Políticas de grupo en Windows Vista V : Directivas de red

Finalizamos
esta serie de post sobre las directivas de Windows Vista haciendo un repaso a
las nuevas directivas de red cableada y red inalámbrica disponibles para este
sistema operativo, en este caso además necesitaremos pertenecer a un dominio de
Windows Server 2008 (también conocido como LongHorn) o bien a un dominio de
Windows 2003 con el esquema de AD actualizado (el proceso se realiza con ADPREP
de manera similar al ADPREP de Windows 2003), de esta manera también empezamos
a introducirnos en el mundo de Windows Server 2008 que ya está a la vuelta de
la esquina.

 

Estas
políticas no están disponibles de manera local mediante gpedit.msc de tal
manera que necesitamos hacer uso de la versión de GPMC de Windows Vista (GPMC
2.0) dentro de un dominio, debiendo tener este además el esquema actualizado
para soportarlas (solo es necesario actualizar el esquema para estas dos
políticas, el resto funcionan correctamente dentro de un entorno Windows 2003).
No abordaré la actualización del esquema de AD en este post ya que merecería un
artículo aparte, así que dando por supuesto que el esquema esta actualizado o
que disponemos de un dominio de Windows Server 2008 lo siguiente que tendríamos
que hacer es invocar desde un equipo con Windows Vista a la herramienta GPMC.msc
(Group Policy Management Console), siendo la manera mas rápida la propia barra
de búsqueda del menú inicio. GPMC de Windows Vista es similar al de Windows
2003 pero en un entorno MMC 3.0, si no conocéis esta herramienta podéis echar
un vistazo a la siguiente guia:  http://www.microsoft.com/spain/technet/recursos/articulos/gpmcinad.mspx

 

Una vez que
nos encontremos en la consola de edición de la política de grupo que deseemos
cambiar nos dirigimos a “Configuración de Windows > Configuración de
Seguridad”  donde nos encontramos las
políticas de redes que estamos tratando en este post (como podéis ver en la
imagen).

 

 

La
política de red cableada permite que mediante GPO configuremos una
autenticación 802.1x (sistema cada día más presente en las empresas) para aquellas
cuentas de equipo a las que afecte dicha política. 802.1x es una solución de
autenticación que nació como método de autenticación telefónica y que requiere
un servidor RADIUS (conocido en Windows Server 2003 como IAS y en Windows
Server 2008 como NPS) y un dispositivo intermedio conocido como NAS (normalmente un Switch o un
Punto de Acceso Inalámbrico) que funcione como cliente de dicho servidor
Radius. La autenticación suele realizarse mediante certificados (presentando
cada cliente un certificado valido para la conexión) o bien introduciendo las
credenciales de un usuario permitido, todo a través del protocolo EAP (Extensible
Authentication Protocol)
donde las subtipos más conocidos son LEAP (de Cisco),
EAP-MSCHAVv2, EAP-TLS y EAP-PEAP, siendo estos dos últimos los únicos que
podemos usar en esta directiva, es por tanto necesario disponer de una CA
(Certificación Authority) en la empresa que pueda emitir certificados validos
para los clientes o incluso para tarjetas inteligentes. Gracias a esta nueva
política los equipos cliente ya no requieren una configuración individualizada
mediante la pestaña “autenticación” de las propiedades de las tarjetas de red.
Todo esto se hace especialmente importante en Windows Server 2008 donde la
autenticación 802.1x es uno de los métodos posibles para la implementación del
famoso NAP (Network Access Protección).

 

Para crear la directiva pulsamos el botón
derecho del ratón en Directiva de red cableada y seleccionamos “Crear Nueva Directiva de Windows Vista”,
en la primera pestaña podemos poner un nombre y una descripción a la directiva,
así como configurar si deseamos desactivar el “servicio de configuración
automática de redes cableadas” lo cual deshabilitaría 802.1x en los clientes y
no nos dejaría editar el resto de opciones de la directiva.

 

Tras establecer el
nombre y la descripción de la directiva nos vamos a la pestaña “seguridad”
donde (como se aprecia en la imagen) podremos realizar una configuración mucho
más detallada del entorno 802.1x pudiendo elegir entre PEAP (usado con mucha
frecuencia en redes WIFI) o EAP-TLS (que aparece indicada por el texto “tarjeta
inteligente u otro certificado” en la imagen) siendo PEAP el método más seguro
de los dos puesto que realiza una doble autenticación. El botón propiedades del método de autenticación nos
permite configurar los aspectos comunes de EAP-TLS/PEAP como la CA de confianza o el uso de
tarjetas inteligentes; si nunca habeis configurado este sistema podéis echar un
vistazo al siguiente manual:

http://www.microsoft.com/spain/technet/recursos/articulos/peap_a.mspx

La
opción de “aplicar configuración avanzada” habilita una serie de checkbox que
permiten configurar el comportamiento de la comunicación EAPOL (EAP Over Lan)
donde podremos configurar los tiempos de espera para volver a solicitar
autenticación ante una autenticación denegada, el número de mensajes
EAPOL-start consecutivos enviados, el tiempo de separación entre cada uno de
estos EAPOL consecutivos etc., lo recomendable sería dejar la configuración por
defecto a no ser que se intente realizar algún tipo de depuración sobre la
comunicación.

 

Windows
Vista también trae una política mejorada de configuración de acceso inalámbrico
para los clientes del dominio, permitiéndonos crear políticas compatibles con
XP (no requieren actualización del esquema de AD) y políticas propias de
Windows Vista que son las que se muestran en la imagen. La función principal de
esta política es distribuir de manera segura la configuración de las redes
inalámbricas disponibles a los clientes de un dominio (perfiles, SSID, métodos
de autenticación, redes preferidas etc.), este aspecto es común tanto para
Windows Vista como para Windows XP con la excepción de que en las directivas de
XP no se pueden crear perfiles de configuración, con lo que no se pueden
exportar o importar las configuraciones en forma de archivos XML.

El resto de configuraciones son similares a las de XP a excepción de la pestaña “permisos de red”
de la directiva de Windows Vista que nos permite crear una lista de SSID
aprobados y denegados. Con todo esto simplificamos la tarea de configurar redes
inalámbricas a los usuarios y podemos asegurar que estos solo se conecten a aquellas
redes aprobadas por nuestra empresa consiguiendo una reducción en la necesidad
de soporte así como una mayor seguridad.

Bueno,
pues aquí doy por finalizado esta serie de post sobre GPOs en Windows Vista,
espero que haya sido de vuestro interés, seguiré en futuros post desvelando
nuevas características de este innovador sistema operativo, me despido hasta
entonces.

GPOs en Windows Vista I : Múltiples políticas locales

GPOs en Windows Vista II : Plantillas administrativas

GPOs en Windows Vista III : Integración con Active Directory

Políticas de Grupo en Windows Vista IV : Restriccion de hardware

Políticas de grupo en Windows Vista V : Directivas de red

 

 

3 comentarios en “Políticas de grupo en Windows Vista V : Directivas de red”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *