Académique Documents
Professionnel Documents
Culture Documents
Pgina 1 de 6
06/12/2007
Pgina 2 de 6
S No S
Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)
Slo se cifran los datos si se negocia la autenticacin MS-CHAP, MS-CHAP v2 o EAP/TLS. stos son los nicos protocolos de autenticacin que generan sus propias claves de cifrado iniciales, que son necesarias para el cifrado. Cifrado punto a punto de Microsoft (MPPE) cifra los datos en las conexiones de acceso telefnico basadas en PPP. Se aceptan los esquemas de alto nivel (clave de 128 bits) y estndar (clave de 40 bits) de cifrado MPPE. MS-CHAP v2 y EAP son protocolos de autenticacin mutua, lo que significa que tanto el cliente como el servidor demuestran su identidad. Si la conexin est configurada para utilizar MS-CHAP v2 o EAP como el nico mtodo de autenticacin y el servidor al que se conecta no proporciona pruebas de su identidad, la conexin se desconectar. Anteriormente, los servidores podan omitir la autenticacin y, simplemente, aceptar la llamada. Este cambio asegura que puede configurar una conexin para que se conecte con el servidor esperado.
Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)
Servidor de acceso remoto con Protocolo de tnel de capa dos (L2TP) Validar mi identidad Requerir datos con cifrados Requerir una contrasea segura Requerir una contrasea segura Tarjeta inteligente Tarjeta inteligente Notas No S No S Mtodos de autenticacin negociados CHAP, MS-CHAP, MS-CHAP v2 CHAP, MS-CHAP, MS-CHAP v2 EAP/TLS EAP/TLS
Exigir cifrado Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta) Cifrado opcional (conectar incluso sin cifrado) Requiere cifrado (desconectar si el servidor no acepta)
06/12/2007
Pgina 3 de 6
En las conexiones VPN con L2TP, los datos se cifran mediante seguridad del Protocolo de Internet (IPSec). Cifrado punto a punto de Microsoft (MPPE) cifra los datos en las conexiones VPN de PPTP. Se aceptan los esquemas de alto nivel (clave de 128 bits) y estndar (clave de 40 bits) de cifrado MPPE. Slo se cifran los datos con MPPE si se negocia la autenticacin MS-CHAP, MS-CHAP v2 o EAP/TLS. stos son los nicos protocolos de autenticacin que generan sus propias claves de cifrado iniciales. MPPE requiere claves comunes en el cliente y en el servidor, como las generadas por estos tipos de autenticacin. MS-CHAP v2 y EAP/TLS son protocolos de autenticacin mutua, lo que significa que tanto el cliente como el servidor demuestran su identidad. Si la conexin est configurada para utilizar MS-CHAP v2 o EAP/TLS como el nico mtodo de autenticacin y el servidor al que se conecta no proporciona pruebas de su identidad, la conexin finalizar. Anteriormente, los servidores podan omitir la autenticacin ante los clientes y, simplemente, aceptar la llamada. Este cambio asegura que puede configurar una conexin para que se conecte con el servidor esperado.
06/12/2007
Pgina 4 de 6
CHAP)
Microsoft cre MS-CHAP para autenticar estaciones de trabajo Windows remotas, proporcionando la funcionalidad a la que los usuarios de redes LAN estn habituados e integrando los algoritmos de hash utilizados en las redes Windows. Al igual que CHAP, MS-CHAP utiliza un mecanismo de desafo y respuesta para evitar el envo de la contrasea durante el proceso de autenticacin. MS-CHAP utiliza el algoritmo de hash Sntesis del mensaje 4 (MD4) y el algoritmo de cifrado Estndar de cifrado de datos (DES) para generar el desafo y la respuesta, y ofrece mecanismos para informar de errores de conexin y para cambiar la contrasea del usuario. El paquete de respuesta est en un formato diseado especficamente para funcionar con productos de redes en Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000 y Windows XP Professional. Notas Existe una versin de MS-CHAP especfica para conectar con un servidor que ejecuta Windows 95. Debe utilizar esta versin si va a establecer conexin con un servidor que ejecuta Windows 95. Para habilitar esta versin, active la casilla de verificacin Permitir una versin anterior de MS-CHAP para servidores de Windows 95 del cuadro de dilogo Configuracin de seguridad avanzada. A diferencia de CHAP, MS-CHAP no requiere que la contrasea de la cuenta de usuario se almacene en un formato cifrado reversible. Durante el proceso de autenticacin de MS-CHAP se generan las claves de cifrado de secreto compartido para Cifrado punto a punto de Microsoft (MPPE). Temas relacionados
06/12/2007
Pgina 5 de 6
administrador de la red. Windows XP incluye compatibilidad con dos tipos de EAP: EAP-MD5 CHAP (equivalente al protocolo de autenticacin CHAP) EAP-TLS utilizado para autenticacin basada en certificados de usuario. EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus identidades uno a otro. Durante el intercambio EAP-TLS, el cliente de acceso remoto enva su certificado de usuario y el servidor de acceso remoto enva su certificado de equipo. Si el certificado no se enva o no es vlido, se termina la conexin. Notas Durante el proceso de autenticacin de EAP-TLS se generan las claves de cifrado de secreto compartido para Cifrado punto a punto de Microsoft (MPPE). Temas relacionados
3.
4.
06/12/2007
Pgina 6 de 6
Usar un certificado en este equipo. 3. Si desea comprobar que el certificado de servidor presentado al equipo no ha caducado, tiene la firma correcta y utiliza una entidad emisora de certificados de confianza, active la casilla de verificacin Validar un certificado de servidor. Si slo desea conectar con servidores de un dominio determinado, active la casilla de verificacin Conectar siempre que el nombre del equipo termine por y, despus, escriba el nombre del dominio. Para especificar que la entidad emisora del certificado raz del servidor debe ser una especfica, en Entidad emisora raz de confianza, haga clic en la entidad emisora de certificados apropiada. Para utilizar un nombre de usuario diferente cuando el nombre de usuario de la tarjeta inteligente o el certificado no es el mismo que el nombre de usuario del dominio en el va a iniciar sesin, active la casilla de verificacin Use un nombre de usuario distinto para la conexin.
4.
5. 6.
Notas Para abrir Conexiones de red, haga clic en Inicio, Panel de control, Conexiones de red e Internet y, a continuacin, en Conexiones de red. Por ejemplo, si slo desea conectar con servidores que residan en Microsoft.com, escriba Microsoft.com en Conectar siempre que el nombre del equipo termine por. Por ejemplo, si est trabajando para una compaa consultora en la que tiene que iniciar sesin en el dominio de la compaa a la que est asignado, pero su tarjeta inteligente contiene un nombre de usuario especfico de su compaa, active la casilla de verificacin Usar un nombre de usuario distinto para la conexin. Si activa la casilla de verificacin Usar un nombre de usuario distinto para la conexin, su certificado se exporta sin claves privadas y se enva al administrador del sistema para que lo asigne explcitamente a su cuenta de usuario de dominio. Para obtener ms informacin, haga clic en Temas relacionados. Si activa la casilla de verificacin Conectar siempre que el nombre del equipo termine por y no escribe un nombre de dominio, en el momento de conectar se le pide que utilice el nombre de dominio en el certificado de servidor. Temas relacionados
2.
3.
Puede evitar estos pasos si el administrador del sistema carga los certificados de equipo y de usuario en su PC antes de entregrselo cuando salga de viaje. Nota Para recibir certificados de equipo de forma automtica, debe implementar directivas de clave pblica (mediante Directiva de grupo) que inscriban automticamente los equipos en la recepcin de certificados. Si el proceso del certificado de equipo no est automatizado, debe iniciar una sesin en su equipo como Administrador, instalar Servicios de certificados y solicitar un certificado de equipo. Para obtener ms informacin, consulte Para administrar los certificados de un equipo y Para administrar los certificados de su cuenta de usuario.
06/12/2007