Use esta configuración para especificar la forma en la que se autentica el equipo del mismo nivel. El método de primera autenticación se realiza durante la fase de modo principal de las negociaciones del protocolo de seguridad de Internet (IPsec).
Puede especificar varios métodos para usarlos con esta primera autenticación. Los métodos se intentan en el orden especificado. Se utiliza el primer método que funciona correctamente.
Para obtener más información acerca de los métodos de autenticación disponibles en este cuadro de diálogo, vea el tema sobre los
 | Para abrir este cuadro de diálogo |
Cuando se modifica la configuración predeterminada de todo el sistema:
- En el complemento MMC de Firewall de Windows con seguridad avanzada, en Información general, haga clic en Propiedades de Firewall de Windows.
- Haga clic en la ficha Configuración IPsec y, a continuación, en Predeterminados de IPsec, haga clic en Personalizar.
- En Método de autenticación, seleccione Opciones avanzadas y, a continuación, haga clic en Personalizar.
- En Primera autenticación, seleccione un método y, a continuación, haga clic en Editar o Agregar.
- En el complemento MMC de Firewall de Windows con seguridad avanzada, en Información general, haga clic en Propiedades de Firewall de Windows.
Cuando se crea una nueva regla de seguridad de conexión:
- En el complemento MMC de Firewall de Windows con seguridad avanzada, haga clic con el botón secundario en Reglas de seguridad de conexión y, a continuación, haga clic en Nueva regla.
- En la página Tipo de regla, seleccione cualquier tipo excepto Exención de autenticación.
- En la página Método de autenticación, seleccione Opciones avanzadas y, a continuación, haga clic en Personalizar.
- En Primera autenticación, seleccione un método y, a continuación, haga clic en Editar o Agregar.
- En el complemento MMC de Firewall de Windows con seguridad avanzada, haga clic con el botón secundario en Reglas de seguridad de conexión y, a continuación, haga clic en Nueva regla.
Cuando se modifica una regla de seguridad de conexión existente:
- En el complemento MMC de Firewall de Windows con seguridad avanzada, haga clic en Reglas de seguridad de conexión.
- Haga doble clic en la regla de seguridad de conexión que desee modificar.
- Haga clic en la ficha Autenticación.
- En Método, haga clic en Opciones avanzadas y, a continuación, haga clic en Personalizar.
- En Primera autenticación, seleccione un método y, a continuación, haga clic en Editar o Agregar.
- En el complemento MMC de Firewall de Windows con seguridad avanzada, haga clic en Reglas de seguridad de conexión.
Equipo (Kerberos V5)
Puede usar este método para autenticar equipos del mismo nivel que tengan cuentas de equipo en el mismo dominio o en distintos dominios que tengan una relación de confianza.
Equipo (NTLMv2)
NTLMv2 es un método alternativo para autenticar equipos del mismo nivel que tengan cuentas de equipo en el mismo dominio o en distintos dominios que tengan una relación de confianza.
Certificado de equipo de esta entidad de certificación (CA)
Use un certificado de clave pública en situaciones como comunicaciones con asociados de negocio externos o equipos que no ejecuten el protocolo de autenticación Kerberos versión 5. Esto requiere que haya como mínimo una CA raíz de confianza configurada o accesible a través de la red y que los equipos cliente tengan un certificado de equipo asociado.
Algoritmo de firma
Especifique el algoritmo de firma usado para proteger el certificado mediante cifrado.
RSA (predeterminado)
Seleccione esta opción si se firma el certificado mediante el algoritmo de cifrado de clave pública RSA.
ECDSA-P256
Seleccione esta opción si se firma el certificado con el algoritmo de firma digital de curva elíptica (ECDSA) con severidad de clave de 256 bits.
ECDSA-P384
Seleccione esta opción si se firma el certificado mediante ECDSA con severidad de clave de 384 bits.
Tipo de almacén de certificados
Para especificar el tipo de certificado, identifique el almacén en el que se encuentra.
CA raíz (predeterminada)
Seleccione esta opción si una CA raíz emitió el certificado y éste se encuentra en el almacén de certificados Entidades de certificación raíz de confianza del equipo local.
CA intermedia
Seleccione esta opción si una CA intermedia emitió el certificado y éste se encuentra en el almacén de certificados Entidades de certificación intermedias del equipo local.
Solo aceptar certificados de mantenimiento
Esta opción limita el uso de los certificados de equipo a aquéllos marcados como certificados de mantenimiento. Los certificados de mantenimiento los publica una CA que admite una implementación de Protección de acceso a redes (NAP). NAP permite definir y aplicar las directivas de mantenimiento para que sea menos probable que tengan acceso a la red aquellos equipos que no cumplan las directivas de red, como los que no incluyen software antivirus o no tienen instaladas las actualizaciones de software más recientes. Para implementar NAP, es necesario configurar NAP en los equipos servidor y los equipos cliente. Configuración del cliente de NAP, un complemento de Microsoft Management Console (MMC), le ayuda a configurar NAP en los equipos cliente. Para obtener más información, vea la Ayuda del complemento MMC de NAP. Para usar este método, es necesario tener un servidor NAP configurado en el dominio.
Habilitar asignación de certificados a cuentas
Cuando se habilita la asignación de certificados a cuentas de IPsec, los protocolos Intercambio de claves por red (IKE) e IP autenticado (AuthIP) asocian (asignan) un certificado de equipo a una cuenta de equipo en un bosque o dominio de Active Directory y, a continuación, recuperan un testigo de acceso, que incluye la lista de grupos de seguridad de equipos. Este proceso garantiza que el certificado proporcionado por el equipo del mismo nivel IPsec se corresponda con una cuenta de equipo activa en el dominio y que el certificado sea el que se debe usar en ese equipo.
La asignación de certificados a cuentas solo se puede usar para cuentas de equipo que se encuentren en el mismo bosque que el equipo que realiza la asignación. Esto proporciona una autenticación mucho más segura que si se aceptara simplemente cualquier cadena de certificados válida. Por ejemplo, puede usar esta capacidad para restringir el acceso a los equipos que se encuentren en el mismo bosque. No obstante, la asignación de certificados a cuentas no garantiza que se permita el acceso IPsec a un equipo de confianza concreto.
La asignación de certificados a cuentas resulta especialmente útil si los certificados proceden de una infraestructura de clave pública (PKI) no integrada con la implementación de Servicios de dominio de Active Directory (AD DS), como por ejemplo si los asociados de negocio obtienen sus certificados de proveedores distintos de Microsoft. Puede configurar el método de autenticación de la directiva IPsec para que asigne certificados a una cuenta de equipo de dominio para una CA raíz específica. Además, puede asignar todos los certificados de una CA emisora a una cuenta de equipo. Esto permite que se use la autenticación de certificados IKE para limitar los bosques que tienen permiso de acceso IPsec en un entorno donde existan muchos bosques, cada uno de los cuales realiza la inscripción automática con una sola CA raíz interna. Si no se completa el proceso de asignación de certificados a cuentas correctamente, se producirá un error en la autenticación y se bloquearán las conexiones protegidas con IPsec.
Clave previamente compartida (no recomendado)
Puede usar las claves previamente compartidas para la autenticación. Se trata de una clave secreta y compartida que dos usuarios acuerdan previamente. Ambas partes deben configurar IPsec manualmente para utilizar esta clave previamente compartida. Durante la negociación de la seguridad, la información se cifra con la clave compartida antes de transmitirla y se descifra con esa misma clave en el receptor. Si el receptor puede descifrar la información, se considera que las identidades se autenticaron.
 | Precaución |
|