Zona de cifradoEncryption Zone

Se aplica a:Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

Algunos servidores de la organización hospedan datos que son muy confidenciales, incluidos datos médicos, financieros u otros datos personales.Some servers in the organization host data that's very sensitive, including medical, financial, or other personal data. Las normativas gubernamentales o del sector pueden requerir que esta información confidencial se debe cifrar cuando se transfiere entre dispositivos.Government or industry regulations might require that this sensitive information must be encrypted when it is transferred between devices.

Para admitir los requisitos de seguridad adicionales de estos servidores, le recomendamos que cree una zona de cifrado que contenga los dispositivos y que requiera que el tráfico de red entrante y saliente confidencial esté cifrado.To support the additional security requirements of these servers, we recommend that you create an encryption zone to contain the devices and that requires that the sensitive inbound and outbound network traffic is encrypted.

Debe crear un grupo en Active Directory para que contenga miembros de la zona de cifrado.You must create a group in Active Directory to contain members of the encryption zone. La configuración y las reglas de la zona de cifrado suelen ser similares a las del dominio aislado, y puede ahorrar tiempo y esfuerzo copiando esos GPO para que sirvan como punto de partida.The settings and rules for the encryption zone are typically similar to those for the isolated domain, and you can save time and effort by copying those GPOs to serve as a starting point. A continuación, modifique la lista de métodos de seguridad para incluir solo combinaciones de algoritmos que incluyan protocolos de cifrado.You then modify the security methods list to include only algorithm combinations that include encryption protocols.

La creación del grupo y cómo vincularlo a los GPO que aplican las reglas a los miembros del grupo se analizan en la sección Planeación de la implementación de directivas de grupo para sus zonas de aislamiento.Creation of the group and how to link it to the GPOs that apply the rules to members of the group are discussed in the Planning Group Policy Deployment for Your Isolation Zones section.

Configuración de GPO para servidores de zona de cifrado que ejecutan al menos Windows Server 2008GPO settings for encryption zone servers running at least Windows Server 2008

El GPO para dispositivos que ejecutan al menos Windows Server 2008 debe incluir lo siguiente:The GPO for devices that are running at least Windows Server 2008 should include the following:

  • Configuración predeterminada de IPsec que especifica las siguientes opciones:IPsec default settings that specify the following options:

    1. Excluir todo el tráfico ICMP de IPsec.Exempt all ICMP traffic from IPsec.

    2. Algoritmo y métodos de seguridad de intercambio de claves (modo principal).Key exchange (main mode) security methods and algorithm. Le recomendamos que use al menos ELS4, AES y SHA2 en la configuración.We recommend that you use at least DH4, AES and SHA2 in your settings. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems.

    3. Combinaciones de algoritmos de protección de datos (modo rápido).Data protection (quick mode) algorithm combinations. Comprueba Requerir cifrado para todas las reglas de seguridad deconexión que usan esta configuración y, a continuación, especifica una o más combinaciones de integridad y cifrado.Check Require encryption for all connection security rules that use these settings, and then specify one or more integrity and encryption combinations. Se recomienda no incluir DES o MD5 en ninguna configuración.We recommend that you do not include DES or MD5 in any setting. Se incluyen solo por compatibilidad con versiones anteriores de Windows.They are included only for compatibility with previous versions of Windows. Usa las combinaciones de algoritmo más seguras que sean comunes a todos los sistemas operativos compatibles.Use the strongest algorithm combinations that are common to all your supported operating systems.

      Si hay dispositivos NAT presentes en las redes, use la encapsulación ESP.If any NAT devices are present on your networks, use ESP encapsulation..

    4. Métodos de autenticación.Authentication methods. Incluya al menos la autenticación Kerberos V5 basada en dispositivos.Include at least device-based Kerberos V5 authentication. Si desea usar el acceso basado en usuarios a servidores aislados, también debe incluir la autenticación Kerberos V5 basada en el usuario como un método de autenticación opcional.If you want to use user-based access to isolated servers then you must also include user-based Kerberos V5 authentication as an optional authentication method. Del mismo modo, si alguno de los miembros de aislamiento de dominio no puede usar la autenticación Kerberos V5, debe incluir la autenticación basada en certificados como un método de autenticación opcional.Likewise, if any of your domain isolation members cannot use Kerberos V5 authentication, then you must include certificate-based authentication as an optional authentication method.

  • Las siguientes reglas de seguridad de conexión:The following connection security rules:

    • Una regla de seguridad de conexión que excluye de la autenticación a todos los dispositivos de la lista de exenciones.A connection security rule that exempts all devices on the exemption list from authentication. Asegúrese de incluir todos los controladores de dominio de Active Directory en esta lista.Be sure to include all your Active Directory domain controllers on this list. Escriba las direcciones de subred, si procede en su entorno.Enter subnet addresses, if applicable in your environment.

    • Una regla de seguridad de conexión, desde cualquier dirección IP a cualquiera, que requiere autenticación entrante y de salida mediante la autenticación predeterminada especificada anteriormente en esta directiva.A connection security rule, from any IP address to any, that requires inbound and requests outbound authentication using the default authentication specified earlier in this policy.

      ImportanteImportant
      Asegúrese de comenzar las operaciones mediante el comportamiento de solicitud y solicitud de salida hasta que esté seguro de que todos los dispositivos de su entorno IPsec se comunican correctamente mediante IPsec.Be sure to begin operations by using request in and request out behavior until you are sure that all the devices in your IPsec environment are communicating successfully by using IPsec. Después de confirmar que IPsec funciona según lo esperado, puede cambiar el GPO para que lo requiera y solicitarlo.After confirming that IPsec is operating as expected, you can change the GPO to require in, request out.

  • Una directiva del Registro que incluye los siguientes valores:A registry policy that includes the following values:

    • Habilitar la detección de PMTU.Enable PMTU discovery. Si se habilita esta opción, TCP/IP puede determinar dinámicamente el tamaño de paquetes más grande admitido en una conexión.Enabling this setting allows TCP/IP to dynamically determine the largest packet size supported across a connection. El valor se encuentra en HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).The value is found at HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword). El archivo XML de preferencias de GPO de ejemplo del Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guía establece el valor en 1.The sample GPO preferences XML file in Appendix A: Sample GPO Template Files for Settings Used in this Guide sets the value to 1.

    Nota: Para obtener una plantilla de ejemplo para esta configuración del Registro, vea el Apéndice A: Archivos de plantilla de GPO de ejemplo para la configuración usada en esta guía.Note: For a sample template for these registry settings, see Appendix A: Sample GPO Template Files for Settings Used in this Guide.

  • Si los dispositivos de miembros del dominio deben comunicarse con dispositivos de la zona de cifrado, asegúrate de incluir en las combinaciones de modo rápido de GPO de dominio aislado que sean compatibles con los requisitos de los GPO de la zona de cifrado.If domain member devices must communicate with devices in the encryption zone, ensure that you include in the isolated domain GPOs quick mode combinations that are compatible with the requirements of the encryption zone GPOs.

Siguiente: Zonas de aislamiento de Planning ServerNext: Planning Server Isolation Zones