplicación de la opción de la directiva de grupo Requerir la autenticación del usuario para conexiones remotas mediante Autenticación a nivel de red.Esta opción de configuración de directiva de grupo se encuentra en Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad y se puede configurar mediante el Editor de directivas de grupo local o la Consola de administración de directivas de grupo (GPMC). Tenga presente que la opción de configuración de directiva de grupo tendrá prioridad sobre la opción definida en Configuración de host de sesión de Escritorio remoto o en la ficha Acceso remoto.
Para determinar si un equipo ejecuta una versión de Conexión a Escritorio remoto compatible con la Autenticación a nivel de red, inicie Conexión a Escritorio remoto, haga clic en el icono de la esquina superior izquierda del cuadro de diálogo Conexión a Escritorio remoto y, a continuación, haga clic en Acerca de. Busque la frase Compatible con Autenticación a nivel de red en el cuadro de diálogo Acerca de Conexión a Escritorio remoto.
Firewall Windows con Seguridad Añadida
Uno de los aspectos más notables a destacar en materia de seguridad, ha sido la incorporación del nuevo Firewall de Windows con seguridad añadida. De sus características novedosas enunciamos ahora algunas de considerable interés: soporte nativo para IPV6, la posibilidad de controlar el tráfico tanto entrante como saliente, NAP (Network Access Protect), Hardening de servicios, la integración con IPSEC, reglas aplicables a perfiles determinados, reglas basadas en directorio activo, usuarios, grupos y computadoras, etc..
De nuevo, y al estar integrada en su totalidad en las nuevas consolas de administración MMC, se mejora bastante la administración del mismo, pudiéndose crear, mediante asistentes gráficos, reglas tanto de entrada como de salida, y pudiendo llegar a la personalización de estas reglas hasta el más mínimo detalle.
Dependiendo de las reglas que queramos aplicar, podremos implementarlas en función de diversos factores:
• Nombre de aplicación.- Es posible restringir o permitir a una aplicación la conexión con el exterior.
• Puertos.- Es posible restringir o permitir a todos o a un número determinado de puertos la conexión.
• ICMP o ICMPV6.- Es posible restringir o permitir algún servicio de este tipo, como por ejemplo ping.
• Configuración del protocolo
• Servicios.- Es posible restringir o permitir la conexión al exterior de algún servicio.
• Usuarios AD, locales, grupos o máquinas.- Es posible restringir o aplicar reglas para un determinado grupo de usuarios, usuarios de directorio activo o locales.
• Tipos de Interface.- Es posible aplicar o restringir las reglas en función del tipo de interface que tengamos en el equipo, ya sea Wireless, Ethernet, u otros. En la parte derecha de la consola del Firewall, disponemos de varias opciones también de interés para el administrador. Estas nos van a suministrar la oportunidad de exportar/importar directivas, así como el establecimiento de filtros en función del perfil, del estado de la conexión o de la pertenencia a grupos.
Igualmente en la parte izquierda de la consola se nos presentan las opciones de configuración y monitorización de reglas. Estas no van a permitir configurar tanto las reglas de entrada como las de salida, y monitorizar el estado de conexiones y actividad del Firewall.
Finalmente en la parte central, podremos ver en todo momento el estado en que se encuentra nuestro Firewall. Siendo posible visualizar también los perfiles de conexión que nos proporciona por defecto Windows: Perfil de dominio, perfil privado y perfil público, así como los accesos para la creación de reglas de entrada o salida y un apartado de recursos y documentación. Si pulsamos en la parte izquierda sobre las opciones de reglas de entrada y reglas de salida, éstas se nos mostrarán en el centro de la consola.
En las propiedades es posible la visualización de los 3 tipos de perfiles:
• Perfil de Domino: Equipo que se conecta a una red corporativa, formando parte del directorio activo.
• Perfil público: Equipo que se conecta a una red sobre la que no disponemos de control alguno. Cibercafés, aeropuertos, y otros escenarios similares son claros ejemplos de ello. Refiriéndonos a servidores podría servirnos como ilustrativa la instalación de uno de ellos en una zona DMZ.
LUIS ENRIQUE CASTAÑEDA CORONA
No hay comentarios:
Publicar un comentario