Nueva configuración modifica el comportamiento de autenticación de red NTLM

INTRODUCCIÓN

Existe a partir de Microsoft Windows Server 2003 Service Pack 1 (SP1) es un cambio en el comportamiento de la red autenticación NTLM. Los usuarios del dominio pueden utilizar su antigua contraseña para tener acceso a la red durante una hora después de haber cambiado la contraseña. Los componentes existentes que están diseñados para utilizar Kerberos para la autenticación no se ven afectados por este cambio.

El objetivo de este cambio es permitir que los procesos en segundo plano como servicios seguir ejecutándose durante algún tiempo hasta que un administrador tenga la oportunidad de actualizar las credenciales de la nueva contraseña.

Más información

Para admitir confiable acceso a la red para la autenticación NTLM en entornos distribuidos, el comportamiento de autenticación de red NTLM es la siguiente:
  • Después de que un usuario de dominio cambia correctamente una contraseña mediante NTLM, la antigua contraseña todavía puede utilizarse para el acceso a la red durante un período de tiempo definido por el usuario. Este comportamiento permite a las cuentas, como cuentas de servicio, que han iniciado sesión en varios equipos para tener acceso a la red mientras se propaga el cambio de contraseña.
  • La extensión de la contraseña del período de duración sólo se aplica a acceso a la red mediante el uso de NTLM. No se modifica el comportamiento de inicio de sesión interactivo. Este comportamiento no se aplica a las cuentas que se hospedan en servidores independientes o en servidores miembro. Sólo los usuarios del dominio se ven afectados por este comportamiento.
  • El período de vigencia de la contraseña antigua se puede configurar modificando el registro en un controlador de dominio. No es necesario reiniciar para que este cambio del Registro surta efecto.


Cómo cambiar el período de duración de una contraseña antigua

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Para cambiar el período de duración de una contraseña antigua, agregue una entrada DWORD denominado OldPasswordAllowedPeriod a la siguiente subclave del registro en un controlador de dominio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
  4. Escriba OldPasswordAllowedPeriod como nombre del valor DWORD y, a continuación, presione ENTRAR.
  5. Haga clic en OldPasswordAllowedPeriod y, a continuación, haga clic en Modificar.
  6. En el cuadro información del valor , escriba el valor en minutos que desea utilizar y, a continuación, haga clic en Aceptar.



    Nota: El período de duración se establece en minutos. Si no se establece este valor del registro, el valor predeterminado período de duración de una contraseña antigua es 60 minutos.
  7. Salga del Editor del registro.

    Nota: Este valor del registro no requiere un reinicio para que surta efecto.
Nota: Este comportamiento no causa una debilidad en la seguridad. Como sólo un usuario sabe ambas contraseñas, el usuario se autentica todavía de forma segura con cualquier contraseña.


Si se conoce la contraseña de un usuario para estar en peligro, el administrador debe restablecer la contraseña para ese usuario. El administrador debe pedir al usuario cambiar la contraseña en el siguiente inicio de sesión para invalidar la antigua contraseña tan pronto como sea posible.

Para restablecer la contraseña de un usuario, siga estos pasos:
  1. Inicie usuarios y equipos Active Directory.
  2. Busque la cuenta de usuario cuya contraseña debe restablecerse.
  3. Haga clic en el objeto de usuario y, a continuación, haga clic en Restablecer contraseña.
  4. En el cuadro nueva contraseña y en el cuadro Confirmar contraseña , escriba la nueva contraseña.
  5. Haga clic para activar la casilla de verificación el usuario debe cambiar la contraseña en el siguiente inicio de sesión y, a continuación, haga clic en Aceptar.
Nota: El comportamiento que se describe en este artículo sólo se produce si la directiva de contraseñas eficaz en los controladores de dominio tiene Exigir historial de contraseñas se establece en un valor que especifica que se recuerdan las contraseñas de dos o más. La directiva de contraseñas debe establecerse en el nivel de dominio. Puede determinar si la directiva ha surtido efecto en los controladores de dominio mediante el complemento de Secpol.msc.
Propiedades

Id. de artículo: 906305 - Última revisión: 17 feb. 2017 - Revisión: 2

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter

Comentarios