Zona límiteBoundary Zone

Se aplica a:Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

En la mayoría de las organizaciones, algunos dispositivos deben poder recibir tráfico de red de dispositivos que no forman parte del dominio aislado y, por lo tanto, no pueden autenticarse.In most organizations, some devices must be able to receive network traffic from devices that are not part of the isolated domain, and therefore cannot authenticate. Para aceptar comunicaciones de dispositivos que no son de confianza, cree una zona límite dentro de su dominio aislado.To accept communications from untrusted devices, create a boundary zone within your isolated domain.

Los dispositivos de la zona límite son dispositivos de confianza que pueden aceptar solicitudes de comunicación tanto de otros dispositivos de miembros de dominio aislados como de dispositivos que no son de confianza.Devices in the boundary zone are trusted devices that can accept communication requests both from other isolated domain member devices and from untrusted devices. Los dispositivos de zona límite intentan autenticar cualquier solicitud entrante mediante IPsec, iniciando una negociación IKE con el dispositivo de origen.Boundary zone devices try to authenticate any incoming request by using IPsec, initiating an IKE negotiation with the originating device.

Los GPO que cree para la zona límite incluyen IPsec o reglas de seguridad de conexión que solicitan autenticación para las conexiones de red entrantes y salientes, pero no la requieren.The GPOs you build for the boundary zone include IPsec or connection security rules that request authentication for both inbound and outbound network connections, but do not require it.

Dado que estos dispositivos de zona límite pueden recibir comunicaciones entrantes no solicitadas de dispositivos que no son de confianza y usan texto sin formato, deben administrarse cuidadosamente y protegerse de otras maneras.Because these boundary zone devices can receive unsolicited inbound communications from untrusted devices that use plaintext, they must be carefully managed and secured in other ways. Mitigar este riesgo adicional es una parte importante de decidir si agregar un dispositivo a la zona límite.Mitigating this additional risk is an important part of deciding whether to add a device to the boundary zone. Por ejemplo, completar un proceso formal de justificación comercial antes de agregar cada dispositivo a la zona límite puede ayudar a garantizar que se minimice el riesgo adicional.For example, completing a formal business justification process before adding each device to the boundary zone can help ensure that the additional risk is minimized. En la siguiente ilustración se muestra un proceso de ejemplo que puede ayudar a tomar esta decisión.The following illustration shows a sample process that can help make such a decision.

diagrama de flujo de diseño

El objetivo de este proceso es determinar si el riesgo de agregar un dispositivo a una zona límite se puede mitigar a un nivel que lo haga aceptable para la organización.The goal of this process is to determine whether the risk of adding a device to a boundary zone can be mitigated to a level that makes it acceptable to the organization. En última instancia, si no se puede mitigar el riesgo, se debe denegar la pertenencia.Ultimately, if the risk cannot be mitigated, membership must be denied.

Debe crear un grupo en Active Directory que contenga los miembros de las zonas límite.You must create a group in Active Directory to contain the members of the boundary zones. La configuración y las reglas de la zona límite suelen ser muy similares a las del dominio aislado y puedes ahorrar tiempo y esfuerzo copiando esos GPO para que sirvan como punto de partida.The settings and rules for the boundary zone are typically very similar to those for the isolated domain, and you can save time and effort by copying those GPOs to serve as a starting point. La principal diferencia es que la regla de seguridad de conexión de autenticación debe establecerse para solicitar la autenticación para el tráfico entrante y saliente, en lugar de requerir la autenticación entrante y la solicitud de autenticación saliente como la usa el dominio aislado.The primary difference is that the authentication connection security rule must be set to request authentication for both inbound and outbound traffic, instead of requiring inbound authentication and requesting outbound authentication as used by the isolated domain.

La creación del grupo y cómo vincularlo a los GPO que aplican las reglas a los miembros del grupo se analizan en la sección Planeación de la implementación de directivas de grupo para sus zonas de aislamiento.Creation of the group and how to link it to the GPOs that apply the rules to members of the group are discussed in the Planning Group Policy Deployment for Your Isolation Zones section.

Configuración de GPO para servidores de zona límite que ejecutan al menos Windows Server 2008GPO settings for boundary zone servers running at least Windows Server 2008

El GPO de zona límite para dispositivos que ejecutan al menos Windows Server 2008 debe incluir lo siguiente:The boundary zone GPO for devices running at least Windows Server 2008 should include the following:

  • Configuración predeterminada de IPsec que especifica las siguientes opciones:IPsec default settings that specify the following options:

    1. Excluir todo el tráfico ICMP de IPsec.Exempt all ICMP traffic from IPsec.

    2. Algoritmo y métodos de seguridad de intercambio de claves (modo principal).Key exchange (main mode) security methods and algorithm. Le recomendamos que use al menos ELS4, AES y SHA2 en la configuración.We recommend that you use at least DH4, AES and SHA2 in your settings. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems.

    3. Combinaciones de algoritmos de protección de datos (modo rápido).Data protection (quick mode) algorithm combinations. Se recomienda no incluir DES o MD5 en ninguna configuración.We recommend that you do not include DES or MD5 in any setting. Se incluyen solo por compatibilidad con versiones anteriores de Windows.They are included only for compatibility with previous versions of Windows. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems..

      Si hay dispositivos NAT presentes en las redes, use la encapsulación ESP.If any NAT devices are present on your networks, use ESP encapsulation. Si los miembros de dominio aislados deben comunicarse con hosts de la zona de cifrado, asegúrese de incluir algoritmos que sean compatibles con los requisitos de las directivas de modo de cifrado.If isolated domain members must communicate with hosts in the encryption zone, ensure that you include algorithms that are compatible with the requirements of the encryption mode policies.

    4. Métodos de autenticación.Authentication methods. Incluya al menos la autenticación Kerberos V5 basada en dispositivos.Include at least device-based Kerberos V5 authentication. Si desea usar el acceso basado en usuarios a servidores aislados, también debe incluir la autenticación Kerberos V5 basada en el usuario como un método de autenticación opcional.If you want to use user-based access to isolated servers then you must also include user-based Kerberos V5 authentication as an optional authentication method. Del mismo modo, si alguno de los miembros de aislamiento de dominio no puede usar Kerberos V5, debe incluir la autenticación basada en certificados como un método de autenticación opcional.Likewise, if any of your domain isolation members cannot use Kerberos V5, you must include certificate-based authentication as an optional authentication method.

  • Las siguientes reglas de seguridad de conexión:The following connection security rules:

    • Una regla de seguridad de conexión que excluye de la autenticación a todos los dispositivos de la lista de exenciones.A connection security rule that exempts all devices on the exemption list from authentication. Asegúrese de incluir todos los controladores de dominio de Active Directory en esta lista.Be sure to include all your Active Directory domain controllers on this list. Escriba las direcciones de subred, si procede en su entorno.Enter subnet addresses, if applicable in your environment.

    • Una regla de seguridad de conexión, de Cualquier dirección IP a Cualquier dirección IP, que solicita la autenticación entrante y saliente.A connection security rule, from Any IP address to Any IP address, that requests inbound and outbound authentication.

  • Una directiva del Registro que incluye los siguientes valores:A registry policy that includes the following values:

    • Habilitar la detección de PMTU.Enable PMTU discovery. Si se habilita esta opción, TCP/IP puede determinar dinámicamente el tamaño de paquetes más grande admitido en una conexión.Enabling this setting allows TCP/IP to dynamically determine the largest packet size supported across a connection. El valor se encuentra en HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).The value is found at HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword). El archivo XML de preferencias de GPO de ejemplo del Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guía establece el valor en 1.The sample GPO preferences XML file in Appendix A: Sample GPO Template Files for Settings Used in this Guide sets the value to 1.

    Nota: Para obtener una plantilla de ejemplo para esta configuración del Registro, vea el Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guíaNote: For a sample template for these registry settings, see Appendix A: Sample GPO Template Files for Settings Used in this Guide

Siguiente: Zonade cifradoNext:Encryption Zone