vista-tecnica

Échale un vistazo técnico a Windows Vista
Políticas de grupo en Windows Vista V : Directivas de red
Finalizamos esta serie de post sobre las directivas de Windows Vista haciendo un repaso a las nuevas directivas de red cableada y red inalámbrica disponibles para este sistema operativo, en este caso además necesitaremos pertenecer a un dominio de Windows Server 2008 (también conocido como LongHorn) o bien a un dominio de Windows 2003 con el esquema de AD actualizado (el proceso se realiza con ADPREP de manera similar al ADPREP de Windows 2003), de esta manera también empezamos a introducirnos en el mundo de Windows Server 2008 que ya está a la vuelta de la esquina.

 

Estas políticas no están disponibles de manera local mediante gpedit.msc de tal manera que necesitamos hacer uso de la versión de GPMC de Windows Vista (GPMC 2.0) dentro de un dominio, debiendo tener este además el esquema actualizado para soportarlas (solo es necesario actualizar el esquema para estas dos políticas, el resto funcionan correctamente dentro de un entorno Windows 2003). No abordaré la actualización del esquema de AD en este post ya que merecería un artículo aparte, así que dando por supuesto que el esquema esta actualizado o que disponemos de un dominio de Windows Server 2008 lo siguiente que tendríamos que hacer es invocar desde un equipo con Windows Vista a la herramienta GPMC.msc (Group Policy Management Console), siendo la manera mas rápida la propia barra de búsqueda del menú inicio. GPMC de Windows Vista es similar al de Windows 2003 pero en un entorno MMC 3.0, si no conocéis esta herramienta podéis echar un vistazo a la siguiente guia:  http://www.microsoft.com/spain/technet/recursos/articulos/gpmcinad.mspx

 

Una vez que nos encontremos en la consola de edición de la política de grupo que deseemos cambiar nos dirigimos a "Configuración de Windows > Configuración de Seguridad"  donde nos encontramos las políticas de redes que estamos tratando en este post (como podéis ver en la imagen).

 

 

La política de red cableada permite que mediante GPO configuremos una autenticación 802.1x (sistema cada día más presente en las empresas) para aquellas cuentas de equipo a las que afecte dicha política. 802.1x es una solución de autenticación que nació como método de autenticación telefónica y que requiere un servidor RADIUS (conocido en Windows Server 2003 como IAS y en Windows Server 2008 como NPS) y un dispositivo intermedio conocido como NAS (normalmente un Switch o un Punto de Acceso Inalámbrico) que funcione como cliente de dicho servidor Radius. La autenticación suele realizarse mediante certificados (presentando cada cliente un certificado valido para la conexión) o bien introduciendo las credenciales de un usuario permitido, todo a través del protocolo EAP (Extensible Authentication Protocol) donde las subtipos más conocidos son LEAP (de Cisco), EAP-MSCHAVv2, EAP-TLS y EAP-PEAP, siendo estos dos últimos los únicos que podemos usar en esta directiva, es por tanto necesario disponer de una CA (Certificación Authority) en la empresa que pueda emitir certificados validos para los clientes o incluso para tarjetas inteligentes. Gracias a esta nueva política los equipos cliente ya no requieren una configuración individualizada mediante la pestaña "autenticación" de las propiedades de las tarjetas de red. Todo esto se hace especialmente importante en Windows Server 2008 donde la autenticación 802.1x es uno de los métodos posibles para la implementación del famoso NAP (Network Access Protección).

 

Para crear la directiva pulsamos el botón derecho del ratón en Directiva de red cableada y seleccionamos "Crear Nueva Directiva de Windows Vista", en la primera pestaña podemos poner un nombre y una descripción a la directiva, así como configurar si deseamos desactivar el "servicio de configuración automática de redes cableadas" lo cual deshabilitaría 802.1x en los clientes y no nos dejaría editar el resto de opciones de la directiva.

 

Tras establecer el nombre y la descripción de la directiva nos vamos a la pestaña "seguridad" donde (como se aprecia en la imagen) podremos realizar una configuración mucho más detallada del entorno 802.1x pudiendo elegir entre PEAP (usado con mucha frecuencia en redes WIFI) o EAP-TLS (que aparece indicada por el texto "tarjeta inteligente u otro certificado" en la imagen) siendo PEAP el método más seguro de los dos puesto que realiza una doble autenticación. El botón propiedades del método de autenticación nos permite configurar los aspectos comunes de EAP-TLS/PEAP como la CA de confianza o el uso de tarjetas inteligentes; si nunca habeis configurado este sistema podéis echar un vistazo al siguiente manual:

http://www.microsoft.com/spain/technet/recursos/articulos/peap_a.mspx

La opción de "aplicar configuración avanzada" habilita una serie de checkbox que permiten configurar el comportamiento de la comunicación EAPOL (EAP Over Lan) donde podremos configurar los tiempos de espera para volver a solicitar autenticación ante una autenticación denegada, el número de mensajes EAPOL-start consecutivos enviados, el tiempo de separación entre cada uno de estos EAPOL consecutivos etc., lo recomendable sería dejar la configuración por defecto a no ser que se intente realizar algún tipo de depuración sobre la comunicación.

 

Windows Vista también trae una política mejorada de configuración de acceso inalámbrico para los clientes del dominio, permitiéndonos crear políticas compatibles con XP (no requieren actualización del esquema de AD) y políticas propias de Windows Vista que son las que se muestran en la imagen. La función principal de esta política es distribuir de manera segura la configuración de las redes inalámbricas disponibles a los clientes de un dominio (perfiles, SSID, métodos de autenticación, redes preferidas etc.), este aspecto es común tanto para Windows Vista como para Windows XP con la excepción de que en las directivas de XP no se pueden crear perfiles de configuración, con lo que no se pueden exportar o importar las configuraciones en forma de archivos XML.



El resto de configuraciones son similares a las de XP a excepción de la pestaña "permisos de red" de la directiva de Windows Vista que nos permite crear una lista de SSID aprobados y denegados. Con todo esto simplificamos la tarea de configurar redes inalámbricas a los usuarios y podemos asegurar que estos solo se conecten a aquellas redes aprobadas por nuestra empresa consiguiendo una reducción en la necesidad de soporte así como una mayor seguridad.


Bueno, pues aquí doy por finalizado esta serie de post sobre GPOs en Windows Vista, espero que haya sido de vuestro interés, seguiré en futuros post desvelando nuevas características de este innovador sistema operativo, me despido hasta entonces.


GPOs en Windows Vista I : Múltiples políticas locales

GPOs en Windows Vista II : Plantillas administrativas

GPOs en Windows Vista III : Integración con Active Directory

Políticas de Grupo en Windows Vista IV : Restriccion de hardware

Políticas de grupo en Windows Vista V : Directivas de red

 

 

Publicado: 31/7/2007 22:46 por Juan Francisco Arrabé Murillo con 3 comment(s)

Archivado en:
Comparte este post:

Comentarios

# Políticas de grupo en Windows Vista V : Directivas de red - vista-tecnica @Tuesday, July 31, 2007 11:18 PM

PingBack desde  Políticas de grupo en Windows Vista V : Directivas de red - vista-tecnica

Políticas de grupo en Windows Vista V : Directivas de red - vista-tecnica

# Pol??ticas de grupo (GPOs) en Windows Vista @Wednesday, August 1, 2007 11:32 AM

PingBack desde  Pol??ticas de grupo (GPOs) en Windows Vista

Pol??ticas de grupo (GPOs) en Windows Vista

# re: Políticas de grupo en Windows Vista V : Directivas de red @Thursday, May 15, 2008 9:17 PM

ESTA MUY CLARO Y MUY UTIL

EFRAIN AVILA