Procedimientos recomendados del servidor de directivas de redes

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Puede usar este tema para obtener información sobre los procedimientos recomendados para implementar y administrar el Servidor de directivas de redes (NPS).

En las siguientes secciones se ofrecen procedimientos recomendados para distintos aspectos de la implementación de NPS.

Control

A continuación, se incluyen los procedimientos recomendados para el registro de NPS.

Existen dos tipos de cuentas, o modos de registro, en NPS:

  • Registro de eventos para NPS. Puede usar el registro de eventos para registrar eventos de NPS en los registros de eventos del sistema y de seguridad. Se usa principalmente para supervisar y solucionar los intentos de conexión.

  • Registro de las solicitudes de autenticación y contabilización de usuarios. Puede registrar las solicitudes de cuentas y autenticación de usuarios en archivos de registro con formato de texto o formato de base de datos o bien registrarlas en un procedimiento almacenado en una base de datos de SQL Server 2000. El registro de solicitudes se usa principalmente con fines de facturación y análisis de conexiones, y también resulta útil como herramienta de investigación de seguridad al ofrecerle un método de seguimiento de la actividad de un atacante.

Para hacer un uso más efectivo del registro de NPS:

  • Active el registro (inicialmente) para los registros de autenticación y cuentas. Modifique estas selecciones después de determinar qué es más apropiado para su entorno.

  • Asegúrese de configurar el registro de eventos con una capacidad suficiente para mantener sus registros.

  • Realice regularmente copias de seguridad de todos los archivos de registro porque una vez que se han dañado o eliminado no se pueden volver a crear.

  • Use el atributo Class de RADIUS para registrar el uso y facilitar la identificación del departamento o usuario al que debe cargarse el uso. Aunque el atributo Class que se genera automáticamente es único para cada solicitud, es posible que se produzcan registros duplicados en los casos en que la respuesta al servidor de acceso se haya perdido y la solicitud se reenvíe. Es posible que tenga que eliminar solicitudes duplicadas de sus registros para realizar un seguimiento preciso del uso.

  • Si los servidores de acceso a la red y los servidores proxy RADIUS envían periódicamente mensajes de solicitud de conexiones ficticias a NPS para comprobar que NPS está en línea, use el valor del registro hacer ping a nombre-de-usuario. Este valor configura NPS para rechazar automáticamente estas solicitudes de conexión falsas sin procesarlas. Además, NPS no registra las transacciones relacionadas con el nombre de usuario ficticio de los archivos de registro, lo que facilita la interpretación del registro de eventos.

  • Deshabilitar el reenvío de notificaciones NAS. Puede deshabilitar el reenvío de mensajes de inicio y detención de los servidores de acceso a la red (NAS) a los miembros de un grupo de servidores RADIUS remoto configurado en NPS. Para más información, consulte Deshabilitar el reenvío de notificaciones NAS.

Para más información, consulte Configuración de la contabilización en el Servidor de directivas de redes.

  • Para ofrecer capacidad de conmutación por error y redundancia con el registro de SQL Server, coloque dos equipos que ejecuten SQL Server en subredes diferentes. Use el Asistente para la creación de publicaciones de SQL Server para configurar la replicación de bases de datos entre los dos servidores. Para más información, consulte Documentación técnica de SQL Server y Replicación de SQL Server.

Authentication

A continuación, se incluyen recomendaciones para la autenticación.

  • Use métodos de autenticación basados en certificados, como el protocolo de autenticación extensible protegido (PEAP) y el protocolo de autenticación extensible (EAP) para una autenticación segura. No use métodos de autenticación que solo se basen en contraseñas, porque son vulnerables a varios tipos de ataques y no son seguros. Para la autenticación inalámbrica segura, se recomienda usar PEAP-MS-CHAP v2, ya que NPS demuestra su identidad a los clientes inalámbricos mediante un certificado de servidor, mientras que los usuarios prueban su identidad con su nombre de usuario y su contraseña. Para más información sobre el uso de NPS en la implementación inalámbrica, consulta Implementación del acceso inalámbrico autenticado mediante 802.1X basado en contraseña.
  • Implemente una entidad de certificación (CA) propia mediante los Servicios de certificados de Active Directory® (AD CS) cuando use métodos sólidos de autenticación basados en certificados, como PEAP y EAP, que requieren el uso de un certificado de servidor en NPS. También puede usar su entidad de certificación para realizar inscripciones de certificados de equipo y de usuario. Para más información sobre la implementación de certificados de servidor en NPS y servidores de acceso remoto, consulte Implementación de certificados de servidor para las implementaciones cableadas e inalámbricas de 802.1X.

Importante

El Servidor de directivas de redes (NPS) no admite el uso de los caracteres ASCII extendidos como parte de las contraseñas.

Configuración del equipo cliente

A continuación, se incluyen recomendaciones para configurar el equipo cliente.

  • Configure automáticamente todos los equipos cliente 802.1X de los miembros de dominio mediante la directiva de grupo. Para más información, consulte la sección “Configurar directivas de red inalámbrica (IEEE 802.11)” en el tema Implementación de acceso inalámbrico.

Sugerencias de instalación

A continuación, se incluyen los procedimientos recomendados para la instalación de NPS.

  • Antes de instalar NPS, instale y pruebe cada uno de los servidores de acceso a la red mediante métodos de autenticación local antes de configurarlos como clientes RADIUS en NPS.

  • Después de instalar y configurar NPS, guarde la configuración mediante el comando de Windows PowerShell Export-NpsConfiguration. Guarde la configuración de NPS con este comando cada vez que vuelva a configurar el NPS.

Precaución

  • El archivo de configuración del NPS exportado contiene secretos compartidos sin cifrar para clientes RADIUS y miembros de grupos de servidores RADIUS remotos. Por este motivo, asegúrese de guardar el archivo en una ubicación segura.
  • El proceso de exportación no incluye la configuración del registro de Microsoft SQL Server en el archivo exportado. Si importa el archivo exportado a otro NPS, debe configurar manualmente el registro de SQL Server en el nuevo servidor.

Ajuste del rendimiento de NPS

A continuación se muestran los procedimientos recomendados para ajustar el rendimiento de NPS.

  • Para optimizar los tiempos de respuesta de autenticación y autorización de NPS y reducir el tráfico de red, instale NPS en un controlador de dominio.

  • Cuando se usan nombres de entidad de seguridad universal (UPN) o dominios de Windows Server 2003 y Windows Server 2008, NPS usa el catálogo global para autenticar usuarios. Para reducir al mínimo el tiempo necesario para esto, instale NPS en un servidor de catálogo global o en un servidor que pertenezca a la misma subred que el servidor de catálogo global.

  • Si ha configurado grupos del servidor RADIUS remoto y desactiva la casilla Registrar información de contabilización de servidores en el siguiente grupo remoto de servidores RADIUS en Directivas de solicitud de conexión de NPS, estos grupos todavía recibirán mensajes de notificación de inicio y detención del servidor de acceso a la red (NAS). Esto genera un tráfico de red innecesario. Para eliminar este tráfico, deshabilite el reenvío de notificaciones de NAS para servidores individuales en cada grupo del servidor RADIUS remoto desactivando la casilla Reenviar a este servidor las notificaciones de inicio y detención de la red.

Uso de NPS en organizaciones grandes

A continuación se muestran los procedimientos recomendados para usar NPS en organizaciones de gran tamaño.

  • Si usa directivas de red para restringir el acceso para la gran mayoría de grupos, cree un grupo universal para todos los usuarios a los que desea permitir el acceso y, después, cree una directiva de red que conceda acceso a este grupo universal. No incluya a todos los usuarios directamente en el grupo universal, especialmente si hay muchos usuarios en su red. En lugar de ello, cree grupos separados que pertenezcan al grupo universal y agregue usuarios a esos grupos.

  • Siempre que sea posible, use nombres principales de usuario para hacer referencia a los usuarios. Un usuario puede tener el mismo nombre principal de usuario al margen del dominio al que pertenezca. Esta práctica proporciona la escalabilidad necesaria a las organizaciones que tienen un elevado número de dominios.

  • Si ha instalado el Servidor de directivas de redes (NPS) en un equipo distinto al controlador de dominio y el NPS recibe una gran cantidad de solicitudes de autenticación por segundo, puede optimizar el rendimiento de NPS si aumenta el número de autenticaciones simultáneas permitidas entre el NPS y el controlador de dominio. Para más información, consulte Aumento de las autenticaciones simultáneas procesadas por NPS.

Problemas de seguridad

A continuación se muestran los procedimientos recomendados para reducir los problemas de seguridad.

Cuando administre un NPS de forma remota, no envíe datos confidenciales (por ejemplo, información de carácter secreto o contraseñas) a través de la red en texto sin formato. Hay dos métodos recomendados para la administración remota de NPS:

  • Uso de Servicios de Escritorio remoto para acceder al NPS. Cuando se usan Servicios de Escritorio remoto, no se envían datos entre cliente y servidor. Sólo la interfaz de usuario del servidor (por ejemplo, la imagen de la consola de NPS y el escritorio del sistema operativo) se envía al cliente de Servicios de Escritorio remoto, que se denomina Conexión a Escritorio remoto en Windows® 10. El cliente envía datos del teclado y el ratón, que son procesados localmente por el servidor que tiene habilitados los Servicios de Escritorio remoto. Cuando los usuarios de Servicios de Escritorio remoto inician sesión, sólo pueden ver sus sesiones individuales de cliente, que son administradas de manera independiente por el servidor. Además, la Conexión a Escritorio remoto permite el cifrado de 128 bits entre cliente y servidor.

  • Usar el protocolo de seguridad de Internet (IPsec) para cifrar datos confidenciales. Puede usar IPsec para cifrar la comunicación entre el NPS y el equipo cliente remoto que use para administrar NPS. Para administrar el servidor de forma remota, puede instalar las Herramientas de administración remota del servidor para Windows 10 en el equipo cliente. Después de la instalación, use Microsoft Management Console (MMC) para agregar el complemento NPS a la consola.

Importante

Puede instalar Herramientas de administración remota del servidor en Windows 10 solo en la versión completa de Windows 10 Professional o Windows 10 Enterprise.

Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).