Seguridad de las credenciales almacenadas en caché en Windows Server 2003, en Windows XP y en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 913485 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe la seguridad de las credenciales almacenadas en caché en Microsoft Windows Server 2003, en Microsoft Windows XP y en Microsoft Windows 2000. En este artículo principalmente se describen las credenciales del dominio. Sin embargo, este artículo también describe credenciales genéricas para aclaración.

Más información

Descripción de la caché de contraseñas

Equipos basados en Windows utilizan dos formas de caché de contraseñas: las credenciales de dominio y credenciales genéricas.

Credenciales de dominio

Credenciales de dominio se utilizan por componentes del sistema operativo y se autentican por la autoridad de seguridad local (LSA). Normalmente, las credenciales de dominio se establecen para un usuario cuando un paquete de seguridad registrada autentica los datos del usuario inicio de sesión. Este paquete de seguridad registrada puede ser el protocolo Kerberos o NTLM.

Credenciales genéricas

Credenciales genéricas se definen y autenticadas por programas que administrar la autorización y la seguridad directamente en lugar de delegar estas tareas para el sistema operativo. Por ejemplo, un programa podría requerir que un usuario escriba un nombre de usuario y una contraseña que proporciona el programa. O bien, un programa podría requerir que un usuario generar un certificado de acceso a un sitio Web.

Los programas utilizan las funciones de administración de credenciales para pedir a los usuarios las credenciales definidas por el programa. Estas credenciales pueden tomar la forma de un nombre de usuario, una contraseña, un certificado o una tarjeta inteligente. Las credenciales que el usuario se devuelven al programa para la autenticación.

Administración de credenciales le permite personalizar la administración de la caché. Administración de credenciales también proporciona almacenamiento a largo plazo para credenciales genéricas. Credenciales genéricas pueden leer y escritas por los procesos de usuario.

Administrador de credenciales

Windows XP y Windows Server 2003 incluyen una nombres de usuario y la característica de contraseñas también proporciona funcionalidad de administración de credenciales. Dependiendo del tipo de autenticación, esta característica puede guardar las credenciales de usuario para que se pueden reutilizar más tarde.

Administrador de credenciales almacena las credenciales de usuario de forma segura. Estas credenciales incluyen contraseñas y certificados X.509. Administrador de credenciales permite tanto móviles y los usuarios sin movilidad proporcionan credenciales sólo una vez. Por ejemplo, la primera vez que un usuario ejecuta un programa en la red de la compañía, se requiere autenticación. Por tanto, el usuario se le pida que proporcione las credenciales. Después de que el usuario proporciona estas credenciales, seguirán asociarse con el programa.

Proporcionar la funcionalidad que las credenciales de dominio en caché

Credenciales de dominio almacenada en caché proporcionan la funcionalidad siguiente:
  • Inicio de sesión único
    Inicio de sesión único (SSO) utiliza las credenciales que se recopilan durante un inicio de sesión interactivo para permitir al usuario autenticarse en una red una vez. Posteriormente, el usuario tiene acceso a todos los recursos de red autorizados sin proporcionar credenciales de nuevo. Estos recursos de red pueden oscilar entre dispositivos de hardware y programas, archivos y otros tipos de datos. Todos estos recursos pueden estar repartidos en toda una empresa en servidores de distintos tipos. Los recursos pueden estar en dominios diferentes o pueden estar en diferentes sistemas operativos.
  • acceso a recursos de equipo cuando un controlador de dominio no está disponible
    Después un inicio de sesión correcto del dominio, se almacena en caché una forma de la información de inicio de sesión. Posteriormente, un usuario puede inicie sesión en el equipo utilizando la cuenta de dominio, incluso si no está disponible el controlador de dominio que autenticó al usuario. Porque ya se ha autenticado el usuario, Windows utiliza localmente las credenciales en caché para iniciar el usuario. Por ejemplo, suponga que un usuario móvil utiliza una cuenta de dominio para iniciar sesión en un equipo portátil que esté unido a un dominio. A continuación, el usuario toma el equipo portátil a una ubicación donde el dominio no está disponible. En esta situación, Windows utiliza las credenciales en caché desde el último inicio de sesión para iniciar sesión el usuario localmente y asignar acceso a los recursos del equipo local.

Seguridad de credenciales en caché

Las credenciales en caché el término no describe con precisión cómo Windows almacena en caché información de inicios de sesión de dominio de inicio de sesión. En Windows 2000 y en versiones posteriores de Windows, el nombre de usuario y contraseña se almacenan en no caché. En su lugar, el sistema almacena un comprobador de la contraseña cifrado. Este comprobador es un valor hash de MD4 se calcula dos veces. El cálculo doble eficazmente hace que el Comprobador de un hash del hash de la contraseña del usuario. Este comportamiento es diferente el comportamiento de Microsoft Windows NT 4.0 y versiones anteriores de Windows NT.

Si un atacante intenta realizar un ataque en el Comprobador cryptanalytic, este cifrado tiene dos consecuencias:
  • Debe crearse una tabla precompilada para cada valor salt.
  • El comprobador no puede utilizarse para iniciar sesión en cualquier otro lugar.

Opciones de configuración para credenciales en caché

  • número de credenciales en caché se almacenan en el cliente
    De forma predeterminada, el sistema operativo almacena en caché el Comprobador para los inicios de válido diez de sesión más recientes cada usuario único. Este valor puede establecerse en cualquier valor entre 0 y 50. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    172931Información de inicio de sesión de dominio almacenada en caché
  • notificación de inicio de sesión con credenciales de dominio almacenada en caché
    Cuando intenta iniciar sesión en un dominio desde un equipo cliente basado en Windows y un controlador de dominio no está disponible, no reciben una mensaje de error. Por lo tanto, no puede observar inicia sesión con credenciales de dominio almacenada en caché. Para obtener más información acerca de cómo mostrar un mensaje cuando utilice credenciales almacenadas en caché para iniciar sesión, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    242536Usuario no se avisa al iniciar sesión con el dominio en caché de credenciales

Consideraciones de seguridad de credenciales en caché

Eliminar la caché de credenciales

Independientemente de qué algoritmo de cifrado se utiliza para cifrar el Comprobador de contraseñas, se puede sobrescribir un comprobador de contraseñas para que un atacante puede autenticar como el usuario al que pertenece el Comprobador. Por lo tanto, puede ser sobrescrita la contraseña del administrador. Este procedimiento requiere acceso físico al equipo. Existen utilidades que pueden ayudarle a sobrescribir el Comprobador de caché. Mediante una de estas utilidades, un atacante puede autenticar utilizando el valor sobrescribir.

Sobrescribir la contraseña del administrador no ayuda a los datos de acceso del atacante que se cifran mediante esa contraseña. Además, sobrescribiendo la contraseña no ayuda al atacante tener acceso a los datos de sistema de archivos cifrados (EFS) pertenece a otros usuarios en ese equipo. Sobrescribir la contraseña no ayuda atacante reemplazar el comprobador porque el material de claves base es incorrecto. Por tanto, no se descifrar datos cifrados mediante el sistema de archivos de cifrado o utilizando la API de protección de datos (DPAPI). Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
818200Un atacante que tenga acceso físico al equipo podría obtener acceso a archivos y otros datos

Propiedades

Id. de artículo: 913485 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 1.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbhowto kbexpertiseinter KB913485 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 913485

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com