Guía de seguridad para la autenticación de red de NT Lan Manager versión 1 y Lan Manager

Seleccione idioma Seleccione idioma
Id. de artículo: 2793313 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Somos conscientes de la cantidad de información detallada y las herramientas que se pueden utilizar para realizar ataques contra la autenticación de red NT LAN Manager versión 1 (NTLMv1) y LAN Manager (LM). Las mejoras en los algoritmos de software y el hardware de los equipos han causado que estos protocolos sean vulnerables a ataques publicados para la obtención de credenciales de usuario. La información y los conjuntos de herramientas disponibles se dirigen específicamente a entornos que no aplican la autenticación NTLMv2. Recomendamos encarecidamente a los usuarios que evalúen sus entornos y actualicen la configuración de la autenticación de red. Todos los sistemas operativos compatibles de Microsoft ofrecen funcionalidades de autenticación NTLMv2.

Los principales sistemas en riesgo son aquellos afectados en la configuración predeterminada; como los equipos que ejecutan Microsoft Windows NT 4, Windows 2000, Windows XP y Windows Server 2003. Por ejemplo, de manera predeterminada, Windows XP y Windows Server 2003 admiten la autenticación NTLMv1.

En el caso de Windows NT, se admiten dos opciones para la autenticación desafío/respuesta en los inicios de sesión de red: desafío/respuesta de LAN Manager (LM) y desafío/respuesta de Windows NT (también conocido como desafío/respuesta de NTLM versión 1). Ambos permiten la interoperabilidad con las bases instaladas de Windows NT 4.0, Windows 95, Windows 98 y Windows 98 Second Edition. 


Para que podamos solucionar su problema, diríjase a la sección "Solucionarlo en mi lugar".

Solución

Para reducir el riesgo de que se produzca ese problema, le recomendamos que configure los entornos que ejecutan Windows NT 4, Windows 2000, Windows XP y Windows Server 2003 de manera que permitan solo el uso de NTLMv2. Para ello, configure manualmente el nivel de autenticación de LAN Manager en 3 o en un valor superior como se describe aquí.

En el caso de Windows XP y Windows Server 2003, existen soluciones Microsoft Fix it a disposición de los usuarios que configuran automáticamente los sistemas para permitir solo el uso de NTLMv2. Este método habilita además la configuración de NTLM para que los usuarios se beneficien de la protección ampliada para la autenticación.

Solucionarlo en mi lugar

La solución Fix it que se describe en esta sección no pretende ser un sustituto de ninguna actualización de seguridad. Se recomienda que instale siempre las actualizaciones de seguridad más recientes. Sin embargo, ofrecemos esta solución Fix it como una solución alternativa para algunas situaciones.

Microsoft Fix it para Windows XP

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón o en el vínculo Fix it bajo el encabezado Habilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Contraer esta tablaAmpliar esta tabla
Habilitar
Fix this problem
Microsoft Fix it 50969
Notas
  • Este asistente podría estar solo en inglés. Sin embargo, esta corrección automática también funciona con otras versiones de idioma de Windows.
  • Si no está utilizando el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.
Microsoft Fix it para Windows Server 2003

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón o en el vínculo Fix it bajo el encabezado Habilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Contraer esta tablaAmpliar esta tabla
Habilitar
Fix this problem
Microsoft Fix it 50970
Notas
  • Este asistente podría estar solo en inglés. Sin embargo, esta corrección automática también funciona con otras versiones de idioma de Windows.
  • Si no está utilizando el equipo que tiene el problema, puede guardar la corrección automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".

Más información

P+F

¿Existe más información acerca de amenazas y contramedidas para la seguridad de red de Windows y el nivel de autenticación LAN Manager?

Podrá encontrar información detallada acerca de amenazas y contramedidas en Microsoft TechNet en la Guía de amenazas y contramedidas. Para obtener más información acerca de la configuración de la versión NTLM, consulte LmCompatibilityLevel.

¿Por qué se produjo el problema?

Hasta enero de 2000, las restricciones de exploración limitaban el tamaño máximo de clave para protocolos criptográficos. Los protocolos de autenticación LM y NTLM se desarrollaron antes de enero de 2000 y, por tanto, estaban sujetos a esas restricciones. Cuando se publicó Windows XP, se configuró de manera que fuera compatible con versiones anteriores de entornos de autenticación diseñados para Windows 2000 y anteriores.

¿Cómo puedo investigar si mi configuración es vulnerable?

Su equipo está afectado por este problema si la configuración del Registro LMCompatibilityLevel tiene un valor inferior a tres (<3).

¿Qué sistemas operativos Windows están afectados en sus configuraciones predeterminadas?

Windows NT4, Windows 2000, Windows XP y Windows Server 2003 tienen un valor de configuración predeterminado en LMCompatibilityLevel inferior a tres (<3).

¿Cuáles son los posibles riesgos de la aplicación de NTLMv2?

Todas las versiones compatibles del sistema operativo Windows admiten NTLMv2. Windows NT 4.0 SP6a admite también NTLMv2. Por tanto, el riesgo para la compatibilidad es muy bajo. Es posible que haya que evaluar las implementaciones o configuraciones heredadas de terceros para comprobar si existen problemas de interoperabilidad. El problema puede resolverse con una nueva configuración o con una actualización. Se recomienda encarecidamente a los usuarios que tomen medidas de subsanación para configurar y actualizar la red con el fin de identificar y retirar gradualmente NTLMv1. El uso del protocolo NTLMv1 tiene un efecto adverso decisivo en la seguridad de la red, que puede verse comprometida.

¿Cómo puede utilizar un atacante la vulnerabilidad?

Un atacante podría extraer los hash de autenticación de respuestas de autenticación de red de LM y NTLM capturadas.

¿Dónde puedo encontrar información acerca de cómo habilitar NTLMv2 en versiones de Microsoft Windows que ya no tienen soporte?

Puede encontrar información detallada acerca de NTLMv2 para Windows NT, Windows 95, Windows 98 y Windows 98 Second Edition en el artículo 239869 de Microsoft Knowledge Base.

Agradecimientos

Microsoft agradece a las siguientes personas su colaboración en la protección de los usuarios:
  • Mark Gamache de T-Mobile USA por trabajar con nosotros para ayudar a proteger a los usuarios de ataques contra la autenticación de red NTLMv1 (NT LAN Manager versión 1) y LAN Manager (LM).
Nota: es un artículo de "PUBLICACIÓN RÁPIDA" creado directamente por la organización de soporte técnico de Microsoft. La información aquí contenida se proporciona como está, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podrían incluir errores tipográficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso para otras consideraciones

Propiedades

Id. de artículo: 2793313 - Última revisión: viernes, 11 de enero de 2013 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Service Pack 3 para Microsoft Windows XP sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Palabras clave: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com