Product Documentation

Seguridad

Sep 19, 2016

Este artículo describe los procedimientos necesarios para asegurarse de que los componentes del Autoservicio de restablecimiento de contraseñas se implementan y se configuran de forma segura.

  • Configurar los parámetros de Internet Information Services (IIS)
  • Crear una cuenta de usuario de dominio con permiso para el restablecimiento de contraseñas y desbloqueo de cuentas de usuario
  • Configurar los parámetros de firewall

Configurar los parámetros de Internet Information Services (IIS)

Utilice el siguiente procedimiento para asegurarse de que el sitio IIS MPMService está configurado de forma segura.

  1. Después de instalar el servicio de Autoservicio de restablecimiento de contraseñas, haga clic en el sitio Web MPMService en el Administrador de IIS. En Autenticación, seleccione Autenticación de Windows y, a continuación, Configuración avanzada y Proveedores.

a.  El descifrado del tiquet de servicio de Kerberos falla si está habilitada la autenticación en modo kernel. Para configurar Kerberos para el sitio, deje sin marcar la casilla Habilitar la autenticación de modo kernel en la pantalla Configuración avanzada, para dar respaldo a Kerberos.

b.  En la pantalla Proveedores, agregue la opción Negociar: Kerberos en la sección Proveedores disponibles. Quite los demás proveedores de la lista Proveedores habilitados.

localized image
localized image

2. En el panel de la izquierda del Administrador de IIS, haga clic en el sitio Web MPMService. En Configuración de SSL, habilite Requerir SSL.

Crear una cuenta de autoservicio

Si utiliza las funciones de Restablecimiento de contraseñas o Desbloqueo de cuentas del Autoservicio de restablecimiento de contraseñas, especifique una cuenta de autoservicio durante la configuración del servicio que el módulo utilizará para ejecutar dichas funciones. Asegúrese de que la cuenta tiene privilegios suficientes para estas tareas, pero le recomendamos que no use una cuenta del grupo de Administradores de dominio en implementaciones de producción. Los privilegios de cuenta recomendados son:

  • Miembro del dominio
  • Permiso de restablecimiento de contraseñas y desbloqueo de cuentas para los usuarios del dominio en cuestión

En Usuarios y equipos de Active Directory, cree el grupo o la cuenta de usuario que tenga los permisos para restablecer contraseñas de usuario y desbloquear cuentas de usuario.

  1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el dominio y, a continuación, haga clic en Delegar control en el menú contextual.
  2. Aparecerá el Asistente para delegación de control. En el cuadro de diálogo de Bienvenida, haga clic en Siguiente.
  3. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. En la lista, seleccione el grupo al que quiere dar permisos para desbloquear cuentas y luego haga clic en Aceptar. En el cuadro de diálogo Usuarios y grupos, haga clic en Siguiente.
  4. En el cuadro de diálogo Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar y, a continuación, haga clic en Siguiente.
  5. En el cuadro de diálogo Tipo de objeto de Active Directory , haga clic en Sólo los siguientes objetos en la carpeta > Objetos de usuario y, a continuación, haga clic en Siguiente.
  6. En el cuadro de diálogo Permisos, marque las casillas General y Específico de la propiedad. En la lista Permisos, marque las casillas Read lockoutTime , Write lockoutTime, Reset Password,Change Password, Read userAccountControl, Write userAccountControl, Read pwdLastSet, and Write pwdLastSet y después, haga clic en Siguiente.
  7. En el cuadro de diálogo Finalización del Asistente para delegación de control, haga clic en Finalizar.
     

Configurar los parámetros de firewall

El servidor de Autoservicio de restablecimiento de contraseñas y el servidor de almacén central son componentes que gestionan contraseñas de usuario, por lo que le recomendamos que implemente estos componentes dentro de una red de confianza y que solo sean accesibles para componentes muy concretos y también de confianza. Esta sección describe los pasos necesarios para asegurarse de que el Firewall de Windows esté configurado correctamente para estos servidores. También le recomendamos que configure la infraestructura de red existente de forma que estos servidores estén aislados del tráfico de red que no sea de confianza.

Después de completar estas configuraciones en la implementación, solo se puede acceder a los servidores de almacén central de Autoservicio de restablecimiento de contraseñas desde servidores de Autoservicio de restablecimiento de contraseñas que usen SMB (Server Message Block) y solo se puede acceder a los servidores de Autoservicio de restablecimiento de contraseñas desde servidores StoreFront con conexiones HTTPS.

Implementación de un recurso compartido de archivos remoto para Windows 2012 R2

localized image

Entorno

  • Implemente los componentes del Autoservicio de restablecimiento de contraseñas en servidores dedicados. No los implemente en el mismo servidor donde ya existan componentes de StoreFront o de Delivery Controller; de hacerlo, la configuración del firewall que se describe abajo podría bloquear el tráfico de StoreFront o del Controller.
  • No hay ningún proxy HTTP/HTTPS no transparente entre StoreFront y el servidor de Autoservicio de restablecimiento de contraseñas.

Si existe algún servidor proxy no transparente entre StoreFront y el servidor de Autoservicio de restablecimiento de contraseñas, configure el servidor de Autoservicio de restablecimiento de contraseñas para que solo se pueda acceder a él desde el servidor proxy en las reglas del firewall.

  • Las configuraciones de estos procedimientos se basan en las reglas predeterminadas de firewall de Windows.

Configurar el firewall para el almacén central del Autoservicio de restablecimiento de contraseñas

Después de completar esta configuración, solo se puede acceder al servicio SMB suministrado por el almacén central de Autoservicio de restablecimiento de contraseñas desde los servidores de Autoservicio de restablecimiento de contraseñas en tráfico de entrada, y el servidor del almacén central de Autoservicio de restablecimiento de contraseñas solo puede acceder al servicio ubicado en la red corporativa en tráfico de salida.

1. Abra el Administrador del servidor, y en el menú Herramientas en la barra de navegación superior, seleccione Firewall de Windows con seguridad avanzada.

2. En Firewall de Windows con seguridad avanzada, seleccione Propiedades de Firewall de Windows en el panel central. Existen tres perfiles de firewall: Dominio, Privado y Público. Seleccione la ficha Perfil de dominio. Asegúrese de que el Estado del firewall sea Activo, que el valor del parámetro Conexiones entrantes sea Bloquear y que el valor del parámetro Conexiones salientes sea Permitir.

localized image

3. Seleccione las fichas Perfil privado y Perfil público y asegúrese de que el Estado del firewall sea Activo y que tanto las Conexiones entrantes como las Conexiones salientes estén configuradas con la opción Bloquear. Aplique y guarde los cambios.

4. En la lista Reglas de entrada, seleccione Compartir archivos e impresoras (SMB de entrada) y asegúrese de que esta regla está Habilitada y que la Acción configurada es Permitir la conexión.

localized image

5. En las Propiedades de Compartir archivos e impresoras (SMB de entrada), abra la ficha Ámbito, elija Estas direcciones IP y agregue a la lista todas las direcciones IP de servidores de Autoservicio de restablecimiento de contraseñas. Por ejemplo, el servidor A de Autoservicio de restablecimiento de contraseñas (192.168.1.10) y el servidor B de Autoservicio de restablecimiento de contraseñas (192.168.1.11).

6. En Propiedades de Compartir archivos e impresoras (SMB de entrada), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.

7. Repita este procedimiento en las Reglas de entrada de Administración remota de servidores de archivos (SMB de entrada) y de Compartir archivos e impresoras (sesión NB de entrada).

Configurar el firewall para el servidor del Autoservicio de restablecimiento de contraseñas

Después de completar esta configuración, solo se puede acceder al servicio Web suministrado por los servidores de Autoservicio de restablecimiento de contraseñas desde los servidores StoreFront que usen HTTPS, y los servidores de Autoservicio de restablecimiento de contraseñas solo pueden acceder al servicio ubicado en la red corporativa.

1. Abra el Administrador del servidor, y en el menú Herramientas en la barra de navegación superior, seleccione Firewall de Windows con seguridad avanzada.

2. En Firewall de Windows con seguridad avanzada, seleccione Propiedades de Firewall de Windows en el panel central. Existen tres perfiles de firewall: Dominio, Privado y Público. Seleccione la ficha Perfil de dominio. Asegúrese de que el Estado del firewall sea Activo, que el valor del parámetro Conexiones entrantes sea Bloquear y que el valor del parámetro Conexiones salientes sea Permitir.  

localized image

3. Seleccione las fichas Perfil privado y Perfil público y asegúrese de que el Estado del firewall sea Activo y que tanto las Conexiones entrantes como las Conexiones salientes estén configuradas con la opción Bloquear. Aplique y guarde los cambios.

4. En la lista Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTP) y asegúrese de que esta regla está Habilitada y que la Acción configurada es Bloquear la conexión.

5. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTP), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.

6. En la lista Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTPS) y asegúrese de que esta regla está Habilitada y que la Acción configurada es Permitir la conexión.

localized image

7. En las Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTPS), abra la ficha Ámbito, elija Estas direcciones IP y agregue a la lista todas las direcciones IP de servidores StoreFront. Por ejemplo, StoreFront A (192.168.1.50) y StoreFront B (192.158.1.51).

8. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTPS), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.

Implementación de un recurso compartido de archivos local para Windows 2008 R2

Después de completar la configuración, cualquier acceso SMB desde un cliente remoto será bloqueado. Solo se podrá acceder al recurso compartido de archivos SMB desde el servicio local y solo se podrá acceder al servicio del Autoservicio de restablecimiento de contraseñas desde los servidores StoreFront que usen una conexión HTTPS.

1. Abra el Administrador del servidor, y en el menú Herramientas en la barra de navegación superior, seleccione Firewall de Windows con seguridad avanzada.

2. En Firewall de Windows con seguridad avanzada, seleccione Propiedades de Firewall de Windows en el panel central. Existen tres perfiles de firewall: Dominio, Privado y Público. Seleccione la ficha Perfil de dominio. Asegúrese de que el Estado del firewall sea Activo, que el valor del parámetro Conexiones entrantes sea Bloquear y que el valor del parámetro Conexiones salientes sea Permitir.

localized image

3. Seleccione las fichas Perfil privado y Perfil público y asegúrese de que el Estado del firewall sea Activo y que tanto las Conexiones entrantes como las Conexiones salientes estén configuradas con la opción Bloquear. Aplique y guarde los cambios.

4. En la lista Reglas de entrada, seleccione Nuevas reglas para crear una nueva regla de entrada. En el Asistente para nueva regla de entrada, seleccione Tipo de regla, elija Puerto como el tipo de la nueva regla y, a continuación, haga clic en Siguiente.

localized image

5. En el Asistente para nueva regla de entrada, seleccione Protocolo y puertos, elija TCP, elija Puertos locales específicos, introduzca 445 en el cuadro de texto, y haga clic en Siguiente

6. En el Asistente para nueva regla de entrada, seleccione Acción, elija Bloquear la conexión y haga clic en Siguiente.

7. En el Asistente para nueva regla de entrada, seleccione Perfil, elija Dominio, Privado y Público y haga clic en Siguiente.

8. En el Asistente para nueva regla de entrada, seleccione Nombre, introduzca un nombre y una descripción y haga clic en Siguiente.

9. En la lista Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTP) y asegúrese de que esta regla está Habilitada y que la Acción configurada es Bloquear la conexión.

localized image

10. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTP), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.

11. En la lista Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTPS) y asegúrese de que esta regla está Habilitada y que la Acción configurada es Permitir la conexión.

12. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTPS), vaya a la ficha Ámbito. En la sección Direcciones IP remotas, elija Estas direcciones IP y agregue a la lista todas las direcciones IP de servidores StoreFront. Por ejemplo, StoreFront A (192.168.1.13) y StoreFront B (192.158.1.14).

13. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTP), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.