Configuración segura
Este artículo describe los procedimientos necesarios para asegurarse de que los componentes del Autoservicio de restablecimiento de contraseñas se implementan y se configuran de forma segura.
- Crear una cuenta de usuario de dominio con permiso para el restablecimiento de contraseñas y desbloqueo de cuentas de usuario
- Configurar los parámetros de firewall
Crear una cuenta de autoservicio
Si utiliza las funciones de Restablecimiento de contraseñas o Desbloqueo de cuentas del Autoservicio de restablecimiento de contraseñas, especifique una cuenta de autoservicio durante la configuración del servicio que el módulo utilizará para ejecutar dichas funciones. Compruebe que la cuenta tiene privilegios suficientes para estas tareas, pero le recomendamos que no use una cuenta del grupo de Administradores de dominio en implementaciones de producción. Los privilegios de cuenta recomendados son:
- Miembro del dominio
- Permiso de restablecimiento de contraseñas y desbloqueo de cuentas para los usuarios del dominio en cuestión
En Usuarios y equipos de Active Directory, cree el grupo o la cuenta de usuario que tenga los permisos para restablecer contraseñas de usuario y desbloquear cuentas de usuario.
- En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el dominio y, a continuación, haga clic en Delegar control en el menú contextual.
- Aparecerá el Asistente para delegación de control. En el cuadro de diálogo de Bienvenida, haga clic en Siguiente.
- En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. En la lista, seleccione el grupo al que quiere dar permisos para desbloquear cuentas y luego haga clic en Aceptar. En el cuadro de diálogo Usuarios y grupos, haga clic en Siguiente.
- En el cuadro de diálogo Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar y, a continuación, haga clic en Siguiente.
- En el cuadro de diálogo Tipo de objeto de Active Directory, haga clic en Solo los siguientes objetos en la carpeta > Objetos de usuario y, a continuación, haga clic en Siguiente.
- En el cuadro de diálogo Permisos, marque las casillas General y Específico de la propiedad. En la lista Permisos, marque las casillas Read lockoutTime, Write lockoutTime, Reset Password, Change Password, Read userAccountControl, Write userAccountControl, Read pwdLastSet y Write pwdLastSet, y después, haga clic en Siguiente.
- En el cuadro de diálogo Finalización del Asistente para delegación de control, haga clic en Finalizar.
Configurar los parámetros de firewall
El servidor de Autoservicio de restablecimiento de contraseñas y el servidor de almacén central son componentes que gestionan contraseñas de usuario, por lo que le recomendamos que implemente estos componentes dentro de una red de confianza y que solo sean accesibles para componentes muy concretos y también de confianza. Esta sección describe los pasos necesarios para comprobar que el Firewall de Windows esté configurado correctamente para estos servidores. También le recomendamos que configure la infraestructura de red existente de forma que estos servidores estén aislados del tráfico de red que no sea de confianza.
Después de completar estas configuraciones en la implementación, solo se puede acceder a los servidores de almacén central del Autoservicio de restablecimiento de contraseñas desde servidores de Autoservicio de restablecimiento de contraseñas que usen SMB (Server Message Block). Asimismo, solo se puede acceder a los servidores del Autoservicio de restablecimiento de contraseñas desde servidores StoreFront con conexiones HTTPS.
Implementación de un recurso compartido de archivos remoto para Windows 2012 R2
Entorno
- Implemente los componentes del Autoservicio de restablecimiento de contraseñas en servidores dedicados. No los implemente en los mismos servidores que los componentes existentes de StoreFront o Delivery Controller. De lo contrario, la configuración de firewall que se muestra a continuación podría bloquear el tráfico de StoreFront o Controller.
- No hay ningún proxy HTTP/HTTPS no transparente entre StoreFront y el servidor de Autoservicio de restablecimiento de contraseñas.
Si existe algún servidor proxy no transparente entre StoreFront y el servidor de Autoservicio de restablecimiento de contraseñas, configure el servidor de Autoservicio de restablecimiento de contraseñas para que solo se pueda acceder a él desde el servidor proxy en las reglas del firewall.
- Las configuraciones de estos procedimientos se basan en las reglas predeterminadas de firewall de Windows.
Configurar el firewall para el almacén central del Autoservicio de restablecimiento de contraseñas
Después de completar esta configuración, solo se puede acceder al servicio SMB suministrado por el almacén central del Autoservicio de restablecimiento de contraseñas desde los servidores de Autoservicio de restablecimiento de contraseñas en el tráfico de entrada. Y el servidor del almacén central de Autoservicio de restablecimiento de contraseñas puede acceder al servicio ubicado en la red corporativa solo en conexiones salientes.
1. Abra el Administrador del servidor, y en el menú Herramientas en la barra de navegación superior, seleccione Firewall de Windows con seguridad avanzada.
2. En Firewall de Windows con seguridad avanzada, seleccione Propiedades de Firewall de Windows en el panel central. Existen tres perfiles de firewall: Dominio, Privado y Público. Seleccione la ficha Perfil de dominio. Compruebe que el Estado del firewall sea Activo, que el valor del parámetro Conexiones entrantes sea Bloquear y que el valor del parámetro Conexiones salientes sea Permitir.
3. Seleccione las fichas Perfil privado y Perfil público. Compruebe que el Estado del firewall sea Activo, y que el valor de los parámetros Conexiones entrantes y Conexiones salientes sea Bloquear. Aplique y guarde los cambios.
4. En la lista Reglas de entrada, seleccione Compartir archivos e impresoras (SMB de entrada) y compruebe que esta regla está Habilitada y que la Acción configurada es Permitir la conexión.
5. En las Propiedades de Compartir archivos e impresoras (SMB de entrada), vaya a la ficha Ámbito. Elija Estas direcciones IP y agregue a la lista todas las direcciones IP de los servidores de Autoservicio de restablecimiento de contraseñas. Por ejemplo, el servidor A de Autoservicio de restablecimiento de contraseñas (192.168.1.10) y el servidor B de Autoservicio de restablecimiento de contraseñas (192.168.1.11).
6. En Propiedades de Compartir archivos e impresoras (SMB de entrada), vaya a la ficha Opciones avanzadas, seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.
7. Repita este procedimiento en las Reglas de entrada de Administración remota de servidores de archivos (SMB de entrada) y de Compartir archivos e impresoras (sesión NB de entrada).
Configurar el firewall para el servidor del Autoservicio de restablecimiento de contraseñas
Después de completar esta configuración, solo se puede acceder al servicio Web suministrado por los servidores de Autoservicio de restablecimiento de contraseñas desde los servidores StoreFront que usen HTTPS. Asimismo, los servidores de Autoservicio de restablecimiento de contraseñas pueden acceder al servicio ubicado en la red corporativa.
1. Abra el Administrador del servidor, y en el menú Herramientas en la barra de navegación superior, seleccione Firewall de Windows con seguridad avanzada.
2. En Firewall de Windows con seguridad avanzada, seleccione Propiedades de Firewall de Windows en el panel central. Existen tres perfiles de firewall: Dominio, Privado y Público. Seleccione la ficha Perfil de dominio. Compruebe que el Estado del firewall sea Activo, que el valor del parámetro Conexiones entrantes sea Bloquear y que el valor del parámetro Conexiones salientes sea Permitir.
3. Seleccione las fichas Perfil privado y Perfil público, y compruebe que el Estado del firewall sea Activo. Además, compruebe que el valor de los parámetros Conexiones entrantes y Conexiones salientes sea Bloquear. Aplique y guarde los cambios.
4. En Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTP). Compruebe que esta regla esté Habilitada y que la Acción configurada sea Bloquear la conexión.
5. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTP), vaya a la ficha Opciones avanzadas. Seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.
6. En Reglas de entrada, seleccione Servicios de World Wide Web (Entrada de tráfico HTTPS). Compruebe que esta regla esté Habilitada y que la Acción configurada sea Permitir la conexión.
7. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTPS), vaya a la ficha Ámbito. Elija Estas direcciones IP, y agregue a la lista todas las direcciones IP de los servidores StoreFront. Por ejemplo, StoreFront A (192.168.1.50) y StoreFront B (192.158.1.51).
8. En Propiedades de Servicios de World Wide Web (Entrada de tráfico HTTPS), vaya a la ficha Opciones avanzadas. Seleccione los perfiles Dominio, Privado y Público, y guarde los cambios de esta regla.