Nueva configuración modifica el comportamiento de autenticación de red NTLM

  • Artículo

En este artículo se describe el nuevo comportamiento que afecta a los cambios de contraseña NTLM y cómo cambiar este comportamiento mediante un registro.

Se aplica a: Windows Server 2012 R2
Número de KB original: 906305

Introducción

A partir de Microsoft Windows Server 2003 Service Pack 1 (SP1), hay un cambio en el comportamiento de autenticación de red NTLM. Los usuarios de dominio pueden usar su contraseña antigua para acceder a la red durante una hora después de cambiar la contraseña. Este cambio no afecta a los componentes existentes que están diseñados para usar Kerberos para la autenticación.

El objetivo de este cambio es permitir que procesos en segundo plano, como los servicios, continúen ejecutándose durante algún tiempo hasta que un administrador tenga la oportunidad de actualizar las credenciales de la nueva contraseña.

Comportamiento de autenticación de red NTLM

Para admitir de forma confiable el acceso a la red para la autenticación de red NTLM en entornos distribuidos, el comportamiento de autenticación de red NTLM es el siguiente:

  • Después de que un usuario de dominio cambie correctamente una contraseña mediante NTLM, la contraseña antigua todavía se puede usar para el acceso a la red durante un período de tiempo definido por el usuario. Este comportamiento permite que las cuentas, como las cuentas de servicio, que han iniciado sesión en varios equipos accedan a la red mientras se propaga el cambio de contraseña.
  • La extensión del período de vigencia de la contraseña solo se aplica al acceso a la red mediante NTLM. El comportamiento de inicio de sesión interactivo no cambia. Este comportamiento no se aplica a las cuentas hospedadas en servidores independientes o en servidores miembros. Solo los usuarios de dominio se ven afectados por este comportamiento.
  • El período de vigencia de la contraseña antigua se puede configurar editando el Registro en un controlador de dominio. No es necesario reiniciar para que este cambio del Registro surta efecto.

Cambio del período de vigencia de una contraseña antigua

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para cambiar el período de vigencia de una contraseña antigua, agregue una entrada DWORD denominada OldPasswordAllowedPeriod a la siguiente subclave del Registro en un controlador de dominio:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Para ello, siga estos pasos:

  1. Haga clic en Inicio y en Ejecutar, escriba regedit y, luego, haga clic en Aceptar.

  2. Busque la siguiente subclave del registro y haga clic en ella:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

  4. Escriba OldPasswordAllowedPeriod como nombre de DWORD y presione ENTRAR.

  5. Haga clic con el botón derecho en OldPasswordAllowedPeriody, a continuación, haga clic en Modificar.

  6. En el cuadro Datos de valor , escriba el valor en minutos que quiera usar y, a continuación, haga clic en Aceptar.

    Nota:

    El período de vigencia se establece en minutos. Si no se establece este valor del Registro, el período de vigencia predeterminado para una contraseña antigua es de 60 minutos.

  7. Salga del editor del Registro.

Nota:

Esta configuración del Registro no requiere un reinicio para que surta efecto.

Este comportamiento no provoca una debilidad de seguridad. Siempre que solo un usuario conozca ambas contraseñas, el usuario se autentica de forma segura mediante cualquiera de las dos contraseñas.

Si se sabe que la contraseña de un usuario está en peligro, el administrador debe restablecer la contraseña de ese usuario. El administrador debe pedir al usuario que cambie la contraseña en el siguiente inicio de sesión para invalidar la contraseña antigua lo antes posible.

Para restablecer la contraseña de un usuario, siga estos pasos:

  1. Inicie usuarios y equipos de Active Directory.
  2. Busque la cuenta de usuario cuya contraseña se debe restablecer.
  3. Haga clic con el botón derecho en el objeto de usuario y, a continuación, haga clic en Restablecer contraseña.
  4. Escriba la nueva contraseña en el cuadro Nueva contraseña y en el cuadro Confirmar contraseña .
  5. Haga clic para seleccionar la casilla User must change password at next logon (El usuario debe cambiar la contraseña en el siguiente inicio de sesión ) y, a continuación, haga clic en Aceptar.

Nota:

El comportamiento que se describe en este artículo solo se produce si la directiva de contraseñas efectiva en los controladores de dominio tiene el valor Aplicar historial de contraseñas establecido en un valor que especifica que se recordarán dos o más contraseñas. La directiva de contraseña debe establecerse en el nivel de dominio. Puede determinar si la directiva ha surtido efecto en los controladores de dominio mediante el complemento Secpol.msc.