Use esta configuración para especificar la forma en la que se autenticará la cuenta de usuario del equipo del mismo nivel. También puede especificar que el equipo debe tener un certificado de mantenimiento de equipo. El método de segunda autenticación se realiza mediante IP autenticado (AuthIP) en un modo extendido de la fase de modo principal de las negociaciones de IPsec (protocolo de seguridad de Internet).

Puede especificar varios métodos para esta autenticación. Los métodos se intentan en el orden especificado. Se utiliza el primer método que funciona correctamente.

Para obtener más información acerca de los métodos de autenticación disponibles en este cuadro de diálogo, vea el tema sobre los algoritmos y métodos IPsec compatibles con Windows (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=129230).

Para llegar a este cuadro de diálogo
  • Cuando modifique la configuración predeterminada para todo el sistema:

    1. En el complemento MMC de Firewall de Windows con seguridad avanzada, en el panel de navegación, haga clic en Firewall de Windows con seguridad avanzada y, a continuación, en Información general, haga clic en Propiedades de Firewall de Windows.

    2. Haga clic en la ficha Configuración IPsec y, seguidamente, en Predeterminados de IPsec, haga clic en Personalizar.

    3. En Método de autenticación, seleccione Opciones avanzadas y, a continuación, haga clic en Personalizar.

    4. En Segunda autenticación, seleccione un método y, a continuación, haga clic en Editar o en Agregar.

  • Al crear una nueva regla de seguridad de conexión:

    1. En el complemento MMC de Firewall de Windows con seguridad avanzada, en el panel de navegación, haga clic con el botón secundario en Reglas de seguridad de conexión y, a continuación, en Nueva regla.

    2. En la página Tipo de regla, seleccione cualquier tipo de regla, salvo Exención de autenticación.

    3. En la página Método de autenticación, seleccione Opciones avanzadas y, a continuación, haga clic en Personalizar.

    4. En Segunda autenticación, seleccione un método y, a continuación, haga clic en Editar o en Agregar.

  • Al modificar una regla de seguridad existente:

    1. En el complemento MMC de Firewall de Windows con seguridad avanzada, en el panel de navegación, haga clic en Reglas de seguridad de conexión.

    2. Haga doble clic en la regla de seguridad de conexión que desea modificar.

    3. Haga clic en la ficha Autenticación.

    4. En Método, haga clic en Opciones avanzadas y, a continuación, en Personalizar.

    5. En Segunda autenticación, seleccione un método y, a continuación, haga clic en Editar o en Agregar.

Usuario (Kerberos V5)

Puede usar este método para autenticar un usuario que inició sesión en un equipo remoto que forma parte del mismo dominio o que está en otro dominio y tiene una relación de confianza. El usuario que inició sesión debe tener una cuenta de dominio y el equipo debe ser miembro de un dominio del mismo bosque.

Usuario (NTLMv2)

NTLMv2 es un método alternativo para autenticar un usuario que inició sesión en un equipo remoto que forma parte del mismo dominio o que está en un dominio que tiene una relación de confianza con el dominio del equipo local. La cuenta de usuario y el equipo deben formar parte de dominios pertenecientes al mismo bosque.

Certificado de usuario

Use un certificado de claves públicas, por ejemplo, cuando intercambie comunicaciones externas con socios comerciales o con equipos que no ejecutan el protocolo de autenticación Kerberos versión 5. Esto requiere que al menos una entidad de certificación (CA) raíz de confianza esté configurada en la red o se pueda obtener acceso a ella a través de la red y que los equipos cliente tengan un certificado de equipo asociado. Este método es útil cuando los usuarios no están en el mismo dominio o están en distintos dominios y no tienen ninguna relación de confianza bidireccional, y Kerberos versión 5 no se puede usar.

Algoritmo de firma

Especifique el algoritmo de firma utilizado para proteger el certificado mediante cifrado.

RSA (predeterminado)

Seleccione esta opción si el certificado se firma mediante el algoritmo de cifrado de clave pública RSA.

ECDSA-P256

Seleccione esta opción si el certificado se firma mediante el algoritmo de firma digital de curva elíptica (ECDSA) con una severidad de clave de 256 bits.

ECDSA-P384

Seleccione esta opción si el certificado se firma mediante ECDSA con una severidad de clave de 256 bits.

Tipo de almacén de certificados

Especifique el tipo de certificado mediante la identificación del almacén donde se encuentra el certificado.

CA raíz (predeterminada)

Seleccione esta opción si el certificado fue emitido por una CA raíz y está almacenado en el almacén de certificados de entidades de certificación raíz de confianza del equipo local.

CA intermedia

Seleccione esta opción si el certificado fue emitido por una CA intermedia y está almacenado en el almacén de certificados de entidades de certificación intermedias del equipo local.

Habilitar asignación de certificados a cuentas

Cuando habilite la asignación de certificados a cuentas de IPsec, los protocolos Intercambio de claves por red (IKE) y AuthIP asocian (asignan) un certificado de usuario a una cuenta de usuario en un bosque o un dominio de Active Directory y, a continuación, recuperan un token de acceso, que incluye la lista de grupos de seguridad de usuarios. Este proceso garantiza que el certificado ofrecido por el IPsec del mismo nivel corresponde a una cuenta de usuario activa en el dominio, y que se trata de un certificado que debe ser utilizado por ese usuario.

La asignación de certificados a cuentas solo se puede usar con cuentas de usuario que están en el mismo bosque que el equipo que realiza la asignación. Esto permite que la autenticación sea más segura y no se limite a aceptar cualquier cadena de certificados válida. Por ejemplo, puede usar esta capacidad para limitar el acceso a usuarios que pertenezcan al mismo bosque. No obstante, la asignación de certificados a cuentas no garantiza que se permita el acceso IPsec a un usuario de confianza específico.

La asignación de certificados a cuentas es especialmente útil si los certificados proceden de una infraestructura de clave pública (PKI) que no esté integrada en la implementación de Servicios de dominio de Active Directory (AD DS), como por ejemplo cuando los socios comerciales obtienen sus certificados de proveedores que no pertenecen a Microsoft. Puede configurar el método de autenticación de directivas IPsec para asignar certificados a una cuenta de usuario de dominio para una CA raíz específica. Asimismo, puede asignar todos los certificados de una CA emisora a una cuenta de usuario. Esto permite que la autenticación de certificados se use para limitar los bosques que permiten el acceso IPsec en un entorno donde existan muchos bosques y cada uno realice la inscripción automática en una CA raíz interna individual. Si el proceso de asignación de certificados a cuentas no se lleva a cabo correctamente, la autenticación dará error y las conexiones protegidas por IPsec serán bloqueadas.

Certificado de mantenimiento de equipo

Use esta opción para especificar que solo un equipo que presente un certificado de la CA especificada y que esté marcado como un certificado de mantenimiento de Protección de acceso a redes (NAP) pueda autenticarse por medio de la regla de seguridad de conexión. NAP permite definir y aplicar directivas de mantenimiento para que los equipos que no cumplan las directivas de red, como los equipos que no tienen software antivirus o aquellos que no contienen las últimas actualizaciones de software, tengan menos posibilidades de obtener acceso a su red. Para implementar NAP, es necesario configurar NAP en los equipos servidor y los equipos cliente. Para obtener más información, vea la Ayuda del complemento MMC de NAP. Para usar este método, es necesario tener un servidor NAP configurado en el dominio.

Algoritmo de firma

Especifique el algoritmo de firma utilizado para proteger el certificado mediante cifrado.

RSA (predeterminado)

Seleccione esta opción si el certificado se firma mediante el algoritmo de cifrado de clave pública RSA.

ECDSA-P256

Seleccione esta opción si el certificado se firma mediante el algoritmo de firma digital de curva elíptica (ECDSA) con una severidad de clave de 256 bits.

ECDSA-P384

Seleccione esta opción si el certificado se firma mediante ECDSA con una severidad de clave de 384 bits.

Tipo de almacén de certificados

Especifique el tipo de certificado mediante la identificación del almacén donde se encuentra el certificado.

CA raíz (predeterminada)

Seleccione esta opción si el certificado fue emitido por una CA raíz y está almacenado en el almacén de certificados de entidades de certificación raíz de confianza del equipo local.

CA intermedia

Seleccione esta opción si el certificado fue emitido por una CA intermedia y está almacenado en el almacén de certificados de entidades de certificación intermedias del equipo local.

Habilitar asignación de certificados a cuentas

Cuando habilite la asignación de certificados a cuentas de IPsec, los protocolos IKE y AuthIP asocian (asignan) un certificado a una cuenta de usuario o de equipo en un bosque o un dominio de Active Directory y, a continuación, recuperan un token de acceso, que incluye la lista de grupos de seguridad de usuarios. Este proceso garantiza que el certificado ofrecido por el IPsec del mismo nivel corresponde a una cuenta de usuario o de equipo activa en el dominio, y que se trata de un certificado que debe ser utilizado por esa cuenta.

La asignación de certificados a cuentas solo se puede usar con cuentas que están en el mismo bosque que el equipo que realiza la asignación. Esto permite que la autenticación sea más segura y no se limite a aceptar cualquier cadena de certificados válida. Por ejemplo, puede usar esta capacidad para limitar el acceso a cuentas que pertenezcan al mismo bosque. No obstante, la asignación de certificados a cuentas no garantiza que se permita el acceso IPsec a una cuenta de confianza específica.

La asignación de certificados a cuentas es especialmente útil si los certificados proceden de una PKI que no esté integrada en la implementación de AD DS, como por ejemplo cuando los socios comerciales obtienen sus certificados de proveedores que no pertenecen a Microsoft. Puede configurar el método de autenticación de directivas IPsec para asignar certificados a una cuenta de dominio para una CA raíz específica. Asimismo, puede asignar todos los certificados de una CA emisora a una cuenta de usuario o equipo. Esto permite que la autenticación de certificados IKE se use para limitar los bosques que permiten el acceso IPsec en un entorno donde existan muchos bosques y cada uno realice la inscripción automática en una sola CA raíz interna. Si el proceso de asignación de certificados a cuentas no se lleva a cabo correctamente, la autenticación dará error y las conexiones protegidas por IPsec serán bloqueadas.

Referencias adicionales


Tabla de contenido