The Cable GuySolución de problemas de cumplimiento NAP

Joseph Davies

La nueva plataforma de protección de acceso a redes (NAP, Network Access Protection) integrada en Windows Vista, Windows Server 2008 y Windows XP SP3, le ayuda a proteger su intranet privada mediante la aplicación del cumplimiento de los requisitos de mantenimiento del equipo. Los componentes clave de NAP son los clientes NAP, los puntos de cumplimiento NAP y los servidores de directivas de mantenimiento NAP.

Un cliente NAP es un equipo que puede proporcionar información del estado de mantenimiento para la evaluación de mantenimiento del sistema. Un punto de cumplimiento NAP es un equipo o un dispositivo de acceso a la red que usa NAP o que se puede usar con NAP para requerir la evaluación del estado de mantenimiento de un cliente NAP y proporcionar acceso restringido a las redes o a las comunicaciones con las mismas. Un servidor de directivas de mantenimiento NAP es un equipo con Windows Server® 2008 y el servicio Servidor de directivas de redes (NPS) que almacena las directivas de requisitos de mantenimiento y realiza evaluaciones de mantenimiento de los clientes NAP. El servidor de directivas de mantenimiento NAP y los puntos de cumplimiento NAP intercambian información de mantenimiento del sistema e instrucciones de acceso restringido con el Servicio de autenticación remota telefónica de usuario (RADIUS) y mensajes proxy.

En esta columna, describiré los componentes de una directiva de requisitos de mantenimiento, cómo el servicio NPS procesa las solicitudes entrantes de evaluación NAP y cómo solucionar los problemas más comunes mediante el cumplimiento NAP.

Directivas de requisitos de mantenimiento

Cómo funciona la evaluación de mantenimiento NAP

El servicio NPS del servidor de directivas de mantenimiento NAP realiza una evaluación de mantenimiento mediante el siguiente proceso:

1. El servicio NPS compara el mensaje de solicitud entrante con su conjunto configurado de directivas de solicitud de conexión. En el caso de NAP, el mensaje de solicitud debería coincidir con una directiva de solicitud de conexión que especifique que el servicio NPS debe realizar la autenticación y la autorización de forma local.
2. El servicio NPS evalúa la información de mantenimiento del mensaje de solicitud, que consiste en un informe de sistema de mantenimiento (SSoH) que contiene la información del estado de mantenimiento. El servicio NPS envía la información del estado de mantenimiento a los SHV instalados, que vuelven a enviar la información de la evaluación de mantenimiento al servicio NPS.
3. El servicio NPS compara el mensaje de solicitud y la información de evaluación de mantenimiento de los SHV con el conjunto apropiado de directivas de red. Se compara la información de la evaluación de mantenimiento con la condición de la directiva de mantenimiento de las directivas de red basadas en NAP. La condición de las directivas de mantenimiento especifica las condiciones para el cumplimiento o el incumplimiento de mantenimiento. El servicio NPS aplica la primera directiva de red coincidente al mensaje de solicitud.
4. El servicio NPS crea un informe de sistema de respuesta de mantenimiento (SSoHR) según la directiva de red basada en NAP coincidente y su respectiva configuración NAP. En esta respuesta está incluida la información de la evaluación de mantenimiento de los SHV y se indica si el cliente NAP dispone de acceso ilimitado o restringido y si el cliente NAP debería intentar corregir automáticamente su estado de mantenimiento.
5. El servicio NPS envía un mensaje de respuesta RADIUS con el SSoHR al punto de cumplimiento NAP. Si se ha concedido acceso restringido al cliente, el mensaje de respuesta también puede contener instrucciones en las que se especifique la forma en que se ha restringido el acceso del cliente NAP.
6. El punto de cumplimiento NAP envía el SSoHR al cliente NAP.

Una directiva de requisitos de mantenimiento es una combinación de una directiva de solicitud de conexión, una o más directivas de red, una o más directivas de mantenimiento y la configuración NAP para un método de cumplimiento NAP. Para crear una directiva de requisitos de mantenimiento, use el asistente para configurar NAP en el complemento Servidor de directivas de redes. Para obtener más información acerca del proceso de evaluación, consulte la barra lateral "Cómo funciona la evaluación de mantenimiento NAP".

Directivas de solicitud de conexión Se trata de conjuntos ordenados de reglas que permiten que el servicio NPS determine si se debería procesar una solicitud de conexión entrante localmente o si se debería enviar a otro servidor RADIUS. Un servidor de directivas de mantenimiento NAP procesa las solicitudes de conexión de forma local.

Las solicitudes de RADIUS procedentes de puntos de cumplimiento NAP basados en Windows® pueden contener una etiqueta de origen que especifique el tipo de punto de cumplimiento NAP, como un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) o un servidor de red privada virtual (VPN, Virtual Private Network).

Si el mensaje de solicitud entrante contiene una etiqueta de origen, el servicio NPS del servidor de directivas de mantenimiento NAP intenta hacer coincidir la solicitud sólo con las directivas de solicitud de conexión que tengan un origen coincidente (se ignoran todas las demás directivas de solicitud de conexión). Si el mensaje de solicitud entrante no contiene una etiqueta de origen, el servicio NPS intenta hacer coincidir la solicitud con las directivas de solicitud de conexión con un origen no especificado (se ignoran todas las demás directivas de solicitud de conexión que especifiquen su origen).

Por ejemplo, las solicitudes entrantes de un servidor DHCP habilitado para NAP especifican una etiqueta de origen de DHCP. El servicio NPS intenta hacer coincidir las solicitudes del servidor DHCP con las directivas de solicitud de conexión con el origen de DHCP. Las solicitudes entrantes de los conmutadores y puntos de acceso inalámbricos habilitados para 802.1X no especifican una etiqueta de origen. El servicio NPS intenta hacer coincidir estas solicitudes con las directivas de solicitud de conexión sin un origen especificado.

La directiva de solicitud de conexión usada para una evaluación de procesamiento local o remota es la primera directiva de solicitud de conexión coincidente en la lista ordenada para el subconjunto de directivas que se aplican a la solicitud entrante. Si la solicitud no coincide con ninguna de las directivas de solicitud de conexión, se rechaza la solicitud.

Directivas de red Se trata de conjuntos de reglas ordenados que especifican las circunstancias en las que se autorizan o rechazan los intentos de conexión correspondientes a mensajes de solicitud entrantes. Para cada regla, hay un permiso de acceso que concede o deniega el acceso, un conjunto de condiciones, un conjunto de restricciones y la configuración de la directiva de red. Si se autoriza una conexión, las restricciones y la configuración de la directiva de red pueden especificar un conjunto de restricciones de conexión. Para NAP, las directivas de red pueden especificar una condición de directiva de mantenimiento para comprobar los requisitos de mantenimiento y las configuraciones de comportamientos de cumplimiento.

Al igual que ocurre con las directivas de solicitud de conexión, las directivas de red usan una etiqueta de origen para determinar qué directivas de red hay que hacer coincidir con la solicitud entrante. Si el mensaje de solicitud entrante contiene una etiqueta de origen, el servicio NPS intenta hacer coincidir la solicitud sólo con las directivas de red que tienen un origen coincidente (se ignoran todas las demás directivas de red). Si el mensaje de solicitud entrante no contiene una etiqueta de origen, el servicio NPS intenta hacer coincidir la solicitud con las directivas de red con un origen no especificado (se ignoran todas las demás directivas de solicitud de conexión que especifiquen su origen).

La directiva de red usada para la autorización o evaluación de mantenimiento es la primera directiva de red coincidente en la lista ordenada de subconjuntos para las directivas que se aplican al intento de conexión. Si la solicitud no coincide con ninguna de las directivas de red, se rechaza la solicitud.

Directivas de mantenimiento Estas directivas le permiten especificar los requisitos de mantenimiento en cuanto a los validadores de mantenimiento del sistema instalados (SHV), que se usan en la evaluación de mantenimiento, y si los clientes NAP deben cumplir o no algunos o todos los SHV seleccionados. Por ejemplo, una directiva de mantenimiento para los clientes NAP que cumplen con las condiciones de cumplimiento puede especificar que el cliente debe cumplir todas las comprobaciones de mantenimiento. Una directiva de mantenimiento para los clientes NAP que no cumplen con las condiciones de cumplimiento puede especificar que el cliente no debe cumplir al menos una de las comprobaciones de mantenimiento o todas ellas.

Configuración de la protección de acceso a la red Consiste en la configuración de los SHV instalados en el servidor de directivas de mantenimiento NAP para los requisitos de mantenimiento y las condiciones de error, y los grupos de servidores de actualizaciones, que especifican los conjuntos de servidores a los que pueden tener acceso los clientes NAP con acceso restringido a la red para los métodos de cumplimiento DHCP y VPN.

Alcance de los problemas de cumplimiento NAP

Un enfoque lógico resulta útil al solucionar cualquier problema. Entre las preguntas más comunes que pueden surgir durante la solución de problemas, cabe destacar las siguientes: ¿Qué funciona? ¿Qué no funciona? ¿Cómo está relacionado lo que funciona y lo que no? ¿Funcionó en algún momento lo que ahora no funciona? De ser así, ¿qué ha cambiado desde la última vez que funcionó?

Evidentemente, estas preguntas se especializan aún más cuando se refieren a problemas de cumplimiento NAP. ¿Funcionaba la conexión o conectividad antes de implementar el método de cumplimiento NAP? Por ejemplo, ¿funcionaba el aislamiento de dominio o servidor de protocolos de seguridad de Internet (IPsec, Internet Protocol Security) antes de implementar el cumplimiento IPsec? ¿Funcionaba la autenticación de 802.1X antes de implementar el cumplimiento 802.1X? ¿Funcionaba el acceso remoto VPN antes de implementar el cumplimiento VPN? ¿Funcionaba DHCP antes de implementar el cumplimiento DHCP?

Además, ¿había en funcionamiento algún método específico de cumplimiento NAP anteriormente? Si es así, ¿qué ha cambiado en el cliente NAP, el punto de cumplimiento NAP o el servidor de directivas de mantenimiento NAP? Tras responder a estas preguntas se puede deducir dónde es necesario comenzar el proceso de solución de problemas, lo que le permitiría probablemente aislar el componente, la capa o la configuración causante del problema.

En general, para la solución de problemas relacionados con el cumplimiento NAP es necesario determinar el alcance del problema. El primer paso es averiguar si realmente el problema se debe al cumplimiento NAP. En el caso de cumplimiento IPsec, determine si el cliente NAP dispone del conjunto apropiado de directivas para la negociación de un IPsec del mismo nivel y de protección de datos. En el caso del cumplimiento DHCP, averigüe si el cliente NAP puede intercambiar mensajes DHCP con un servidor DHCP. En el caso de los cumplimientos 802.1X y VPN, determine si el cliente NAP puede autenticar correctamente. Por ejemplo, si los clientes de VPN no pueden llevar a cabo la autenticación para la conexión VPN, compruebe la configuración de autenticación y las credenciales de los clientes de VPN.

Si ha descubierto que el problema reside en el cumplimiento NAP, el siguiente paso es determinar su alcance. ¿Están afectados todos los clientes NAP de todos los métodos de cumplimiento NAP? ¿Están afectados todos los clientes NAP de un método de cumplimiento especifico? ¿Están afectados todos los clientes NAP de un método de cumplimiento y de un punto de cumplimiento específicos? ¿Están afectados todos los clientes NAP que son miembros de un grupo específico? ¿Afecta el problema sólo a un cliente NAP específico?

Por ejemplo, si todos los clientes NAP experimentan problemas en todos los tipos de métodos de cumplimiento NAP, puede que haya problemas de configuración en los servidores de directivas de mantenimiento NAP. Si todos los clientes NAP experimentan problemas con un método específico de cumplimiento NAP, puede que existan problemas de configuración en los ajustes de las directivas de grupo de los clientes NAP o problemas con las directivas de requisitos de mantenimiento del método específico de cumplimiento NAP en los servidores de directivas de mantenimiento NAP. Si sólo algunos clientes NAP específicos experimentan problemas de cumplimiento NAP, puede que dichos clientes NAP tengan problemas de configuración de cumplimiento NAP.

Problemas de cumplimiento NAP comunes

Recursos NAP

• Introducción a la protección de acceso a redes
• Arquitectura de la plataforma de Protección de acceso a redes
• Directivas de protección de acceso a redes de Windows Server 2008
• Protección de acceso a redes NPS

Acceso ilimitado Si un cliente dispone de acceso ilimitado (no restringido), puede deberse a que el servidor de directivas de mantenimiento NAP ha evaluado que el cliente NAP muestra un estado de cumplimiento. Esto es precisamente lo que desea. No obstante, también se podría conceder acceso ilimitado si el cliente NAP no recibiese un SSoHR. Esto suele ocurrir cuando no se lleva a cabo una evaluación de mantenimiento para el cliente NAP. Si no se lleva a cabo una evaluación de mantenimiento NAP, no se envía ningún SSoHR al cliente NAP y éste obtiene acceso ilimitado.

Por ejemplo, un cliente NAP configurado para el cumplimiento DHCP envía su SSoHR al servidor DHCP. Si el servidor DHCP que se ejecuta en Windows Server 2008 no está configurado para NAP, no enviará mensajes de solicitud de evaluación de mantenimiento a un servidor de directivas de mantenimiento NAP. Además, un servidor DHCP que se ejecute en Windows Server 2008 configurado para NAP que no puede tener acceso a un servidor de directivas de mantenimiento NAP asigna, de forma predeterminada, una configuración de direcciones con acceso ilimitado.

También se puede obtener acceso ilimitado si el servidor de directivas de mantenimiento NAP no realiza una evaluación de mantenimiento porque la solicitud entrante coincide con una directiva de red que no necesita evaluación de mantenimiento NAP. Para obtener información acerca de la determinación de la directiva de red coincidente con la solicitud del cliente NAP, consulte la sección "Solución de problemas de cumplimiento NAP paso a paso" de esta columna.

Acceso restringido El servidor de directivas de mantenimiento NAP ha evaluado que un cliente NAP con acceso restringido no cumple las condiciones. Si un cliente NAP que debería disponer de acceso ilimitado tiene acceso restringido, compruebe el estado de mantenimiento del cliente NAP con la configuración de directivas de mantenimiento correspondiente a la directiva de red que coincide con la solicitud del cliente NAP.

Sin correcciones automáticas Al configurarlos correctamente, los clientes NAP pueden corregir automáticamente su estado de mantenimiento. Si los clientes NAP no pueden realizar una corrección automática, compruebe que la casilla Habilitar corrección automática de equipos cliente está seleccionada en la configuración de cumplimiento NAP de la directiva de red que coincidió con la solicitud del cliente NAP.

La corrección automática también podría verse afectada si el cliente NAP restringido no puede tener acceso a los servidores de actualizaciones para hacer las descargas necesarias. En el caso de cumplimiento IPsec, compruebe que los servidores de actualizaciones tienen aplicada la directiva de IPsec correcta. En el caso de cumplimiento 802.1X, compruebe la configuración de la directiva de red coincidente que asigna la lista de control de acceso (ACL) o el identificador de la red de área local virtual (VLAN ID) y compruebe la configuración de la ACL o de la VLAN de sus conmutadores o puntos de acceso inalámbricos (AP). En el caso de cumplimiento VPN o DHCP, compruebe la configuración de la directiva de red coincidente del grupo de servidores de actualizaciones y asegúrese de que todos los servidores de actualizaciones están configurados como miembros del grupo. En el caso del cumplimiento DHCP, asegúrese de que las opciones de ámbito DHCP de los clientes NAP están configuradas correctamente, como el valor de opción Puerta de enlace predeterminada de la clase de usuario de NAP.

Evaluación de no compatibilidad con NAP En el caso de cualquier método de cumplimiento NAP, compruebe que el cliente de cumplimiento correspondiente está habilitado en el cliente NAP. En el caso de los cumplimientos 802.1X y VPN, compruebe que el cliente NAP dispone de comprobación de mantenimiento de sistema del método de autenticación PEAP habilitado tanto en la directiva de solicitud de conexión como en el cliente NAP (la casilla Habilitar comprobaciones de cuarentena del cuadro de diálogo Propiedades de EAP protegido está seleccionada).

Un cliente NAP no restringido no puede tener acceso a la intranet En el caso del cumplimiento IPsec, compruebe que la directiva de IPsec de los clientes NAP que muestran un estado de cumplimiento y la directiva de IPsec de los equipos de la intranet disponen de un conjunto común de configuraciones de negociación y protección. Para el cumplimiento 8021X, confirme que la directiva de red de los clientes NAP que muestran un estado de cumplimiento especifica el identificador de ACL o de VLAN de la intranet, en lugar de la red restringida. Compruebe la configuración del identificador de ACL o de VLAN de la intranet en los conmutadores o en los puntos de acceso inalámbricos. En el caso del cumplimiento VPN, asegúrese de que no hay configurados filtros de paquetes IP en la directiva de red de los clientes NAP que muestran un estado de cumplimiento que restringe el tráfico de clientes de VPN.

Solución de problemas de cumplimiento NAP paso a paso

Una forma de encontrar la solución a un problema relacionado con el cumplimiento NAP de un cliente NAP específico es comenzar con la configuración del cliente NAP, comprobar el registro de eventos de clientes NAP y, a continuación, ir al servidor de directivas de mantenimiento NAP para determinar cómo ha procesado el servicio NPS la solicitud del cliente NAP.

Paso 1: Compruebe la configuración del cliente NAP Al hablar de configuración del cliente NAP, hacemos referencia a los Servicios de Windows, a los clientes de cumplimiento y a la configuración especifica de cumplimiento NAP. Para mostrar el estado del cliente NAP y la información de la configuración, use los comandos netsh nap client show state y netsh nap client show configuration.

Tenga en cuenta que si la configuración de cliente NAP procede de las directivas de grupo, todas las configuraciones de cliente NAP las especifican las directivas de grupo y se ignoran todas sus configuraciones locales de cliente NAP. En ese caso, use el comando netsh nap client show grouppolicy para mostrar la configuración de cliente NAP basada en directivas de grupo y realice los cambios a través las directivas de grupo.

En el caso del cumplimiento IPsec en un equipo en que se esté ejecutando Windows Vista®, use el comando net start para comprobar que se han iniciado el agente de protección de acceso a la red, el módulo de generación de claves de IPsec para IKE y AuthIP y los servicios de agente de directivas de seguridad de IPsec. Use el comando netsh nap client show configuration para comprobar que el cliente de cumplimiento de usuario de confianza de IPsec está habilitado. Si lo necesita, use el complemento de Configuración de cliente NAP para habilitar el cliente de cumplimiento de Usuario de confianza de IPsec o use el comando netsh nap client set enforcement 79619 enabled. Los comandos netsh nap client set enforcement se deben ejecutar desde un símbolo del sistema con privilegios elevados.

Para el cumplimiento 802.1X en un equipo que ejecute Windows Vista, use el comando net start para comprobar que se han iniciado los Servicios de Protocolo de autenticación extensible, Agente de protección de acceso a redes, Configuración automática de redes cableadas (para el cumplimiento 802.1X en conexiones con cable) y Configuración automática de WLAN (para el cumplimiento 802.1X en conexiones inalámbricas).

Use el comando netsh nap client show configuration nuevamente para comprobar que el cliente de aplicación de cuarentena de EAP está habilitado. Si lo necesita, use el complemento de Configuración de cliente NAP para habilitar el cliente de cumplimiento de cuarentena de EAP o use el comando netsh nap client set enforcement 79623 enabled. Compruebe que la casilla Habilitar comprobaciones de cuarentena está seleccionada en las propiedades del método de autenticación de EAP protegido para la conexión inalámbrica o con cable.

En el caso del cumplimiento VPN en un equipo que ejecute Windows Vista, use el comando net start para comprobar que se han iniciado los Servicios de Protocolo de autenticación extensible, Agente de protección de acceso a redes y Administrador de conexiones de acceso remoto.

Compruebe mediante la pantalla del comando netsh nap client show configuration que el cliente de cumplimiento de cuarentena para el acceso remoto está habilitado. Si lo necesita, use el complemento de Configuración de cliente NAP para habilitar el cliente de cumplimiento de cuarentena para el acceso remoto o use el comando netsh nap client set enforcement 79618 enabled. Compruebe que la casilla Habilitar comprobaciones de cuarentena está seleccionada para las propiedades del método de autenticación de EAP protegido para la conexión VPN.

En el caso del cumplimiento DHCP en un equipo que ejecute Windows Vista, use el comando net start para comprobar que se han iniciado los Servicios de Agente de Protección de acceso a redes y de cliente DHCP. Si lo necesita, use el complemento Servicios o la herramienta Sc.exe para iniciar dichos servicios y configurarlos para que se inicien automáticamente.

Compruebe mediante la pantalla del comando netsh nap client show configuration que el cliente de aplicación de cuarentena de DHCP está habilitado. Si lo necesita, use el complemento de Configuración de cliente NAP para habilitar el cliente de aplicación de cuarentena de DHCP o use el comando netsh nap client set enforcement 79617 enabled.

Paso 2: Compruebe el registro de eventos de clientes NAP Use el complemento Visor de eventos para comprobar los eventos del registro de eventos creado por el Servicio de Agente de Protección de acceso a redes. En equipos con Windows Vista, use el complemento Visor de eventos para ver eventos en Registros de aplicaciones y servicios\Microsoft\Windows\Protección de acceso a redes\Operativo. En equipos con Windows XP con SP3, use el complemento Visor de eventos para ver los eventos NAP en el registro de eventos del sistema.

A partir de los eventos de clientes NAP, puede obtener el identificador de correlación para la evaluación de mantenimiento del cliente NAP. Puede usar el identificador de correlación o el nombre del equipo del cliente NAP para encontrar el evento de evaluación de mantenimiento correspondiente en el servidor de directivas de mantenimiento NAP. En la Figura 1 se muestra un ejemplo de un evento de un cliente NAP que no cumple con el identificador de correlación.

Figura 1** Ejemplo de un evento de cliente NAP de Windows Vista **(Hacer clic en la imagen para ampliarla)

Paso 3: Compruebe el registro de eventos NPS En el servidor de directivas de mantenimiento NAP, use el complemento Visor de eventos para ver los eventos que crea el servicio NPS en los registros de Windows o de seguridad. Para ver los eventos NPS, vaya al Visor de eventos, abra Vistas personalizadas, a continuación, Funciones de servidor y, finalmente, haga clic en Servicios de acceso y directivas de redes. Para ver un tema de ayuda en línea asociado con el evento, haga clic en el vínculo "Ayuda en línea de Registro de eventos" de la ficha General del evento.

Los eventos de evaluación de mantenimiento típicos tienen el identificador de evento 6278 (si se trata de acceso ilimitado) o 6276 (si se trata de acceso restringido). Encuentre el evento del servidor de directivas de mantenimiento NAP correspondiente según el nombre del equipo del cliente NAP (el campo de nombre de cuenta de la sección de equipo cliente de la descripción del evento) o el identificador de correlación (el campo de identificador de sesión de la sección de información de cuarentena de la descripción del evento).

Los eventos 6278 y 6276 del Registro de eventos NPS contienen información acerca de la evaluación de mantenimiento NAP, como el nombre de la directiva de solicitud de conexión coincidente (el campo de nombre de directiva de proxy de la sección de detalles de autenticación de la descripción del evento) y la directiva de red coincidente (el campo de nombre de directiva de red de la sección de detalles de autenticación de la descripción del evento). La Figura 2 es un ejemplo de la ficha Detalles de un identificador de evento 6276, con el nombre de la directiva de prefijo, el nombre de la directiva de red y el identificador de correlación (llamado QuarantineSessionID). Éste es el evento de directiva de mantenimiento NAP que corresponde al evento de cliente NAP de Windows Vista de la Figura 1.

Figura 2** Ejemplo de un evento de servidor de directivas de mantenimiento NAP **(Hacer clic en la imagen para ampliarla)

Si no existe ningún evento que corresponda al evento de cliente NAP, compruebe que se ha iniciado el servicio Servidor de directivas de redes y que el punto de cumplimiento NAP está configurado correctamente para NAP y para usar el servidor de directivas de mantenimiento NAP como un servidor RADIUS. Compruebe que se pueden enviar mensajes RADIUS entre el punto de cumplimiento NAP y el servidor de directivas de mantenimiento NAP.

Si sigue estos tres pasos, debería poder averiguar sin problemas por qué el cumplimiento NAP no funciona de la manera esperada. Para obtener más información acerca de NAP, consulte la barra lateral "Recursos NAP".

Joseph Davies es escritor técnico de Microsoft y enseña y escribe sobre temas de red de Windows desde 1992. Ha escrito ocho libros para Microsoft Press y es autor de la columna mensual en línea Cable Guy de TechNet.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.