The Cable GuyConfiguración de la Directiva de grupo inalámbrica para Windows Vista
Joseph Davies
Esta columna incluye información previa a su publicación acerca de "Longhorn" de Windows Server que está sujeta a cambios.
Como administrador, su trabajo sería probablemente un poco más fácil si pudiera configurar y distribuir centralmente la configuración de red inalámbrica a todos los equipos en su red de Active Directory. Afortunadamente, Windows es compatible con una extensión especial de directiva de grupo para la configuración de equipos que le permite hacer exactamente eso. Se
denomina la extensión Directivas de red inalámbrica (IEEE 802.11), compatible con equipos que ejecutan Windows Vista™, Windows® XP, Windows Server® 2003 y la siguiente versión de Windows Server, denominada "Longhorn".
A continuación, se describe su funcionamiento. Al unirse al dominio o al iniciarse (y en una base progresiva después de eso), estos sistemas operativos descargan automáticamente la configuración inalámbrica en esta extensión Directiva de grupo y la aplican. Puede configurar las directivas inalámbricas para un objeto de directiva de grupo basado en dominio desde el nodo siguiente en el complemento Editor de objetos de directiva de grupo: Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas de red inalámbrica (IEEE 802.11).
La Figura 1 muestra la ubicación del nodo Directivas de red inalámbrica (IEEE 802.11) para un dominio denominado "Longhorn" de Windows Server o para un dominio de Windows Server 2003 que ha extendido su esquema con los archivos de extensión de esquema 802.11Schema.ldf y 802.3Schema.ldf (descritos en microsoft.com/technet/network/wifi/vista_ad_ext.mspx).
Figura 1** Nodo Directivas de red inalámbrica (IEEE 802.11) **(Hacer clic en la imagen para ampliarla)
De forma predeterminada, no hay directivas de red inalámbrica (IEEE 802.11). Para crear una nueva directiva, haga clic con el botón secundario en Directivas de red inalámbrica (IEEE 802.11) del árbol de la consola y, a continuación, haga clic en Crear una nueva directiva de Windows XP o en Crear una nueva directiva de Windows Vista. Para cada tipo de directiva, sólo se puede crear una única directiva, pero cada directiva puede contener la configuración para múltiples redes inalámbricas.
Para la directiva de Windows XP, la configuración de directivas es muy similar a la descrita en mi columna de julio de 2003. Sin embargo, hay nuevas opciones para redes inalámbricas de no difusión, métodos de autenticación del acceso protegido Wi-Fi 2 (WPA2) y configuración de itinerancia rápida para la autenticación WPA2. Para poder usar esta nueva configuración, los equipos que ejecuten Windows XP Service Pack 2 (SP2) deben instalar la Actualización de Cliente inalámbrico para Windows XP SP2 ubicado en support.microsoft.com/kb/917021.
La directiva inalámbrica de Windows Vista contiene una configuración de directiva específica para clientes inalámbricos de Windows Vista y Windows Server "Longhorn". Si se configuran ambos tipos de directivas inalámbricas, los clientes inalámbricos de Windows XP sólo usarán su propia configuración de directiva y los clientes inalámbricos de Windows Vista sólo usarán su propia configuración de directiva. Si no existe ninguna configuración de directiva de Windows Vista, los clientes inalámbricos de Windows Vista usarán la configuración de Windows XP. En este artículo se describen los valores que pueden configurarse con la directiva inalámbrica de Windows Vista.
En la ficha General de directiva de red inalámbrica de Windows Vista puede configurar un nombre y una descripción para la directiva, especificar si habilitar el servicio de WLAN AutoConfig y configurar la lista de perfiles de red inalámbrica y su configuración en el orden que prefiera (consulte la Figura 2). También puede exportar un perfil como archivo XML seleccionando el perfil y haciendo clic en Exportar. Para importar un archivo XML como perfil inalámbrico, haga clic en Importar y especifique la ubicación del archivo.
Figura 2** Propiedades de directivas de red inalámbrica **(Hacer clic en la imagen para ampliarla)
La Figura 3 muestra la ficha Permisos de red para una directiva de red inalámbrica de Windows Vista con su configuración predeterminada. Esta ficha es nueva para Windows Vista y le permite especificar redes inalámbricas por el nombre y permitir o denegar el acceso a ellas. Por ejemplo, se puede crear una lista de admitidos que contenga los nombres de redes inalámbricas, también conocidos como Identificadores de red (SSID), a la que un cliente inalámbrico de Windows Vista tiene permiso para conectarse. Esto resulta útil para los administradores de redes que desean que los equipos portátiles de una organización se conecten a un conjunto específico de redes inalámbricas, en el cual se puede incluir la red inalámbrica de la organización y los proveedores de servicio de Internet.
Figura 3** Ficha Permisos de red **(Hacer clic en la imagen para ampliarla)
Con una lista de denegación, es posible especificar por el nombre el conjunto de redes inalámbricas a las cuales el cliente inalámbrico no tiene permiso para conectarse. Esto es útil para evitar que equipos portátiles administrados se conecten a otras redes inalámbricas que estén dentro de un intervalo—por ejemplo, cuando una organización ocupa una planta de un edificio y hay otras redes inalámbricas de otras organizaciones en plantas adyacentes También se puede evitar que equipos portátiles administrados se conecten a redes inalámbricas no seguras conocidas mediante una lista de denegación. Para crear una lista o especificar redes inalámbricas individuales para conceder o denegar el acceso, haga clic en Agregar para agregar una red inalámbrica por el nombre y especificar si se admite o se deniega.
En la ficha Permisos de Red, existe también una configuración para evitar conexiones a redes inalámbricas ad hoc o de modo de infraestructura. También se puede permitir que los usuarios vean las redes inalámbricas que se han configurado como denegadas y habilitar a cualquier usuario para que cree un perfil de todos los usuarios. Se puede usar un perfil de todos los usuarios para que cualquier usuario con una cuenta en el equipo se conecte a una red inalámbrica específica. Si esta opción está deshabilitada, sólo los usuarios del grupo Administradores de red o del grupo Operadores de red pueden crear inalámbricos de todos los usuarios en el equipo.
Propiedades de perfiles de redes inalámbricas
Para administrar un perfil de red inalámbrica desde la ficha General de la directiva inalámbrica de Windows Vista, seleccione un perfil existente o haga clic en Edición o en Agregar y, a continuación, especifique si el nuevo perfil inalámbrico es para una red inalámbrica ad hoc o del modo de infraestructura.
Para crear un nuevo perfil inalámbrico, comience en la ficha Conexión dando un nombre al perfil y creando una lista de nombres de redes inalámbricas a las que se aplica (consulte la Figura 4). Se pueden agregar nuevos nombres escribiendo el nombre en el Nombre(s) de red (SSID) y haciendo clic en Agregar. También se puede especificar si el cliente inalámbrico que usa este perfil intentará automáticamente conectarse a las redes inalámbricas nombradas en el perfil cuando estén dentro del intervalo (sujeto al orden de preferencia de la lista de perfiles inalámbricos en la ficha General para la directiva de Windows Vista). Adicionalmente, se puede indicar si desconectarse automáticamente de esta red inalámbrica si una red inalámbrica con mayor preferencia entra dentro del intervalo e indicar que las redes inalámbricas de este perfil sean redes de no difusión (también conocidas como redes ocultas).
Figura 4** Ficha Conexión **(Hacer clic en la imagen para ampliarla)
Desde la ficha Seguridad, mostrada en la Figura 5, se pueden configurar los métodos de autenticación y cifrado para las redes inalámbricas del perfil. La selección de los métodos de cifrado depende de su elección de método de autenticación. Las selecciones para cada uno se indican en la Figura 6.
Figure 6 Métodos de seguridad
| Métodos de autenticación |
| Abiertos |
| Compartidos |
| Personal de Acceso protegido Wi-Fi (WPA) |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Abierto con 802.1X |
| Métodos de cifrado |
| Privacidad equivalente por cable (WEP) |
| Protocolo de integridad de claves temporales (TKIP) |
| Estándar de cifrado avanzado (AES) |
Figura 5** Ficha Seguridad **(Hacer clic en la imagen para ampliarla)
Si decide seleccionar WPA-Enterprise, WPA2-Enterprise o Abierto con 802.1X como método de autenticación, puede configurar también el método de autenticación de la red (el tipo de Protocolo de autenticación extensible [EAP]), el modo de autenticación (la reautenticación de usuario, la autenticación de equipo, la autenticación de usuario o la autenticación de invitado), el número de veces de error de intento de autenticación antes de abandonar y si almacenar en caché la información del usuario para conexiones posteriores. Esta última opción especifica que cuando el usuario cierra la sesión, los datos de credenciales del usuario se quitan del Registro. Así, cuando el usuario vuelve a iniciar una sesión, se le pedirán sus credenciales (como el nombre de usuario y contraseña).
Para configurar las opciones de seguridad avanzadas para los métodos de autenticación WPA-Enterprise, WPA2-Enterprise, o Abierto con 802.1X, haga clic en Avanzadas. La Figura 7 muestra el cuadro de diálogo de la configuración de seguridad avanzada predeterminada.
Figura 7** Cuadro de diálogo Configuración de seguridad avanzada **(Hacer clic en la imagen para ampliarla)
En la sección IEEE 802.1X, puede especificar el número de mensajes sucesivos de EAPOL (EAP sobre LAN)-Inicio que se envían cuando no se recibe ninguna respuesta a los mensajes iniciales de EAPOL-Inicio y el intervalo de tiempo entre la retransmisión de mensajes de EAPOL-Inicio cuando no se recibe ninguna respuesta al mensaje EAPOL-Inicio enviado previamente. También puede establecer el período de tiempo durante el cual el cliente de autenticación no realizará ninguna actividad de autenticación 802.1X después de que reciba una indicación de error de autenticación por parte del autenticador, y el intervalo de tiempo que el cliente de autenticación esperará antes de retransmitir ninguna solicitud 802.1X después que la autenticación 802.1X de un extremo a otro se haya iniciado.
Inicio de sesión único (SSO) le permite configurar cuándo se produce la autenticación 802.1X con respecto al inicio de sesión de un usuario e integrar el inicio de sesión de un usuario y las credenciales de autenticación 802.1X en el servidor de inicio de sesión de Windows. En la sección SSO, se indica la configuración para realizar una autenticación inalámbrica inmediatamente antes o después del proceso de inicio de sesión de un usuario y para especificar el número de segundos de retraso para la conectividad antes de que comience el proceso. Puede indicar también si preguntar al usuario campos de entrada adicionales si el método de autenticación requiere que el usuario escriba credenciales adicionales, cuánto tiempo mostrar esos campos y si las redes inalámbricas para este perfil usan una LAN virtual (VLAN) diferente para un equipo o autenticación de usuario.
En la sección Itinerancia rápida, puede configurar el almacenamiento en caché de la Clave maestra en pares (PMK) y las opciones de autenticación previa. La sección Itinerancia rápida sólo aparece cuando se selecciona WPA2-Enterprise como método de autenticación. Con el almacenamiento en caché de la PMK, los clientes inalámbricos y los puntos de acceso (AP) inalámbricos almacenan en caché los resultados de autenticaciones 802.1X. Por lo tanto, el acceso es mucho más rápido cuando un cliente inalámbrico se desplaza a un AP inalámbrico para el que el cliente ya está autenticado. Se puede configurar un tiempo máximo para mantener una entrada en la PMK almacenada en caché y el número máximo de entradas. Con una autenticación previa, un cliente inalámbrico puede realizar una autenticación 802.1X con otros AP inalámbricos en su intervalo mientras se sigue conectando a su AP inalámbrico actual. Si el cliente inalámbrico se desplaza a un AP inalámbrico en el que se ha autenticado previamente, el tiempo de acceso se reduce notablemente. Puede configurarse el número máximo de veces para intentar una autenticación previa con un AP inalámbrico.
Para obtener más información acerca del soporte técnico inalámbrico en Windows, consulte microsoft.com/wifi. Para obtener más información acerca de la Directiva de grupo de Windows, consulte los recursos en microsoft.com/gp.
Joseph Davies es escritor técnico en Microsoft y ha enseñado y escrito sobre temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es el autor de la columna mensual TechNet Cable Guy.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.