Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Cómo configurar las tecnologías de protección de redes de Windows XP SP2 en un entorno de Active Directory

Publicado: 10 de diciembre de 2004
En esta página
IntroducciónIntroducción
Antes de comenzarAntes de comenzar
Cómo añadir revisiones a las estaciones de trabajo de administración y a Windows Small Business Server 2003Cómo añadir revisiones a las estaciones de trabajo de administración y a Windows Small Business Server 2003
Actualización de Objetos de directiva de grupo existentesActualización de Objetos de directiva de grupo existentes
Configuración de las opciones del Centro de seguridadConfiguración de las opciones del Centro de seguridad
Configuración de las opciones del Firewall de WindowsConfiguración de las opciones del Firewall de Windows
Configuración de las opciones de seguridad de Internet ExplorerConfiguración de las opciones de seguridad de Internet Explorer
Configuración de las opciones de administración de comunicaciones de InternetConfiguración de las opciones de administración de comunicaciones de Internet
Configuración de las opciones de acceso DCOMConfiguración de las opciones de acceso DCOM
Configuración de las opciones de RPCConfiguración de las opciones de RPC
Información relacionadaInformación relacionada

Introducción

La configuración de la directiva de grupo se aplica según la implementación de Active Directory en la empresa y contribuye a proteger el entorno informático mediante la aplicación de una configuración estándar en las diferentes categorías de usuarios y equipos. La nueva configuración de protección de redes de la directiva de grupo para Microsoft Windows XP Service Pack 2 (SP2) consta de:

Firewall de Windows. Configure estas opciones de la directiva para activar y desactivar el firewall, administrar excepciones de puertos y programas y definir las excepciones para casos específicos, como los permisos de administración remota de equipos.

Internet Explorer. Con estas nuevas opciones de la directiva es posible configurar las opciones de seguridad de Microsoft Internet Explorer. Además, la configuración de directivas permite activar o desactivar las funciones de seguridad de Microsoft Internet Explorer para diversos procesos.

Administración de comunicaciones de Internet. Es posible configurar estas opciones para controlar la forma en que los diversos componentes de Windows XP SP2 se comunican a través de Internet para realizar tareas relacionadas con el intercambio de información entre los equipos en una empresa e Internet.

Seguridad DCOM. Estas opciones se configuran para controlar la seguridad del modelo distribuido de objetos componentes (DCOM). La infraestructura de DCOM incluye nuevas restricciones de control de acceso que ayudan a minimizar los riesgos de seguridad derivados de ataques a la red.

Centro de seguridad. Estas opciones se configuran para administrar centralmente el Centro de seguridad de Windows. El Centro de seguridad es una nueva función de Windows XP SP2 que le permite supervisar los equipos de su empresa y asegurarse de que cuenten con las actualizaciones de seguridad más recientes y de que proporcionen a los usuarios avisos cuando un determinado equipo represente un riesgo para la seguridad.

Llamada a procedimiento remoto (RPC). Es posible configurar las opciones de directivas de llamada a procedimiento remoto (RPC) para bloquear los accesos anónimos remotos a las interfaces RPC del sistema y para evitar el acceso anónimo a la interfaz del asignador de extremos de RPC.

Este documento explica cómo implementar la configuración de protección de la directiva de grupo para ayudar a mantener la seguridad de los equipos cliente con Windows XP SP2.

Para obtener una lista completa de la configuración recomendada, consulte:

"Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2" en el sitio Web de Microsoft TechNet http://go.microsoft.com/fwlink/?linkid=35465

Las tareas se llevan a cabo en los objetos de directiva de grupo (GPO) en un dominio de Active Directory. Algunas de estas tareas pueden ejecutarse desde un controlador de dominio, pero por lo general se llevan a cabo en un equipo cliente con Windows XP SP2 que cuente con las herramientas de administración de Active Directory.

Nota: Para obtener más información acerca de cómo instalar los GPO, consulte:

"Designing a Managed Environment: Staging Group Policy Deployments" en el sitio Web de Microsoft Windows Server System en http://go.microsoft.com/fwlink/?linkid=35498

Para configurar la protección de redes en un entorno de Active Directory, debe llevar a cabo las siguientes tareas:

Agregar revisiones a las estaciones de trabajo de administración

Actualizar los GPO actuales

Configurar las opciones del Centro de seguridad

Configurar las opciones del Firewall de Windows

Configurar las opciones de Internet Explorer

Configurar las opciones de administración de comunicaciones de Internet

Configurar las opciones de seguridad DCOM

Configurar las opciones de RPC

IMPORTANTE: Las instrucciones de este documento se han elaborado tomando como referencia el menú Inicio que aparece de forma predeterminada al instalar el sistema operativo. Si ha modificado dicho menú, puede que los pasos varíen un poco.

Para obtener definiciones de términos relacionados con la seguridad, consulte:

"Glosario de seguridad de Microsoft" en el sitio Web de Microsoft en http://www.microsoft.com/spain/technet/seguridad/recursos/glosario/glossary_A.asp

Antes de comenzar

Windows XP SP2 puede usarse como cliente de dominio de Windows en un dominio de Active Directory con controladores de dominio con cualquier versión de:

Microsoft Windows Server 2003

Microsoft Windows Small Business Server 2003

Microsoft Windows 2000 Server SP3 o posterior    

Antes de instalar las revisiones, asegúrese de haber realizado una copia de seguridad de su equipo, incluido el registro.

Para obtener más información acerca de cómo hacer una copia de seguridad del registro, consulte:

Artículo 322756 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=36365

Cómo añadir revisiones a las estaciones de trabajo de administración y a Windows Small Business Server 2003

Si administra la configuración de objetos de directiva de grupo en equipos que ejecutan sistemas operativos o service packs anteriores (por ejemplo, Windows XP con SP1 o Windows Server 2003), debe instalar una revisión (KB842933) para que la configuración de directivas aparezca correctamente en el Editor de objetos de directiva de grupo.

Si utiliza Small Business Server 2003 (SBS 2003), debe aplicar una revisión adicional (KB872769), porque de forma predeterminada SBS 2003 desactiva el Firewall de Windows. La revisión soluciona este problema.

Nota: Las revisiones enumeradas no se incluyen como parte de Windows Update y deben instalarse por separado. Las revisiones deben aplicarse de manera individual a todos los sistemas afectados.

KB842933 se aplica a los siguientes sistemas:

Microsoft Windows Server 2003, Web Edition

Microsoft Windows Server 2003, Standard Edition

Microsoft Windows Server 2003, Enterprise Edition

Microsoft Windows Server 2003, 64-Bit Enterprise Edition

Microsoft Windows XP Professional SP1

Microsoft Windows Small Business Server 2003, Premium Edition

Microsoft Windows Small Business Server 2003, Standard Edition

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Server

Microsoft Windows 2000 Professional

KB872769 se aplica a los siguientes sistemas:

Microsoft Windows Small Business Server 2003, Standard Edition

Microsoft Windows Small Business Server 2003, Premium Edition

Nota: Para obtener estas revisiones y más información, consulte:

Artículo 842933 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35474

Artículo 872769 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35477

Requisitos para realizar esta tarea

Credenciales: Deberá iniciar sesión en el equipo cliente como miembro del grupo de seguridad Administradores de dominio o Administradores locales.

Herramientas: La revisión descargada adecuada a su sistema operativo, según se explica en los artículos 842933 y 872769 de Knowledge Base.

Cómo agregar la revisión 842933 a Windows Small Business Server 2003, Windows 2000 Server SP2 o posterior, Windows XP SP1 o Windows Server 2003.

Agregar la revisión

1.

En el escritorio de Windows haga clic en Inicio, Ejecutar, escriba la ruta y el nombre de archivo de la revisión descargada y luego haga clic en Aceptar.

2.

En la página Éste es el Asistente para la instalación de KB842933, haga clic en Siguiente.

3.

En la página de licencia, haga clic en Acepto y, a continuación, en Siguiente.

4.

En la página Finalización del Asistente para la instalación de KB842933, para terminar la instalación de la revisión y reiniciar el equipo haga clic en Finalizar.

5.

Repita los pasos anteriores para todos los sistemas donde se requiera (servidores y estaciones de trabajo de administración).

Cómo añadir la revisión 872769 a Windows Small Business Server 2003

Agregar la revisión

1.

En el escritorio de Windows haga clic en Inicio, Ejecutar, escriba la ruta y el nombre de archivo de la revisión descargada 872769 y luego haga clic en Aceptar.

2.

En la página Éste es el Asistente para la instalación de KB872769, haga clic en Siguiente.

3.

En la página de licencia, haga clic en Acepto y, a continuación, en Siguiente.

4.

En la página Finalización del Asistente para la instalación de KB872769, para terminar la instalación de la revisión y reiniciar el equipo haga clic en Finalizar.

Actualización de Objetos de directiva de grupo existentes

Windows XP SP2 agrega opciones adicionales a las plantillas administrativas. Para configurar estas nuevas opciones, cada GPO debe actualizarse con las nuevas plantillas administrativas de Windows XP SP2. A menos que se actualicen los objetos de directiva de grupo, las opciones relacionadas con el Firewall de Windows no estarán disponibles.

Puede actualizar los GPO con Microsoft Management Console (MMC) con el complemento del Editor de objetos de directiva de grupo instalado en un equipo que cuente con Windows XP SP2.

Una vez que se haya actualizado el GPO, puede configurar las opciones de protección de red adecuadas para sus equipos con Windows XP SP2.

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de Administradores de dominio o del grupo de seguridad Creador/Propietario de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Actualización de Objetos de directiva de grupo

Actualización de Objetos de directiva de grupo

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

Figura 1   Buscar un objeto de directiva de grupo

Figura 1  Buscar un objeto de directiva de grupo

6.

En el cuadro de diálogo Buscar un objeto directiva de grupo, seleccione el objeto de directiva de grupo que desea actualizar con las nuevas opciones del Firewall de Windows.

7.

Haga clic en Aceptar y, a continuación, haga clic en Finalizar para cerrar el Asistente de directiva de grupo.

Esto aplica la nueva plantilla administrativa al GPO seleccionado.

8.

En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar.

9.

En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.

10.

Cierre el MMC, haga clic en Archivo y luego salga sin guardar los cambios a la configuración de consola.

Nota: Aunque no guarde los cambios en la consola, el procedimiento anterior importa las nuevas plantillas administrativas de Windows XP SP2 al GPO. Las plantillas deben importarse a cada GPO de finido.

11.

Repita estos pasos para cada GPO que se utilice para aplicar la directiva de grupo a los equipos que tengan instalado Windows XP SP2.

Nota: Para actualizar sus GPO para entornos de red que utilizan Active Directory y Windows XP SP1, Microsoft recomienda que utilice la consola de administración de directivas de grupo, que se descarga gratuitamente. Si desea obtener más información, consulte:

"Enterprise Management with the Group Policy Management Console" en el sitio Web de Microsoft Windows Server System en http://go.microsoft.com/fwlink/?linkID=35479

Configuración de las opciones del Centro de seguridad

El Centro de seguridad es un nuevo servicio de Windows XP SP2 que proporciona una ubicación central para cambiar las opciones de seguridad, aprender más acerca de la seguridad y asegurarse de que los equipos de los usuarios estén actualizados con las configuraciones esenciales de seguridad que recomienda Microsoft.

En un entorno de dominio de Windows, puede usar las directivas de grupo para permitir que el Centro de seguridad supervise los equipos de los usuarios y ayude a garantizar que cuenten con las actualizaciones de seguridad más recientes, y para avisar a los usuarios cuando sus equipos puedan estar en riesgo.

El servicio del Centro de seguridad se ejecuta como un proceso en segundo plano y comprueba el estado de los siguientes componentes del equipo del usuario:

Firewall. El Centro de seguridad comprueba si el Firewall de Windows está activado o no y también busca la presencia de otros servidores de seguridad de software. Para comprobar otros servidores de seguridad, el Centro de seguridad busca proveedores específicos de Instrumental de administración de Windows (WMI), que los fabricantes participantes han proporcionado.

Protección contra virus. El Centro de seguridad comprueba la presencia de software antivirus. Para comprobar la presencia de software antivirus, el Centro de seguridad busca proveedores específicos de WMI que los fabricantes participantes han proporcionado. Si la información está disponible, el servicio del Centro de seguridad también determina si el software está actualizado y si cuenta con una exploración en tiempo real activada.

Actualizaciones automáticas. El Centro de seguridad comprueba y se asegura de que las actualizaciones automáticas estén configuradas de acuerdo con las opciones recomendadas para descargar e instalar automáticamente actualizaciones importantes en el equipo del usuario. Si las Actualizaciones automáticas se desactivan o si no están configuradas según las opciones recomendadas, el Centro de seguridad proporciona las recomendaciones apropiadas.

Si existe algún componente que falte o que no cumpla las Directivas de seguridad, el Centro de seguridad le avisa con un icono rojo en el área de notificación de su barra de tareas y le envía un mensaje de alerta al iniciar la sesión. Este mensaje contiene vínculos para abrir la interfaz de usuario del Centro de seguridad, que proporciona información acerca del problema y le ofrece recomendaciones para solucionarlo.

Si ejecuta un servidor de seguridad de software o un programa antivirus que el Centro de seguridad no detecte, puede configurar el Centro de seguridad para que haga caso omiso de ese componente y no envíe ninguna alerta.

Puede utilizar la configuración de directivas de grupo para administrar centralmente las funciones del Centro de seguridad para equipos en un dominio de Windows.

Si habilita la configuración de la directiva de activación del Centro de seguridad (sólo en equipos de dominio), el centro supervisa las opciones de seguridad más importantes (servidor de seguridad, programas antivirus y actualizaciones automáticas) y avisa a los usuarios si sus equipos corren algún riesgo. De forma predeterminada, la configuración de la directiva de activación del Centro de seguridad (sólo en equipos de dominio) está desactivada. Cuando se cierra el Centro de seguridad, no se muestran sus avisos ni la sección del estado.

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir un objeto de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Configuración de las opciones del Centro de seguridad

Utilice esta opción para permitir a los usuarios de equipos con Windows XP SP2 el uso del Centro de seguridad para recibir avisos acerca de los servidores de seguridad, programas antivirus y actualizaciones automáticas.

Para configurar las opciones del Centro de seguridad

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione de la lista los objetos de directiva de grupo que desee configurar. Haga clic en Aceptar y, a continuación, haga clic en Finalizar para cerrar el Asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, y luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Plantillas administrativas, componentes de Windows y finalmente Centro de seguridad.

Figura 2   Configuración del Centro de seguridad

Figura 2   Configuración del Centro de seguridad
Ver imagen a tamaño completo

9.

Haga doble clic en Activar el Centro de seguridad (sólo equipos de dominio); luego, haga clic en Habilitado y, a continuación, en Aceptar.

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

Ejecución de GPUpdate

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 3   GPUpdate en una línea de comandos

Figura 3   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración del Centro de seguridad

Para comprobar que se haya aplicado la configuración del Centro de seguridad

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Panel de control.

2.

En Elija una categoría, haga clic en Centro de seguridad.

3.

Compruebe que se inicia el Centro de seguridad

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Configuración de las opciones del Firewall de Windows

Hay tres conjuntos de opciones del Firewall de Windows que deben configurarse:

Permitir la omisión de IPSec autenticada. Esta configuración se utiliza cuando una empresa emplea la seguridad del protocolo de Internet (IPSec) para proteger el tráfico y activa el Firewall de Windows.

Perfil de dominio. Los equipos utilizan esta configuración cuando se conectan a una red que contiene controladores de dominio para el domino al que pertenecen los equipos.

Perfil estándar. Los equipos usan esta configuración cuando no están conectados su red, por ejemplo, cuando se viaja con un equipo portátil.

Si no configura opciones de perfil estándar, los valores predeterminados permanecerán sin cambio. Microsoft recomienda que se configuren tanto su perfil de dominio como su perfil estándar y que active el Firewall de Windows en ambos perfiles. La única excepción es si ya está usando un servidor de seguridad de otro proveedor.

En este caso, Microsoft recomienda que desactive el Firewall de Windows.

Si decide desactivar el Firewall de Windows en la totalidad de la red de su empresa, que contiene una mezcla de equipos con Windows XP SP2, Windows XP SP1 y Windows XP sin service packs, entonces deberá configurar las siguientes opciones de directivas de grupo:

Prohibir el uso de Servidor de seguridad de conexión a Internet en su red de dominio DNS configurado como Habilitado

Perfil de dominio. Firewall de Windows: Proteger todas las conexiones de red configurado como Deshabilitado

Perfil estándar. Firewall de Windows: Proteger todas las conexiones de red configurado como Deshabilitado

Nota: Esta configuración de perfil estándar asegura que no se utilice el Firewall de Windows, ya sea que los equipos estén conectados a la red de su empresa o no. Para asegurar que no se utilice el Firewall de Windows en la red de su empresa, pero que se utilice cuando los equipos no estén conectados a la red, cambie esta opción a Habilitado.

Las opciones de perfil estándar por lo general son más restrictivas que las de perfil de dominio, porque no incluyen aplicaciones y servicios que sólo se usan en un entorno de dominio administrado.

En un GPO, tanto el perfil de dominio como el perfil estándar contienen el mismo conjunto de opciones del Firewall de Windows. Windows XP SP2 se basa en la determinación de redes para aplicar el perfil correcto.

Nota: Para obtener más información acerca de la determinación de redes, consulte:

"Network Determination Behavior for Network-Related Group Policy Settings" en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=35480

Esta sección describe las configuraciones posibles del Firewall de Windows en un GPO, así como la configuración recomendada para un entorno de empresa, además de demostrar cómo activar cuatro tipos de configuración.

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir el objeto de directiva de grupo que modificó en la tarea anterior.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Nota: para abrir un GPO se usa un MMC con el complemento Editor de objetos de directiva de grupo incluido, o la consola Usuarios y equipos de Active Directory. Para usar la consola Usuarios y equipos de Active Directory en un equipo cliente de Windows XP debe ejecutar adminpak.msi desde el CD de Windows Server 2003.

Configuración de las opciones del Firewall de Windows usando las directivas de grupo

Para modificar la configuración del Firewall de Windows en los GPO apropiados, se usa el complemento Editor de objetos de directiva de grupo o la consola Usuarios y equipos de Active Directory.

Una vez que haya configurado las opciones del Firewall de Windows, la siguiente actualización de las directivas de grupo de la configuración del equipo descargará las nuevas opciones del Firewall de Windows y las aplicará a los equipos con Windows XP SP2.

Para configurar las opciones del Firewall de Windows

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione el objeto de directiva de grupo que desea configurar y haga clic en Aceptar y luego en Finalizar para salir del asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Plantillas administrativas, Red, Conexiones de red y finalmente Firewall de Windows.

Figura 4   Opciones del Firewall de Windows en una directiva de grupo

Figura 4   Opciones del Firewall de Windows en una directiva de grupo
Ver imagen a tamaño completo

9.

Haga doble clic en Firewall de Windows: permitir la omisión de IPSec autenticada.

Figura 5   Permitir la omisión de IPSec autenticada

Figura 5   Permitir la omisión de IPSec autenticada

La Tabla 1 resume las opciones de Permitir la omisión de IPSec autenticada.

Tabla 1   Configuración de Permitir la omisión de IPSec autenticada para entornos de empresa

Configuración DescripciónNotas

No configurado

Este GPO no cambiará la configuración actual del Firewall de Windows.

 

Habilitado

El Firewall de Windows no procesa el tráfico protegido mediante IPSec, excepto si proviene de usuarios o grupos listados en la directiva.

La sintaxis para enumerar a los usuarios y los grupos utiliza SDDL estándar. Si desea obtener más información, consulte:

"Lenguaje de definición de descriptores de seguridad" en el sitio Web de MSDN en http://go.microsoft.com/fwlink/?linkid=35503

Deshabilitado

El Firewall de Windows procesa tráfico protegido por IPSec.

 

10.

Utilice la información en la tabla 1 y haga clic en Habilitado o Deshabilitado.

Nota: Si selecciona Habilitado, podrá crear una lista de usuarios o grupos que estén autorizados para enviar tráfico protegido por IPSec a su equipo.

11.

Haga clic en Aceptar.    

12.

Seleccione Perfil de dominio o Perfil estándar.

Figura 6   Configuración del Firewall de Windows en una directiva de grupo

Figura 6   Configuración del Firewall de Windows en una directiva de grupo
Ver imagen a tamaño completo

La tabla 2 resume la configuración recomendada para las directivas de grupo del Firewall de Windows en los perfiles de dominio y estándar.

Tabla 2   Configuración recomendada para el Firewall de Windows en una empresa

Configuración DescripciónPerfil de dominio Perfil estándar

Proteger todas las conexiones de red

Especifica que todas las conexiones de la red tengan habilitado el Firewall de Windows

Habilitado

Habilitado

No permitir excepciones

Especifica que todo el tráfico de entrada no solicitado se bloquee; esto incluye el tráfico exceptuado

No configurado

Habilitado, a menos que deba configurar excepciones de programa

Definir excepciones de programa

Define el tráfico exceptuado en términos de nombres de archivo de programas

Habilitado y configurado con los programas (aplicaciones y servicios) usados por los equipos con Windows XP con SP2 en su red

Habilitado y configurado con los programas (aplicaciones y servicios) usados por los equipos con Windows XP con SP2 en su red

Permitir excepciones de programa locales

Permite la configuración local de las excepciones de programa

Deshabilitado, a menos que desee que los administradores locales configuren las excepciones de programa localmente

Deshabilitado

Permitir excepción de administración remota

Permite la configuración remota mediante herramientas

Deshabilitado, a menos que desee administrar remotamente sus equipos con complementos de MMC

Deshabilitado

Permitir la excepción compartir impresoras y archivos

Especifica si se permite el tráfico para compartir impresoras y archivos

Deshabilitado, a menos que los equipos que utilizan Windows XP SP2 compartan los recursos locales

Deshabilitado

Permitir excepciones ICMP

Especifica los tipos de mensajes ICMP que están permitidos

Deshabilitado, a menos que desee utilizar el comando ping para solucionar problemas

Deshabilitado

Permitir excepción de Escritorio remoto

Especifica si el equipo puede aceptar una solicitud de conexión de escritorio remoto

Habilitado

Habilitado

Permitir excepción de entorno UPnP

Especifica si el equipo puede recibir mensajes UPnP no solicitados

Deshabilitado

Deshabilitado

No permitir notificaciones

Deshabilita las notificaciones

Deshabilitado

Deshabilitado

Permitir registro

Le permite registrar el tráfico y configurar opciones de archivo de registro

No configurado

No configurado

No permitir respuesta de unidifusión a peticiones de difusión o multidifusión

Descarta los paquetes de unidifusión que se reciben en respuesta a un mensaje de solicitud de difusión o multidifusión

Habilitado

Habilitado

Definir excepciones de puerto

Especifica el tráfico exceptuado en términos de TCP y UDP

Deshabilitado

Deshabilitado

Permitir excepciones de puerto local

Permite la configuración local de excepciones de puerto

Deshabilitado

Deshabilitado

Habilitación de excepciones de puertos

Habilitar excepciones de puertos

1.

En el área de configuración de Perfil de dominio o de Perfil estándar, haga doble clic en Firewall de Windows: Definir excepciones de puerto.

Figura 7   Propiedades de Firewall de Windows: Definir excepciones de puerto

Figura 7   Propiedades de Firewall de Windows: Definir excepciones de puerto

2.

Haga clic en Habilitado y, a continuación, en Mostrar.    

Figura 8   Mostrar contenido

Figura 8   Mostrar contenido
Ver imagen a tamaño completo

3.

Haga clic en Agregar.

Figura 9   Agregar elemento

Figura 9   Agregar elemento

4.

Anote la información del puerto que desee bloquear o habilitar con esta sintaxis:

puerto:transporte:alcance:estado:nombre

En donde puerto es el número de puerto, transporte es TCP o UDP, alcance puede ser * (para todos los sistemas) o una lista de los equipos que tienen permiso de acceso al puerto, estado puede ser habilitado o deshabilitado y nombre es una cadena de texto usada como etiqueta para esta entrada.

Cuando se utiliza el alcance, no se admiten nombres de host, nombres de sistema de nombres de dominio (DNS) o sufijos DNS. Para intervalos de dirección IPv4, puede especificar el intervalo usando una máscara de subred decimal con punto o una longitud de prefijo. Si utiliza la máscara de subred decimal con punto, puede especificar el intervalo como ID de red IPv4 (por ejemplo 10.47.81.0/255.255.255.0) o usando una dirección IPv4 dentro del intervalo (por ejemplo 10.47.81.231/255.255.255.0). Si utiliza la longitud de prefijo red, puede especificar el intervalo como ID de red IPv4 (por ejemplo 10.47.81.0/24) o usando una dirección IPv4 dentro del intervalo (por ejemplo 10.47.81.231/24).

Para obtener más información sobre subredes y direcciones TCP/IP, consulte:

Artículo 164015 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=36370

Nota: Si hay un espacio entre las entradas en la lista de fuentes o cualquier otro carácter que no sea válido, el alcance se omite y la configuración se comporta como si estuviera deshabilitada. Verifique la sintaxis de su alcance antes de guardar los cambios.

Este ejemplo utiliza una excepción de puerto que se denomina WebTest y que habilita el puerto TCP 80 para todas las conexiones.

5.

Haga clic en Aceptar para cerrar Agregar elemento.

Figura 10   Mostrar contenido

Figura 10   Mostrar contenido
Ver imagen a tamaño completo

6.

Haga clic en Aceptar para cerrar Mostrar contenido.

7.

Haga clic en Cerrar para cerrar Propiedades de Firewall de Windows: Definir excepciones de puerto.

Nota: Cuando se selecciona No permitir excepciones, todas las excepciones de puerto se omiten.

Habilitación de excepciones de programas

Para habilitar excepciones de programas

1.

En el área de configuración de Perfil de dominio o de Perfil estándar, haga doble clic en Firewall de Windows: Definir excepciones de programa.

Figura 11   Propiedades de Firewall de Windows: Definir excepciones de programa

Figura 11   Propiedades de Firewall de Windows: Definir excepciones de programa

2.

Haga clic en Habilitado y, a continuación, en Mostrar.

Figura 12   Mostrar contenido

Figura 12   Mostrar contenido
Ver imagen a tamaño completo

3.

Haga clic en Agregar.

Figura 13   Agregar elemento

Figura 13   Agregar elemento

4.

Anote la información del programa que desee bloquear o habilitar con esta sintaxis:

ruta:alcance:estado:nombre

En donde ruta es la ruta y nombre del archivo del programa, alcance puede ser * (para todos los sistemas) o una lista de los equipos que tienen permiso de acceso al programa, estado puede ser habilitado o deshabilitado y nombre es una cadena de texto usada como etiqueta para esta entrada.

Este ejemplo habilita Windows Messenger para todas las conexiones.

Para obtener más información sobre subredes y direcciones TCP/IP, consulte:

Artículo 164015 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=36370

5.

Haga clic en Aceptar para cerrar Agregar elemento.

Figura 14   Mostrar contenido

Figura 14   Mostrar contenido
Ver imagen a tamaño completo

6.

Haga clic en Aceptar para cerrar Mostrar contenido.

7.

Haga clic en Cerrar para cerrar Propiedades de Firewall de Windows: Definir excepciones de programa.

Configuración de las opciones básicas de ICMP

Para obtener más información sobre ICMP, consulte:

"Protocolo de mensajes de control de Internet (ICMP)" en el sitio Web de Microsoft Windows XP en http://go.microsoft.com/fwlink/?linkid=35499

Para configurar las opciones básicas de ICMP

1.

En el área de configuración de Perfil de dominio oestándar, haga doble clic en Firewall de Windows: Permitir excepciones ICMP.

2.

Haga clic en Habilitado.

                  Figura 15   Propiedades de Firewall de Windows: Permitir excepciones ICMP

Figura 15   Propiedades de Firewall de Windows: Permitir excepciones ICMP

3.

Seleccione las excepciones ICMP apropiadas para habilitarlas. Este ejemplo selecciona Permitir solicitud de eco entrante.

4.

Haga clic en Aceptar para cerrar las propiedades de Firewall de Windows: Permitir excepciones ICMP.

Registrar paquetes perdidos y conexiones correctas

Registro de paquetes perdidos y conexiones correctas

1.

En el área de configuración de Perfil de dominio o estándar, haga doble clic en Firewall de Windows: Permitir registro.

Figura 16   Propiedades de Firewall de Windows: Permitir registro

Figura 16   Propiedades de Firewall de Windows: Permitir registro

2.

Haga clic en Habilitado, seleccione Registrar paquetes perdidos y Registrar conexiones correctas, anote una ruta del archivo de registro y un nombre, y haga clic en Aceptar.

Nota: La ubicación en la que guarde su archivo de registro debe ser segura, para evitar que se borre o se altere el registro.

3.

Cierre el Editor de directivas de grupo.

4.

Si se le pide que guarde la configuración de la consola, haga clic en No.

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

Ejecución de GPUpdate

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 17   GPUpdate en una línea de comandos

Figura 17   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración del Firewall de Windows

Nota: Cuando utiliza una directiva de grupo para configurar el Firewall de Windows, las opciones podrían no permitir que los administradores locales cambien algunos elementos de la configuración. Algunas fichas y opciones en el cuadro de diálogo del Firewall de Windows no están disponibles en los equipos locales de los usuarios.

Para comprobar que se haya aplicado de la configuración del Firewall de Windows

1.

Desde Centro de seguridad, en Administrar la configuración de seguridad para, haga clic en Firewall de Windows.

2.

Haga clic en las fichas General, Excepciones y Opciones avanzadas y compruebe que la configuración deseada se aplica al Firewall de Windows en el equipo y luego haga clic en Aceptar para cerrar el Firewall de Windows.

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Configuración de las opciones de seguridad de Internet Explorer

En Windows XP SP2 es posible administrar todas las opciones de seguridad de Internet Explorer tanto para la configuración de usuario como para la del equipo con nuevas opciones de directivas de grupo.

Windows XP SP2 utiliza dos áreas principales de configuración de directivas:

Características de seguridad

Acciones de URL

La configuración de directivas de características de seguridad le permite administrar escenarios específicos que podrían afectar la seguridad de Internet Explorer. En la mayoría de los casos se desea prevenir un comportamiento específico; por lo tanto, deberá asegurarse de que la característica de seguridad esté habilitada. Por ejemplo, es posible que se ejecute un código malintencionado en la zona Equipo local, en lugar de en la zona Internet, que intente elevar sus propios permisos. Para ayudar a prevenir estos ataques, puede usar la opción de directiva Protección contra elevación de zona.

Para cada una de las opciones de directivas de las características de seguridad, es posible especificar las opciones de directivas que controlan el comportamiento de las características de seguridad a través de:

Procesos de Internet Explorer

Una lista de procesos definidos

Todos los procesos, sin importar dónde se hayan iniciado

Una acción de Uniform Resource Locator (URL) se refiere a una acción que un navegador puede emprender y que podría plantear un problema de seguridad para un equipo local, por ejemplo, el intento de ejecutar un subprograma de Java o un control de ActiveX. Las acciones de URL corresponden a la configuración de seguridad en el registro que identifica la acción para esa característica en la zona de seguridad en la que reside la dirección URL. Las opciones de acción de URL son habilitar, deshabilitar, preguntar y otros según sea adecuado.

Para proporcionar administración de la seguridad de acciones de URL en Internet Explorer se utilizan las nuevas directivas de grupo de la página de seguridad que se encuentran en el Panel de control Internet. Al utilizar las directivas de grupo para controlar la seguridad de las acciones de URL es posible crear configuraciones estándar de Internet Explorer para todos los usuarios y equipos en su empresa.

Para proporcionar seguridad, puede habilitar directivas para todas las zonas URL con la configuración de directivas de plantilla de zona de seguridad. Para cada una de las opciones de directivas de plantilla de acción de URL es posible especificar uno de los siguientes niveles de seguridad:

Bajo. Por lo general se usa para zonas de seguridad de URL que contengan sitios Web en los que el usuario confía por completo. Es el nivel de seguridad predeterminado para la zona Sitios de confianza.

Medio-bajo. Puede usarse para zonas de seguridad de URL que contengan sitios Web con una probabilidad baja de causar daño a su equipo o a su información. Es el nivel de seguridad predeterminado para la zona Intranet.

Medio. Podría usarse para zonas de seguridad de URL que contengan sitios Web en los que no se ha definido si se confía o no. Es el nivel de seguridad predeterminado para la zona Internet.

Alto. Se usa para zonas de seguridad de URL que contengan sitios Web que potencialmente podrían dañar los equipos o la información de los usuarios. Es el nivel de seguridad predeterminado para la zona Sitios restringidos.

Para obtener más información sobre los controles de las características de seguridad, consulte:

"Changes in Functionality in Microsoft Windows XP Service Pack 2" en el sitio Web de Microsoft TechNet en http://www.microsoft.com/technet/prodtechnol/winxppro/es/maintain/sp2chngs.mspx

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir un objeto de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Configuración de las opciones de seguridad de Internet Explorer

Para configurar las opciones de Internet Explorer

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione el objeto de directiva de grupo que desea configurar y haga clic en Aceptar y luego en Finalizar para salir del asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, y luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Plantillas administrativas, componentes de Windows, Internet Explorer y finalmente Características de seguridad.

Figura 18   Configuración de seguridad de directivas de grupo de Internet Explorer

Figura 18   Configuración de seguridad de directivas de grupo de Internet Explorer
Ver imagen a tamaño completo

9.

Utilice la información en la tabla 3 para configurar las opciones de seguridad de Internet Explorer.

Tabla 3   Configuración de características de seguridad de Internet Explorer

Configuración DescripciónConfiguración predeterminadaConfiguración recomendada para un entorno de empresa

Directiva de restricción de seguridad del comportamiento de binarios

Controla si las opciones de restricción de seguridad del comportamiento de binarios se permite o no

No configurado

Agregue cualquier comportamiento aprobado  para su empresa a la lista de comportamientos aprobados por el administrador con la notación #paquete#comportamiento

Restricción de seguridad del protocolo MK

Reduce el área vulnerable al evitar el uso del protocolo MK.

No configurado

Habilitado para todos los procesos

Seguridad de bloqueo de zona Equipo local

Ayuda a mitigar los ataques que utilizan la zona Equipo local para cargar código HTML malintencionado.

No configurado

Habilitado para todos los procesos

Administración de MIME consistente

Determina si Internet Explorer requiere que toda la información de tipo de archivo proporcionada por los servidores Web sea coherente

No configurado

Habilitado para todos los procesos

Característica de seguridad de examen de MIME

Determina si el examen de MIME de Internet Explorer previene la conversión de un archivo de un tipo a otro tipo de archivo más peligroso

No configurado

Habilitado para todos los procesos

Protección de almacenamiento de objetos

Define si la referencia a un objeto está accesible cuando el usuario se mueve dentro del mismo dominio o pasa a un dominio nuevo

No configurado

Habilitado para todos los procesos

Restricciones de seguridad de ventanas iniciadas por secuencias de comandos

Restringe las ventanas emergente y prohíbe que las secuencias de comandos desplieguen ventanas en las que no se vea la barra de título y de estado o que puedan modificar otras barras de título y estado

No configurado

Habilitado para todos los procesos

Protección contra elevación de zona

Ayuda a proteger la zona de seguridad del equipo local

No configurado

Habilitado para todos los procesos

Barra de información

Decide si se muestra la barra de información en los procesos de Internet Explorer cuando las instalaciones de archivos o código están restringidas

No configurado

Habilitado para todos los procesos

Limitar la instalación de ActiveX

Le permite bloquear la instalación de controles de ActiveX® en procesos de Internet Explorer

No configurado

Habilitado para todos los procesos

Limitar la descarga de archivos

Le permite bloquear las descargas de archivos que no inicia el usuario

No configurado

Habilitado para todos los procesos

Administración de complementos

Le permite asegurar que se niegue el acceso a cualquier complemento de Internet Explorer que no se encuentre en las opciones de directivas de la lista de complementos

No configurado

Habilitado para todos los complementos, a menos que se permita específicamente en la lista de complementos

Bloqueo del protocolo de red

Especifica una lista de protocolos restringidos para las zonas de seguridad Internet, Intranet, Sitios de confianza, Sitios restringidos y Equipo local

No configurado

Habilita protocolos específicos para cada zona de seguridad

10.

Expandir el Panel de control Internet

Figura 19   Configuración del panel de control Internet

Figura 19   Configuración del panel de control Internet
Ver imagen a tamaño completo

11.

Habilite cada opción para evitar que los usuarios tengan acceso a las páginas de configuración enumeradas de Internet Explorer. Para ello, haga doble clic en cada opción, haga clic en Habilitado y, a continuación, haga clic en Aceptar.

12.

Expandir la Página seguridad.

Figura 20   Configuración de la página seguridad del panel de control Internet

Figura 20   Configuración de la página seguridad del panel de control Internet
Ver imagen a tamaño completo

13.

Hay dos maneras de configurar zonas de seguridad; puede utilizar plantillas o elegir cada opción por zona.
Puede:

Utilizar la información en la tabla 4 para usar las plantillas de zona para configurar cada zona de seguridad. Haga doble clic en cada opción de plantilla y, a continuación, haga clic en Habilitado.

O bien

Utilizar la información en la tabla 5 para configurar por separado cada zona seguridad.

Tabla 4   Opciones de panel de control Internet por zona de seguridad

Configuración Configuración recomendadaNivel recomendado

Plantilla de zona Internet

Habilitado

Medio

Plantilla de zona intranet

Habilitado

Medio-bajo

Plantilla de zona Sitios de confianza

Habilitado

Bajo

Plantilla de zona Sitios restringidos

Habilitado

Alto

Plantilla de zona Equipo local

Habilitado

Bajo

Plantilla de zona Equipo local bloqueado

Habilitado

Alto

Tabla 5   Configuración del panel de control Internet por zona de seguridad

Configuración DescripciónConfiguración predeterminada

Descargar controles de ActiveX firmados

Administra las descargas de controles ActiveX firmados de la zona URL de la página HTML que contiene el control.

No configurado

Descargar controles de ActiveX sin firmar

Administra las descargas de controles ActiveX sin firmar de la zona URL de la página HTML que contiene el control.

No configurado

Inicializar y activar la secuencia de comandos de los controles de ActiveX no marcados como seguros

Administra la ejecución de los controles y complementos ActiveX de las páginas HTML en la zona.

No configurado

Ejecutar controles y complementos de ActiveX

Determina si se ha pasado por alto la seguridad de objeto de control de ActiveX o si se ha aplicado en páginas en la zona de seguridad de URL. Sólo debe pasarse por alto la seguridad de objeto si todos los controles y complementos de ActiveX que pudieran interactuar con ellos en las páginas en la zona son de confianza y no atentan contra la seguridad. se trata de un agregado de URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY y URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY.

No configurado

Permitir active scripting

Determina si se está ejecutando o no código de secuencias de comandos en las páginas de la zona de seguridad de URL.

No configurado

Automatización de los subprogramas de Java

Determina si el código de secuencias de comandos en las páginas HTML en la zona de seguridad de URL tiene permiso o no para utilizar subprogramas Java si las propiedades, métodos y sucesos del subprograma están expuestos a las secuencias de comandos.

No configurado

Activar la secuencia de comandos de los controles de ActiveX marcados como seguros

Determina si pueden usarse secuencias de comandos para controles ActiveX seguros

No configurado

Acceso a fuentes de datos a través de diversos dominios

Determina si el recurso tiene permiso para acceder a las fuentes de datos en varios dominios.

No configurado

Permitir operaciones de pegado por medio de secuencias de comandos

Determina si las secuencias de comandos pueden realizar operaciones de pegado.

No configurado

Enviar los datos no cifrados del formulario

Determina si están permitidos los formularios HTML en las páginas de la zona de seguridad de URL o enviados a los servidores en la zona. Agregado de los indicadores URLACTION_HTML_SUBMIT_FORMS_FROM y URLACTION_HTML_SUBMIT_FORMS_TO.

No configurado

Permitir la descarga de fuentes

Determina si están permitidas las descargas de fuentes HTML.

No configurado

Persistencia de los datos del usuario

Determina si está habilitada la persistencia de los datos del usuario.

No configurado

Desplazar subtramas a través de dominios distintos

Determina si las subtramas tienen permiso para moverse entre diversos dominios.

No configurado

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

Ejecución de GPUpdate

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 21   GPUpdate en una línea de comandos

Figura 21   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración de seguridad de Internet Explorer

Nota: Cuando utiliza una directiva de grupo para configurar Internet Explorer, las opciones podrían no permitir que los administradores locales cambien algunos elementos de la configuración. Algunas fichas y opciones en el cuadro de diálogo no están disponibles en los equipos locales de los usuarios.

Cómo verificar que se haya aplicado la configuración de seguridad de Internet Explorer

Para comprobar que se haya aplicado de la configuración de Internet Explorer

1.

Desde Centro de seguridad, en Administrar la configuración de seguridad para, haga clic en Opciones de Internet.

2.

Haga clic en las fichas Seguridad, Privacidad y Opciones avanzadas y compruebe que la configuración deseada se aplique a Internet Explorer en el equipo y luego haga clic en Aceptar para cerrar Propiedades de Internet.

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Configuración de las opciones de administración de comunicaciones de Internet

Windows XP SP2 proporciona nuevas opciones de directivas de grupo que están diseñadas principalmente para controlar la forma en que los componentes de Windows XP SP2 se comunican con Internet. Las opciones de directivas de grupo le permiten:

Hacer pedidos de impresiones de fotografías en línea

Usar espacio de almacenamiento en línea

Publicar en la Web

En Windows XP SP2, los usuarios pueden hacer clic en tareas en Windows Explorer para hacer pedidos de impresión de fotografías en línea (Asistente de impresión en línea), inscribirse en un servicio que ofrezca espacio de almacenamiento en línea (Asistente para añadir un sitio de red) o publicar archivos que puedan verse en un navegador (Asistente de publicación Web), además de realizar otras tareas. La tarea o el asistente obtiene los nombres y direcciones URL de estos proveedores de servicios de dos fuentes: una lista almacenada localmente (en el registro) y una lista almacenada en un sitio Web de Microsoft. De forma predeterminada, Windows muestra proveedores de una lista en el sitio Web de Microsoft, además de los proveedores que aparecen en el registro.

Puede usar la siguiente configuración de directivas de grupo para controlar la manera en que estos asistentes y tareas trabajan, y para controlar la forma en que se comunican con Internet:

Desactivar la tarea "Publicar en Web" para archivos y carpetas. Esta configuración de directiva especifica si las tareas que se requieren para publicar elementos en la Web están disponibles en Tareas de archivo y carpeta en las carpetas de Windows. Las tareas son Publicar este archivo en Web, Publicar esta carpeta en Web y Publicar los elementos seleccionados en Web.

Desactivar descargas de Internet en los asistentes para la publicación en Web y para pedidos en línea. Esta configuración de directivas especifica si Windows debe descargar una lista de proveedores para el Asistente de publicación Web, el Asistente para añadir un sitio de red y el Asistente de impresión en línea. De forma predeterminada, Windows muestra los proveedores descargados desde un sitio Web de Windows, además de los proveedores especificados en el registro.

Desactivar la tarea de imágenes "Pedir copias fotográficas". Esta configuración de directiva especifica si la tarea Pedir copias fotográficas en línea está disponible en Tareas de imágenes en las carpetas de Windows. Esta configuración deshabilita el Asistente de pedidos de impresión en línea.

Estas opciones de directivas están disponibles tanto para la configuración del usuario como del equipo.

Para obtener información sobre cómo controlar el uso del Asistente para agregar un sitio de red y del Asistente de publicación Web, consulte:

"Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet" en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?LinkId=35489

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir un objeto de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Configuración de las opciones de administración de comunicaciones de Internet

Para configurar las opciones de administración de comunicaciones de Internet

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione el objeto de directiva de grupo que desea configurar y haga clic en Aceptar y luego en Finalizar para salir del asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Plantillas administrativas, Sistema y finalmente Administración de comunicaciones de Internet.

Figura 22   Configuración de administración de comunicaciones de Internet

Figura 22   Configuración de administración de comunicaciones de Internet
Ver imagen a tamaño completo

9.

Configure el valor de Restringir comunicación de Internet a Deshabilitado para desactivar toda la configuración de Configuración de comunicaciones de Internet, o Habilitado para activar toda la configuración de Configuración de comunicaciones de Internet.

10.

Para configurar cada valor individualmente, expanda Configuración de comunicaciones de Internet y luego utilice la tabla 6 para configurar los valores.

Tabla 6   Opciones de comunicación de Internet recomendadas

Configuración DescripciónConfiguración recomendada

Desactivar la tarea Publicar en web para archivos y carpetas.

Especifica si las tareas, Publicar este archivo en Web, Publicar esta carpeta en Web y Publicar los elementos seleccionados en Web están disponibles en las Tareas de archivo y carpeta en las carpetas de Windows

Habilitado

Desactivar descargas de Internet en los asistentes para la publicación en Web y para pedidos en línea

Controla si Windows descarga o no una lista de proveedores para los asistentes de publicación Web y de pedidos en línea

Habilitado

Desactivar el Programa para la mejora de la experiencia del cliente de Windows Messenger

Programa

Especifica si Windows Messenger reúne o no información anónima acerca de cómo se utiliza el software y el servicio de Windows Messenger

Habilitado

Desactivar la actualización de archivos de contenido del Asistente para búsqueda

Especifica si el Asistente para búsqueda debe descargar o no automáticamente las actualizaciones de contenido durante las búsquedas locales y en Internet

Habilitado

Desactivar impresión a través de HTTP

Le permite deshabilitar la impresión por HTTP de este cliente

Habilitado

Desactivar la descarga de controladores de impresión a través de HTTP

Controla si el equipo puede descargar paquetes de controladores de impresión por HTTP

Habilitado

Desactivar la búsqueda de controladores de dispositivo en Windows Update

Especifica si Windows busca en Windows Update controladores de dispositivos cuando no hay controladores locales para un determinado dispositivo

Deshabilitado

Nota: La tabla 6 incluye todas las opciones recomendadas para comunicaciones de Internet.

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

GPUpdate en ejecución

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 23   GPUpdate en una línea de comandos

Figura 23   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración de administración de comunicaciones de Internet

Para comprobar que se haya aplicado la configuración de administración de comunicaciones de Internet

1.

Haga clic en Inicio y, a continuación, en Mis imágenes.

2.

Comprobar en Tareas de imágenes que Pedir copias fotográficas en línea no aparezca.

3.

Comprobar en Tareas de archivo y carpeta que Publicar esta carpeta en Web no aparezca.

4.

Cerrar Mis imágenes.

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Configuración de las opciones de acceso DCOM

El Modelo de objetos componentes (COM) de Microsoft es un sistema para crear aplicaciones de software que puedan interactuar. DCOM permite que estas aplicaciones se distribuyan entre las diversas ubicaciones. El protocolo DCOM en línea proporciona una compatibilidad transparente a las comunicaciones entre componentes COM.

Nota: Para obtener más información sobre la seguridad DCOM, consulte:

Best Practices for Mitigating RPC and DCOM Vulnerabilities” en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=36371

Muchas aplicaciones COM incluyen algunos códigos de seguridad específicos pero utilizan una configuración débil y con frecuencia permiten accesos no autenticados entre componentes. En Windows XP SP2 se ha realizado un cambio en COM para proporcionar al equipo controles amplios de acceso que rigen el acceso a cualquier llamada, activación o solicitud de ejecución en el equipo. Windows XP SP2 le proporciona un estándar mínimo de autorización que debe superarse para tener acceso a cualquier servidor COM en el equipo.

Nota: Para obtener más información sobre las revisiones de COM en Windows XP SP2, consulte:

Com+ fixes in Windows XP Service Pack 2” en http://support.microsoft.com/default.aspx?scid=kb;es-es;838211

Las listas de control de acceso (ACL) de todo el equipo se comprueban en cada solicitud DCOM. Si la comprobación falla, la solicitud se rechaza. Existe una ACL de todo el equipo para:

Permisos de inicio y activación. Controlan la autorización para iniciar un servidor COM durante la activación COM si el servidor no está ejecutándose ya; tienen cuatro derechos de acceso:

Ejecución local

Ejecución remota

Activación local

Activación remota

Permisos de acceso. Controlan la autorización para llamar a un servidor COM que ya está ejecutándose; tienen dos derechos de acceso:

Llamadas locales

Llamadas remotas

Nota: Un mensaje COM local llega a través de una llamada local, mientras que un mensaje COM remoto llega a través de una llamada remota.

Los permisos pueden configurarse a través de Microsoft Management Console (MMC) para servicios de componentes y proporcionan un estándar mínimo de seguridad que debe superarse, sin importar la configuración específica de la aplicación del servidor COM.

Nota: De forma predeterminada, el Firewall de Windows bloquea este complemento MMC en un equipo con Windows XP SP2; si recibe una alerta de seguridad relacionada, debe hacer clic en desbloquear.

La configuración de restricciones predeterminada en un equipo con Windows XP SP2 se muestra en la tabla 7.

Tabla 7   Restricciones de control de acceso DCOM predeterminadas

PermisoAdministradorTodosAnónimo

Ejecución y activación

Ejecución local

Activación local

Ejecución remota

Activación remota

Ejecución local

Activación local

No hay permisos establecidos

Acceso

No hay permisos establecidos

Llamada local

Llamada remota

Llamada local

La configuración predeterminada habilita todos los escenarios locales para que funcionen sin modificar el software ni el sistema operativo. La configuración predeterminada también habilita la mayoría de los escenarios de clientes COM y deshabilita las activaciones remotas por parte de usuarios sin derechos de administrador en servidores COM instalados.

Si pone en funcionamiento un servidor COM y pretende que sea compatible con activaciones remotas por parte de un cliente COM que no sea el administrador o con llamadas remotas no autenticadas, entonces debe cambiar la configuración predeterminada de esta característica.

Nota:  Aunque este documento explica cómo modificar la configuración predeterminada, si lo hace podría incrementar la vulnerabilidad de su equipo a los ataques.

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir un objeto de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Configuración de las opciones DCOM

Para configurar las opciones DCOM

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione el objeto de directiva de grupo que desea configurar y haga clic en Aceptar y luego en Finalizar para salir del asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, Opciones de seguridad.

Figura 24   Opciones de seguridad

Figura 24   Opciones de seguridad
Ver imagen a tamaño completo

9.

Haga doble clic en DCOM: sintaxis Equipo inicia restricciones en lenguaje de definición de descriptores de seguridad (SDDL).

Nota: Para obtener más información sobre SDDL, consulte:

"Lenguaje de definición de descriptores de seguridad" en el sitio Web de MSDN en http://go.microsoft.com/fwlink/?linkid=35503

Figura 25   DCOM: sintaxis Equipo inicia restricciones

Figura 25   DCOM: sintaxis Equipo inicia restricciones

10.

Haga clic en Modificar seguridad.

Figura 26   Permisos de acceso

Figura 26   Permisos de acceso

11.

Para otorgar acceso a todos sus equipos para usuarios específicos de aplicaciones DCOM en la empresa, haga clic en Agregar.

Figura 27   Selección de usuarios, equipos o grupos

Figura 27   Selección de usuarios, equipos o grupos

12.

Especifique el nombre de usuario y haga clic en Aceptar.

13.

Haga clic en Aceptar para cerrar el cuadro de diálogo de Permisos de acceso y luego haga clic en Aceptar para cerrar el cuadro DCOM: sintaxis Equipo inicia restricciones en lenguaje de definición de descriptores de seguridad (SDDL).

14.

Haga doble clic en DCOM: sintaxis Equipo inicia restricciones en lenguaje de definición de descriptores de seguridad (SDDL) y luego haga clic en Modificar seguridad. Para lograr la ejecución o activación de permisos a todos sus equipos para usuarios específicos de aplicaciones DCOM en la empresa, haga clic en Agregar.

15.

Especifique el nombre de usuario y haga clic en Aceptar.

16.

Haga clic en Aceptar para cerrar el cuadro de diálogo de Permisos de acceso y luego haga clic en Aceptar para cerrar el cuadro DCOM: sintaxis Equipo inicia restricciones en lenguaje de definición de descriptores de seguridad (SDDL).

17.

Cierre la consola.

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

Ejecución de GPUpdate

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 28   GPUpdate en una línea de comandos

Figura 28   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración de seguridad DCOM

Para verificar que se haya aplicado la configuración DCOM

1.

Haga clic en Inicio y, a continuación, en Panel de control.

2.

Haga clic en Rendimiento y mantenimiento.

3.

En ...o elija un icono de Panel de control, haga clic en Herramientas administrativas.  

4.

En Herramientas administrativas, haga doble clic en Servicios de componentes.

5.

En la consola de Servicios de componentes haga doble clic en Servicios de componentes, haga doble clic en Equipos y, a continuación, haga clic con el botón derecho en Mi PC y seleccione Propiedades.  

6.

Haga clic en Seguridad COM, en los botones Modificar predeterminados y compruebe que la configuración deseada de DCOM se haya aplicado; luego haga clic en Aceptar para cerrar Seguridad COM.

7.

Cierre Servicios de componentes y luego cierre Herramientas administrativas.

8.

Cierre el Panel de control.

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Configuración de las opciones de RPC

Windows XP SP2 incluye cambios al servicio RPC que están diseñados para ayudar a que las interfaces RPC sean más seguras de forma predeterminada y se reduzca la superficie de ataque en Windows XP. Se añadieron dos nuevas opciones de directivas:

Restricciones para clientes RPC no autenticados. Estas opciones de directivas le permitirán modificar el comportamiento de todas las interfaces RPC en el sistema y, de forma predeterminada, eliminar el acceso anónimo remoto a las interfaces RPC en el sistema, con algunas excepciones.

Autenticador de clientes del asignador de extremos de RPC. Esta opción de directiva le permite dirigir a los clientes RPC que deben comunicarse con el servicio de asignación de extremos para llevar a cabo la autenticación, siempre que la llamada RPC para la que se tiene que resolver el extremo cuente con información de autenticación.  

Cuando exige que las llamadas RPC lleven a cabo un proceso de autenticación, incluso un nivel relativamente bajo de autenticación puede ayudar a proteger una interfaz de los ataques. Esto es particularmente útil en contra de gusanos, que aprovechan las vulnerabilidades de saturación de búfer que pueden invocarse de manera remota usando conexiones anónimas.

Para obtener más información sobre la seguridad de RPC, consulte:

Best Practices for Mitigating RPC and DCOM Vulnerabilities” en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=36371

Requisitos para realizar esta tarea

Credenciales: Debe iniciar la sesión en un equipo con Windows XP SP2 que sea cliente de dominio de Active Directory, como miembro del grupo de seguridad de Administradores de dominio y abrir un objeto de directivas de grupo.

Herramientas: Microsoft Management Console (MMC) con el complemento Editor de objetos de directiva de grupo instalado.

Configuración de las opciones de RPC

Si habilita la configuración de directivas de Restricciones para clientes RPC no autenticados, le será posible configurar Restricción de clientes sin autenticar del tiempo de ejecución RPC que desea aplicar, con una de las siguientes opciones:

Autenticado (Predeterminado). Esta opción únicamente permite la conexión de clientes RPC autenticados a servidores RPC que se ejecuten en el equipo en el que se aplica la configuración de directiva. Las interfaces que soliciten quedar exentas de esta restricción quedarán exentas. Esta opción representa el valor RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1).

Autenticado sin excepciones. Esta opción únicamente permite la conexión de clientes RPC autenticados a servidores RPC que se ejecuten en el equipo en el que se aplica la configuración de directiva; no permite excepciones. Si selecciona esta opción, el sistema no podrá recibir llamadas remotas anónimas mediante RPC; esto proporciona el más alto nivel de seguridad. Esta opción representa el valor RPC_RESTRICT_REMOTE_CLIENT_HIGH (2).

Ninguna. Esta opción permite la conexión de todos los clientes RPC a servidores RPC que se ejecuten en el equipo en el que se aplica la directiva. Si selecciona esta opción, el sistema omite la nueva restricción de interfaz RPC. Esta opción es equivalente al comportamiento RPC en versiones anteriores de Windows. Esta opción representa el valor RPC_RESTRICT_REMOTE_CLIENT_NONE (0).

Cuando habilita la configuración de la directiva Autenticación de clientes del asignador de extremos de RPC, los clientes RPC deben comunicarse con el servicio de asignación de extremos para llevar a cabo la autenticación, siempre que la llamada RPC para la que se tiene que resolver el extremo cuente con información de autenticación.

Cuando deshabilita la configuración de la directiva Autenticación de clientes del asignador de extremos de RPC, los clientes RPC que deben comunicarse con servicio de asignación de extremos no llevan a cabo la autenticación. El servicio de asignación de extremos en equipos con sistemas operativos Microsoft Windows NT® 4.0 no puede procesar la información de autenticación que se proporciona de esta manera. Esto significa que si usted habilita esta configuración en un equipo cliente, ese cliente no podrá comunicarse con un servidor Windows NT 4.0 que utilice RPC si se necesita resolución de extremos.

Para configurar las opciones de RPC

1.

Desde el escritorio de Windows XP SP2, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

En la ficha Independiente, haga clic en Agregar.

4.

En la lista de Complementos independientes disponibles, encuentre y haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.

5.

En el cuadro de diálogo Seleccionar objeto de directiva de grupo, haga clic en Examinar.

6.

Seleccione de la lista los objetos de directiva de grupo que desee configurar. Haga clic en Aceptar y, a continuación, haga clic en Finalizar para cerrar el Asistente para directivas de grupo.

7.

Haga clic en Cerrar para salir del cuadro de diálogo Agregar un complemento independiente, y luego haga clic en Aceptar para salir del cuadro de diálogo Agregar o quitar complemento y volver a la consola de administración.

8.

En el árbol de la consola, abra Configuración del equipo, Plantillas administrativas, Sistema y finalmente Llamada a procedimiento remoto.

Figura 29   Configuración RPC

Figura 29   Configuración RPC
Ver imagen a tamaño completo

9.

Utilice la información de configuración anterior y haga doble clic en Restricciones para clientes RPC no autenticados, haga clic en Habilitado, seleccione Autenticado sin excepciones y haga clic en Aceptar.

10.

Utilice la información de configuración anterior y haga doble clic en Autenticación de clientes del asignador de extremos de RPC, haga clic en Habilitado y seleccione Aceptar.

11.

Cierre el objeto de directiva de grupo.

Aplicación de configuración con GPUpdate

La utilidad GPUpdate actualiza la configuración de directivas de grupo basadas en Active Directory, que incluye la configuración de seguridad. Después de configurar las directivas de grupo, puede esperar a que la configuración se aplique a los equipos cliente a través de los ciclos estándar de actualización. De forma predeterminada, estos ciclos de actualización se realizan cada 90 minutos, con una compensación aleatoria de más o menos 30 minutos.

Para actualizar las directivas de grupo entre ciclos estándar utilice la utilidad GPUpdate.

Ejecución de GPUpdate

Para ejecutar GPUpdate

1.

Desde el escritorio de Windows XP, haga clic en Inicio y, continuación, en Ejecutar.

2.

En el cuadro Abrir, escriba cmd y haga clic en Aceptar.

Nota: Para obtener una descripción completa de las opciones disponibles cuando se utiliza GPUpdate, consulte:

Artículo 298444 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35504

3.

En el símbolo del sistema, escriba GPUpdate y presione ENTRAR.

Figura 30   GPUpdate en una línea de comandos

Figura 30   GPUpdate en una línea de comandos
Ver imagen a tamaño completo

4.

Para cerrar el símbolo del sistema, escriba Exit y presione ENTRAR.

Cómo verificar que se haya aplicado la configuración RPC

Este procedimiento contiene información acerca de cómo modificar el registro. Antes de hacer cambios en el registro, asegúrese de tener una copia de seguridad y de que comprende cómo restaurar el registro si surge un problema. Para obtener información acerca de cómo hacer una copia de seguridad, recuperar y modificar el registro, consulte:

Artículo 256986 de Microsoft Knowledge Base en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35500

Cómo verificar que se haya aplicado la configuración RPC

Para verificar que se haya aplicado la configuración RPC

1.

Haga clic en Inicio y, a continuación, en Ejecutar.

2.

Escriba Regedit y haga clic en Aceptar.

3.

En el Editor del registro, haga doble clic en HKEY_LOCAL_MACHINE y después vuelva a hacer doble clic en SOFTWARE\Directivas\Microsoft\Windows NT\Rpc.  

4.

Compruebe que existen las siguientes entradas en el Registro:

EnableAuthEPResolution REG_DWORD 0x000000001

RestrictRemoteClientsIn REG_DWORD 0x000000002

5.

Cierre el editor del Registro.

Nota: Si sus opciones de configuración no se aplican, deberá buscar el problema en la aplicación de las directivas de grupo. Para solucionar problemas de la aplicación de directivas de grupo, consulte:

"Troubleshooting Group Policy in Windows Server 2003" en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35481

Información relacionada

Para obtener más información acerca de la protección de redes de Windows XP SP2, consulte:

"Changes to Functionality in Microsoft Windows XP Service Pack 2, Part 2: Network Protection Technologies" en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=35486

"Managing Windows XP Service Pack 2 Features Using Group Policy" en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=35485

"Recommendations for managing Group Policy administrative template (.adm) files" en el sitio Web de ayuda y soporte técnico de Microsoft en http://go.microsoft.com/fwlink/?linkid=35502

Para obtener más información acerca de la seguridad de Windows XP SP2, consulte:

"Windows XP Security Guide, Updated for Service Pack 2" en el sitio Web del centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=35309

"Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2" en el sitio Web de Microsoft TechNet http://go.microsoft.com/fwlink/?linkid=35465

"Using Group Policy to Deploy Windows XP Service Pack 2 (SP2)" en el sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=35501

Para obtener definiciones de términos relacionados con la seguridad, consulte:

"Glosario de seguridad de Microsoft" en el sitio Web de Microsoft en http://www.microsoft.com/spain/technet/seguridad/recursos/glosario/glossary_A.asp



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft