Compartir a través de


Configurar raíces de confianza y certificados no permitidos en Windows

Redirigir la dirección URL de actualización automática de Microsoft a un archivo o servidor web que hospeda listas de certificados de confianza (CTL), CTL que no son de confianza o un subconjunto de los archivos CTL de confianza en un entorno desconectado.

Para obtener más información sobre cómo funciona el programa de certificados raíz de Microsoft para distribuir certificados raíz de confianza automáticamente en sistemas operativos Windows, consulte Certificados y confianza.

Tip

No es necesario redirigir la dirección URL de actualización automática de Microsoft para entornos en los que los equipos pueden conectarse directamente al sitio de Windows Update. Los equipos con conexión al sitio de Windows Update pueden recibir CTL actualizadas todos los días.

Prerequisites

Para poder configurar el entorno desconectado para usar archivos CTL hospedados en un archivo o servidor web, debe completar los siguientes requisitos previos.

Client prerequisites:

  • Al menos un equipo capaz de conectarse a Internet para descargar CTL desde Microsoft. El equipo requiere acceso a HTTP (puerto TCP 80) y capacidad de resolución de nombres (puerto TCP y UDP 53) para contactar con ctldl.windowsupdate.com. Este equipo puede ser un miembro de dominio o un miembro de un grupo de trabajo. Actualmente, todos los archivos descargados requieren aproximadamente 1,5 MB de espacio.
  • Las máquinas de clientes deben estar conectadas a un dominio de servicio de dominio de Active Directory.
  • You must be a member of the local Administrators group.

Server prerequisites:

  • Un servidor de archivos o servidor web para hospedar los archivos CTL.
  • Directiva de grupo de AD o solución MDM para implementar la configuración a su cliente.
  • An account that is a member of the Domain Admins group or equivalent permissions

Configuration methods

Un administrador puede configurar un archivo o servidor web para descargar los siguientes archivos mediante el mecanismo de actualización automática:

  • authrootstl.cab contiene un CTL que no es de Microsoft.

  • disallowedcertstl.cab contiene un CTL con certificados que no son de confianza.

  • disallowedcert.sst contiene un almacén de certificados en serie, el cual incluye certificados que no son de confianza.

  • <thumbprint>.crt contiene certificados raíz que no son de Microsoft.

Los pasos para llevar a cabo esta configuración se describen en la sección Configurar un servidor web o de archivos para descargar los archivos CTL de este documento.

Hay varios métodos para configurar el entorno para usar archivos CTL locales o un subconjunto de CTL de confianza. Los siguientes métodos están disponibles.

  • Configurar los equipos miembros del dominio de los Servicios de dominio de Active Directory (AD DS) para que utilicen el mecanismo de actualización automática para las CTL de confianza y de no confianza, sin tener acceso al sitio de Windows Update. Esta configuración se describe en la sección Redirigir la dirección URL de actualización automática de Microsoft del presente documento.

  • Configura los equipos miembros del dominio de AD DS para que opten independientemente por las actualizaciones automáticas de CTL que no son de confianza y de confianza. Esta participación independiente se describe en la sección Redirigir la dirección URL de actualización automática de Microsoft solo para CTL que no son de confianza del presente documento.

  • Examinar el conjunto de certificados raíz del Programa de certificados raíz de Windows. Examinar el conjunto de certificados raíz permite a los administradores seleccionar un subconjunto de certificados para su distribución mediante un objeto de directiva de grupo (GPO). Esta configuración se describe en la sección Utilizar un subconjunto de las CTL de confianza del presente documento.

Important

  • La configuración descrita en este documento se implementa utilizando objetos de directiva de grupo (GPO). Esta configuración no se quita automáticamente si el GPO está desvinculado o quitado del dominio de AD DS. Una vez implementada, esta configuración solo puede cambiarse utilizando un GPO o modificando el registro de los equipos afectados.

  • Los conceptos tratados en este documento son independientes de Windows Server Update Services (WSUS).

Configurar un servidor web o de archivos para descargar los archivos CTL

Para facilitar la distribución de certificados de confianza o que no son de confianza en un entorno desconectado, primero debe configurar un servidor web o de archivos para descargar los archivos CTL desde el mecanismo de actualización automática.

Recuperar los archivos CTL de Windows Update

Puede recuperar los archivos CTL del sitio de Windows Update mediante el certutil comando siguiendo estos pasos:

  1. Cree una carpeta compartida en un servidor web o de archivos que pueda sincronizarse utilizando el mecanismo de actualización automática y que desee utilizar para almacenar los archivos CTL.

    Tip

    Antes de comenzar, es posible que tenga que ajustar los permisos de carpeta compartida y los permisos de carpeta NTFS para permitir el acceso adecuado a la cuenta, especialmente si usa una tarea programada con una cuenta de servicio. Para obtener más información sobre el ajuste de permisos, consulte Administración de permisos para carpetas compartidas.

  2. En un símbolo de sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

    Certutil -syncWithWU \\<server>\<share>
    

    Sustituya el nombre real del servidor por <server> y el nombre de la carpeta compartida por <share>. Por ejemplo, para un servidor denominado Server1 con una carpeta compartida denominada CTL, debería ejecutar el comando:

    Certutil -syncWithWU \\Server1\CTL
    
  3. Descargue los archivos CTL en un servidor al que puedan obtener acceso los equipos de un entorno desconectado a través de la red usando una ruta de acceso FILE (por ejemplo, FILE://\\Server1\CTL) o una ruta de acceso HTTP (por ejemplo, http://Server1/CTL).

Note

  • Si el servidor que sincroniza las CCL no es accesible desde los equipos del entorno desconectado, debe proporcionar otro método para transferir la información. Por ejemplo, puede permitir que uno de los miembros del dominio se conecte al servidor, y después programar otra tarea en el equipo miembro del dominio para que recupere la información en una carpeta compartida en un servidor web interno. Si no hay ninguna conexión de red, es posible que tenga que usar un proceso manual para transferir los archivos, como un dispositivo de almacenamiento extraíble.

  • Si piensa utilizar un servidor web, debería crear un nuevo directorio virtual para los archivos CTL. Los pasos para crear un directorio virtual utilizando Internet Information Services (IIS) son prácticamente los mismos para todos los sistemas operativos compatibles mencionados en este documento. Para obtener más información, consulte Crear un directorio virtual (ISS7).

  • A algunas carpetas de aplicaciones y del sistema de Windows se les aplica una protección especial. For example, the inetpub folder requires special access permissions, which make it difficult to create a shared folder for use with a scheduled task to transfer files. Un administrador puede crear una ubicación de carpeta en la raíz de un sistema de unidad lógica con el fin de utilizarla para la transferencia de archivos.

Redirigir la dirección URL de actualización automática de Microsoft

Es posible que los equipos de la red estén configurados en un entorno desconectado y, por tanto, no puedan usar el mecanismo de actualización automática ni descargar CTL. Puede implementar un GPO en AD DS para configurar estos equipos para obtener las actualizaciones de CTL desde una ubicación alternativa.

Para llevar a cabo la configuración indicada en esta sección, tendrá que haber realizado los pasos explicados en Configurar un servidor web o de archivos para descargar los archivos CTL.

Para configurar una plantilla administrativa personalizada para un GPO

  1. En un controlador de dominio, cree una nueva plantilla administrativa. Abra un archivo de texto en el Bloc de notas y cambie la extensión de nombre de archivo por .adm. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
        POLICY !!RootDirURL
           EXPLAIN !!RootDirURL_help
           PART !!RootDirURL EDITTEXT
                 VALUENAME "RootDirURL"
           END PART
        END POLICY
    END CATEGORY
    [strings]
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
    SystemCertificates="Windows AutoUpdate Settings"
    
  2. Utilice un nombre descriptivo para guardar el archivo, como RootDirURL.adm.

    • Asegúrese de que la extensión del nombre del archivo es .adm y no .txt.

    • Si necesita habilitar la visualización de la extensión de nombre de archivo, consulte How To: View File Name Extensions.

    • Si guarda el archivo en la carpeta %windir%\inf, es más fácil ubicarlo en los siguientes pasos.

  3. Abra el Editor de administración de directivas de grupo. Seleccione Iniciar > Ejecutar, escriba GPMC.msc y presione ENTRAR.

    Warning

    Puede vincular un nuevo GPO al dominio o a cualquier unidad organizativa (OU). Las modificaciones en el GPO implementadas en este documento alteran la configuración del Registro de los equipos afectados. No puede deshacer dicha configuración eliminando o desvinculando el GPO. La configuración solo puede deshacerse invirtiéndola en la configuración del GPO o modificando el Registro mediante otra técnica.

  4. Expand the Forest object, expand the Domains object, and then expand the specific domain that contains the computer accounts that you want to change. Si desea modificar una OU específica, navegue hasta esa ubicación.

  5. Seleccione con el botón derecho y después seleccione Crear un GPO en este dominio y vincularlo aquí para crear un GPO nuevo.

  6. In the navigation pane, under Computer Configuration, expand Policies.

  7. Right-select Administrative Templates, then select Add/Remove Templates.

  8. In Add/Remove Templates, select Add.

  9. In the Policy Templates dialog box, select the .adm template that you previously saved. Select Open, then select Close.

  10. In the navigation pane, expand Administrative Templates, and then expand Classic Administrative Templates (ADM).

  11. Seleccione Configuración de actualizaciones automáticas de Windows y, en el panel de detalles, haga doble clic en Dirección URL a usar en vez de la dirección ctldl.windowsupdate.com predeterminada.

  12. Select Enabled. En la sección Opciones, introduzca la dirección URL en el servidor web o de archivos que contiene los archivos CTL. Por ejemplo, http://server1/CTL o file://\\server1\CTL.

  13. Select OK.

  14. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Important

Las CTL confiables y no confiables se pueden actualizar diariamente. Para mantener sincronizados los archivos, use una tarea programada o un script. Asegúrese de que el script puede controlar los errores al actualizar la carpeta compartida o el directorio web. For more information about creating a scheduled task using PowerShell, see New-ScheduledTask. If you plan to write a script to make daily updates, see the certutil Windows command reference.

Redirigir la dirección URL de actualización automática de Microsoft solo para CTL de no confianza

Algunas organizaciones podrían desear que solo se actualizasen automáticamente las CTL que no son de confianza (no las CTL de confianza). Para actualizar automáticamente solo las CTL que no son de confianza, cree dos plantillas .adm para agregar a la directiva de grupo.

En un entorno desconectado, puede utilizar el siguiente procedimiento junto con el procedimiento anterior (redirigir la dirección URL de actualización automática de Microsoft para CTL de confianza y para CTL de no confianza). Este procedimiento explica cómo deshabilitar de forma selectiva la actualización automática de las CTL de confianza.

También puede utilizar dicho procedimiento en un entorno conectado aislado para deshabilitar de forma selectiva la actualización automática de las CTL de confianza.

Para redirigir de forma selectiva solo las CTL de no confianza

  1. En un controlador de dominio, cree la primera plantilla administrativa nueva partiendo de un archivo de texto, y después cambie la extensión del nombre de archivo a .adm. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        POLICY !!DisableRootAutoUpdate
           EXPLAIN !!Certificates_config
           VALUENAME "DisableRootAutoUpdate"
           VALUEON NUMERIC 0
              VALUEOFF NUMERIC 1
    
        END POLICY
    END CATEGORY
    [strings]
    DisableRootAutoUpdate="Auto Root Update"
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
  2. Utilice un nombre descriptivo para guardar el archivo, como DisableAllowedCTLUpdate.adm.

  3. Cree una segunda plantilla administrativa nueva. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        POLICY !!EnableDisallowedCertAutoUpdate
           EXPLAIN !!Certificates_config
           VALUENAME "EnableDisallowedCertAutoUpdate"
           VALUEON NUMERIC 1
              VALUEOFF NUMERIC 0
    
        END POLICY
    END CATEGORY
    [strings]
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
  4. Use a descriptive file name to save the file, such as EnableUntrustedCTLUpdate.adm.

    • Asegúrese de que las extensiones de los nombres de estos archivos son .adm y no .txt.

    • Si guarda el archivo en la carpeta %windir%\inf, es más fácil ubicarlo en los siguientes pasos.

  5. Abra el Editor de administración de directivas de grupo.

  6. Expand the Forest object, expand the Domains object, and then expand the specific domain that contains the computer accounts that you want to change. Si desea modificar una OU específica, navegue hasta esa ubicación.

  7. In the navigation pane, under Computer Configuration, expand Policies.

  8. Right-select Administrative Templates, then select Add/Remove Templates.

  9. In Add/Remove Templates, select Add.

  10. In the Policy Templates dialog box, select the .adm template that you previously saved. Select Open, then select Close.

  11. In the navigation pane, expand Administrative Templates, then expand Classic Administrative Templates (ADM).

  12. Haga clic en Configuración de actualización automática de Windows y, en el panel de detalles, haga doble clic en Actualización de raíz automática.

  13. Select Disabled, then select OK.

  14. En el panel de detalles, haga doble clic en Actualización automática de CTL que no son de confianza y, a continuación, seleccione Habilitado y Aceptar.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Important

Las CTLs confiables y no confiables pueden actualizarse diariamente. Para mantener los archivos sincronizados en la carpeta compartida o en el directorio virtual, puede usar una tarea programada.

Utilizar un subconjunto de CTL de confianza

Esta sección describe la manera de producir, revisar y filtrar las CTL de confianza que desea que utilicen los equipos de su organización. Debe implementar los GPO descritos en los procedimientos anteriores para usar esta resolución. Esta resolución está disponible para entornos conectados y desconectados.

Existen dos procedimientos para personalizar la lista de CTL de confianza.

  1. Crear un subconjunto de certificados de confianza

  2. Distribuir los certificados de confianza utilizando la directiva de grupo

Crear un subconjunto de certificados de confianza

Aquí se muestra cómo generar archivos SST mediante el mecanismo de actualización automática de Windows desde Windows. For more information about generating SST files, see the Certutil Windows commands reference. Para crear un subconjunto de certificados de confianza, siga estos pasos:

  1. Desde un equipo conectado a Internet, abra Windows PowerShell como administrador o abra un símbolo del sistema con privilegios elevados, y escriba el siguiente comando:

    Certutil -generateSSTFromWU WURoots.sst
    
  2. Ejecute el siguiente comando en el Explorador de Windows para abrir WURoots.sst:

    start explorer.exe wuroots.sst
    

    Tip

    También puede usar Internet Explorer para navegar hasta el archivo y hacer doble clic para abrirlo. En función de dónde haya almacenado el archivo, es posible que también pueda abrirlo escribiendo wuroots.sst.

  3. Abra el Administrador de certificados.

  4. Expanda la ruta de acceso del archivo en Certificados: usuario actual hasta que vea Certificados y, a continuación, seleccione Certificados.

  5. En el panel de detalles, verá los certificados de confianza. Hold down the CTRL key and select each of the certificates that you want to allow. When you finished selecting the certificates you want to allow, right-click one of the selected certificates, select All Tasks, then select Export.

    • Debe seleccionar como mínimo dos certificados para exportar el tipo de archivo .sst. Si solo selecciona un certificado, el tipo de archivo .sst el tipo de archivo no estará disponible, y en su lugar se seleccionará el tipo de archivo .cer.
  6. In the Certificate Export Wizard, select Next.

  7. En la página Formato de archivo de exportación, seleccione Almacén de certificados en serie de Microsoft (.SST) y después seleccione Siguiente.

  8. En la página Archivo para exportar, introduzca una ruta de acceso al archivo y un nombre apropiado para el archivo, como C:\AllowedCerts.sst y después seleccione Siguiente.

  9. Select Finish. When you're notified that the export was successful, select OK.

  10. Copie el archivo .sst que ha creado en un controlador de dominio.

Para distribuir la lista de certificados de confianza utilizando la directiva de grupo

  1. En el controlador de dominio que tiene el archivo .sst personalizado, abra el Editor de administración de directivas de grupo.

  2. Expand the Forest, Domains, and specific domain object that you want to modify. Haga clic con el botón derecho en el GPO de la directiva predeterminada de dominio y, a continuación, seleccione Editar.

  3. In the navigation pane, under Computer Configuration, expand Policies, expand Windows Settings, expand Security Settings, then expand Public Key Policies.

  4. Haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, seleccione Importar.

  5. In the Certificate Import Wizard, select Next.

  6. Enter the path and file name of the file that you copied to the domain controller, or use the Browse button to locate the file. Select Next.

  7. Confirme que desea colocar esos certificados en el almacén de certificados de las Entidades de certificación raíz de confianza seleccionando Siguiente. select Finish. When you're notified that the certificates imported successfully, select OK.

  8. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Configuración del Registro modificada

La configuración descrita en este documento configura las siguientes claves de Registro en los equipos de los clientes. Dicha configuración no se elimina automáticamente si el GPO se desvincula o se elimina del dominio. Esta configuración debe reconfigurarse si desea cambiarla.

  • Habilite o deshabilite la actualización automática de Windows del CTL de confianza:

    • Key: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Type: REG_DWORD
    • Name: DisableRootAutoUpdate
    • Data: 0 to enabled or 1 to disable.
    • Default: There's no key present by default. Sin una clave presente, el valor predeterminado está habilitado.
  • Habilite o deshabilite la actualización automática de Windows del CTL que no es de confianza:

    • Key: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Type: REG_DWORD
    • Name: EnableDisallowedCertAutoUpdate
    • Data: 1 to enabled or 0 to disable.
    • Default: There's no key present by default. Sin una clave presente, el valor predeterminado está habilitado.
  • Establezca la ubicación del archivo CTL compartido (HTTP o ruta de acceso del archivo):

    • Key: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Type: REG_SZ
    • Name: RootDirUrl
    • Data: Enter a valid HTTP or file URI.
    • Default: There's no key present by default. Sin una clave presente, el comportamiento predeterminado usó Windows Update.

Comprobación de los CTL de confianza y que no son de confianza

Por varios motivos, puede ser necesario verificar todas las CTL confiables e inseguras desde un equipo cliente. Las siguientes opciones de Certutil se pueden usar para comprobar todas las CTL de confianza y que no son de confianza de una máquina de un cliente.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Comprobando la hora de la última sincronización

Para comprobar la hora de sincronización más reciente en el equipo local de CTL de confianza o que no son de confianza, ejecute el siguiente comando Certutil:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"