Configurar perfiles y opciones de EAP en Windows

Artículo
06/28/2023

Se aplica a: Windows Server 2022, Windows 11, Windows Server 10

En este artículo se presenta información sobre las distintas formas usadas habitualmente para configurar la configuración del Protocolo de autenticación extensible (EAP). En concreto, se describe la configuración de perfiles de EAP mediante XML y herramientas de línea de comandos. También se muestra cómo configurar los perfiles y las opciones de EAP mediante varias interfaces de usuario en Windows.

Perfiles de XML

Como se describe en perfiles XML para EAP, los perfiles de conexión para Wi-Fi, Ethernet y VPN son archivos XML que contienen las opciones de configuración de esa conexión. Estos perfiles se pueden importar o exportar y editar manualmente. Cuando se crean o editan perfiles en la interfaz de usuario (como se detalla en las secciones siguientes), Windows establece internamente las opciones de configuración XML correspondientes. Como resultado, puede usar la interfaz de usuario para crear un perfil y, a continuación, exportarla para ver las opciones de configuración XML que se establecieron.

Nota:

No todas las opciones de configuración se exponen en la interfaz de usuario. Puede ser necesario, en función de su escenario, editar manualmente el perfil XML para establecer las opciones de configuración deseadas y, a continuación, importar el perfil actualizado para la implementación.

Por ejemplo, al usar las directivas de la Administración de dispositivos móviles (MDM) (como CSP de Wi-Fi), debe aprovisionar el perfil XML completo.

Puede encontrar un ejemplo de un perfil de Wi-Fi en este ejemplo.

Importación y exportación de perfiles con herramientas de línea de comandos

La importación y exportación de perfiles mediante una herramienta de línea de comandos puede resultar útil en muchos escenarios. Por ejemplo, cuando no es posible configurar MDM o directiva de grupo, la opción más rápida puede ser manualmente o mediante scripting de estos comandos. También se puede usar para exportar perfiles después de configurarlos a través de otra interfaz de usuario.

netsh

netsh es una herramienta de línea de comandos que se puede usar para ver y configurar varias opciones relacionadas con la red. Para obtener más información, consulte Shell de red (netsh). netsh se puede llamar desde cmd y powershell. En la tabla siguiente se enumeran algunos comandos netsh y ejemplos comunes para importar y exportar perfiles. /? se puede usar con cualquier comando netsh para obtener más información sobre el comando, incluida la sintaxis.

Wi-Fi
Cableada

Comando	Descripción
`netsh wlan show profiles`	Muestra todos los perfiles de Wi-Fi, incluido el nombre del perfil.
`netsh wlan show profiles name="ProfileName"`	Muestra información detallada sobre un perfil de Wi-Fi específico
`netsh wlan export profile name="ProfileName" folder="C:\Profiles"`	Exporta un perfil de Wi-Fi a la carpeta especificada. La carpeta debe existir.
`netsh wlan add profile filename="C:\Profiles\ProfileName.xml"`	Agrega un perfil de Wi-Fi del archivo especificado.
`netsh wlan delete profile name="ProfileName"`	Eliminar un perfil de Wi-Fi.

Comando	Descripción
`netsh lan show profiles`	Muestra todos los perfiles cableados, incluido el nombre del perfil y otros detalles.
`netsh lan show profiles interface="Ethernet"`	Muestra información detallada sobre el perfil con cable en una interfaz específica.
`netsh lan export profile interface="Ethernet" folder="C:\Profiles"`	Exporta un perfil de Wi-Fi a la carpeta especificada. La carpeta debe existir. Si no se especifica ninguna interfaz, se exporta el perfil de máquina.
`netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"`	Agrega un perfil cableado desde el archivo especificado a la interfaz especificada. Si no se especifica ninguna interfaz, se exporta el perfil de máquina.
`netsh lan delete profile interface="ProfileName"`	Elimina un perfil con cable. Si no se especifica ninguna interfaz, se elimina el perfil de máquina.

PowerShell

PowerShell es un shell de línea de comandos y un lenguaje de scripting que se puede usar para ver y configurar varias opciones. Incluye varios comandos (cmdlets) que se pueden usar para importar y exportar perfiles de conexión. El cmdlet Get-Help se puede usar con cualquier cmdlet para obtener más información sobre ese cmdlet, incluida la sintaxis.

Para obtener información detallada sobre estos cmdlets, consulte Get-VpnConnection, Set-VpnConnection y Add-VpnConnection.

Comando	Descripción
`Get-VpnConnection`	Muestra todos los perfiles de VPN, incluido el nombre del perfil y otros detalles.
`Get-VpnConnection -Name "ProfileName"`	Muestra información de resumen sobre un perfil de VPN específico.
`(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \\| Out-File -FilePath "C:\Profiles\vpn_eap.xml"`	Exporta la configuración de EAP para un perfil de VPN específico a un archivo.
`Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")`	Importa la configuración de EAP desde un archivo y actualiza el perfil de VPN especificado con él.

Aplicación Configuración (Windows de escritorio)

En el cliente de escritorio de Windows, muchas opciones comunes de Wi-Fi, Ethernet y VPN se pueden configurar mediante la aplicación de configuración. En las capturas de pantalla siguientes se muestra la aplicación Configuración de Windows 11, pero la interfaz de usuario es similar en Windows 10. Sin embargo, es posible que algunas características y opciones solo estén disponibles en Windows 11.

Windows 10 y 11 tienen compatibilidad para agregar perfiles de Wi-Fi con una configuración específica (incluido 802.1X) en la aplicación Configuración. Esta opción se encuentra en la aplicación Configuración, en Red e Internet>Wi-Fi>Administrar redes conocidas>Agregar red: Captura de pantalla de la página De red e Internet en la aplicación de configuración de Windows 11. Captura de pantalla del cuadro de diálogo Agregar una nueva red en la aplicación Configuración de Windows 11.

Este cuadro de diálogo permite configurar el SSID, el tipo de seguridad y otros valores para el perfil de Wi-Fi. Cuando se selecciona un tipo de seguridad compatible con EAP, como WPA3-Enterprise AES, el cuadro de diálogo muestra una opción para configurar los ajustes de EAP: Captura de pantalla del cuadro de diálogo Agregar una nueva red, que muestra WPA3-Enterprise y EAP-TLS, en la aplicación Configuración de Windows 11.

Sugerencia

Una vez agregada la red, no es posible editar la configuración de EAP a través de la aplicación Configuración. Para editar la configuración de EAP, haga lo siguiente:

elimine el perfil y vuelva a agregarlo con la configuración correcta, o
use los comandos netsh descritos en netsh para editar manualmente el perfil.

Editor de directiva de grupo (escritorio y servidor)

La directiva de grupo es una infraestructura que permite administrar configuraciones para usuarios y equipos. Con la directiva de grupo, puede configurar Wi-Fi, Ethernet y VPN en función de reglas que defina. Las capturas de pantalla siguientes muestran el Editor de administración de directiva de grupo de Windows Server 2022, pero la interfaz de usuario es similar en el Panel de control del escritorio de Windows y en el Editor de objetos de directiva de grupo. Para más información sobre las opciones que se muestran en las capturas de pantalla siguientes, consulte Protocolo de autenticación extensible (EAP) para el acceso a la red.

Wi-Fi
Cableada

Las opciones de directiva de grupo para Wi-Fi se encuentran en Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas de red inalámbrica (IEEE 802.11): Captura de pantalla que muestra la opción Directivas de red inalámbrica (IEEE 802.11) del Editor de administración de directiva de grupo.

Al hacer clic con el botón derecho en Directivas de red inalámbrica (IEEE 802.11) y seleccionar Crear una nueva directiva de red inalámbrica para Windows Vista y versiones posteriores, se abre el cuadro de diálogo Propiedades de la nueva directiva de red inalámbrica: Captura de pantalla que muestra la opción Crear una nueva directiva de red inalámbrica para Windows Vista y versiones posteriores del Editor de administración de directiva de grupo. Screenshot showing the New Wireless Network Policy Properties dialog.

Este cuadro de diálogo permite establecer el nombre de la directiva, una descripción y agregar//perfiles de eliminación de edición, así como importar y exportar perfiles XML.

Al hacer clic en Agregar y seleccionar Infraestructura, se abre el cuadro de diálogo Propiedades del nuevo perfil:

Este cuadro de diálogo le permite establecer el nombre del perfil y agregar los SSID a los que se aplica este perfil.

Al seleccionar Seguridad, puede configurar el EAP del perfil:

Este cuadro de diálogo le permite configurar el tipo de seguridad y otros valores para el nuevo perfil Wi-Fi. Cuando se selecciona un tipo de autenticación que admite la autenticación 802.1X (por ejemplo, WPA2-Enterprise), las opciones de seguridad 802.1X se vuelven visibles. Consulte Métodos de EAP para más información sobre cada método de autenticación de red.

Cuando se selecciona el botón Avanzado..., se muestra el cuadro de diálogo Configuración de seguridad avanzada: Captura de pantalla que muestra el cuadro de diálogo Configuración de seguridad avanzada para Wi-Fi.

Este cuadro de diálogo permite establecer algunos valores de configuración avanzada de 802.1X y la opción Inicio de sesión único.

Sugerencia

No todas las opciones están disponibles para la configuración en el Editor de directiva de grupo. Sin embargo, para solucionar esto, se puede importar un perfil XML con la configuración deseada. Para más información, consulte Perfiles de XML.

Las opciones de directiva de grupo para Cableada se encuentran en Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas de red cableada (IEEE 802.3): Captura de pantalla que muestra la opción Directivas de red cableada (IEEE 802.3) del Editor de administración de directiva de grupo.

Al hacer clic con el botón derecho en Directivas de red cableada (IEEE 802.3) y seleccionar Crear una nueva directiva de red cableada para Windows Vista y versiones posteriores, se abre el cuadro de diálogo Propiedades de la nueva directiva de red cableada: Captura de pantalla que muestra la opción Crear una nueva directiva de red cableada para Windows Vista y versiones posteriores del Editor de administración de directiva de grupo.

Este cuadro de diálogo permite establecer el nombre de la directiva, una descripción y las siguientes opciones:

Configuración	Elemento XML	Descripción
Usar el servicio de configuración automática de redes cableadas de Windows para clientes	enableAutoConfig	Si se selecciona, se puede usar la configuración automática de redes cableadas de Windows (dot3svc) para conectarse a redes cableadas sin configuración explícita. Si no se selecciona, la red especificada en esta directiva es la única red disponible para la conexión.
No permitir credenciales de usuario compartidas para la autenticación de red	enableExplicitCreds	Si se selecciona, no se permiten credenciales de usuario compartidas para la autenticación de red. Las credenciales deben ser explícitas.
Habilitar período de bloqueo (minutos)	blockPeriod	Con un valor predeterminado de 20 minutos, especifica el tiempo duración el cual se bloquearán los intentos de autenticación automática después de un intento de autenticación erróneo.

Al seleccionar Seguridad, puede configurar el EAP del perfil: Captura de pantalla que muestra la pestaña Seguridad del cuadro de diálogo Propiedades de la nueva red cableada.

Este cuadro de diálogo le permite configurar el tipo de seguridad y otros valores para la red cableada. Para más información, consulte Opciones de seguridad de 802.1X. Consulte Métodos de EAP para más información sobre cada método de autenticación de red.

Este cuadro de diálogo permite establecer algunos valores de configuración avanzada de 802.1X y la opción Inicio de sesión único.

Sugerencia

No todas las opciones están disponibles para la configuración en el Editor de directiva de grupo. Sin embargo, para solucionar esto, se puede realizar una copia de seguridad del objeto de directiva de grupo, editar el archivo Backup.xml con la configuración deseada y volver a importarlo. Para más información, consulte Perfiles de XML.

Métodos de EAP

Para información general sobre los distintos métodos de EAP, consulte Métodos de autenticación.

Microsoft: tarjeta inteligente u otro certificado

Para más información sobre este cuadro de diálogo, consulte EAP-TLS. Captura de pantalla que muestra el cuadro de diálogo Propiedades de tarjeta inteligente u otro certificado.

Al seleccionar Avanzado, se abre el cuadro de diálogo Configurar selección de certificado: Captura de pantalla que muestra el cuadro de diálogo Configurar selección de certificado.

Microsoft: EAP protegido (PEAP)

Para más información sobre este cuadro de diálogo, consulte PEAP. Captura de pantalla que muestra el cuadro de diálogo Propiedades de EAP protegido.

Al seleccionar Configurar... cuando está seleccionada la opción Contraseña protegida (EAP-MSCHAP v2), se abre el cuadro de diálogo EAP MSCHAPv2: Captura de pantalla que muestra el cuadro de diálogo Propiedades de EAP MSCHAPv2.