.png){kind=spacer}
Acerca de la directiva del sistema
Publicada: noviembre de 2009
Actualizado: febrero de 2010
Se aplica a: Forefront Threat Management Gateway (TMG)
Forefront TMG incluye una directiva del sistema, que es un conjunto de reglas de directiva de firewall predefinidas que controlan el acceso hacia y desde la red de host local (el equipo con Forefront TMG). Estas reglas controlan como el firewall Forefront TMG habilita la infraestructura necesaria para administrar la conectividad y la seguridad de la red. Forefront TMG se instala con una directiva del sistema predeterminada, diseñada para resolver el equilibrio entre seguridad y conectividad.
En este tema se describe lo siguiente:
Acerca de las reglas de directiva del sistema
Algunas reglas de directiva del sistema se habilitan durante la instalación. Estas reglas se consideran las más básicas y necesarias para la administración eficaz del entorno Forefront TMG. Posteriormente, puede habilitar las reglas de directiva del sistema que habilitan los servicios y tareas necesarios para administrar la red.
El Editor de directivas del sistema se utiliza para configurar las reglas de directiva del sistema. Dentro del Editor de directivas del sistema, la directiva del sistema se clasifica en un conjunto de grupos de configuración. Las reglas de directiva del sistema se procesan primero, antes del resto de reglas. No se puede modificar el orden de estas reglas. Durante la instalación, las reglas se aplican a redes específicas de la forma que se muestra en la tabla del tema System policy rules.
Después de instalar Forefront TMG, puede configurar la directiva del sistema. No puede eliminar estas reglas, pero desde una perspectiva de seguridad, le recomendamos lo siguiente:
-
Después de instalación, revise atentamente las reglas de directiva del sistema configuradas. Después de realizar las tareas administrativas importantes, revise de nuevo la configuración de la directiva del sistema.
-
Identifique aquellos servicios y tareas que no son vitales para la administración de la red y deshabilite las reglas de la directiva del sistema asociadas.
-
Además de deshabilitar las reglas de directiva del sistema innecesarias, limite el ámbito de aplicación de las reglas sólo a las entidades de red necesarias. Por ejemplo, el grupo de Active Directory está habilitado de manera predeterminada y se aplica a todos los equipos de la red interna. Puede limitar su aplicación a un grupo específico de Servicios de dominio de Active Directory (AD DS) en la red interna.
Servicios habilitados por la directiva del sistema
De manera predeterminada, la directiva del sistema permite que el firewall de Forefront TMG tenga acceso a recursos de la red vitales para el buen funcionamiento del firewall. En función de su implementación específica, puede que desee bloquear el acceso a algunos de estos servicios.
En función de la implementación específica y de los servicios que necesite, puede determinar los grupos de configuración de directiva del sistema que se deberían habilitar. En esta sección se describe alguna de estas consideraciones de implementación.
Al deshabilitar un grupo de configuración de directiva del sistema, no impide necesariamente el uso de un determinado protocolo. Esto se debe a que el mismo protocolo puede haberse especificado en una regla diferente, habilitada por un grupo de configuración distinto.
Las reglas de directiva del sistema habilitan los servicios siguientes:
-
Servicios de red
-
Servicios DHCP
-
Servicios de autenticación
-
Habilitar tráfico DCOM
-
Servicios de autenticación de Windows y la autenticación RADIUS
-
Servicios de autenticación RSA SecurID
-
Servicios de autenticación CRL
-
Administración remota
-
Registro y supervisión remotos
-
Servicios de diagnóstico
-
SMTP
-
Trabajos programados de descarga
-
Acceso al sitio web de Microsoft
Para obtener una lista completa de todas las reglas de directiva del sistema, vea System policy rules.
Servicios de red
Al instalar Forefront TMG, los servicios de red básicos se habilitan. Después de la instalación, Forefront TMG puede tener acceso a los servidores de resolución de nombres en todas las redes y a los servicios de sincronización de hora en la red interna.
Si los servicios de red están disponibles en una red diferente, debería modificar los orígenes del grupo de configuración correspondiente (DHCP; DNS; NTP) para aplicarlos a la red específica. Por ejemplo, si el servidor DHCP no se encuentra en la red interna sino en una red perimetral, modifique el origen para que el grupo de configuración DHCP (en la ficha Desde) se aplique a la red perimetral.
Puede modificar la directiva del sistema para que solo se pueda tener acceso a determinados equipos de la red interna. También puede agregar redes adicionales si los servicios se encuentran en alguna otra ubicación.
Modifique estos grupos de configuración, en función de los servicios de red que necesite:
-
DHCP
-
DNS
-
NTP
Servicios DHCP
Si un servidor DHCP no se encuentra en la red interna, debe modificar la regla de directiva del sistema para que se aplique a la red donde se encuentra el servidor DHCP.
Servicios de autenticación
Una de las características fundamentales de Forefront TMG es su capacidad para aplicar una directiva de firewall a usuarios específicos. Para autenticar a los usuarios, Forefront TMG debe poder comunicarse con los servidores de autenticación.
Modifique estos grupos de configuración, en función de los servicios de autenticación que necesite:
-
Active Directory
-
RADIUS
-
RSA SecurID
-
Descarga de CRL
Habilitar tráfico DCOM
Cuando las reglas de Microsoft Management Console (MMC) están habilitadas, el tráfico de llamada a procedimiento remoto (RPC) se permite en la red de host local. Sin embargo, se bloquea de forma predeterminada el tráfico DCOM. Si desea permitir el tráfico DCOM, deshabilite la regla de directiva del sistema “Permitir la administración remota desde equipos seleccionados que usan MMC”. A continuación, cree una regla que permita el tráfico RPC. Después de crear la regla, en las propiedades de la regla, configure el protocolo RPC y desactive la configuración Hacer cumplir la comprobación RPC estricta.
Servicios de autenticación de Windows y la autenticación RADIUS
De forma predeterminada, Forefront TMG puede comunicarse con los servidores AD DS (para la autenticación de Windows) y con los servidores RADIUS que se encuentran en la red interna. Si no necesita la autenticación Windows o la autenticación RADIUS, deshabilite los grupos de configuración de directiva del sistema aplicables.
 Nota: |
|---|
|
Servicios de autenticación RSA SecurID
La comunicación con los servidores de autenticación RSA SecurID no está habilitada de forma predeterminada. Si la directiva de firewall necesita la autenticación RSA SecurID, asegúrese de habilitar este grupo de configuración.
Servicios de autenticación CRL
Las listas de revocación de certificados (CRL) no se pueden descargar de forma predeterminada, porque el grupo de configuración de descarga de CRL no está habilitado de forma predeterminada. Para habilitar la descarga de CRL, compruebe que el grupo de configuración de descarga de CRL esté habilitado. A continuación, aplique este grupo de configuración a las entidades de red donde se encuentran las listas de revocación de certificados.
Todo el tráfico HTTP se permitirá desde el firewall Forefront TMG a las entidades de red que aparecen en la ficha A.
Administración remota
Normalmente, administrará Forefront TMG desde un equipo remoto. Determine cuidadosamente qué equipos remotos pueden administrar y supervisar Forefront TMG.
Modifique estos grupos de configuración, en función de cómo realiza la administración remota:
-
Microsoft Management Console (MMC)
-
Terminal Server
-
Administración web
-
ICMP (Ping)
De manera predeterminada, las reglas de directiva del sistema que permiten la administración remota de Forefront TMG están habilitadas. Forefront TMG se puede administrar ejecutando un complemento remoto de Microsoft Management Console (MMC) o mediante Terminal Services.
Estas reglas se aplican de forma predeterminada al conjunto integrado de Equipos de administración remota. Al instalar Forefront TMG, se crea este conjunto de equipos vacío. Agregue a este conjunto vacío todos los equipos desde los que se podrá administrar Forefront TMG de forma remota. Hasta que haga hecho esto, la administración remota no estará disponible desde ningún equipo.
|
Nota: |
|---|
| Limite la administración remota a equipos específicos configurando las reglas de directiva del sistema para aplicarlas sólo a direcciones IP específicas. |
Registro y supervisión remotos
De manera predeterminada, se deshabilitan el registro remoto, la supervisión remota del rendimiento y la supervisión remota de Microsoft Operations Manager. Los siguientes grupos de configuración están deshabilitados de forma predeterminada:
-
Registro remoto (NetBIOS)
-
Registro remoto (SQL)
-
Supervisión remota del rendimiento
-
Microsoft Operations Manager
Servicios de diagnóstico
La reglas de directiva del sistema que permiten el acceso a los servicios de diagnóstico están habilitadas de forma predeterminada, junto con los siguientes permisos:
-
ICMP: este servicio, permitido para todas las redes, es importante para determinar la conectividad a otros equipos.
-
Redes de Windows: permite de forma predeterminada la comunicación de NetBIOS con los equipos de la red interna.
-
Informes de error de Microsoft: permite el acceso HTTP al conjunto de direcciones URL de los sitios de Informes de error de Microsoft, para permitir la generación de informes de error. De forma predeterminada, este conjunto de direcciones URL incluye sitios específicos de Microsoft.
-
Comprobadores de conectividad HTTP: permite que el firewall de Forefront TMG use los protocolos HTTPS y HTTP para comprobar si un equipo concreto está activo.
SMTP
El grupo de configuración SMTP está habilitado de forma predeterminada, lo que permite la comunicación SMTP desde Forefront TMG a los equipos de la red interna. Este grupo es necesario, por ejemplo, cuando desea enviar una información de alerta en un mensaje de correo electrónico.
 Importante: |
|---|
| Se recomienda que no habilite el grupo de configuración SMTP si no envía información de alerta en un mensaje de correo electrónico. |
Trabajos programados de descarga
La característica de trabajos programados de descarga está deshabilitada de forma predeterminada. El grupo de configuración de trabajos de descarga programada se deshabilita mientras esta característica esté deshabilitada.
Al crear un trabajo de descarga de contenido, le solicitarán que habilite esta regla de la directiva del sistema. Forefront TMG podrá tener acceso a los sitios especificados en el trabajo de descarga de contenido.
Acceso al sitio web de Microsoft
La directiva de sistema predeterminada permite el acceso HTTP y HTTPS de la red de host local (es decir, el firewall Forefront TMG) al sitio web Microsoft.com. El acceso al sitio web Microsoft.com se requiere por varias razones, por ejemplo, para descargar las actualizaciones de firmas del Sistema de inspección de red y antivirus, los informes de error o el acceso a la documentación del producto en el sitio web de Forefront TMG.
El grupo de configuración Sitios permitidos está habilitado de forma predeterminada, permitiendo a Forefront TMG obtener acceso al contenido de sitios específicos pertenecientes al conjunto de nombres de dominio de Sitios permitidos de directiva del sistema.
Este conjunto de direcciones URL contiene varios sitios web de Microsoft, de manera predeterminada. Puede modificar el conjunto de nombre de dominio para incluir sitios web adicionales, a los que podrá tener acceso Forefront TMG.
El acceso a HTTP y HTTPS se permitirá en los sitios web especificados.
