Restringir el acceso solo a dispositivos de confianzaRestrict access to only trusted devices

Se aplica aApplies to

  • Windows 10Windows10
  • WindowsServer2016Windows Server 2016

Es probable que la red de la organización tenga una conexión a Internet.Your organizational network likely has a connection to the Internet. Es probable que también tenga socios, proveedores o contratistas que adjunten a su red dispositivos que no pertenecen a su organización.You also likely have partners, vendors, or contractors who attach devices that are not owned by your organization to your network. Como no se administran esos dispositivos, no se puede confiar en que estén libres de software malintencionado, mantener las actualizaciones de seguridad más recientes o de ninguna manera en cumplimiento de las directivas de seguridad de su organización.Because you do not manage those devices, you cannot trust them to be free of malicious software, maintained with the latest security updates, or in any way in compliance with your organization's security policies. Estos dispositivos no fidedignos, tanto dentro como fuera de su red física, no deben tener permiso de acceso a los dispositivos de su organización, excepto donde sea realmente necesario.These untrustworthy devices both on and outside of your physical network must not be permitted to access your organization's devices except where it is truly required.

Para mitigar este riesgo, debe poder aislar los dispositivos en los que confía y restringir su capacidad de recibir tráfico de red no solicitado de dispositivos que no sean de confianza.To mitigate this risk, you must be able to isolate the devices you trust, and restrict their ability to receive unsolicited network traffic from untrusted devices. Al usar la seguridad de conexión y las reglas de firewall disponibles en firewall de Windows Defender con seguridad avanzada, puede aislar lógicamente los dispositivos de confianza si exige que se autentique todo el tráfico de red entrante no solicitado.By using connection security and firewall rules available in Windows Defender Firewall with Advanced Security, you can logically isolate the devices that you trust by requiring that all unsolicited inbound network traffic be authenticated. La autenticación asegura que cada dispositivo o usuario puede identificarse a sí mismo usando credenciales de confianza por el otro dispositivo.Authentication ensures that each device or user can positively identify itself by using credentials that are trusted by the other device. Las reglas de seguridad de conexión se pueden configurar para que usen IPsec con el protocolo KerberosV5 disponible en Active Directory, o los certificados emitidos por una entidad de certificación de confianza como el método de autenticación.Connection security rules can be configured to use IPsec with the KerberosV5 protocol available in Active Directory, or certificates issued by a trusted certification authority as the authentication method.

Nota

Dado que el método de autenticación principal recomendado para los dispositivos que ejecutan Windows es usar el protocolo KerberosV5 con la pertenencia a un dominio de Active Directory, esta guía hace referencia a esta separación lógica de equipos como aislamiento de dominio, incluso cuando los certificados se usan para extender la protección a dispositivos que no forman parte de un dominio de Active Directory.Because the primary authentication method recommended for devices that are running Windows is to use the KerberosV5 protocol with membership in an Active Directory domain, this guide refers to this logical separation of computers as domain isolation, even when certificates are used to extend the protection to devices that are not part of an Active Directory domain.

La protección proporcionada por el aislamiento de dominio puede ayudarle a cumplir con los requisitos normativos y legislativos, como los que se encuentran en la ley de administración de seguridad de la información federal de 2002 (FISMA), la ley Sarbanes-Oxley de 2002, la ley de portabilidad y responsabilidad de seguros de salud de 1996 (HIPAA) y otras regulaciones gubernamentales y de la industria.The protection provided by domain isolation can help you comply with regulatory and legislative requirements, such as those found in the Federal Information Security Management Act of 2002 (FISMA), the Sarbanes-Oxley Act of 2002, the Health Insurance Portability and Accountability Act of 1996 (HIPAA), and other government and industry regulations.

En la ilustración siguiente se muestra un dominio aislado, con una de las zonas que de forma opcional forman parte del diseño.The following illustration shows an isolated domain, with one of the zones that are optionally part of the design. Las reglas que implementan tanto el dominio aislado como las distintas zonas se implementan mediante la Directiva de grupo y Active Directory.The rules that implement both the isolated domain and the different zones are deployed by using Group Policy and Active Directory.

aislamiento de dominio

Estos objetivos, que corresponden al diseño de directiva de aislamiento del dominio y al diseño de directiva de aislamiento basado en certificados, proporcionan las siguientes ventajas:These goals, which correspond to Domain Isolation Policy Design and Certificate-based Isolation Policy Design, provide the following benefits:

  • Los dispositivos del dominio aislado aceptan el tráfico de red entrante no solicitado solo cuando se puede autenticar como proveniente de otro dispositivo en el dominio aislado.Devices in the isolated domain accept unsolicited inbound network traffic only when it can be authenticated as coming from another device in the isolated domain. Se pueden definir reglas de exención para permitir el tráfico entrante de equipos de confianza que, por algún motivo, no pueden realizar la autenticación IPsec.Exemption rules can be defined to allow inbound traffic from trusted computers that for some reason cannot perform IPsec authentication.

    Por ejemplo, Woodgrove Bank quiere que todos sus dispositivos bloqueen todo el tráfico de red entrante no solicitado desde cualquier dispositivo que no administre.For example, Woodgrove Bank wants all of its devices to block all unsolicited inbound network traffic from any device that it does not manage. Las reglas de seguridad de conexión implementadas en dispositivos miembro de dominio requieren autenticación como miembro de dominio o usando un certificado antes de que se acepte un paquete de red entrante no solicitado.The connection security rules deployed to domain member devices require authentication as a domain member or by using a certificate before an unsolicited inbound network packet is accepted.

  • Los dispositivos del dominio aislado aún pueden enviar tráfico de red saliente a dispositivos que no sean de confianza y recibir las respuestas a las solicitudes salientes.Devices in the isolated domain can still send outbound network traffic to untrusted devices and receive the responses to the outbound requests.

    Por ejemplo, Woodgrove Bank desea que los usuarios de los dispositivos cliente puedan obtener acceso a sitios web en Internet.For example, Woodgrove Bank wants its users at client devices to be able to access Web sites on the Internet. La configuración predeterminada de Firewall de Windows Defender para el tráfico de red saliente lo permite.The default Windows Defender Firewall settings for outbound network traffic allow this. No se necesitan reglas adicionales.No additional rules are required.

Estos objetivos también son compatibles con las zonas opcionales que se pueden crear para agregar protección personalizada para satisfacer las necesidades de los subconjuntos de los dispositivos de una organización:These goals also support optional zones that can be created to add customized protection to meet the needs of subsets of an organization's devices:

  • Los dispositivos de la "zona límite" están configurados para usar reglas de seguridad de conexión que soliciten pero no requieran autenticación.Devices in the "boundary zone" are configured to use connection security rules that request but do not require authentication. Esto les permite recibir tráfico de red entrante no solicitado de dispositivos que no son de confianza y también de recibir tráfico de los otros miembros del dominio aislado.This enables them to receive unsolicited inbound network traffic from untrusted devices, and also to receive traffic from the other members of the isolated domain.

    Por ejemplo, Woodgrove Bank tiene un servidor al que sus socios deben tener acceso a través de Internet.For example, Woodgrove Bank has a server that must be accessed by its partners' devices through the Internet. Las reglas que se aplican a los dispositivos de la zona límite usan la autenticación cuando el dispositivo cliente puede admitirla, pero no bloquea la conexión si el dispositivo cliente no puede autenticar.The rules applied to devices in the boundary zone use authentication when the client device can support it, but do not block the connection if the client device cannot authenticate.

  • Los dispositivos de la "zona de cifrado" requieren que todo el tráfico de red y salida se cifren para proteger el material potencialmente delicado cuando se envía a través de la red.Devices in the "encryption zone" require that all network traffic in and out must be encrypted to secure potentially sensitive material when it is sent over the network.

    Por ejemplo, Woodgrove Bank quiere que los dispositivos que ejecutan SQL Server transmitan únicamente datos cifrados para ayudar a proteger los datos confidenciales almacenados en esos dispositivos.For example, Woodgrove Bank wants the devices running SQL Server to only transmit data that is encrypted to help protect the sensitive data stored on those devices.

Los siguientes componentes son necesarios para este objetivo de implementación:The following components are required for this deployment goal:

  • ActiveDirectory: Active Directory admite la administración centralizada de las reglas de seguridad de conexión mediante la configuración de las reglas de uno o más GPO que se pueden aplicar automáticamente a todos los dispositivos relevantes del dominio.Active Directory: Active Directory supports centralized management of connection security rules by configuring the rules in one or more GPOs that can be automatically applied to all relevant devices in the domain.

Siguiente: requerir cifrado al obtener acceso a recursos de red confidencialesNext: Require Encryption When Accessing Sensitive Network Resources