Exportar (0) Imprimir
Expandir todo

Cambios en la funcionalidad en Microsoft Windows XP Service Pack 2 - Parte 2: Tecnologías de protección de red

Parte 2: Tecnologías de protección de red

Publicado en: Agosto 9 de 2004

Por Starr Andersen, Escritor Técnico; Vincent Abella, Editor Técnico

Este documento es la Parte 2 de “Cambios en la funcionalidad en Windows XP Service Pack 2” y proporciona información detallada sobre las tecnologías de protección a las redes que se incluyen en Microsoft® Windows XP Service Pack 2. Puede obtener las otras partes del documento en el Centro de Descarga de Microsoft, en http://go.microsoft.com/fwlink/?LinkId=28022.

Este documento aplica a Microsoft Windows® XP Service Pack 2 (SP2) para las versiones de 32 bits de Windows XP Professional y Windows XP Home Edition. No describe todos los cambios que se incluyen en el paquete de servicio, más bien destaca los cambios que tendrán un mayor impacto en el uso de Windows XP SP2 y proporciona referencias sobre la información adicional que puede estar disponible.

En esta página

Servicios de Alerter y Messenger Servicios de Alerter y Messenger
Herramientas administrativas del cliente Herramientas administrativas del cliente
Mejoras en la seguridad de DCOM Mejoras en la seguridad de DCOM
TCP/IP TCP/IP
Restricción de la interfaz RPC Restricción de la interfaz RPC
WebDAV Redirector WebDAV Redirector
Windows Firewall Windows Firewall
Windows Media Player Windows Media Player
Windows Messenger Windows Messenger
Servicios de aprovisionamiento inalámbrico Servicios de aprovisionamiento inalámbrico
Asistente para la configuración de la red inalámbrica Asistente para la configuración de la red inalámbrica

Servicios de Alerter y Messenger

¿Qué hacen los Servicios de Alerter y Messenger?

Los servicios de Alerter y Messenger son componentes de Windows que permiten la comunicación de mensajes simples entre los equipos en una red. El servicio de Messenger transmite mensajes desde diferentes aplicaciones y servicios, en tanto que el servicio de Alerter es específicamente para alertas de administración.

¿A quién aplica esta función?

Los administradores que se comunican con sus usuarios deberán conocer los cambios a estos servicios. Además, también deberán conocerlos los desarrolladores que utilizan dichos servicios para notificar a los usuarios acerca de eventos o mensajes de transmisión en la red. Aunque los cambios aplican a todos los equipos que ejecutan Microsoft Windows XP Service Pack 2, sólo se verán afectados aquéllos conectados a una red.

¿Qué funcionalidad existente cambia en Windows XP Service Pack 2?

Los servicios de Alerter y Messenger están deshabilitados

Descripción detallada

En las versiones previas de Windows, el servicio de Messenger está configurado para iniciar automáticamente y el servicio de Alerter lo está para el inicio manual. En Windows XP Service Pack 2, ambos servicios están configurados en Deshabilitado. No se han hecho otros cambios en estos servicios.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Cuando se inician los servicios, éstos permiten conexiones de red entrantes y presentan una superficie de ataque, lo que eleva el riesgo de su seguridad. Además, estos servicios se utilizan con poca frecuencia en los ambientes computacionales actuales. Debido al área de ataque adicional que presentan los servicios, y a su uso general limitado, ahora están deshabilitados de manera predeterminada.

¿Qué funciona diferente? ¿Hay alguna dependencia?

De manera predeterminada, no funcionarán todas las aplicaciones o servicios que utilicen los servicios de Alerter o Messenger para comunicarse con el usuario.

¿Cómo resuelvo estos problemas?

Hay dos posibles vías para resolver el problema. La solución recomendable es revisar el software y utilizar otro método para comunicarse con el usuario. Esto le permite comunicarse con el usuario con mayor seguridad, sin tener que utilizar los servicios de Alerter o Messenger.

La segunda vía es hacer que la aplicación inicie el servicio de Alerter o Messenger antes de utilizar sus servicios. Se puede obtener información sobre los servicios de inicio en la Ayuda en línea y en MSDN. Por ejemplo, consulte “Usar la herramienta de administración de servicios para configurar servicios” en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=25974.

¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?

Si su código utiliza los servicios de Messenger o Alerter, es posible que necesite cambiarlo. Para obtener mayores informes, consulte la sección anterior “¿Cómo resuelvo estos problemas?”.

Bluetooth

¿Qué hace Bluetooth?

La tecnología inalámbrica Bluetooth® es una especificación inalámbrica de corto alcance y de bajo costo para conectar dispositivos móviles; está disponible en una amplia variedad de dispositivos. El soporte para la tecnología inalámbrica Bluetooth se incluye en Windows XP Service Pack 2. Dicho soporte no estaba disponible antes directamente de Microsoft. Se incluye ahora porque los clientes solicitaron que se agregara esta tecnología en los sistemas operativos básicos de Windows.

Con esta versión, usted puede:

•    Conectar un dispositivo Bluetooth a su PC.

•    Crear un escritorio inalámbrico con un teclado y mouse Bluetooth.

•    Transferir archivos desde o hacia un dispositivo Bluetooth.

•    Imprimir a una impresora Bluetooth.

•    Conectarse a una red informática o a Internet a través de un teléfono móvil Bluetooth.

•    Configurar una conexión de Protocolo de Internet (IP) a Internet a través de un teléfono móvil Bluetooth.

Si están instalados los programas de software apropiados, sean de Microsoft o no, en Windows XP, usted también puede realizar otras operaciones con dispositivos Bluetooth, como:

•    Sincronizar contactos y calendarios con un teléfono móvil Bluetooth o un asistente digital personal (PDA).

•    Leer las coordenadas de un receptor GPS.

Esta versión también cuenta con soporte para los siguientes perfiles Bluetooth:

•    Redes de área personal (PAN). Habilita conexiones de IP sobre tecnologías inalámbricas Bluetooth.

•    Perfil de reemplazo de impresiones (HCRP). Habilita la impresión.

•    Dispositivo de interfaz del host (HID). Habilita teclados, mouse y joysticks Bluetooth.

•    Redes de marcación. Habilita los teléfonos móviles Bluetooth para que funcionen como módems.

•    Perfil de empuje de objeto (OPP). Habilita las transferencias de archivos.

•    Puertos COM virtuales (SPP). Habilita a los programas heredados para que se comuniquen con los dispositivos Bluetooth.

Además, se incluyen las siguientes funciones de Bluetooth:

•    Suspensión selectiva. Reduce el consumo de energía de los transceptores Bluetooth conectados al equipo por medio de una conexión del Bus Serial Universal (USB).

•    Teclados de modo de inicio. Habilita a los teclados Bluetooth específicamente configurados para que trabajen con el BIOS.

Si no hay un transceptor Bluetooth en el sistema, no hay ningún cambio en su comportamiento. Cuando hay un dispositivo Bluetooth que ha sido aprobado por Windows Hardware Quality Labs (WHQL), se habilita el soporte de Bluetooth.

Cuando está habilitado el soporte de Bluetooth, usted puede encontrar cambios en las Conexiones de red en el Panel de control. Además, también se ha agregado un nuevo elemento en el Panel de control denominado Dispositivos de Bluetooth. También encontrará el icono de Bluetooth en el área de notificación de la barra de tareas. Al hacer clic en este icono, verá un menú de las tareas de Bluetooth que puede realizar. También puede iniciar el nuevo Asistente para la transferencia de archivos de Bluetooth. Para ello, haga clic en Inicio, seleccione Accesorios, después Comunicaciones y después Asistente para la transferencia de archivos de Bluetooth.

Si está instalado un controlador Bluetooth que no sea de Microsoft, la actualización a Windows XP Service Pack 2 no hace que el controlador existente se reemplace. Se puede reemplazar posteriormente, ya sea en forma manual o programada.

Para obtener la documentación completa sobre Bluetooth en Windows XP Service Pack 2, consulte la Ayuda en línea.

Ir al principio de la página Ir al principio de la página

Herramientas administrativas del cliente

¿Qué hacen las herramientas administrativas del cliente?

Las herramientas administrativas del cliente son un conjunto de complementos de Microsoft Management Console (MMC) que le permiten administrar usuarios, equipos, servicios y otros componentes del sistema en PCs locales y remotos. Dos cuadros de diálogo generados por el sistema que utilizan estos complementos para la administración son Seleccionar usuarios , PCs o grupos y Encontrar usuarios , contactos y grupos. Seleccionar usuarios , PCs o grupos se utiliza al configurar las listas de control de acceso (ACLs) en una carpeta compartida, especificando un equipo remoto para redirigir un complemento o administrar usuarios y grupos locales. Encontrar usuarios , contactos y grupos se utiliza para buscar Active Directory en Mis sitios de red, encontrar una impresora en el Asistente para agregar impresoras y encontrar objetos en el directorio dentro de los complementos de Usuarios y PCs de Active Directory.

Ambos cuadros de diálogo se utilizan para encontrar y seleccionar objetos, como usuarios, PCs, impresoras y otros objetos principales de seguridad desde el equipo local o Active Directory. Aunque otras aplicaciones pueden utilizar estos cuadros de diálogo, sólo se cubren en esta sección los cambios en las herramientas administrativas del cliente que se enumeran en esta sección.

¿A quién aplican estas funciones?

Estas funciones aplican a los administradores que necesitan manejar Windows XP desde una ubicación remota utilizando las herramientas administrativas afectadas, las cuales se enumeran a continuación. No se ven afectados los administradores y usuarios que utilizan dichas herramientas para administrar el equipo local.

¿Qué funcionalidad existente cambia en Windows XP Service Pack 2?

Conectividad remota

Descripción detallada

Para que las herramientas administrativas aquí numeradas se conecten a un equipo remoto, éste debe permitir el tráfico de red entrante en el puerto 445 TCP; sin embargo, la configuración predeterminada de Windows Firewall en Windows XP Service Pack 2 bloquea el tráfico de red entrante en el puerto 445 TCP. Como resultado, es posible que usted reciba uno o más de los siguientes mensajes de error. Cuando reciba uno de estos mensajes, el texto en cursivas en los mensajes de ejemplo siguientes se reemplazarán con la variable del sistema apropiada a la condición del error:

•    No se pudo acceder al equipo Nombre_equipo. El error era Acceso denegado.

•    No se pudo acceder al equipo Nombre_equipo. El mensaje de error anterior decía No se encontró la ruta de red.

•    No se pudo abrir el objeto de Política de grupo en Nombre_equipo. Es posible que no tenga los derechos apropiados.

•    Detalles: No se encontró la ruta de la red.

•    No se encontró un objeto (PC) con el siguiente nombre:Nombre_equipo.” Compruebe la precisión de los tipos de objeto seleccionado y la ubicación, asegurándose de que escribió el nombre correctamente, o elimine el objeto de la selección.

•    No se puede administrar el equipo Nombre_equipo.No se encontró la ruta de la red. Para administrar un equipo diferente, en el menú Acción, haga clic en Conectar a otro equipo.

•    Ocurrió el error 53 del sistema. No se encontró la ruta de la red.

Estos errores pueden ocurrir cuando se utiliza uno de los siguientes componentes de MMC para la administración remota:

•    Certificados

•    Administración de PCs

•    Administrador de dispositivos

•    Administración del disco

•    Visor de eventos

•    Políticas de grupo

•    Servicio de indexación

•    Supervisor de seguridad de IP

•    Política de seguridad de IP

•    Usuarios y grupos locales

•    Administración de medios de almacenamiento extraíbles

•    Conjunto resultante de políticas

•    Servicios

•    Carpetas compartidas

•    Control WMI

Además de los complementos de MMC, se verán afectados los siguientes cuadros de diálogo y herramientas administrativas:

•    Seleccionar usuarios, equipos o grupos

•    Encontrar usuarios, contactos y grupos

•    Net.exe

¿Cómo resuelvo estos problemas?

Para utilizar estas herramientas y conectarse en forma remota a un PC que ejecuta Windows XP con Windows Firewall habilitado, necesita abrir el puerto 445 TCP en el servidor de seguridad del equipo remoto. Para hacerlo, utilice el siguiente procedimiento:

1.    Haga clic en Inicio, seleccione Todos los programas, Accesorios y haga clic en el Indicador de comandos.

2.    En el indicador de comandos, escriba netsh firewall set portopening TCP 445 ENABLE y a continuación oprima INTRO.

Nota   Abrir los puertos del servidor de seguridad puede ser una vulnerabilidad en la seguridad. Deberá planear y probar cuidadosamente cualquier cambio de configuración antes de que se implemente.

Ir al principio de la página Ir al principio de la página

Mejoras en la seguridad de DCOM

¿Qué hace DCOM?

El Modelo de objetos de componentes (COM) de Microsoft es un sistema de plataforma independiente, distribuido y orientado a objetos para crear componentes de software binarios que puedan interactuar. El Modelo de objetos de componentes distribuidos (DCOM) permite que las aplicaciones se distribuyan a lo largo de las ubicaciones que son más funcionales para usted y para la aplicación. El protocolo alámbrico de DCOM claramente proporciona soporte para una comunicación confiable, segura y eficaz entre los componentes de COM. Para mayores informes, consulte la sección “Modelo de objetos de componentes” en el sitio Web de Microsoft en  http://go.microsoft.com/fwlink/?LinkId=20922

¿A quién aplica esta función?

Si sólo utiliza COM para componentes de COM en proceso, esta sección no aplica a su caso.

Esta función sólo le es útil si tiene una aplicación de servidor de COM que cumpla uno de los siguientes criterios:

•    El permiso de acceso para la aplicación es menos estricto que el permiso necesario para ejecutarlo.

•    Por lo general, la aplicación se activa en un equipo que ejecuta Microsoft Windows XP por un cliente COM remoto sin utilizar una cuenta administrativa.

•    De manera predeterminada, la aplicación utiliza la devolución de llamadas remotas no autenticadas en un equipo que ejecuta Windows XP.

•    Se asume que la aplicación sólo se utiliza localmente, lo cual significa que usted puede restringir su aplicación del servidor de COM para que no se pueda acceder de forma remota.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Restricciones en todo el equipo

Descripción detallada

Se ha realizado un cambio en COM para proporcionar controles de acceso en todo el equipo que regulan el acceso a todas las llamadas, activaciones o solicitudes de inicio en el equipo. La forma más simple de imaginar estos controles de acceso es como una llamada adicional de AccessCheck que se hace contra una lista de control de acceso (ACL) en todo el equipo, en cada llamada, activación o inicio de cualquier servidor de COM en el equipo. Si falla AccessCheck, se negará la llamada, activación o solicitud de inicio. (Esto es adicional a cualquier AccessCheck que se ejecuta contra las ACLs específicas del servidor.) En efecto, proporciona un estándar de autorización mínimo que se debe aprobar para acceder a cualquier servidor de COM en el equipo. Habrá una ACL en todo el equipo para permisos de inicio que cubre los derechos de activación e inicio, así como una ACL en todo el equipo para permisos de acceso que cubre los derechos de llamada. Éstos se pueden configurar a través de Microsoft Management Console (MMC) de los Servicios del componente.

Las ACLs en todo el equipo proporcionan un medio para reemplazar las configuraciones débiles de seguridad determinadas por una aplicación en particular a través de CoInitializeSecurity o las configuraciones de seguridad específicas de la aplicación. Lo anterior proporciona un estándar mínimo de seguridad que debe ser aprobado, independientemente de las configuraciones del servidor específico.

Las ACLs se verifican cuando se acceden las interfaces expuestas por RPCSS. Esto proporciona un método para controlar quién tiene acceso a este servicio del sistema.

Las ACLs proporcionan una ubicación centralizada donde el administrador puede configurar la política general de autorización que es aplicable a todos los servidores de COM en el equipo.

De manera predeterminada, las configuraciones de restricción del equipo de Windows XP son las siguientes:

Permiso

Administrador

Todos

Anónimo

Inicio

Local (Inicio)

Activación local

Remoto (Inicio)

Activación remota

Local (Inicio)

Activación local

 

Acceso

 

Local (Llamada)

Remoto (Llamada)

Local (Llamada)

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Muchas aplicaciones de COM incluyen cierto código específico de seguridad (por ejemplo, invocar CoInitializeSecurity), pero utilizan configuraciones débiles, lo que a menudo permite el acceso no autenticado al proceso. Actualmente, no hay forma de que el administrador reemplace dichas configuraciones para forzar una mayor seguridad en las versiones previas de Windows.

La infraestructura de COM incluye RpcSs, un servicio del sistema que se ejecuta durante el inicio del sistema y que siempre se ejecuta después. Administra la activación de los objetos de COM y la tabla de objetos en ejecución y proporciona servicios de ayuda para la interacción remota de DCOM. Expone las interfaces RPC que se pueden invocar remotamente. Puesto que algunos servidores de COM permiten el acceso remoto no autenticado (como se explicó en la sección anterior), cualquiera puede invocar estas interfaces, incluyendo los usuarios no autenticados. Como resultado, los usuarios maliciosos pueden atacar RpcSs utilizando equipos remotos no autenticados.

En las versiones previas de Windows, no había forma de que el administrador comprendiera el nivel de exposición de los servidores de COM en un equipo. El administrador podría darse una idea del nivel de exposición verificando de manera sistemática las configuraciones de seguridad establecidas para todas las aplicaciones de COM registradas en el equipo; no obstante, dado que existen alrededor de 150 servidores COM en una instalación predeterminada de Windows XP, la tarea era abrumadora. No era posible ver las configuraciones para un servidor que incluye seguridad en el software, a menos que se revise el código fuente para ese software.

Las restricciones en todo el equipo de DCOM mitigan estos tres problemas. También ofrece al administrador la capacidad de deshabilitar la activación, el inicio y las llamadas DCOM entrantes.

¿Qué funciona diferente?

De manera predeterminada, al grupo Todos se le otorgan permisos de inicio, activación y llamada locales, lo cual deberá habilitar todos los escenarios locales para que funcionen sin modificación al software o al sistema operativo.

De manera predeterminada, al grupo Todos se le otorgan permisos de llamada remota. Esto habilita la mayoría de los escenarios del cliente de COM, incluyendo el caso común donde un cliente de COM pasa una referencia local a un servidor remoto, de hecho transformando al cliente en servidor. Esto podría deshabilitar escenarios que requieren llamadas remotas no autenticadas.

También de manera predeterminada, sólo a los miembros del grupo de Administradores se les otorga activación remota y permisos de inicio. Lo anterior deshabilita las activaciones remotas por quienes no son administradores en servidores de COM instalados.

¿Cómo resuelvo estos problemas?

Si implementa un servidor de COM y espera dar soporte a la activación remota por un cliente de COM que no es administrativo o a llamadas no autenticadas remotas, entonces deberá considerar si es aceptable el riesgo relacionado con la habilitación del proceso o si tiene que modificar su implementación para que no requiera la activación remota por un cliente de COM que no sea administrativo o de llamadas no autenticadas remotas.

Si el riesgo es aceptable y desea habilitar la activación remota por un cliente de COM no administrativo o de llamadas no autenticadas remotas, necesitará cambiar la configuración predeterminada para esta función.

Puede cambiar los parámetros de configuración utilizando Microsoft Management Console (MMC) o el registro de Windows de los Servicios del componente.

Si utiliza el complemento MMC de los Servicios del componente, dichas configuraciones se pueden establecer en la pestaña Seguridad de COM del cuadro de diálogo Propiedades para el equipo que está administrando. Se modificó el área Permisos de acceso para permitirle configurar límites de todo el equipo además de las configuraciones predeterminadas estándar para los servidores de COM. Adicionalmente, puede proporcionar configuraciones de ACL distintas para acceso local y remoto bajo ambos límites y valores predeterminados.

En el área de Inicio y Permisos de activación, usted puede controlar los permisos locales y remotos, así como los límites de todo el equipo y los valores predeterminados. Las Configuraciones de seguridad proporcionan la capacidad de especificar la activación local y remota, así como los permisos de inicio en forma independiente.

Opcionalmente, puede establecer dichas configuraciones de la ACL utilizando el registro.

Las ACLs se almacenan en el registro en las siguientes ubicaciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
\MachineAccessRestriction= ACL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
\MachineLaunchRestriction= ACL

Es un valor denominado que se configura a un tipo REG_BINARY; contiene datos que describen la ACL de los objetos principales que pueden acceder a cualquier clase u objeto de COM en el equipo. Los derechos de acceso en la ACL son:

COM_RIGHTS_EXECUTE 1
COM_RIGHTS_EXECUTE_LOCAL 2
COM_RIGHTS_EXECUTE_REMOTE 4
COM_RIGHTS_ACTIVATE_LOCAL 8
COM_RIGHTS_ACTIVATE_REMOTE 16

Estas ACLs se pueden crear utilizando funciones normales de seguridad. Observe que siempre deben estar presentes los derechos COM_RIGHTS_EXECUTE, pues su ausencia generará un descriptor de seguridad inválido.

Sólo los usuarios con derechos del Administrador pueden modificar estas configuraciones.

¿Qué funcionalidad existente cambia en Windows XP Service Pack 2?

Permisos de COM más específicos

Descripción detallada

Las aplicaciones del servidor de COM tienen dos tipos de permisos, permisos de inicio y permisos de acceso. Los permisos de inicio controlan la autorización para iniciar un servidor de COM durante la activación de COM si el servidor no se está ejecutando todavía. Dichos permisos se definen como descriptores de seguridad que se especifican en las configuraciones de registro. Los permisos de acceso controlan la autorización para llamar a un servidor de COM en ejecución, y se definen como descriptores de seguridad proporcionados a la infraestructura de COM a través de la API CoInitializeSecurity, o utilizando configuraciones de registro. Ambos permisos de inicio y de acceso permiten o niegan el acceso con base en los objetos principales, y no hacen distinción alguna respecto a si el invocador es local o remoto para el servidor.

Otro cambio distingue los derechos de acceso de COM con base en la distancia. Las dos distancias que se definen son Local y Remota. Un mensaje de COM Local llega por medio del protocolo de Llamada a procedimiento remoto local (LRPC), en tanto que el mensaje de COM Remoto llega por medio de un protocolo de host de Llamada a procedimiento remoto (RPC) como Protocolo de control de transmisión (TCP).

La activación de COM es el acto de obtener un proxy de la interfaz de COM en un cliente invocando CoCreateInstance o una de sus variantes. Como efecto secundario de este proceso de activación, algunas veces se debe iniciar un servidor de COM para satisfacer las solicitudes del cliente. Una ACL de permisos de inicio confirma quién tiene permitido iniciar un servidor de COM. Una ACL de permisos de acceso confirma quién tiene permitido activar un objeto de COM o invocar ese objeto cuando ya se está ejecutando el servidor de COM.

Otro cambio es que la llamada y los derechos de activación se separan para reflejar dos operaciones distintas y mover el derecho de activación desde la ACL de permisos de acceso hacia la ACL de permisos de inicio. Debido a que la activación y el inicio se relacionan con la adquisición de un puntero de la interfaz, lógicamente la activación y los derechos de acceso e inicio permanecen juntos en una ACL. Además, puesto que usted siempre puede especificar los permisos de inicio mediante la configuración (en comparación con los permisos de acceso que, por lo general, se especifican de manera programada), colocar los derechos de activación en la ACL de permisos de inicio otorga al administrador el control sobre la activación.

Las ACEs de Permisos de inicio se dividen en cuatro derechos de acceso:

•    Inicio local (LL)

•    Inicio remoto (RL)

•    Activación local (LA)

•    Activación remota (RA)

El descriptor de seguridad de Permisos de acceso se divide en dos derechos de acceso:

•    Llamadas locales (LC)

•    Llamadas remotas (RC)

Esta seguridad de COM permite al administrador aplicar configuraciones de seguridad muy específicas. Por ejemplo, puede configurar un servidor de COM para que acepte llamadas locales de todos, y que sólo acepte llamadas remotas de los Administradores. Se pueden especificar estas diferencias mediante cambios en los descriptores de seguridad de Permisos de COM.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Las versiones previas de la aplicación del servidor de COM no tenían forma de restringir una aplicación para que se pudiera utilizar sólo de manera local sin exponer la aplicación en la red por medio del DCOM. Cuando un usuario tiene acceso a la aplicación del servidor de COM, tiene acceso tanto para uso local como remoto.

Una aplicación del servidor de COM podría desear exponerse a sí misma a usuarios no autenticados para implementar un escenario de devolución de llamada de COM. En este escenario, la aplicación también debe exponer su activación a usuarios no autenticados, lo que podría no ser deseable porque algún usuario malintencionado podría utilizar dicho escenario para obtener acceso no autorizado a ese servidor.

Los permisos concretos de COM dan flexibilidad al administrador para controlar la política de permisos de COM del equipo. Los permisos habilitan la seguridad para los escenarios descritos.

¿Qué funciona diferente? ¿Hay alguna dependencia?

Para proporcionar compatibilidad hacia atrás, los descriptores de seguridad actuales de COM se deben interpretar para permitir o denegar tanto el acceso local como el remoto de manera simultánea. Esto es, una entrada de control de acceso (ACE) permitirá ambos, local y remoto, o denegará ambos, local y remoto.

No hay problemas de compatibilidad hacia atrás para los derechos de llamada o de inicio. Sin embargo, hay un problema de compatibilidad de los derechos de activación. Si, en los descriptores de seguridad existentes para un servidor COM, los permisos de inicio configurados son más restringidos que los permisos de acceso y de lo que se requiere como mínimo para escenarios de activación del cliente, entonces la ACL de Permisos de inicio se debe modificar para dar los permisos adecuados a los clientes autorizados.

No hay problemas de compatibilidad para las aplicaciones de COM que utilizan las configuraciones de seguridad predeterminadas. Para las aplicaciones que se inician dinámicamente utilizando la activación de COM, la mayoría no tendrá problemas de compatibilidad, puesto que los permisos de inicio ya deben incluir a cualquiera que tenga la capacidad de activar un objeto. Si estos permisos no se configuran correctamente, podría haber fallas de activación aleatorias si los invocadores sin permisos de inicio tratan de activar un objeto cuando no se está ejecutando el servidor COM.

Las aplicaciones de mayor preocupación por los problemas de compatibilidad son las aplicaciones COM que se inician por medio de algún otro mecanismo, como Windows Explorer o el Administrador de control de servicios. También puede iniciar dichas aplicaciones por medio de una activación COM previa, la cual reemplaza los permisos de acceso y de inicio predeterminados y especifica los permisos de inicio que son más restrictivos que los permisos de llamada. Para obtener más detalles sobre la forma de abordar este problema de compatibilidad, consulte “¿Cómo resuelvo estos problemas?” en la siguiente sección.

Si un sistema que se actualizó a Windows XP Service Pack 2 se regresa a un paquete de servicio previo, cualquier entrada de control de acceso que se editó para permitir acceso local, acceso remoto o ambos, se interpretará que permite tanto el acceso local como el remoto. Cualquier ACE editada para denegar acceso local, acceso remoto o ambos, se interpretará que niega tanto el acceso local como el remoto. Siempre que desinstale un paquete de servicio, se deberá asegurar de que ninguna ACE recién configurada ocasione que las aplicaciones dejen de funcionar.

¿Cómo resuelvo estos problemas?

Si implementa un servidor COM y reemplaza las configuraciones de seguridad predeterminadas, confirme que la ACL de permisos de inicio específicos de la aplicación otorgue permisos de activación a los usuarios adecuados. Si no lo hace, usted necesitará cambiar su ACL de permisos de inicio específicos de la aplicación para que otorguen derechos de activación a los usuarios adecuados para que no fallen las aplicaciones y los componentes de Windows que utilizan el DCOM. Los permisos de inicio específicos de la aplicación se almacenan en el registro. Para mayores informes sobre los permisos de inicio, consulte “Permisos de inicio” en el sitio Web de MSDN en http://go.microsoft.com/fwlink/?LinkId=20924.

Las ACLs de COM se pueden crear o modificar utilizando funciones normales de seguridad.

¿Qué configuraciones se agregan o cambian en Windows XP Service Pack 2?

Precaución   El uso incorrecto de estas configuraciones ocasionará que fallen las aplicaciones y los componentes de Windows que utilizan el DCOM.

En la tabla siguiente, se utilizan estas abreviaturas:

LL - Inicio local

LA - Activación local

RL - Inicio remoto

RA - Activación remota

LC - Control local

RC - Control remoto

Nombre de la configuración

Ubicación

Valor predeterminado previo

Valor predeterminado

Posibles valores

MachineLaunch
Restriction

HKEY_LOCAL_MACHINE
\SOFTWARE \Microsoft \Ole\

Todos - LL, LA, RL, RA

Anónimo -

LL, LA, RL, RA

(Ésta es una nueva clave de registro. Con base en el comportamiento existente, éstos podrían ser los valores efectivos).

Administrador - LL, LA, RL, RA

ACL

MachineAccess
Restriction

HKEY_LOCAL_MACHINE
\SOFTWARE \Microsoft \Ole\

Todos - LC, RC

Anónimo - LC, RC

(Ésta es una nueva clave de registro. Con base en el comportamiento existente, éstos podrían ser los valores efectivos).

Todos - LC, RC

Anónimo - LC

ACL

CallFailure
LoggingLevel

HKEY_LOCAL_MACHINE
\SOFTWARE \Microsoft \Ole\

No aplicable.

No está presente esta clave de registro; sin embargo, la falta de una clave o valor se interpreta como 2.

Este evento no se registra de manera predeterminada. Si cambia el valor a 1 para iniciar sesión de esta información y que esto le ayude a resolver algún problema, asegúrese de supervisar el tamaño de su registro de eventos, pues éste es un evento que puede generar una gran cantidad de entradas.

1 - Siempre registra las fallas del registro de eventos durante una llamada en el proceso del Servidor COM.

2 - Nunca registra las fallas del registro de eventos durante una llamada en el proceso del servidor de llamadas.

InvalidSecurity
Descriptor
LoggingLevel

HKEY_LOCAL_MACHINE
\SOFTWARE \Microsoft\Ole\

No aplicable.

No está presente esta clave de registro; sin embargo, la falta de una clave o valor se interpreta como 1.

Este evento se registra de manera predeterminada. Rara vez debería ocurrir.

1 - Siempre registra fallas del registro de eventos cuando la infraestructura COM encuentra un descriptor de seguridad inválido.

2 - Nunca registra fallas del registro de eventos cuando la infraestructura COM encuentra un descriptor de seguridad inválido.

DCOM:Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) Syntax

(Objeto de la Política de grupo) Configuración del equipo \Configuraciones de Windows
\Políticas locales \Opciones de seguridad

No aplicable.

No definido

Lista de control de acceso en formato SDDL. La presencia de esta política reemplaza los valores en MachineLaunch
Restriction
anteriores.

DCOM:Machine Access Restrictions in Security Descriptor Definition Language (SDDL) Syntax

(Objeto de la Política de grupo) Configuración del equipo \Configuraciones de Windows \Políticas locales \Opciones de seguridad

No aplicable.

No definido

Lista de control de acceso en formato SDDL. La presencia de esta política reemplaza los valores en MachineAccess
Restriction
anteriores.

Ir al principio de la página Ir al principio de la página

TCP/IP

¿Qué hace TCP/IP?

El Protocolo de control de transmisión / Protocolo de Internet (TCP/IP) es una serie de protocolos estándar para conectar equipos a través de las redes. TCP/IP permite a los equipos basados en Windows conectarse y compartir información con otros sistemas, tanto de Microsoft como de terceros.

¿A quién aplica esta función?

Todos los usuarios que utilizan TCP/IP para conectarse y proporcionar información sobre una red deberán conocer los cambios que se incluyen en Windows XP Service Pack 2.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Tráfico restringido sobre sockets sin procesar

Descripción detallada

Muy pocas aplicaciones de Windows utilizan sockets IP sin procesar, que proporcionan una forma estándar de la industria para que las aplicaciones creen paquetes TCP/IP con menos verificaciones de integridad y seguridad por la pila TCP/IP. La implementación de Windows de TCP/IP sigue dando soporte al tráfico entrante en sockets IP sin procesar. Sin embargo, se ha restringido de dos maneras la capacidad de enviar tráfico sobre sockets sin procesar:

•    Los datos de TCP no se pueden enviar sobre sockets sin procesar.

•    Los datagramas UDP con direcciones de origen inválidas no se pueden enviar sobre sockets sin procesar. La dirección de origen de IP para cualquier datagrama UDP saliente debe existir en una interfaz de red o se interrumpe el datagrama.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Este cambio limita la capacidad de los códigos malintencionados de crear ataques distribuidos de negación del servicio y limita la capacidad para enviar paquetes engañosos, que son paquetes TCP/IP con una dirección IP de origen falsa.

Número limitado de intentos simultáneos incompletos de conexión TCP saliente

Descripción detallada

Ahora, la pila TCP/IP limita el número de intentos simultáneos incompletos de conexión TCP saliente. Después de alcanzar el límite, los intentos subsiguientes de conexión se colocan en la cola de espera y se resuelven a un ritmo fijo. Bajo una operación normal, cuando las aplicaciones se conectan a hosts disponibles en direcciones IP válidas, no habrá conexiones con límite de velocidad. Cuando sí sucede, aparece un nuevo evento, con ID 4226 en el registro de eventos del sistema.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

El cambio ayuda a limitar la velocidad a la que se propagan los programas malintencionados, como virus y gusanos, a los equipos no infectados. Por lo general, los programas malintencionados tratan de alcanzar equipos no infectados al abrir conexiones simultáneas a direcciones IP aleatorias. La mayoría de las cuales resultan en una conexión fallida, así que una ráfaga de esta actividad en un equipo es una señal de que podría estar infectado por un programa malintencionado.

¿Qué funciona diferente?

El cambio puede provocar que ciertas herramientas de seguridad, como los exploradores de puertos, se ejecuten más lentamente.

¿Cómo resuelvo estos problemas?

Detenga la aplicación responsable de los intentos de conexión fallidos.

Auto-reparación de Winsock

Descripción detallada

Winsock, el dispositivo de socket de red de Windows para aplicaciones, es extensible mediante un mecanismo conocido como Proveedor de servicio en capas (LSP). Los LSPs de Winsock están disponibles para una amplia gama de propósitos útiles, incluyendo controles parentales de Internet y filtrado de contenido Web. En las versiones previas de Windows XP, eliminar un LSP malformado (también conocido como “buggy”) podría dar como resultado la corrupción del catálogo de Winsock en el registro, lo que potencialmente podría generar una pérdida de toda la conectividad de la red. Ahora, Winsock tiene la capacidad de auto-repararse después de que el usuario desinstala ese LSP.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Los clientes necesitan retirar de sus sistemas sin ningún problema los LSPs implementados en forma deficiente.

Comandos Winsock Netsh nuevos

Descripción detallada

Están disponibles dos nuevos comandos Netsh en Windows XP Service Pack 2.

•    netsh winsock reset catalog

Este comando reinicia el catálogo de Winsock a la configuración predeterminada. Puede ser útil si se instala un LSP mal formado que resulta en la pérdida de conectividad de la red. Si bien el uso de este comando puede restaurar la conectividad de la red, se deberá utilizar con cuidado porque cualquier LSP instalado previamente necesitará volver a instalarse.

•    netsh winsock show catalog

El comando muestra la lista de LSPs de Winsock que están instalados en el equipo.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Estos comandos proporcionan capacidades adicionales de administración para mantener y resolver problemas de LSPs de Winsock y se pueden utilizar en una secuencia de comandos para ayudar a recuperarse de una instalación generalizada de LSPs mal formados.

Ir al principio de la página Ir al principio de la página

Restricción de la interfaz RPC

¿Qué hace la restricción de la interfaz RPC?

Se han realizado algunos cambios en el servicio de Llamada a procedimiento remoto (RPC) para Windows XP Service Pack 2 que ayudan a hacer que las interfaces RPC sean seguras de manera predeterminada y reducen la superficie de ataque de Windows XP. El cambio más importante es la adición de la clave de registro RestrictRemoteClients, la cual modifica el comportamiento de todas las interfaces RPC en el sistema y, de manera predeterminada, eliminará los accesos anónimos remotos a las interfaces RPC en el sistema, con ciertas excepciones. Los cambios adicionales incluyen la clave de registro EnableAuthEpResolution y tres nuevas indicaciones de registro de interfaz.

¿A quién aplica esta función?

Esta función aplica a desarrolladores de la aplicación de RPC. Los administradores del sistema también deberán conocer este cambio a RPC.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Clave de registro RestrictRemoteClients

Descripción detallada

Cuando una interfaz se registra utilizando RpcServerRegisterIf, RPC permite que la aplicación del servidor restrinja el acceso a la interfaz, por lo general a través de una devolución de llamada de seguridad. La clave de registro RestrictRemoteClients obliga a RPC a realizar verificaciones adicionales de seguridad para todas las interfaces, incluso si la interfaz no ha registrado la devolución de la llamada de seguridad.

Los clientes de RPC que utilizan la secuencia de protocolo de canalización denominada (ncacn_np) están exentos de todas las restricciones analizadas en esta sección. No es posible restringir la secuencia de protocolo de canalización denominada de manera predeterminada debido a varios problemas importantes de compatibilidad hacia atrás.

La clave de registro RestrictRemoteClients puede tener uno de tres valores DWORD que también se pueden controlar de manera programada en rpcdce.h. Si la clave no está presente, es equivalente a configurar el valor DWORD=1 (RPC_RESTRICT_REMOTE_CLIENT_DEFAULT).

Referencia clave

Nombre de la clave: RestrictRemoteClients

Tipo: DWORD

Configurable a través de la interfaz de usuario: No

Valor predeterminado: 1

Significado: Este valor es el predeterminado en Windows XP Service Pack 2 y restringe el acceso a todas las interfaces de RPC. El tiempo de ejecución de RPC rechaza todas las llamadas anónimas remotas. Esto corresponde al valor RPC_RESTRICT_REMOTE_CLIENT_DEFAULT en rpcdce.h. Si una interfaz registra una devolución de llamada de seguridad y proporciona la indicación RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH, entonces la restricción no se aplica a esa interfaz.

Valor: 0

Significado: Hace que el sistema omita la restricción de la interfaz RPC; corresponde al valor RPC_RESTRICT_REMOTE_CLIENT_NONE en rpcdce.h. Es totalmente responsabilidad de la aplicación del servidor imponer las restricciones de RPC apropiadas. Esta configuración es equivalente al comportamiento en las versiones previas de Windows.

Valor: 2

Significado: Sin excepción, el tiempo de ejecución de RPC rechaza todas las llamadas anónimas remotas. Esto corresponde al valor RPC_RESTRICT_REMOTE_CLIENT_HIGH en rpcdce.h. Cuando ya está establecido este valor, el sistema no puede recibir llamadas anónimas remotas utilizando RPC.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Es mucho más difícil atacar una interfaz si usted requiere llamadas para realizar la autenticación, incluso con un nivel relativamente bajo de autenticación. Es una reducción útil en particular contra gusanos que dependen de saturaciones de búfer explotables que se pueden invocar remotamente mediante conexiones anónimas.

¿Qué funciona diferente?

Si su aplicación de RPC espera recibir llamadas de clientes de RPC anónimos remotos, el cambio podría no permitir que su aplicación se ejecute correctamente.

¿Cómo resuelvo estos problemas?

Hay tres opciones para resolver estos problemas. Las opciones se enumeran por orden de preferencia.

•    Pida a sus clientes de RPC que utilicen la seguridad de RPC al contactar con su aplicación del servidor. Es el mejor método para reducir las amenazas a la seguridad.

•    Haga que su interfaz no solicite autenticación al configurar la indicación RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH durante el registro de la interfaz. Esto configura la RPC para que permita conexiones anónimas sólo a la interfaz de su aplicación.

•    Obligue a RPC a mostrar el mismo comportamiento de las versiones previas de Windows al configurar la clave de registro en RPC_RESTRICT_REMOTE_CLIENT_NONE (0). RPC aceptará entonces conexiones anónimas a todas las interfaces. De ser posible, se deberá evitar esta opción, ya que reduce la seguridad general del equipo.

Clave de registro EnableAuthEpResolution

Descripción detallada

Una interfaz de RPC a la que se puede acceder en forma remota y anónima, y que de manera predeterminada está registrada en Windows XP, presenta una importante área de ataque. RPC por sí misma debe registrar tal interfaz para proporcionar resoluciones de extremo en las llamadas que utilizan extremos dinámicos.

Con la adición de la indicación de RestrictRemoteClients, de manera predeterminada, no se puede acceder a la interfaz del Asignador de extremos de RPC en forma anónima, lo que representa una importante mejora en la seguridad, pero cambia la tarea de resolver un extremo. Actualmente, un cliente de RPC que intenta hacer una llamada utilizando un extremo dinámico consultará primero al Asignador de extremos de RPC en el servidor para determinar el extremo al que deberá conectarse. La consulta se realiza en forma anónima, incluso si la llamada del cliente de RPC en sí misma se realiza utilizando la seguridad de RPC.

Las llamadas anónimas a la interfaz del Asignador de extremos de RPC fallarán de manera predeterminada en Windows XP Service Pack 2 debido al valor predeterminado para la nueva clave RestrictRemoteClients. Lo anterior requiere modificar el tiempo de ejecución del cliente de RPC para realizar una consulta autenticada al Asignador de extremos. Si ya se estableció la clave EnableAuthEpResolution, el tiempo de ejecución del cliente de RPC utilizará NTLM para autenticarse al asignador de extremos. La consulta autenticada sólo se llevará a cabo si la llamada del cliente de RPC real utiliza la autenticación de RPC.

¿Por qué es importante este cambio?

El cambio es necesario para permitir que un cliente de RPC realice una llamada a un servidor de RPC que ha registrado un extremo dinámico en un sistema que ejecuta Windows XP Service Pack 2. El equipo del cliente debe configurar esta clave de registro para que realice una consulta autenticada al Asignador de extremos de RPC.

¿Qué funciona diferente?

La clave de registro se utiliza para habilitar el escenario específico descrito en la sección anterior. Cuando esta clave está activada, todas las consultas del Asignador de extremos de RPC que se llevan a cabo en representación de las llamadas autenticadas se realizan utilizando autenticación NTLM.

Nuevas indicaciones del registro de la interfaz de RPC

Descripción detallada

Se han creado tres nuevas indicaciones del registro de la interfaz que facilitan al desarrollador de aplicaciones proteger una interfaz de RPC.

•    RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH

Cuando se registra esta indicación, el tiempo de ejecución de RPC invoca la devolución de llamada de seguridad registrada para todas las llamadas, independientemente de las configuraciones de seguridad de la llamada. Sin esta indicación, RPC rechaza todas las llamadas no autenticadas antes de que alcancen la devolución de llamada de seguridad. La indicación funciona sólo cuando está registrada una devolución de llamada de seguridad.

•    RPC_IF_SEC_NO_CACHE

Se registra una devolución de llamada de seguridad para una interfaz con el fin de restringir el acceso a esa interfaz. La típica devolución de llamada de seguridad se hace pasar por el cliente para determinar si éste tiene los derechos suficientes para hacer la llamada a la interfaz. Si la identidad particular de un cliente pasa una devolución de llamada de seguridad una vez, por lo general pasa la misma devolución de llamada de seguridad siempre.

El tiempo de ejecución de RPC aprovecha este patrón al recordar cuando la identidad de un cliente individual pasa una devolución de llamada y la omite para llamadas posteriores de ese cliente a la misma interfaz. Esta función se denomina almacenamiento en caché de la devolución de llamada de seguridad y ha estado presente desde Windows 2000. Para Windows XP Service Pack 2, usted puede utilizar la indicación RPC_IF_SEC_NO_CACHE para deshabilitar el almacenamiento en caché de la devolución de llamada de seguridad para una interfaz determinada. Esto es útil si la verificación de seguridad llegara a cambiar, rechazando posiblemente la identidad de un cliente que antes estaba permitida.

•    RPC_IF_LOCAL_ONLY

Cuando se registra una interfaz con esta indicación, RPC rechaza las llamadas que realizan clientes de RPC remotos. Además, también se rechazan las llamadas locales sobre todas las secuencias de protocolo ncadg_* y todas las secuencias de protocolo ncacn_* (excepto por las canalizaciones denominadas, utilizando ncacn_np). Si se hace una llamada en ncacn_np, RPC sólo la permite si no viene de SVR, que filtra todas las llamadas remotas. Siempre se permiten las llamadas Ncalrpc.

¿Por qué es importante este cambio?

El cambio proporciona a los desarrolladores de aplicaciones de RPC herramientas de seguridad adicionales para ayudar a proteger sus interfaces de RPC.

¿Qué funciona diferente?

Las indicaciones no cambiarán ninguna aplicación existente de Windows XP ni harán que se ejecute incorrectamente. El uso de las nuevas indicaciones queda a criterio del desarrollador de la aplicación.

¿Qué configuraciones se agregan o cambian en Windows XP Service Pack 2?

Nombre de la configuración

Ubicación

Valor predeterminado

Posibles valores

Restrict
RemoteClients

HKEY_LOCAL_MACHINE
\ SOFTWARE\Políticas\ Microsoft\Windows NT\RPC

1 - Predeterminado

0 – Ninguno

1 – Predeterminado

2 – Alto

EnableAuthEp
Resolution

HKEY_LOCAL_MACHINE
\SOFTWARE\Políticas \Microsoft\Windows NT\RPC

0 - Deshabilitado

0 – Deshabilitado

1 – Habilitado

¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?

Es posible que necesite cambiar su código para trabajar con Windows XP Service Pack 2. Para obtener información adicional sobre los cambios en la aplicación que podrían ser necesarios, consulte las secciones anteriores RestrictRemoteClients y EnableAuthEpResolution.

Ir al principio de la página Ir al principio de la página

WebDAV Redirector

¿Qué hace WebDAV Redirector?

WebDAV Redirector (DAVRdr) permite que los equipos que ejecutan Windows XP utilicen servidores WebDAV (Creación y control de versiones distribuidas en Web), como Windows SharePoint Services y MSN Communities, como si fueran servidores de archivos estándar. Consta de un componente núcleo que se conecta a una pila del sistema de archivos remotos de Windows NT, y de un componente a nivel de usuario (servicio del cliente Web) que traduce las solicitudes del sistema de archivos a solicitudes WebDAV.

¿A quién aplica esta función?

La función se utiliza por las personas que acceden a los servidores WebDAV a través del sistema de archivos remotos. WebDAV Redirector está implementado en la pila del sistema de archivos remotos. Los administradores de clientes, y los usuarios preocupados por la seguridad de sus credenciales de equipo, deben saber que cada acceso a los archivos remotos en un servidor WebDAV por la Convención de Nomenclatura Universal (UNC) (por ejemplo, \\ServerName\ShareName\File.txt) será procesado por WebDAV Redirector.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Deshabilitar la autenticación básica sobre un canal sin usar

Descripción detallada

WebDAV es una extensión del Protocolo de transferencia de hipertexto (HTTP) y como tal incluye el uso de una Autenticación básica (BasicAuth). BasicAuth es una forma de autenticación de usuarios o son los medios por los cuales un usuario es identificado con seguridad para el servidor. Con BasicAuth, el cliente transmite las credenciales de usuario (nombre de usuario y contraseña) al servidor. Si el canal no está encriptado, como con tráfico normal de HTTP, cualquier equipo en la red puede ver el nombre de usuario y la contraseña de éste y, por lo tanto, robar su identidad. DAVRdr no soporta HTTP encriptado (HTTPS o SSL) y transmitirá las credenciales del usuario sin cifrado si el servidor soporta la autenticación básica. Aunque muy probablemente un servidor no se configuraría para utilizar la autenticación básica, sería posible configurar el servidor expresamente para obtener las credenciales de los usuarios.

Debido a esta posibilidad, Windows XP Service Pack 2 (SP) agrega la capacidad de habilitar o deshabilitar el uso de BasicAuth por DAVRdr. De manera predeterminada, el uso de BasicAuth está deshabilitado con SP2. Cuando BasicAuth está deshabilitado, el cliente usará un método diferente de autenticación (si el servidor soporta alguno) o bien fallará la solicitud.

¿Por qué es importante este cambio?

Los usuarios se pueden conectar a los servidores WebDAV para obtener acceso remoto a los archivos sin temer la transmisión de sus contraseñas sin cifrado.

¿Qué amenazas ayuda a mitigar?

Imagine a un usuario corporativo de Contoso Corporation que de forma rutinaria accede al archivo compartido \\Contoso_Server\Sales fuera de la corporación en una red pública y utiliza una aplicación que intenta acceder a ese recurso compartido como parte de la actividad normal del servidor. Puesto que el equipo portátil del usuario está fuera de la red corporativa, la solicitud debería fallar. Sin embargo, DAVRdr transmitirá una solicitud para ver si existe un servidor DAV denominado Contoso_Server, aunque el servidor real al que el equipo móvil intenta acceder sea un servidor SMB.

Un agresor puede estar operando en la misma red pública con un equipo que engaña a las solicitudes de WINS, devolviendo un indicador a sí mismo en respuesta a cualquier solicitud de WINS. El equipo portátil tratará entonces de acceder al recurso compartido DAV en ese servidor sin control. Si el servidor sin control responde con BasicAuth como el método de autenticación, aparece un cuadro de diálogo que pide las credenciales del usuario. El cuadro de diálogo identifica al servidor como Contoso_Server, lo que hace creer al usuario que la solicitud es legítima. Si el usuario introduce su nombre de usuario y contraseña, el cliente transmite esa información sin cifrar y así el agresor obtiene acceso a la información del inicio de sesión del usuario. No hay ninguna indicación para el usuario de que no es seguro el canal, de que la solicitud está siendo manejada por DAVRdr o de que el equipo portátil transmitirá el nombre de usuario y la contraseña sin cifrado. Observe que los métodos de autenticación actuales predeterminados de Windows nunca transmiten la contraseña de un usuario sin cifrado.

¿Qué funciona diferente?

Puesto que el cambio en el comportamiento predeterminado sólo afecta al DAVRdr, los únicos escenarios que no funcionan son aquéllos que requieren autenticación básica y que utilizan el DAVRdr. Un ejemplo es utilizar Notepad.exe para acceder a un sitio Web que sólo permite BasicAuth. Este escenario ya no funcionará más. Incluso si el servidor se configuró para utilizar sólo la autenticación básica, otras aplicaciones como Office continuarán funcionando pues utilizan un cliente DAV diferente.

¿Cómo resuelvo estos problemas?

Puede habilitar BasicAuth agregando la siguiente clave de registro y configurándola a un valor diferente de cero:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \WebClient\Parameters\UseBasicAuth (DWORD)

Si borra la clave del registro o la configura a 0, el comportamiento vuelve a ser el predeterminado, o deshabilita el uso de BasicAuth.

WININET: Deshabilitar la autenticación básica sobre un canal no cifrado

Descripción detallada

Puesto que el DAVRdr es parte de la pila del sistema de archivos remotos, el equipo está abierto a ataques siempre que se hace el intento de acceder en forma remota a los archivos. Aunque la amenaza para otras aplicaciones que utilizan las APIs de Internet es menos grave que para DAVRdr, es posible un ataque similar cuando una aplicación (o el usuario) intenta acceder al URL. Por esta razón, WinInet expone el mecanismo por el cual el DAVRdr deshabilita BasicAuth para otros usuarios en las APIs de Internet.

Con Windows XP Service Pack 2, hay dos formas de bloquear el uso de la Autenticación básica sobre los canales no cifrados:

•    Cree la siguiente clave del registro y configúrela con un valor diferente a cero.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)

Lo anterior evita que WININET intente utilizar BasicAuth a menos que el canal sea seguro (HTTPS o SSL).

•    La aplicación puede deshabilitar el uso de BasicAuth para sus conexiones al configurar la indicación AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL (0x4) en el valor provisto en la llamada a InternetSetOption utilizando INTERNET_OPTION_AUTH_FLAGS.

¿Por qué es importante este cambio?

Los usuarios se pueden conectar a los servidores WebDAV para obtener acceso remoto a los archivos sin temer la transmisión de sus contraseñas sin cifrado.

¿Qué amenazas ayuda a mitigar?

Imagine a un usuario corporativo que accede de forma rutinaria al sitio Web http://www.contoso.com/sales. Mientras está fuera de la corporación en una red pública, el usuario intenta acceder a ese sitio utilizando Internet Explorer. Puesto que el equipo portátil se encuentra fuera de la corporación, la solicitud deberá fallar con el mensaje: “Servidor no encontrado”. Un agresor puede ejecutar en la misma red pública con un equipo que engaña a las solicitudes de WINS, devolviendo un indicador a sí mismo en respuesta a cualquier búsqueda de WINS. El equipo portátil tratará entonces de enviar la solicitud de HTTP para cargar la página desde el servidor sin control. Si el servidor sin control responde con BasicAuth como el método de autenticación, el equipo portátil responde al usuario, pidiéndole sus credenciales. Identifica el sitio http://www.contoso.com/sales, haciendo creer al usuario que la solicitud es legítima. Si el usuario introduce su nombre de usuario y contraseña, el cliente transmitirá esa información sin cifrar, y así el agresor obtendrá acceso a la información de inicio de sesión de ese usuario. En particular, no hay indicación para el usuario de que el canal es inseguro, o de que el equipo portátil transmitirá el nombre de usuario y la contraseña sin cifrar.

¿Qué funciona diferente?

De manera predeterminada, no hay cambio en el comportamiento para las aplicaciones de WININET (excepto para el DAVRdr, como se observó antes). Si esta configuración está deshabilitada, el usuario no se puede conectar a los servidores de HTTP que sólo dan soporte a la Autenticación básica.

¿Qué configuraciones se agregan o cambian en Windows XP Service Pack 2?

Nombre de la configuración

Ubicación

Valor predeterminado previo (si aplica)

Valor predeterminado

Posibles valores

UseBasicAuth

HKEY_LOCAL_MACHINE
\System \CurrentControlSet \Services \WebClient \Parameters \UseBasicAuth

No aplicable.

No existe la clave

(BasicAuth está deshabilitado para DAVRdr)

0, diferente a cero

DisableBasicOver
ClearChannel

HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings \DisableBasicOver
ClearChannel

No aplicable.

No existe la clave (BasicAuth está habilitado para todo lo demás)

0, diferente a cero

¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?

No hay cambios necesarios. Los desarrolladores que escriben aplicaciones que utilizan las APIs de Internet y desean deshabilitar BasicAuth, como el DAVRdr, pueden agregar una llamada a InternetSetOptions().

Ir al principio de la página Ir al principio de la página

Windows Firewall

¿Qué hace Windows Firewall?

Windows Firewall (antes denominado Servidor de seguridad de conexión a Internet o ICF) es un servidor de seguridad de filtrado activo basado en software para Microsoft Windows XP y Microsoft Windows Server™ 2003. Windows Firewall proporciona protección para equipos que están conectados a una red al impedir conexiones entrantes no solicitadas a través de la versión 4 de TCP/IP (IPv4) y la versión 6 de TCP/IP (IPv6). Las opciones de configuración incluyen:

•    Habilitar las excepciones estáticas para los puertos

•    Habilitar las excepciones para las aplicaciones

•    Configurar las opciones ICMP básicas

•    Registrar los paquetes desconectados y las conexiones satisfactorias

¿A quién aplica esta función?

Esta función es aplicable a

•    Todos los equipos que están conectados a una red, incluyendo Internet

•    Todas las aplicaciones y servicios que están en línea en la red

•    Todas las aplicaciones que no funcionan con filtrado activo

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Activo de manera predeterminada

Descripción detallada

Windows Firewall se activa de manera predeterminada para todas las interfaces de red. Esto proporciona mayor protección a la red de manera predeterminada para Windows XP en instalaciones nuevas y actualizaciones. La activación de manera predeterminada también protege las nuevas conexiones de red conforme se agregan al sistema. Lo anterior aplica al tráfico de IPv4 e IPv6 y se habilita incluso si ya existe otro servidor de seguridad en el sistema.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Antes de Windows XP Service Pack 2, Windows XP se vendía con el Servidor de protección de conexión a red deshabilitado de manera predeterminada. El usuario necesitaba ejecutar un asistente o navegar a través de la carpeta Conexiones de red para habilitar manualmente Windows Firewall. Esta experiencia resultó ser muy difícil para muchos usuarios y generaba que los equipos no tuvieran ningún tipo de protección con un servidor de seguridad.

Al habilitar de manera predeterminada Windows Firewall, el equipo cuenta con una mayor protección contra ataques basados en la red. Por ejemplo, si Windows Firewall hubiera sido habilitado de manera predeterminada, el reciente ataque de MSBlaster habría tenido un impacto sumamente reducido, independientemente de si los usuarios estuvieran actualizados con revisiones.

¿Qué funciona diferente?

Después de instalar Windows XP Service Pack 2, Windows Firewall está habilitado de manera predeterminada. Esto podría crear incompatibilidad de aplicaciones si la aplicación no funciona con filtrado activo de manera predeterminada.

¿Cómo resuelvo estos problemas?

Cómo modificar una aplicación para que funcione con Windows Firewall se describe con mayor detalle en el presente documento, en la sección “¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?”

Seguridad del tiempo de inicio

Descripción detallada

En las versiones previas de Windows, hay una ventana de tiempo entre el momento en que la pila de red aparece y cuando el Servidor de protección de conexión a la red proporciona la protección. Esto genera la capacidad para un paquete de ser recibido y entregado a un servicio sin que el Servidor de protección de conexión a la red proporcione filtrado y expone potencialmente al equipo a vulnerabilidades. Lo anterior se debía a que el controlador del servidor de seguridad no iniciaba el filtro sino hasta que se cargaba el servicio de modo de usuario del servidor de seguridad y había aplicado la política adecuada. El servicio del servidor de seguridad tiene ciertas dependencias que ocasionan que el servicio espere hasta que dichas dependencias se liberen antes de que no siga la política en el controlador. Este período se basa en la velocidad del equipo.

En Windows XP Service Pack 2, los controladores del servidor de seguridad IPv4 e IPv6 tienen una regla estática para realizar el filtrado activo. La regla estática se denomina política de tiempo inicio. Permite al equipo realizar tareas básicas de conexión a red, como DNS y DHCP y comunicarse con un controlador de dominio para obtener la política. Cuando se está ejecutando el servicio de Windows Firewall, éste carga y aplica la política de tiempo de ejecución y retira los filtros de tiempo de inicio. No se puede configurar la política de tiempo de inicio.

No hay seguridad del tiempo de inicio si el servicio de Windows Firewall (que se enumera como Windows Firewall/Internet Connection Sharing (ICS) en el Administrador de control de servicio) se detiene y se configura ya sea en Manual o Deshabilitado.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Con este cambio, el equipo está abierto a menos ataques durante el inicio y el apagado.

¿Qué funciona diferente?

Si no inicia el servicio de Windows Firewall, sigue vigente la seguridad del tiempo de inicio, lo cual significa que se bloquean todas las conexiones entrantes. En este caso, un administrador no podrá resolver en forma remota el problema porque todos los puertos estarán cerrados, incluyendo el puerto utilizado por el Escritorio remoto.

¿Cómo resuelvo estos problemas?

Para desactivar la seguridad del tiempo de inicio, detenga el servicio de Windows Firewall/Conexión compartida a Internet (ICS) y configure su tipo de inicio a Manual o Deshabilitado.

Si el equipo está en el modo de seguridad de tiempo de inicio porque no ha iniciado el servicio del servidor de seguridad, el administrador se debe conectar a la consola, resolver la causa de la falla y después iniciar manualmente el servicio del servidor de seguridad.

Configuración global

Descripción detallada

En las versiones previas de Windows, Windows Firewall estaba configurado por interfaz, lo que significa que cada conexión a red tenía su propia política del servidor de seguridad; por ejemplo, una política para inalámbrico, otra para Ethernet. Lo anterior dificultaba sincronizar las políticas entre conexiones. Además, las nuevas conexiones no tendrían ninguno de los cambios de configuración que se habían aplicado a las conexiones existentes. No se podían proteger las conexiones a redes no estándar, como aquéllas creadas por marcadores propietarios (por ejemplo, conexiones a red de marcación configurada de ISP).

Con la configuración global, siempre que ocurre un cambio en la configuración, automáticamente se aplica a todas las conexiones de red en la carpeta Conexiones de red, incluyendo cualquier marcador que no sea de Microsoft. Cuando se crean nuevas conexiones, también se les aplica la configuración. La configuración todavía se puede realizar por interfaz. Las conexiones de red no estándar sólo tendrán una configuración global. Los cambios en la configuración también se aplican a IPv4 e IPv6.

¿Por qué es importante este cambio?

Contar con una política global facilita al usuario administrar la política de su servidor de seguridad a través de todas las conexiones de red, además de habilitar la configuración a través de la Política de grupo. También le permite habilitar aplicaciones para que funcionen en cualquier interfaz con una sola opción de configuración.

¿Qué funciona diferente?

En las versiones previas de Windows, la configuración de Windows Firewall era por interfaz. En Windows XP Service Pack 2, la configuración es global y se aplica a IPv4 e IPv6.

¿Cómo resuelvo estos problemas?

Si su aplicación o servicio requiere aperturas estáticas para funcionar, deberá abrir los puertos en forma global, como se describe posteriormente, en “¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?”

Restricciones de puerto

Descripción detallada

De manera predeterminada, cuando se crea una apertura de puerto, se abre globalmente; el tráfico entrante puede venir de cualquier ubicación de la red, como una red local o Internet. En Windows XP Service Pack 2, usted puede configurar el puerto para que sólo reciba tráfico de red con una dirección de origen de la subred local, de direcciones específicas del protocolo de Internet (IP) y/o subredes específicas.

Cuando los puertos que comparten archivos se abren con la Interfaz de programación de aplicaciones (API) NetShare, el Asistente para la instalación de la red, desde las direcciones IP específicas o a través de la interfaz de usuario de Windows Firewall, la restricción de la subred local se aplica a subredes específicas.

Para equipos en un grupo de trabajo, algunos puertos están restringidos a la subred local de manera predeterminada. Dichos puertos son aquéllos necesarios para el uso compartido de archivos e impresoras y el marco Universal Plug and Play (UPnP™). Además, cuando estos puertos se abren para la subred local en un host de Conexión compartida a Internet, los puertos no se abrirán en la interfaz pública de ICS. Si abre en forma global los puertos, éstos se abrirán en la interfaz pública de ICS, lo que no es recomendable.

Se aconseja que aplique la restricción de la subred local a cualquier puerto estático que se utilice para comunicaciones en la red local. Se puede realizar en forma programada a través de Windows Firewall Netsh Helper, o la interfaz de usuario de Windows Firewall.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Algunas aplicaciones sólo necesitan comunicarse con otros hosts en la red local y no con hosts en Internet. Permitir a un puerto que sólo reciba tráfico de la subred local restringe el alcance de quien puede acceder a un puerto. Esto reduce los ataques que ocurren porque los puertos están abiertos a equipos que se conectan desde cualquier ubicación.

¿Qué funciona diferente?

Cuando está habilitado el uso compartido de archivos e impresoras en un equipo que es miembro de un grupo de trabajo, la restricción de la subred local afecta específicamente a cuatro puertos. Los siguientes puertos sólo recibirán tráfico de la subred local.

•    UDP puerto 137

•    UDP puerto 138

•    TCP puerto 139

•    TCP puerto 445

Si una aplicación o servicio también utiliza estos puertos, sólo se podrán comunicar con otros nodos en la subred local.

Cuando está habilitado el marco UPnP, la restricción de la subred local afecta en particular a dos puertos y sólo recibe tráfico de la subred local:

•    UDP puerto 1900

•    TCP puerto 2869

¿Cómo resuelvo estos problemas?

Si su aplicación o servicio no funciona con este tipo de restricción, deberá abrir el puerto para conexiones globales, como se describe más adelante en “¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?”, en este documento.

Soporte de línea de comando

Descripción detallada

Se ha agregado Windows Firewall Netsh Helper a Windows XP en el Paquete de conexión a red avanzado. Este asistente sólo se aplicaba a IPv6 Windows Firewall. Con Windows XP Service Pack 2, cambia la estructura y sintaxis del asistente y se amplía para incluir el soporte para configurar también IPv4. Con Netsh Helper, usted puede configurar por completo Windows Firewall, incluyendo:

•    Configurar el estado predeterminado de Windows Firewall (Desactivado, Activado, Activado con excepciones)

•    Configurar los puertos que deben estar abiertos, incluyendo si permiten acceso global o acceso restringido a la subred local y si están abiertos en todas las interfaces o por interfaz

•    Configurar las opciones de conexión

•    Configurar las opciones para el manejo del Protocolo de mensajes de control de Internet (ICMP)

•    Agregar o quitar aplicaciones de la lista de excepciones

¿Por qué es importante este cambio?

Incluir una interfaz de línea de comando proporciona al administrador un método para configurar Windows Firewall sin tener que pasar por la interfaz gráfica del usuario. La interfaz de línea de comando se puede utilizar en secuencias de comandos de inicio de sesión y administración remota.

¿Qué funciona diferente?

Toda secuencia de comandos que se creó con Netsh Helper, y que estaba disponible con el Paquete de conexión a red avanzado para Windows XP, ya no funciona y necesita actualizarse.

Modo operativo “Activado sin excepciones”

Descripción detallada

Windows Firewall se puede configurar para permitir tráfico entrante no solicitado durante el uso normal. Típicamente, porque se deben habilitar escenarios clave, como el uso compartido de archivos e impresoras. Si se descubre un problema de seguridad en uno o más de los servicios o aplicaciones en línea que se están ejecutando en el equipo, es posible que sea necesario que el equipo cambie al modo de sólo cliente, que se denomina “Activado sin excepciones”. El cambio al modo de sólo cliente configura Windows Firewall para impedir tráfico entrante no solicitado sin tener que reconfigurar el servidor de seguridad.

En este modo, se cierran todas los claros estáticos y se desconecta cualquier conexión existente. Se permite cualquier llamada de API a Windows Firewall para abrir un claro estático y se almacena la configuración solicitada del servidor de seguridad, pero no se aplica sino hasta que el modo operacional vuelve a la operación normal. También se ignoran todas las solicitudes de escucha por parte de las aplicaciones.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Los virus, gusanos y agresores buscan servicios que explotar. En este modo operacional, Windows Firewall ayuda a impedir que este tipo de ataques tengan éxito.

¿Qué funciona diferente?

En este modo de operación, el equipo no puede escuchar solicitudes que se originan desde la red. Se termina cualquier conexión entrante existente. Las conexiones salientes son las únicas conexiones que tienen éxito.

¿Cómo resuelvo estos problemas?

En este modo operacional, se espera que falle alguna funcionalidad debido a la seguridad estricta de la red implementada. Usted puede restablecer la funcionalidad regresando el modo operacional a Activado, que es el estado predeterminado. El usuario deberá realizar esta acción sólo después de haber identificado y mitigado la amenaza, pues la seguridad del equipo se reduce con esta acción.

Lista de excepciones de Windows Firewall

Descripción detallada

Algunas aplicaciones actúan como clientes y como servidores de red. Cuando actúan como servidores, necesitan permitir la entrada de tráfico entrante no solicitado, porque no saben quién será el compañero por anticipado.

En las versiones previas de Windows, una aplicación necesitaba llamar las APIs del servidor de seguridad para permitir que se abrieran los puertos de escucha necesarios. Esto resultó difícil en situaciones de punto a punto cuando no se conocía el puerto con anticipación. La aplicación tenía la opción de cerrar el puerto otra vez cuando se completara la comunicación. Sin esto, habría claros innecesarios en el servidor de seguridad si la aplicación terminaba inesperadamente.

Además, sólo se podían abrir estos puertos si las aplicaciones se ejecutaran en el contexto de seguridad de un administrador local, lo que violaría el principio del más mínimo privilegio al requerir que las aplicaciones se ejecutaran en un contexto administrativo, en lugar de sólo con los privilegios mínimos necesarios.

En Windows XP Service Pack 2, una aplicación que necesita escuchar la red se puede agregar a la lista de excepciones de Windows Firewall. Si una aplicación se encuentra en la lista de excepciones de Windows Firewall, Windows abre y cierra los puertos de escucha necesarios automáticamente, sin importar el contexto de seguridad de la aplicación. Para obtener información adicional sobre cómo agregar aplicaciones a la lista de excepciones de Windows Firewall, consulte la sección posterior "¿Cómo resuelvo estos problemas?" en este documento.

Nota   Las aplicaciones que funcionan con filtrado activo no necesitan colocarse en la lista de excepciones de Windows Firewall. Sólo los administradores pueden agregar una aplicación a la lista de excepciones de Windows Firewall.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Cuando una aplicación se encuentra en la lista de excepciones de Windows Firewall, sólo se abren los puertos necesarios y por el tiempo que la aplicación escucha en esos puertos. Una aplicación no puede abrir un puerto que no está usando, lo que podría exponer deliberada o inadvertidamente otra aplicación o servicio al tráfico de red desde ese puerto.

Lo anterior también permite a las aplicaciones que están escuchando la red que se ejecuten utilizando una cuenta con menos privilegios. En las versiones previas de Windows, el usuario tenía que ejecutar estas aplicaciones con los derechos del Administrador.

¿Qué funciona diferente?

Si una aplicación necesita escuchar en la red, debe estar en la lista de excepciones de Windows Firewall. De no ser así, entonces no se abre el puerto necesario en Windows Firewall y la aplicación no podrá recibir tráfico entrante no solicitado.

¿Cómo resuelvo estos problemas?

Se puede colocar una aplicación en la lista de excepciones de Windows Firewall en cinco formas:

1.    De forma programada.  Se recomienda que los proveedores de software independientes (ISVs) coloquen sus aplicaciones en la lista de excepciones de Windows Firewall durante la instalación. Para obtener mayor información consulte ¿cómo agregar de manera programada un Windows Firewall con Service Pack 2 para Windows XP?”, posteriormente en esta sección.

2.    Interfaz de línea de comandos.  Pueden utilizar este método los administradores de informática que administran sistemas Windows XP utilizando secuencias de comandos u otras herramientas de línea de comandos.

3.    Configuraciones de las Políticas de grupo.  Pueden utilizar este método los administradores de informática para agregar la aplicación a la lista de excepciones mediante las Políticas de grupo.

4.    Mensaje de notificación de Windows Firewall.  Un usuario con los derechos del Administrador puede interactuar con el mensaje de notificación de Windows Firewall y agregar la aplicación a la lista de excepciones.

Cuando una aplicación realiza una escucha de TCP o unión de UDP a un puerto no comodín, la pila de red pasa el nombre y el puerto de la aplicación a Windows Firewall. Windows Firewall busca el nombre de la aplicación en la lista de excepciones. Si la aplicación se encuentra en la lista de excepciones y está habilitada, entonces el puerto correspondiente se abre en el servidor de seguridad. Si la aplicación se encuentra en la lista de excepciones y está deshabilitada, entonces no se abrirán los puertos correspondientes. Si la aplicación no se encuentra en la lista de excepciones, se les pide a los usuarios que hagan una elección. Si los usuarios tienen derechos administrativos, pueden:

•    Desbloquear la aplicación para permitirle escuchar en la red. Se agrega a la lista de excepciones como Habilitado y se abren los puertos.

•    Bloquear la aplicación para que no se escuche en la red. Se agrega a la lista de excepciones como Deshabilitado y no se abren los puertos.

•    Elegir que se le pregunte otra vez. La aplicación no se agrega a la lista de excepciones y no se abren los puertos.

Si el usuario no tiene derechos de administración, se le notifica que la aplicación no tiene permitido escuchar en la red y que debe habilitarla un Administrador. En este punto, la aplicación se incluye en la lista de excepciones como Deshabilitada.

5.    Configuración manual.  El usuario puede decidir habilitar una aplicación en forma manual seleccionándola de una lista que se llena a partir de la lista de aplicaciones en el menú Inicio, o explorando la aplicación.

Perfiles múltiples

Descripción detallada

El soporte de perfiles múltiples en Windows Firewall le permite crear dos conjuntos de políticas del servidor de seguridad: uno para cuando el equipo está conectado a la red corporativa y otro para cuando no lo está. Usted puede especificar la política que es menos estricta cuando el equipo está conectado a la red corporativa para permitir que trabaje la función de la línea de aplicaciones de negocios. También puede tener una política de seguridad más enérgica para que se aplique cuando el equipo salga de la red corporativa, lo que ayudará a proteger a los usuarios móviles.

Nota   Los perfiles múltiples para Windows Firewall sólo son aplicables a equipos que están unidos a un dominio. Los equipos que están en un grupo de trabajo sólo tienen un perfil.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Para PCs móviles, es conveniente contar con más de una configuración en el servidor de seguridad. Con frecuencia, es probable que una configuración que es segura en una red corporativa esté sujeta a ataques por Internet. Por lo tanto, la capacidad de tener puertos abiertos en la red corporativa y no en otras redes es de vital importancia para garantizar que sólo los puertos necesarios estén expuestos en un momento determinado.

¿Qué funciona diferente?

Si es necesario que una aplicación se encuentre en la lista de excepciones de Windows Firewall para funcionar correctamente, podría no funcionar en ambas redes ya que los dos perfiles podrían no tener el mismo conjunto de políticas. Para que una aplicación funcione en todas las redes, ésta debe estar enumerada en ambos perfiles. (Consulte la sección anterior para obtener información adicional sobre la lista de excepciones de Windows Firewall.)

¿Cómo resuelvo estos problemas?

Si un equipo está unido a un dominio, debe asegurarse de que la aplicación se encuentre en la lista en ambas configuraciones del servidor de seguridad.

Soporte de RPC para los Servicios del sistema

Descripción detallada

En las versiones previas de Windows, el Servidor de seguridad de conexión a Internet bloqueaba la comunicación de la llamada a procedimiento remoto (RPC). Si bien el Servidor de conexión a Internet podía configurarse para permitir tráfico de red al Asignador de extremos de RPC, el puerto que la RPC utilizaba era desconocido y la aplicación seguiría fallando.

Muchas aplicaciones y componentes empresariales fallan si RPC no tiene permitido comunicarse sobre la red. Algunos ejemplos incluyen, pero no se limitan, a lo siguiente:

•    La administración remota, como la función de Administración del equipo y el cuadro de diálogo Seleccionar usuario, PCs y Grupos que utilizan muchas aplicaciones

•    Configuración remota del Instrumental de administración de Windows (WMI)

•    Secuencias de comandos que administran clientes y servidores remotos

RPC abre varios puertos y luego expone diferentes servidores en esos puertos. Puesto que se incluyen muchos servidores de RPC en Windows XP, Windows Firewall toma un enfoque diferente para los servicios del sistema que utilizan RPC. Windows Firewall sólo aceptará esta solicitud si el invocador se está ejecutando en contextos de seguridad de Sistema local, Servicio de red o Servicio local.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Para poder habilitar escenarios alrededor de la administración remota, muchas implementaciones a escala empresarial requieren que los servicios del sistema que utilizan RPC funcionen con Windows Firewall de manera predeterminada. Al ser más preciso, usted puede controlar los servicios de RPC que quedan expuestos en la red.

¿Qué funciona diferente?

De manera predeterminada, RPC no funciona a través de Windows Firewall. Se ven afectados todos los servicios del sistema que utilizan RPC. Sin embargo, se puede configurar Windows Firewall para que permita a RPC funcionar para estos servicios.

¿Cómo resuelvo estos problemas?

Consulte la sección posterior "¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?", en este documento.

Restaure los valores predeterminados

Descripción detallada

Antes, no era posible para un usuario restablecer la configuración de Windows Firewall. Con el tiempo, se podía configurar Windows Firewall para permitir tráfico entrante no solicitado, ya fuera agregando aplicaciones o puertos a la lista de excepciones de Windows Firewall. Esto podría dificultar al usuario regresar de manera rápida y fácil a una configuración predeterminada.

Esta opción permite al usuario restablecer las configuraciones de Windows Firewall a sus valores predeterminados originales. Además, los OEMs y empresas pueden modificar los valores predeterminados de Windows Firewall para proporcionar opciones de configuración predeterminadas personalizadas.

¿Por qué es importante este cambio?

Esta opción permite a los usuarios finales restaurar las configuraciones de Windows Firewall a los valores predeterminados originales.

¿Qué funciona diferente?

Con esta adición no se genera ningún cambio funcional en Windows Firewall. Sin embargo, esta función deshabilita el Uso compartido de la conexión a Internet y el Puente de la red.

Soporte a instalación no asistida

Descripción detallada

En las versiones previas de Windows, no era posible configurar el Servidor de seguridad de conexión a Internet durante la instalación, lo que dificultaba a los OEMs y a las empresas preconfigurar el Servidor de seguridad de conexión a Internet antes de distribuir el equipo a los usuarios finales. En Windows XP Service Pack 2, usted puede configurar las siguientes opciones de Windows Firewall mediante la configuración no asistida:

•    Modo operacional

•    Aplicaciones en la lista de excepciones de Windows Firewall

•    Puertos estáticos en la lista de excepciones

•    Opciones de ICMP

•    Opciones de registro

¿Por qué es importante este cambio?

Un método para preconfigurar Windows Firewall proporciona a los resellers de Windows y a las grandes empresas mayor flexibilidad y opciones de personalización para Windows Firewall.

¿Qué funciona diferente?

Esta función agrega flexibilidad en la configuración para Windows Firewall. Con esta adición no se genera ningún cambio funcional en Windows Firewall.

¿Qué funcionalidad existente cambia en Windows XP Service Pack 2?

Mejor soporte para multidifusión y difusión

Descripción detallada

El tráfico de red de multidifusión y difusión difiere del tráfico de unidifusión porque la respuesta proviene de un host desconocido. Así, el filtrado activo impide que se acepte la respuesta. Esto evita que funcionen algunos escenarios, que van de la agilización de medios al descubrimiento.

Para habilitar estos escenarios, Windows Firewall permitirá una respuesta de unidifusión durante 3 segundos proveniente de cualquier dirección de origen en el mismo puerto del que se originó el tráfico de multidifusión o difusión.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Permite a las aplicaciones y servicios que utilizan multidifusión y difusión al comunicarse que funcionen sin que el usuario o la aplicación/servicio modifiquen la política del servidor de seguridad. Es importante en cuestiones como NETBIOS sobre TCP/IP, para que los puertos sensibles como el 135 no queden expuestos.

¿Qué funciona diferente? ¿Existen dependencias?

En las versiones previas de Windows, el Servidor de seguridad de conexión a Internet no realizaba el filtrado de multidifusión o difusión. En Windows XP Service Pack 1, el Servidor de seguridad de conexión a Internet filtraba tráfico de multidifusión y difusión de forma activa, lo que requería que el usuario abriera de forma manual el puerto para recibir la respuesta. En Service Pack 2, Windows Firewall acepta la respuesta al tráfico de multidifusión y difusión sin configuración adicional.

Integración del Servidor de seguridad de conexión a Internet e IPv6 Windows Firewall

Descripción detallada

La versión del Servidor de seguridad de conexión a Internet que se introdujo con Windows XP sólo filtraba tráfico IPv4. El Servidor de seguridad de conexión a Internet IPv6 se introdujo con el Paquete de conexión a red avanzado para Windows XP. En ese momento, los dos servidores estaban separados y cada uno utilizaba sus propias opciones de configuración. Con Windows XP Service Pack 2, el Servidor de conexión a Internet y el Servidor de conexión a Internet IPv6 están integrados en un solo componente denominado Windows Firewall.

Con esto, cualquier cambio de configuración se aplica al tráfico de IPv4 y de IPv6. Por ejemplo, cuando se abre un puerto estático, lo hace para el tráfico de IPv4 y de IPv6.

¿Por qué es importante este cambio?

Permite que sean más fáciles la administración de configuraciones y la compatibilidad de aplicaciones.

¿Qué funciona diferente?

El servicio separado del servidor de seguridad de IPv6 se ha eliminado del sistema y se ha reemplazado con el servicio de Windows Firewall, que filtra tráfico tanto de IPv4 como de IPv6. Todas las APIs que se introdujeron con el Paquete avanzado de conexión a la red para Windows XP han sido reemplazadas por las nuevas APIs introducidas con Windows XP Service Pack 2.

¿Cómo resuelvo estos problemas?

Para obtener información adicional, consulte la sección posterior "¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?", en este documento.

Netsh Helper actualizado

Descripción detallada

El contexto del servidor de seguridad de Netsh Helper se introdujo por primera vez con el Paquete avanzado de conexión a la red para Windows XP. Sólo se aplicaba a IPv6 Windows Firewall. Con la integración de Windows Firewall e IPv6 Windows Firewall, el contexto del servidor de seguridad de Netsh Helper ya no tiene IPv6.

¿Por qué es importante este cambio?

El cambio adapta las modificaciones a Windows Firewall y la integración de las opciones de configuración de filtrado de IPv4 en el contexto actual del servidor de seguridad de Netsh Helper.

¿Qué funciona diferente?

Ya no funcionarán las secuencias de comandos que utilizan el contexto del servidor de seguridad que aparecen con la adición del Paquete avanzado de conexión a la red.

¿Cómo resuelvo estos problemas?

Actualice todas las secuencias de comandos que tenga de forma tal que incluyan el nuevo contexto y sintaxis del servidor de seguridad.

Interfaz de usuario actualizada

Descripción detallada

La interfaz de usuario de Windows Firewall se ha actualizado en Windows XP Service Pack 2 para adaptar las nuevas opciones de configuración y la integración del Servidor de seguridad de conexión a Internet IPv6. Proporciona al usuario la capacidad de cambiar los estados operacionales, la configuración global, las opciones de registro y las opciones de ICMP.

Se ha movido la entrada principal a la interfaz de usuario del cuadro de diálogo Propiedades de la conexión al icono del Panel de control. Se sigue incluyendo un vínculo desde la ubicación anterior. Además, Windows XP Service Pack 2 crea un vínculo desde la carpeta de Conexiones a red.

¿Por qué es importante este cambio?

La funcionalidad que se ha agregado a Windows XP Service Pack 2 requería actualizaciones a la interfaz de usuario.

¿Qué funciona diferente?

Se ha movido la interfaz de usuario de la pestaña Avanzado del cuadro de diálogo Propiedades de conexiones a la red a un icono específico de Windows Firewall en el Panel de control.

Nuevo soporte para las Políticas de grupo

Descripción detallada

En las versiones previas de Windows, el Servidor de seguridad de conexión a Internet tenía un solo objeto de las Políticas de grupo (GPO): Prohibir el uso del Servidor de conexión a Internet en su red de dominio DNS. Con Windows XP Service Pack 2, se puede establecer cada opción de configuración a través de las Políticas de grupo. Algunos ejemplos de las nuevas opciones de configuración disponibles incluyen:

•    Definir las excepciones del programa

•    Permitir las excepciones locales del programa

•    Permitir las excepciones de ICMP

•    Prohibir las notificaciones

•    Permitir una excepción en el uso compartido de archivos e impresoras

•    Permitir el registro

Cada uno de estos objetos se puede configurar tanto para el perfil corporativo como para el estándar. Para obtener una lista completa de las opciones de las Políticas de grupo, consulte “Implementar las configuraciones del Servidor de seguridad de conexión a Internet para Microsoft Windows XP con Service Pack 2” en el Centro de Descarga de Microsoft en http://go.microsoft.com/fwlink/?linkid=23277.

¿Por qué es importante este cambio?

Es importante para los administradores manejar las políticas de Windows Firewall a fin de permitir que las aplicaciones y los escenarios funcionen en el ambiente corporativo.

¿Qué funciona diferente?

El administrador de informática ahora puede decidir el conjunto de valores predeterminados de las políticas de Windows Firewall, lo cual puede habilitar o deshabilitar las aplicaciones y los escenarios. Esto permite un mayor control, pero las políticas no cambian la funcionalidad subyacente de Windows Firewall.

¿Qué configuraciones se agregan o cambian en Windows XP Service Pack 2?

Nombre de la configuración

Ubicación

Valor predeterminado previo

Valor predeterminado

Posibles valores

Proteger todas las conexiones de la red

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red\ \Windows Firewall

No aplicable.

Sin configuración.

Activado

Desactivado

No permitir excepciones

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Activado

Desactivado

Definir las excepciones de programa

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Activado

Desactivado

Ruta del programa

Alcance

Permitir las excepciones locales del programa

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Activado

Desactivado

Permitir la excepción de la administración remota

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Activado

Desactivado

Permitir una excepción en el uso compartido de archivos e impresoras

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Activado

Desactivado

Permitir las configuraciones ICMP

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable.

Sin configuración

Petición eco: Activado, Desactivado

Paquete de control de flujo (Source Quench): Activado, Desactivado

Redireccionar: Activado, Desactivado

Destino inaccesible: Activado, Desactivado

Solicitud del enrutador: Activado, Desactivado

Tiempo excedido: Activado, Desactivado

Problema del parámetro: Activado, Desactivado

Solicitud de máscara: Activado, Desactivado

Solicitud de marca de hora: Activado, Desactivado

Permitir la excepción del escritorio remoto

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable

Sin configuración

Activado

Desactivado

Permitir la excepción del marco UPnP

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable

Sin configuración

Activado

Desactivado

Prohibir las notificaciones

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas\Red \Conexiones de red \Windows Firewall

No aplicable

Sin configuración

Activado

Desactivado

Permitir el registro

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable

Sin configuración

Activado

Desactivado

Prohibir la respuesta de unidifusión a solicitudes de multidifusión o difusión

(Objeto de las Políticas de grupo) Configuración de PC \Plantillas administrativas \Red\Conexiones de red \Windows Firewall

No aplicable

Sin configuración

Activado

Desactivado

¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?

Conexiones salientes

Descripción

Para equipos de oficina y consumidores típicos, el equipo es un cliente en la red. El software en el equipo se conecta a un servidor (una conexión saliente) y obtiene las respuestas desde el servidor. Windows Firewall permite todas las conexiones salientes, pero aplica reglas para los tipos de comunicación que se van a permitir de regreso al equipo. Para obtener mayor información sobre el tipo de tráfico de red que Windows Firewall permite como parte de las conexiones salientes del Protocolo de control de transmisión (TCP) y del Protocolo de datos del usuario (UDP), consulte las Notas, más adelante.

Acción requerida

Ninguna. Windows Firewall permitirá automáticamente todas las conexiones salientes, independientemente del programa y del contexto del usuario.

Notas

•    Cuando un equipo inicia una solicitud de sesión de TCP a un equipo de destino, sólo aceptará una respuesta de ese equipo de destino.

•    Cuando el equipo envía paquetes de UDP, Windows Firewall permite las respuestas de UDP hacia el puerto desde el cual se enviaron los paquetes de UDP de cualquier dirección IP durante 90 segundos.

•    Las respuestas de unidifusión a tráfico de multidifusión y difusión se permiten a través de Windows Firewall durante 3 segundos si las respuestas son hacia el puerto desde el cual se envió el tráfico de multidifusión y son de las direcciones IP en la misma subred que el equipo. Una configuración en el servidor de seguridad controla este comportamiento, el cual está habilitado de manera predeterminada.

Ejemplos

•    Navegar el Web utilizando Microsoft Internet Explorer

•    Revisar el correo electrónico en Outlook Express

•    Chatear en MSN Messenger o Windows Messenger

Conexiones entrantes no solicitadas para aplicaciones

Descripción

Este escenario cubre una aplicación que completa una operación de escucha en un socket TCP o se enlaza satisfactoriamente a un socket UDP específico a través de Winsock. Para este escenario, Windows Firewall puede abrir y cerrar puertos de forma automática según lo requiera la aplicación.

Acción requerida

Cuando un administrador está instalando una aplicación que necesita escuchar en un o varios puertos, los usuarios deben indicar si desean permitir que la aplicación abra los puertos en el servidor de seguridad.

•    Si el usuario lo consiente, entonces la aplicación deberá utilizar la API INetFwAuthorizedApplication para agregarse a la colección de AuthorizedApplications como Habilitada.

•    Si el usuario no lo consiente, entonces la aplicación deberá utilizar la API INetFwAuthorizedApplication para agregarse a la colección de AuthorizedApplications como Deshabilitada.

Cuando se utiliza la API INetFwAuthorizedApplication para agregar una aplicación a la colección AuthorizedApplications, se requieren los siguientes valores:

•    Nombre del archivo de imagen. Es el archivo que llama a Winsock para que escuche para el tráfico de red. Debe ser una ruta totalmente calificada, pero podría contener variables ambientales.

•    Nombre descriptivo. Es la descripción para la aplicación que se mostrará a los usuarios en la interfaz de usuario de Windows Firewall.

Para obtener información adicional sobre la API INetFwAuthorizedApplication, consulte “INetFwAuthorizedApplication” en el Kit de desarrollo de software para plataforma de Microsoft (SDK) en http://go.microsoft.com/fwlink/?LinkId=32000.

Windows Firewall supervisa a Winsock para ver cuando las aplicaciones comienzan y terminan de escuchar en puertos. Como resultado, los puertos se abren y cierran de forma automática para las aplicaciones cuando sus entradas han sido habilitadas en la lista de excepciones de Windows Firewall. Lo anterior significa que no se requiere ninguna acción por parte de las aplicaciones de Winsock para abrir y cerrar puertos efectivamente.

Notas

•    Una aplicación debe estar en ejecución en el contexto de un usuario con derechos de Administrador para agregarse a la lista de excepciones de Windows Firewall.

•    Los puertos se abren y cierran de forma automática para las aplicaciones Winsock permitidas, independientemente del contexto del usuario en el que se están ejecutando las mismas.

•    Las aplicaciones deberán obtener el consentimiento del usuario antes de agregarse a sí mismas a la colección de AuthorizedApplications.

•    No se puede agregar Svchost.exe a la colección de AuthorizedApplications.

Ejemplos

Algunos ejemplos de las tareas que involucran las aplicaciones de Microsoft que podrían funcionar en forma diferente incluyen:

•    Usar audio y video en MSN Messenger o Windows Messenger

•    Transferir archivos en MSN Messenger o Windows Messenger

•    Albergar un juego de varios jugadores

Conexiones entrantes para servicios

Descripción

Si bien se recomienda a los desarrolladores utilizar las APIs AuthorizedApplication para los demás escenarios, el uso de APIs del puerto global en Windows Firewall es recomendable para servicios que escuchan en puertos fijos. Debido a que estos puertos siempre están abiertos, el beneficio es mínimo para abrir los puertos en forma dinámica. En su lugar, los usuarios obtienen la capacidad de personalizar las configuraciones del servidor de seguridad para estos puertos fijos cuando se utilizan las APIs del puerto global.

Acción requerida

Cuando un servicio necesita escuchar en un puerto fijo, debe preguntar al usuario si debe permitir que el servicio abra los puertos en el servidor de seguridad. Lo ideal es que esto se realice al momento de la instalación del servicio.

Si el usuario lo consiente, entonces el servicio deberá utilizar la API INetFwOpenPort para agregar reglas a fin de que Windows Firewall abra el puerto o puertos fijos que requiere el servicio. Estas reglas deben estar habilitadas.

Si el usuario no lo consiente, entonces el servicio deberá utilizar todavía la API INetFwOpenPort para agregar reglas a fin de que Windows Firewall abra el puerto o puertos fijos que requiere el servicio. Sin embargo, estas reglas no deben estar habilitadas.

Cuando se utiliza la API INetFwOpenPort para agregar un puerto que se abre a Windows Firewall, se requieren los siguientes valores:

•    Puerto. Es el número del puerto que se va a abrir. Debe estar entre 1 y 65 536, incluso.

•    Nombre descriptivo. Es la descripción para el puerto que se abre que se mostrará a los usuarios en la interfaz de usuario de Windows Firewall.

Para obtener información adicional sobre la API INetFwAuthorizedApplication, consulte “InetFwAuthorizedApplication” en el Kit de desarrollo de software para la plataforma en el sitio Web de MSDN en http://go.microsoft.com/fwlink/?linkid=32000.

Cuando un servicio está deshabilitado, nuevamente éste deberá utilizar la API INetFwOpenPort para cerrar los puertos estáticos que abrió siempre que sea posible. Esto se puede hacer fácilmente si es el único servicio que utiliza los puertos. Sin embargo, si el servicio llegara a compartir los puertos con otros servicios, no deberá cerrar los puertos a menos que pueda verificar que ninguno de los otros servicios está usando los puertos.

Una aplicación debe estar en ejecución en el contexto de un usuario con derechos de Administrador para abrir puertos de forma estática en Windows Firewall.

Notas

•    Cuando se abren puertos en forma estática a través de la API INetFw API, el servicio debe limitarse a sí mismo del tráfico proveniente de la subred local siempre que sea posible.

•    Los servicios deben obtener el permiso del usuario antes de abrir los puertos de forma estática en Windows Firewall. Un servicio nunca debe abrir los puertos automáticamente sin advertir primero al usuario.

Ejemplos

Algunos ejemplos de servicios que requieren conexiones entrantes son:

•    Uso compartido de archivos e impresoras

•    Arquitectura UPnP

•    Escritorio remoto

Conexiones entrantes en puertos RPC y DCOM para los Servicios del sistema

Descripción

Algunos servicios del sistema requieren el uso de puertos RPC, ya sea a través de DCOM o RPC directamente, para conexiones entrantes. Debido a las importantes implicaciones de seguridad cuando se abren los puertos RPC, éstos se manejan como un caso especial y los desarrolladores sólo deberán de tratar de habilitar RPC para servicios del sistema a través de Windows Firewall cuando sea absolutamente necesario.

Acción requerida

Se puede configurar Windows Firewall para habilitar la apertura y el cierre automáticos de los puertos RPC y DCOM para los servicios del sistema. Sin embargo, y de manera predeterminada, Windows Firewall siempre bloqueará RPC. Esto significa que las aplicaciones que utilizan los puertos RPC para transferir datos a los servicios del sistema necesitarán configurar Windows Firewall de forma apropiada. Cuando una aplicación necesita habilitar esta función, debe preguntar al usuario si debería permitir que los servicios abran los puertos en el servidor de seguridad. Lo ideal es que esto se haga al momento de la instalación.

Si el usuario consiente en permitir que se abran los puertos RPC, entonces el servicio deberá utilizar la API INetFwRemoteAdminSettings para abrir los puertos que requiere el servicio.

Si el usuario no consiente en permitir que se abran los puertos RPC, entonces la aplicación o el servicio no deberían configurar que Windows Firewall permita los puertos RPC.

Para obtener información adicional sobre la API INetFwRemoteAdminSettings, consulte “INetFwAuthorizedApplication” en el sitio Web de MSDN en http://go.microsoft.com/fwlink/?linkid=32000, y en el índice, haga clic en “Propiedad RemoteAddresses de InetFwAuthorizedApplication”.

Notas

•    Para habilitar o deshabilitar la apertura automática de puertos RPC en Windows Firewall, la aplicación o el servicio se deben ejecutar en el contexto de un usuario con derechos de Administrador.

•    Antes de permitir que los puertos RPC pasen por Windows Firewall, la aplicación o el servicio deberán obtener el consentimiento del usuario.

•    La aplicación o el servicio deberán tratar de permitir que los puertos RPC pasen por Windows Firewall sólo cuando sea absolutamente necesario.

•    Si ya están permitidos los puertos RPC, entonces la aplicación o el servicio no necesitan hacer nada para que funcionen correctamente.

•    Las configuraciones de los puertos RPC sólo funcionan para servidores RPC que se ejecutan en el contexto de Sistema local, Servicio de red o Servicio local. Los puertos abiertos por servidores RPC que se ejecutan en otros contextos de usuarios no se habilitarán con esta configuración. En su lugar, aquellos servidores RPC deberán utilizar la lista de excepciones de Windows Firewall.

Ir al principio de la página Ir al principio de la página

Windows Media Player

¿Qué hace Windows Media Player?

Windows Media Player es una aplicación que proporciona contenidos multimedia, reproduce archivos multimedia y ayuda a organizar sus archivos de multimedia almacenados.

¿A quién aplica esta función?

Todos los usuarios que utilizan Windows Media Player deben conocer los cambios incorporados a Windows XP Service Pack 2.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Windows Media Player 9 Series

Descripción detallada

Windows Media Player 9 Series se instala como parte de Windows XP Service Pack 2. Esta versión de Windows Media Player incluye actualizaciones de seguridad y una nueva funcionalidad.

Durante la instalación de Windows XP Service Pack 2, si selecciona la opción para guardar archivos, puede eliminar Windows Media Player 9 Series posteriormente. Para hacerlo, retire el paquete de servicio utilizando Agregar o quitar programas. Windows Media Player 9 Series se retira junto con el paquete de servicio y tanto la versión previa de Windows Media Player como el sistema operativo se restauran a su versión previa.

Si realiza una instalación nueva de Windows XP que incluya Service Pack 2 en un equipo que está ejecutando una versión previa de Windows, el sistema operativo se reemplaza y no se podrá eliminar Windows Media Player 9 Series. Para obtener información adicional, consulte el Centro de Conocimiento de Windows Media 9 Series en http://go.microsoft.com/fwlink/?LinkId=32062.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Las versiones previas de Windows Media Player contenían vulnerabilidades a la seguridad. Aunque éstas han sido reparadas con actualizaciones del software, una solución más profunda es actualizar las versiones previas a Windows Media Player 9 Series. Windows Media Player 9 Series también ha sido probado y actualizado minuciosamente para que funcione con las otras mejoras a la seguridad incluidas en Windows XP Service Pack 2.

¿Qué funciona diferente?

Si instala Windows XP Service Pack 2, es posible que necesite volver a adquirir algunas licencias para reproducir el contenido que obtuvo en licencia previamente. Lo anterior es aplicable si actualizó su equipo de Windows 2000 o Windows XP a Windows XP Service Pack 2, porque Windows Media Player 9 Series maneja las licencias de contenido digital en forma diferente a las versiones previas.

¿Cómo resuelvo estos problemas?

Para asegurarse de que el contenido actual bajo licencia sigue disponible para Windows Media Player después de eliminar Windows XP Service Pack 2, realice una de las siguientes acciones:

•    Antes de actualizar un equipo a Windows XP Service Pack 2, respalde las licencias para sus archivos multimedia digitales. (Lo puede hacer con Administración de licencias en Windows Media Player.) Después, antes de retirar el paquete de servicio, respalde todas las licencias adicionales que adquirió. Después de retirar el paquete de servicio, restaure todas las licencias.

•    Después de que retirar Windows XP Service Pack 2, puede instalar Windows Media Player 9 Series desde el Centro de descarga de Microsoft Windows Media.

Ir al principio de la página Ir al principio de la página

Windows Messenger

¿Qué hace Windows Messenger?

Windows Messenger es un programa de mensajería instantánea que le permite comunicarse en tiempo real con otras personas que utilizan Windows Messenger o MSN Messenger.

Con Windows Messenger, usted puede:

•    Crear una lista de contactos de amigos, familiares y compañeros de trabajo que también utilizan Messenger.

•    Ver cuando sus contactos inician sesión en Windows Messenger y están disponibles.

•    Enviar y recibir mensajes de texto de sus contactos.

•    Hacer una llamada telefónica a casi cualquier parte del mundo a una tarifa muy baja, y utilizar el micrófono o los audífonos para conversar.

•    Llamar sin costo al equipo de un contacto y verse mientras conversan.

•    Enviar fotos, música o documentos a sus contactos.

•    Vincularse directamente al buzón de entrada del correo electrónico de su programa de correo electrónico predeterminado.

•    Invitar a alguien a jugar, ver un programa en su equipo o utilizar un pizarrón juntos.

•    Utilizar la Asistencia remota para permitirle a alguien que le ayude con su equipo.

•    Recibir información al minuto utilizando Microsoft .NET Alerts.

¿A quién aplica esta función?

Todos los usuarios de Windows Messenger deberán conocer los cambios realizados a esta función en Windows XP Service Pack 2.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Se han agregado las siguientes funciones a Windows Messenger en Windows XP Service Pack 2:

•    Bloquear las transferencias de archivos no seguros

•    Solicitar el nombre de usuario

•    Windows Messenger y Windows Firewall

Bloquear las transferencias de archivos no seguros

Descripción detallada

Las transferencias de archivos se bloquean cuando incluyen algún contenido que se podría utilizar para dañar su equipo. Cuando alguien trata de enviarle un archivo, Windows Messenger verifica primero si el remitente se encuentra en su lista de contactos. A continuación, el archivo pasa por una verificación de seguridad.

Los archivos se bloquean cuando ocurre lo siguiente:

•    El remitente no está en su lista de Contactos.

•    Alguien intenta enviarle un archivo que se considera inseguro.

Por lo general, los archivos con las extensiones .jpg, .txt y .gif se consideran seguros y los puede recibir de alguien que no esté en su lista de Contactos.

Ciertos tipos de archivos se deberán abrir con precaución, incluso si conoce al remitente, porque podrían contener código ejecutable. Cuando recibe un cierto tipo de archivos de alguien en su lista de Contactos, se le pregunta qué desea hacer con el archivo. Sólo deberá aceptar el archivo si lo puede guardar en el disco duro de su PC y después explorarlo con un programa antivirus antes de abrirlo.

Se le notificará antes de abrir los siguientes tipos de archivos:

•    Archivos de Microsoft Office, como .doc, .ppt y .xls.

•    Archivos de otras aplicaciones, como .zip, .wpd y .pdf.

•    Las aplicaciones de cómputo, los programas o cualquier otro archivo que contenga código de software o secuencias de comandos, incluyendo macros, ejecutables y JavaScript.

•    Archivos con las siguientes extensiones: .exe, .cmd, .wsh, .bat, .vb, .vbs; .pif, .scr y .scf.

•    Otros tipos de archivos.

Para obtener una lista de archivos que por lo general se consideran inseguros, consulte "Información acerca de la lista de archivos inseguros en Internet Explorer 6" en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=25999.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Las transferencias de archivos se bloquean cuando incluyen algún contenido que se podría utilizar para dañar su equipo.

¿Qué funciona diferente?

Se bloquearán algunas transferencias de archivos.

¿Cómo resuelvo estos problemas?

Los archivos sólo se bloquean cuando ocurre lo siguiente:

•    El remitente no está en su lista de Contactos.

•    El archivo que alguien intenta enviarle se considera inseguro.

Si sabe que el archivo es seguro, puede agregar el usuario a su lista de contactos, completándose todas las transferencias de archivos que reciba de ellos.

Se requiere el nombre de usuario

Descripción detallada

Windows Messenger ahora requiere que el nombre de usuario sea diferente de la dirección electrónica del usuario.

Este requisito se aplica cuando el usuario inicia sesión en Windows Messenger y cuando actualiza su nombre en el cuadro de diálogo Opciones.

Cuando los usuarios inician sesión en Windows Messenger, se les pide que proporcionen un nombre antes de iniciar su sesión. Si no proporcionan el nombre, no pueden iniciar su sesión.

Cuando los usuarios actualizan su nombre en el cuadro de diálogo Opciones, Windows Messenger verifica si los nombres concuerdan con sus direcciones electrónicas.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Cuando las conversaciones de mensajería instantánea se guardan para futuras referencias utilizando Guardar como en el menú Archivo, el nombre de usuario se almacena en un archivo de texto, junto con todos los mensajes de texto asociados. Las aplicaciones de virus pueden descubrir la dirección electrónica en el archivo de texto y utilizarla para propagar los contactos del usuario a través de estas mismas conversaciones de mensajería instantánea.

¿Qué funciona diferente?

Los usuarios no pueden iniciar sesión si no proporcionan un nombre de usuario.

¿Cómo resuelvo estos problemas?

El usuario debe proporcionar un nombre de usuario cuando se le indique durante el inicio.

Windows Messenger y Windows Firewall

Descripción detallada

Windows Messenger necesita permiso para conectarse a Internet a través de Windows Firewall.

Para otorgar a Windows Messenger el permiso para conectarse a Internet, haga clic en Inicio, Panel de control, Opciones de seguridad, Windows Firewall, Excepciones y después en Programas y servicios, haga clic en Windows Messenger.

¿Por qué es importante este cambio? ¿Qué amenazas ayuda a mitigar?

Windows Firewall se ha activado de manera predeterminada para proteger el equipo del usuario.

¿Qué funciona diferente?

No se ejecutará Windows Messenger.

¿Cómo resuelvo estos problemas?

Agregue Windows Messenger a la lista de excepciones de Windows Firewall.

Ir al principio de la página Ir al principio de la página

Servicios de aprovisionamiento inalámbrico

¿Qué hacen los Servicios de aprovisionamiento inalámbrico?

Un creciente número de usuarios acceden a Internet a través de un mayor número de redes inalámbricas públicas, o zonas interactivas de fidelidad inalámbrica (Wi-Fi®). El uso de los Servicios de aprovisionamiento inalámbrico (WPS) en Service Pack 2 para Windows  XP (SP2) con Service Pack 1 para Windows Server 2003 proporciona a los usuarios inalámbricos una experiencia consistente y conectividad transparente a zonas interactivas de Wi-Fi públicos a través del aprovisionamiento automático del cliente e itinerancia transparente. WPS permite a los Proveedores de servicio de Internet inalámbrico (WISPs) utilizar una plataforma integrada y basada en estándares para proporcionar zonas interactivas de Wi-Fi con mayor seguridad que son fáciles de utilizar y administrar. Además, WPS permite a las empresas proporcionar fácilmente acceso de invitado con mayor seguridad para las redes inalámbricas privadas.

Con WPS, WISPs y las empresas pueden enviar información de aprovisionamiento y configuración a los clientes móviles conforme se conectan a Internet o a la red corporativa, lo que a su vez permite la configuración transparente, automática y segura de los clientes móviles, proporcionándoles una experiencia de inicio de sesión uniforme en la empresa y a través de los diferentes proveedores de red pública y ubicaciones de la zona interactiva.

Nota   Esta función requiere que Service Pack 1 para Windows Server 2003 habilite los escenarios de usuario descritos en esta sección. No se ha liberado todavía Windows Server 2003 Service Pack 1.

¿A quién aplica esta función?

El Servicio de aprovisionamiento inalámbrico está diseñado para tres tipos de organizaciones:

•    Proveedores de servicio de zona interactiva (HSP)

Los HSPs implementan puntos de acceso inalámbrico en lugares públicos, como centros comerciales y aeropuertos, pero los HSPs no son Proveedores de servicio de Internet (ISPs). Más bien, los HSP contratan con uno o más ISPs y ofrecen a los usuarios uno o más planes de servicio que éstos pueden elegir cuando desean establecer una cuenta de acceso a Internet.

•    Proveedor de servicios de Internet inalámbrico (WISP)

Los WISPS son ISPs que implementan zonas interactivas de Wi-Fi en lugares públicos o bien contratan externamente servicios de zona interactiva de Wi-Fi a un HSP.

•    Empresas

Las empresas pueden utilizar la tecnología de WPS para proporcionar acceso de invitado administrado en sus redes.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Servicios de aprovisionamiento inalámbrico

Descripción detallada

Los servicios de aprovisionamiento inalámbrico son una extensión de los servicios inalámbricos e interfaces de usuario existentes dentro de Windows XP y Windows Server 2003. Se generan sobre las funciones inalámbricas ya presentes de Windows, como Auto-configuración inalámbrica, y las funciones de seguridad inalámbrica como Autenticación extensible protegida (PEAP) y Acceso protegido Wi-Fi (WPA). WPS también incluye modificaciones a Windows Server 2003. El componente de IAS (Servicio de autenticación de Internet) de Windows 2003 se modificó para incluir la autenticación del invitado de los clientes en el proceso de aprovisionamiento.

WPS incluye un componente del servicio de aprovisionamiento que permite que los Proveedores de servicio de Internet inalámbrico (WISPs) y las empresas envíen información de aprovisionamiento y configuración a un cliente móvil que intenta conectarse a Internet o a la red corporativa. Al utilizar los Servicios de aprovisionamiento inalámbrico, los WISPs pueden ofrecer servicios en múltiples ubicaciones de red y utilizar múltiples nombres de redes (identificadores del conjunto de servicios, o SSIDs). Cuando los usuarios han iniciado una sesión con un WISP en una ubicación o se les pre-aprovisiona y han descargado la información de aprovisionamiento, pueden conectarse automáticamente a Internet en ocasiones posteriores utilizando la red proporcionada por el WISP en sus diferentes ubicaciones de zona interactiva. El servicio de auto-configuración inalámbrico elegirá de manera automática la red correcta que pertenece al WISP con base en los archivos de aprovisionamiento proporcionados. WSP también permite itinerancia automática y transparente entre los diferentes proveedores.

Además, cuando se utiliza WPS, el equipo del cliente automáticamente conserva actualizada la información de aprovisionamiento almacenada en ese equipo. Esto permite al proveedor cambiar las configuraciones de red, agregar nuevas ubicaciones, etc., sin interrumpir el servicio o hacer que los usuarios reconfiguren sus sistemas.

Cuando un usuario conecta su equipo a un WISP y establece una cuenta la primera vez, tienen lugar las siguientes cuatro etapas:

1.    El equipo descubre la red del WISP en una zona interactiva de Wi-Fi.

2.    Se autentica al usuario utilizando una cuenta de invitado y el equipo se conecta a la red de Wi-Fi.

3.    Se aprovisiona al cliente móvil y el usuario establece una cuenta con el WISP.

4.    Se autentica al usuario en la red de Wi-Fi utilizando las nuevas credenciales de la cuenta del usuario.

Cada una de estas etapas se analiza con más detalle en el siguiente escenario:

Un usuario llega a una zona interactiva de Wi-Fi con un equipo portátil que ejecuta Windows XP SP2 y Servicios de aprovisionamiento inalámbrico, cuando el equipo viene dentro del rango de la guía del punto de acceso del WISP, ocurre lo siguiente:

1.    El servicio de Auto-configuración inalámbrica (WAC) en el equipo del cliente detecta la información de la guía del punto de acceso, que se habilita con el Identificador del conjunto seguro de transmisión (SSID). El SSID es equivalente al nombre de la red.

2.    Windows XP informa al usuario que está disponible una red inalámbrica. El usuario ve la información en Windows XP, incluyendo el nombre descriptivo de la red. En este ejemplo, el usuario tiene un código de promoción para el establecimiento de la cuenta y continúa haciendo clic en Conectar. Lo anterior hace que el cliente de WPS conecte el equipo del usuario a la red inalámbrica utilizando una cuenta de invitado con privilegios limitados.

Cuando la red de Wi-Fi autentica la cuenta de invitado, ocurre lo siguiente:

1.    WAC utiliza 802.1x y el Protocolo protegido de autenticación extensible (PEAP) para conectarse y autenticarse como invitado a la red de WISP a través del punto de acceso, pasando automáticamente un nombre de usuario y contraseña en blanco al servidor del Servicio de autenticación de Internet (IAS) de WISP (IAS también se conoce como el servidor RADIUS de Microsoft). El punto de acceso se conecta a un dispositivo de salida que permite que el tráfico del cliente pase hacia los servicios de aprovisionamiento en la red para completar el proceso de inicio de sesión, pero bloquea al cliente del acceso a Internet.

2.    El servidor del IAS (o servidor RADIUS) es el autenticador del PEAP y el extremo de la Seguridad de la capa de transporte (TLS) para los usuarios que se conectan como invitados. El túnel de TLS se crea entre el cliente y el servidor de IAS. Todos los mensajes posteriores entre el cliente y el servidor pasan por este túnel, que atraviesa el punto de acceso y el dispositivo de salida.

3.    La autenticación del servidor se lleva a cabo cuando el servidor de IAS verifica su identidad en el equipo del cliente utilizando un certificado que contiene el objetivo de Autenticación del servidor en las extensiones del Uso de claves mejoradas (EKU). Este certificado es emitido por una Autoridad de certificación (CA) con raíz pública en la que confía el equipo del cliente.

4.    El servidor de IAS autentica y autoriza al usuario como Invitado. En el mensaje de Acceder-aceptar que envía el servidor de IAS al cliente se encuentra un contenedor con un URL hacia la información de aprovisionamiento. Este URL proporciona al motor de los Servicios de aprovisionamiento inalámbrico que se ejecuta en el cliente la ubicación del archivo maestro XML.

Cuando se aprovisiona al cliente y el usuario crea una cuenta, ocurre lo siguiente:

1.    En el equipo del cliente, los Servicios de aprovisionamiento inalámbrico descargan el archivo maestro XML y los sub-archivos del servidor de aprovisionamiento. El archivo maestro contiene indicadores hacia los sub-archivos XML que controlan el avance del cliente durante el proceso. Cuando se descarga el esquema de inicio XML, el asistente para el inicio de sesión se abre en el cliente para permitir al usuario crear y pagar una cuenta al WISP.

2.    Al utilizar el asistente de inicio de sesión en el equipo del cliente, el usuario pasa por el proceso de iniciar una cuenta. El usuario introduce el código de promoción y los datos personales, como nombre, dirección y número de tarjeta de crédito. El cliente de los Servicios de aprovisionamiento inalámbrico convierte los datos introducidos por el usuario en un documento XML.

3.    El documento XML que contiene los datos de inicio de sesión del usuario se envía a la aplicación Web en el servidor de aprovisionamiento del WISP.

4.    La aplicación Web compara el código de promoción introducido por el usuario con la base de datos de códigos de promoción (por ejemplo, una base de datos en SQL Server). Si el código de promoción es válido, la aplicación Web sigue procesando los datos del usuario.  

5.    La aplicación Web procesa la información relativa al pago del usuario. Cuando se ha verificado el pago y se ha completado satisfactoriamente la información de inicio de sesión, la aplicación Web lee la información del dominio y del grupo de seguridad desde la base de datos del código de promoción y crea una cuenta de usuario en los servicios de identidad (como Active Directory) y agrega la cuenta al grupo de seguridad. La aplicación Web también introduce el nuevo nombre de usuario en la base de datos del código de promoción.

6.    El documento XML que contiene las credenciales de la nueva cuenta se envía desde el servidor de aprovisionamiento del WISP hacia el cliente de Servicios de aprovisionamiento inalámbrico en el equipo del cliente. El equipo del cliente utiliza las credenciales para configurar WAC y 802.1x bajo el nombre del WISP. La conexión se reinicia con las credenciales basadas en la contraseña de la nueva cuenta del usuario (nombre de usuario y contraseña).

Finalmente, cuando se autentica al usuario utilizando las credenciales de la nueva cuenta y éste obtiene acceso a Internet, sucede lo siguiente:

1.    El servicio de Auto-configuración inalámbrica (WAC) en el equipo del cliente reinicia la asociación hacia el SSID para el WISP.

2.    WAC encuentra el perfil 802.11 correcto que se descargó con la otra información del WISP en el archivo maestro XML. WAC vuelve a asociarse con el punto de acceso utilizando el perfil correcto.

3.    WAC utiliza 802.1x para iniciar el proceso de autenticación utilizando la combinación del Protocolo de autenticación extensible protegido con Microsoft Challenge Handshake Authentication Protocol versión 2 (PEAP-MSCHAPv2), usando las credenciales de la nueva cuenta pasadas a 802.1x por el cliente de los Servicios de aprovisionamiento inalámbrico.

4.    Conforme el cliente inicia el proceso de autenticación con la autenticación de PEAP-MSCHAPv2, se crea un canal TLS entre el equipo del cliente del usuario y el servidor del IAS del WISP.

5.    En la segunda etapa de la autenticación de PEAP-MSCHAPv2, el servidor del IAS del WISP autentica y autoriza la solicitud de conexión contra la nueva cuenta en la base de datos de las cuentas de usuarios (por ejemplo, Active Directory). El servidor del IAS envía un mensaje de Acceder-aceptar al punto de acceso. Dentro del mensaje de Acceder-aceptar se encuentran los atributos que especifican que el usuario ahora puede obtener acceso a Internet.

6.    El punto de acceso ordena al dispositivo de salida que asigne al cliente a la red del segmento lógico con acceso a Internet.

¿Qué amenazas ayuda a mitigar? ¿Por qué es importante este cambio?

Los Servicios de aprovisionamiento inalámbrico facilitan el uso de zonas interactivas sin comprometer la seguridad. WPS, con Windows Server 2003 Service Pack 1, y Microsoft IAS (también conocido como servidor RADIUS), permite que los equipos de los usuarios descubran, se conecten y el uso móvil más fácilmente entre zonas interactivas inalámbricas con mayor seguridad.

•    El modelo de conexión actual para el inicio de WISP y su uso no es seguro. La mayoría de las zonas interactivas de Wi-Fi están configuradas para abrir la autenticación y sin cifrado de datos. Por lo general, se les pide a los usuarios que abran un explorador Web para iniciar sesión al principio con el servicio del WISP y para conexiones posteriores. WSP reduce esta amenaza al agregar la encriptación y autenticación a las comunicaciones entre el cliente y la red inalámbrica.

•    La implementación del explorador basada en la redirección tiene muchos problemas en la capacidad de uso. Los usuarios ni siquiera saben que tienen que abrir sus exploradores para conectarse. Otro ejemplo de lo que puede suceder es cuando el explorador está configurado para utilizar configuraciones proxy para acceder a Internet y el usuario está conectado directamente a la red corporativa. En este caso, la redirección del explorador no funciona y el usuario tendría que saber cómo deshabilitar las configuraciones proxy para conectarse a la zona interactiva. Esto podría provocar costosas llamadas de soporte al WISP o al escritorio de ayuda de la empresa.

•    La implementación basada en exploradores es vulnerable a ataques intermedios, por ejemplo, por un servidor cliente malintencionado que utiliza un punto de acceso sin control. Los usuarios consultados por este punto de acceso podrían estar revelando sin darse cuenta la identificación personal y la información sobre su tarjeta de crédito. Eliminar la necesidad de un WSP de inicio de sesión al Web reduce la vulnerabilidad de los usuarios del WISP a este tipo de ataques.

•    Sin software adicional del cliente de la zona interactiva, los usuarios no pueden detectar fácilmente zonas interactivas y no tienen un mecanismo unificado para iniciar sesión con ellos. No es fácil para los usuarios encontrar información sobre el WISP o buscar las ubicaciones de la zona interactiva para ese WISP. Si los usuarios inician sesión en una zona interactiva, no necesariamente están configurados para utilizar de forma automática las otras zonas interactivas. Además, no hay un mecanismo estándar para conservar actualizada su información de aprovisionamiento y configuración.

•    El software del cliente de la zona interactiva adicional puede ayudar al usuario a acceder a esa red específica del WISP. Sin embargo, el software adicional también puede discrepar con los servicios inalámbricos nativos del sistema operativo, o el software del cliente de otros proveedores, lo que en potencia podría provocar problemas de interoperabilidad, incluso la inestabilidad del sistema, pues todos ellos intentan controlar las configuraciones inalámbricas del sistema completo. Por lo general, las actualizaciones a la configuración del WISP requieren actualizaciones al software del cliente. Por estas razones, muchos departamentos corporativos de informática son renuentes a implementar software del cliente de la zona interactiva de terceros a sus usuarios.

•    No existen mecanismos estandarizados entre los WISPs para procesar los inicios de sesión del usuario y actualizar sus configuraciones. Como resultado, la experiencia del usuario se ve fragmentada, dificultándose la itinerancia transparente entre los proveedores.

Asistente para la instalación de la red inalámbrica

Descripción detallada

El Asistente para la instalación de la red inalámbrica proporciona la interfaz de usuario para iniciar sesión en una zona interactiva inalámbrica y guía al usuario durante el proceso de aprovisionamiento. El asistente prepara los contenidos provenientes de la información de aprovisionamiento (archivos XML) que proporciona el WISP. La información de aprovisionamiento se puede descargar o preinstalar en forma dinámica en el sistema del cliente. En los nuevos sistemas, los siguientes pueden ofrecer la preinstalación: un OEM, el departamento de informática dentro de una organización o desde el sitio Web de un WISP. El WISP posee y crea la información de aprovisionamiento y conduce la experiencia de inicio de sesión y aprovisionamiento de los usuarios. El siguiente ejemplo presenta una experiencia simple del Asistente para la instalación de la red inalámbrica con código prepagado. El esquema XML y el asistente son flexibles y pueden habilitar experiencias de inicio de sesión más complejas.

Primero, el usuario puede hacer clic con el botón alterno en el icono de la red inalámbrica en el área de notificación, y después en Ver redes inalámbricas disponibles o bien, el usuario puede responder a los mensajes de notificación del área de notificación que indican la disponibilidad de una red inalámbrica nueva dentro de alcance. Cuando aparece Elija una red inalámbrica, el usuario selecciona una red inalámbrica nueva y la coloca en la lista de redes preferidas.

A continuación, el usuario selecciona el nombre de una red (un SSID) y hace clic en Conectar para enlazarse con la red inalámbrica. Con una zona interactiva de Wi-Fi basada en el WPS, el cliente detecta que hay más información de aprovisionamiento en forma de archivos XML que está disponible relacionada con la red y el proveedor. Confirma entonces con el usuario si se debe descargar la información de aprovisionamiento. Con una red que no es del WPS, la experiencia sería la misma que con Windows XP en la actualidad: ya sea que se le indique al usuario una clave de seguridad al conectarse a una red segura o que se le advierta al usuario que no es segura la red a la que intenta conectarse, y se le pregunta si todavía desea la conexión.

Después de completar la descarga, el Asistente para la instalación de la red inalámbrica inicia y guía al usuario a través del proceso de inicio de sesión. La primera pantalla muestra el logotipo personalizado (o banner) y el contenido del proveedor.

Las pantallas siguientes pueden incluir seleccionar una plan de suscripción, introducir información de la tarjeta de crédito, información personal, etc. En este ejemplo, sólo hay un plan y se le pide al usuario que introduzca su código promocional o de prepago para obtener acceso a la red. A continuación, la Implementación de la zona interactiva de Wi-Fi muestra información sobre el plan elegido, como son los términos del contrato de servicio y la declaración de privacidad.

En la última pantalla, el asistente pide al usuario sus preferencias de conectividad para esta conexión. El proveedor puede configurar estas preferencias predeterminadas, pero el usuario las puede cancelar. Por ejemplo, si el usuario selecciona una suscripción mensual con datos ilimitados, probablemente deseará conectarse siempre a la red en forma automática cuando esté dentro del alcance. Si el usuario elige un plan "pagar lo que consume”, probablemente deseará controlar cuándo conectarse y elegir la opción de conexión manual como su preferencia.

La segunda opción determina si el cliente conserva la información de aprovisionamiento actualizada en forma automática. Por ejemplo, si el proveedor agrega nuevos nombres de redes, nuevas ubicaciones o cambia la red o las configuraciones de seguridad, el cliente puede actualizar automáticamente la información sin que se requiera ninguna interacción del usuario mientras esté conectado a la red.

En visitas posteriores a zonas interactivas en la misma ubicación o en otras diferentes por parte del proveedor, o de sus socios de itinerancia, y en caso de que se seleccione la conexión automática, todo lo que el usuario tiene que hacer es activar otra vez su equipo portátil o reanudar operaciones desde el modo de espera, y automáticamente estará conectado. Al estar conectado, en lugar de mostrar un nombre de red o SSID crípticos en el cuadro de diálogo Elegir red inalámbrica (que se abre desde la ventana de notificación Ver redes inalámbricas disponibles), se mostrará un nombre descriptivo del proveedor, junto con su logotipo.

De este cuadro de diálogo, los usuarios también pueden buscar ubicaciones de zonas interactivas disponibles o ver la información de ayuda y de soporte que proporciona el WISP. La información de ayuda y de ubicación de la zona interactiva se descarga como parte de la información de aprovisionamiento. La información de ubicación se puede buscar y ver en línea o fuera de línea.

¿Qué funcionalidad existente cambia en Windows XP Service Pack 2?

La interfaz de usuario inalámbrica ha cambiado; un nuevo cuadro de diálogo Ver redes inalámbricas disponibles reemplazará al actual.

¿Necesito cambiar mi código para trabajar con Windows XP Service Pack 2?

El servicio de aprovisionamiento inalámbrico no requiere cambios a las aplicaciones existentes. Existen dos nuevas APIs con WPS. Una de las nuevas APIs prevé adiciones y consultas a través de datos XML en la máquina. Esta API se puede utilizar para pre-aprovisionar al cliente desde el sitio Web del WISP por parte el usuario (utilizando una aplicación independiente), OEMs o departamentos de informática.

Ir al principio de la página Ir al principio de la página

Asistente para la configuración de la red inalámbrica

¿Qué hace el Asistente para la configuración de la red inalámbrica?

El Asistente para la configuración de la red inalámbrica ayuda a los usuarios a establecer una red inalámbrica con mayor seguridad y simplifica el proceso de configurar las conexiones a una red inalámbrica en PCs y otros dispositivos. El asistente almacena las configuraciones inalámbricas, incluyendo la configuración y la clave de seguridad en medios extraíbles, como la unidad Flash USB que se puede transportar a otros dispositivos y PCs que integrarán su red inalámbrica. El asistente también proporciona una manera fácil de imprimir su información de configuración, de manera que se introduzca manualmente en los dispositivos que no pueden leer información desde los medios extraíbles.

¿A quién aplica esta función?

Los usuarios que tienen PCs con los siguientes componentes de hardware

•    Puertos host USB

•    Redes inalámbricas instaladas

Nota   El asistente se puede ejecutar desde un equipo que no tenga una conexión inalámbrica.

¿Qué funcionalidad nueva se agrega a esta función en Windows XP Service Pack 2?

Asistente para la configuración de la red inalámbrica

Descripción detallada

Con la creciente popularidad de las conexiones a redes inalámbricas, más usuarios están creando redes inalámbricas en sus hogares y equipos de conexión a red y otros dispositivos con soporte a conexiones inalámbricas. Antes de Windows XP Service Pack 2, era muy difícil crear una red inalámbrica segura y difundir las configuraciones inalámbricas a clientes inalámbricos y puntos de acceso adicionales. El Asistente para la configuración de la red inalámbrica ha sido diseñado para abordar la creciente necesidad de contar con un método simple, pero seguro, de configurar e iniciar hardware inalámbrico de conexión a redes (también conocido como Puntos de acceso inalámbrico o WAPs) y clientes inalámbricos (incluyendo PCs y otros dispositivos).  

El Asistente para la configuración a la red inalámbrica proporciona un medio para que el usuario de Windows cree y difunda fácilmente las configuraciones de red utilizando un esquema de Lenguaje de marcación extensible (XML) y medios extraíbles. En el futuro, este esquema XML también se podrá utilizar al transferir configuraciones para redes de área amplia (WANs), redes de área local (LANs), así como LANs inalámbricas (WLANs). Sin embargo, los archivos XML creados por el Asistente para la configuración de la red inalámbrica para Windows XP SP2 sólo se utilizarán para transferir configuraciones para WLANs.

¿Por qué es importante este cambio?

Muchas redes inalámbricas internas están implementadas sin opciones de seguridad, debido a la complejidad de agregar identificadores de seguridad a todos los componentes en red .  Este asistente facilita al usuario la creación de una red inalámbrica con mayor seguridad. Puesto que más PCs y equipos se fabrican con estándares inalámbricos con soporte en el hardware, ha aumentado la demanda de contar con un método fácil de configuración e implementación.  En muchos casos, los dispositivos tienen un método para introducir configuraciones de red inalámbrica que tienen mayor seguridad. Este asistente simplifica la configuración de dichos dispositivos, de manera que ya no sea una tarea pesada la implementación de una red inalámbrica con mayor seguridad. La siguiente lista muestra ejemplos de los dispositivos que se pueden configurar utilizando el Asistente para la configuración de la red inalámbrica:

•    Punto de acceso inalámbrico

•    PCs de escritorio

•    Impresoras en red

•    Estaciones de foto

•    Receptores de medios digitales

•    Marcos de fotos electrónicas

•    Decodificadores

•    PCs y dispositivos móviles

¿Qué amenazas ayuda a mitigar?

Redes inalámbricas que están implementadas sin opciones de seguridad. Las redes inalámbricas que no son seguras proporcionan un punto de entrada para los usuarios malintencionados a la información digital de acceso y otros activos de la red.

¿Qué funciona diferente?

Es un asistente que proporciona un nuevo mecanismo para configurar una red inalámbrica; el asistente es útil para configurar PCs y dispositivos, incluso si no brindan soporte directamente a esta arquitectura. (Puede crear una red inalámbrica e imprimir las configuraciones para que introduzca manualmente las configuraciones en los dispositivos y PCs inalámbricos.)

Ir al principio de la página Ir al principio de la página

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft