Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Importante: Las fechas de lanzamiento indicadas anteriormente en este artículo han cambiado. Tenga presentes las nuevas fechas de lanzamiento indicadas en las secciones "Tomar medidas" y "Calendario de estas actualizaciones de Windows".

Resumen

Existe una vulnerabilidad de omisión de características de seguridad en la manera en que el Centro de distribución de claves (KDC) determina si se puede usar un vale de servicio Kerberos para la delegación a través de la delegación restringida de Kerberos (KCD). Para aprovechar la vulnerabilidad, un servicio en riesgo configurado para usar KCD podría manipular un vale de servicio Kerberos que no es válido para la delegación para forzar a que KDC lo acepte. Estas actualizaciones de Windows resuelven esta vulnerabilidad al cambiar la forma en que KDC valida los vales de servicio Kerberos que se usan con KCD.

Para obtener más información sobre esta vulnerabilidad, consulte CVE-2020-17049

Tomar medidas

Para proteger su entorno y evitar interrupciones, debe hacer todo lo siguiente:

  1. Actualice todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory. Para ello, instale al menos una de las actualizaciones de Windows que se publicaron entre el 8 de diciembre de 2020 y el 9 de marzo de 2021. Tenga en cuenta que la instalación de la actualización de Windows no mitiga por completo la vulnerabilidad de seguridad. También debe seguir los pasos 2 y 3.

  2. Actualice todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory. Para ello, instale la actualización de Windows del 13 de abril de 2021.

  3. Habilite el modo de cumplimiento en todos los controladores de dominio de Active Directory.

  4. A partir de la actualización del 13 de julio de 2021 (actualización de la fase de cumplimiento), el modo de cumplimiento se habilitará en todos los controladores de dominio de Windows.

Calendario de estas actualizaciones de Windows

Estas actualizaciones de Windows se publicarán en tres fases:

  • Fase de implementación inicial para las actualizaciones de Windows publicadas el 8 de diciembre de 2020 o después.

  • Una segunda fase de implementación que quita la configuración 0 de PerformTicketSignature y que obliga a establecer una configuración 1 o 2 del 13 de abril de 2021 en adelante.

  • La fase de cumplimiento para las actualizaciones de Windows publicadas del 13 de julio de 2021 en adelante.

8 de diciembre de 2020: fase de implementación inicial

La fase de implementación inicial comienza con la actualización de Windows publicada el 8 de diciembre de 2020 y continúa con una actualización de Windows posterior para la fase de cumplimiento. Estas actualizaciones de Windows y las posteriores hacen cambios en Kerberos. En esta actualización del 8 de diciembre de 2020 se incluyen correcciones para todos los problemas conocidos introducidos originalmente con la publicación de CVE-2020-17049 del 10 de noviembre de 2020. Esta actualización también agrega compatibilidad con Windows Server 2008 SP2 y Windows Server 2008 R2.

Esta publicación:

  • Se soluciona la vulnerabilidad CVE-2020-17049 (en el modo de implementación de manera predeterminada).

  • Agrega compatibilidad para el valor de Registro PerformTicketSignature para habilitar una protección en los servidores de controlador de dominio de Active Directory. De forma predeterminada, este valor no existe.

La mitigación consiste en instalar las actualizaciones de Windows en todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory y los controladores de dominio de solo lectura (RODC) y, luego, habilitar el modo de cumplimiento.

13 de abril de 2021: segunda fase de implementación

La segunda fase de implementación comienza con la actualización de Windows publicada el 13 de abril de 2021. Esta fase quita la configuración 0 de PerformTicketSignature. Establecer PerformTicketSignature en 0 después de instalar esta actualización tendrá el mismo efecto que establecer PerformTicketSignature en 1. Los controladores de dominio estarán en modo de implementación.

Notas

  • Esta fase no es necesaria si PerformTicketSignature nunca se estableció en 0 en el entorno. Esta fase garantiza que los clientes que establezcan PerformTicketSignature en 0 pasen a una configuración en 1 antes de la fase de Cumplimiento.

  • Con la implementación de las actualizaciones del 13 de abril de 2021, establecer PerformTicketSignature en 1 permitirá que los vales de servicio sean renovables. Se trata de un cambio en el comportamiento de las actualizaciones de Windows anteriores a abril de 2021 al establecer PerformTicketSignature en 1, lo que provoca que los vales de servicio no sean renovables.

  • Esta actualización da por hecho que todos los controladores de dominio tienen las actualizaciones del 8 de diciembre de 2020 o posteriores.

  • Después de instalar esta actualización y configurar manualmente o mediante programación PerformTicketSignature en 1 o superior, los controladores de dominio de Windows Server no admitidos ya no funcionarán con controladores de dominio compatibles. Esto incluye Windows Server 2008 y Windows Server 2008 R2 sin actualizaciones de seguridad extendidas (ESU) y Windows Server 2003.

13 de julio de 2021: fase de cumplimiento

La publicación del 13 de julio de 2021 inicia la transición hacia la fase de cumplimiento. La fase de cumplimiento aplica los cambios para dirigirse a CVE-2020-17049. Los controladores de dominio de Active Directory ahora son capaces de aplicar el modo de cumplimiento. Pasar al modo de cumplimiento requiere que todos los controladores de dominio de Active Directory tengan instalada la actualización del 8 de diciembre de 2020 o posterior. En ese momento, se omitirá la configuración de la clave del Registro PerformTicketSignature y no se podrá invalidar el modo de cumplimiento. 

Asistencia para la instalación

Antes de instalar esta actualización

Debe tener instaladas las siguientes actualizaciones requeridas antes de aplicar esta actualización: Si usa Windows Update, se le ofrecerán estas actualizaciones requeridas automáticamente según sea necesario.

  • Debe tener instalada la actualización SHA-2 (KB4474419) con fecha del 23 de septiembre de 2019 o una actualización SHA-2 posterior y, a continuación, reiniciar el dispositivo antes de aplicar esta actualización. Para más información sobre las actualizaciones de SHA-2, consulte Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS.

  • Para Windows Server 2008 R2 SP1, debe tener instalada la actualización de la pila de servicio (SSU) (KB4490628) con fecha del 12 de marzo de 2019. Una vez instalada la actualización KB4490628, recomendamos que instale la actualización de SSU más reciente. Para más información sobre la actualización de SSU más reciente, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.

  • Para Windows Server 2008 SP2, debe tener instalada la actualización de la pila de servicio (SSU) (KB4493730) con fecha del 9 de abril de 2019. Una vez instalada la actualización KB4493730, recomendamos que instale la actualización de SSU más reciente. Para obtener más información sobre las últimas actualizaciones de SSU, consulte ADV990001 | Actualizaciones de la pila de servicio más recientes.

  • Los clientes deben comprar la Actualización de seguridad extendida (ESU) para las versiones locales de Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 después de la finalización del soporte extendido el 14 de enero de 2020. Los clientes que hayan adquirido la ESU deben seguir los procedimientos descritos en KB4522133 para continuar recibiendo actualizaciones de seguridad. Para obtener más información sobre la ESU y qué ediciones son compatibles, consulte KB4497181.

Importante Una vez instaladas estas actualizaciones requeridas, debe reiniciar el equipo.

Instalar todas las actualizaciones

Para resolver la vulnerabilidad de seguridad, instale todas las actualizaciones de Windows y haga lo siguiente para habilitar el modo de cumplimiento:

  1. Implemente al menos una de las actualizaciones publicadas entre el 8 de diciembre de 2020 y el 9 de marzo de 2021 en todos los controladores de dominio de Active Directory en el bosque.

  2. Implemente la actualización del 12 de abril de 2021 al menos una o más semanas después del paso 1.

  3. Tras actualizar todos los controladores de dominio de Active Directory, espere al menos una semana para permitir que expiren todos los vales de servicio Kerberos pendientes de Service for User to Self (S4U2self). Después, podrá habilitar la protección completa implementando el modo de cumplimiento de los controladores de dominio de Active Directory.Notas

    • Si ha modificado la configuración predeterminada de los tiempos de expiración de los vales de servicio de Kerberos (el valor predeterminado es 7 días), debe esperar al menos el número de días configurado en el entorno.

    • En estos pasos se da por hecho que PerformTicketSignature nunca se ha establecido en 0 en su entorno. Si PerformTicketSignature se estableció en 0, debe pasar a la configuración 1 antes de establecer la configuración 2 (modo de cumplimiento) y esperar al menos una semana para permitir que expiren todos los vales de servicio Kerberos pendientes de Service for User to Self (S4U2self). No debe pasar directamente de la configuración 0 a la configuración 2 (modo de cumplimiento).

Paso 1: Instalar las actualizaciones de Windows

Instale la actualización de Windows correspondiente al 8 de diciembre de 2020 (o una actualización posterior) en todos los dispositivos que hospeden el rol del controlador de dominio de Active Directory en el bosque, incluyendo los controladores de dominio de solo lectura.

Producto de Windows Server

KB

Tipo de actualización

Windows Server, versión 20H2 (instalación Server Core)

4592438

Actualización de seguridad

Windows Server, versión 2004 (instalación de Server Core)

4592438

Actualización de seguridad

Windows Server, versión 1909 (instalación de Server Core)

4592449

Actualización de seguridad

Windows Server, versión 1903 (instalación de Server Core)

4592449

Actualización de seguridad

Windows Server 2019 (instalación de Server Core)

4592440

Actualización de seguridad

Windows Server 2019

4592440

Actualización de seguridad

Windows Server 2016 (instalación de Server Core)

4593226

Actualización de seguridad

Windows Server 2016

4593226

Actualización de seguridad

Windows Server 2012 R2 (instalación de Server Core)

4592484

Paquete acumulativo mensual

4592495

Solo seguridad

Windows Server 2012 R2

4592484

Paquete acumulativo mensual

4592495

Solo seguridad

Windows Server 2012 (instalación de Server Core)

4592468

Paquete acumulativo mensual

4592497

Solo seguridad

Windows Server 2012

4592468

Paquete acumulativo mensual

4592497

Solo seguridad

Windows Server 2008 R2 Service Pack 1

4592471

Paquete acumulativo mensual

4592503

Solo seguridad

Windows Server 2008 Service Pack 2

4592498

Paquete acumulativo mensual

4592504

Solo seguridad

Paso 2: Habilitar el modo de cumplimiento

Después de actualizar todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory, espere al menos una semana para permitir que expiren todos los vales de servicio Kerberos de S4U2self pendientes. Luego, habilite la protección completa al implementar el modo de cumplimiento. Para ello, habilite la clave del Registro del modo de cumplimiento.

Advertencia Pueden producirse graves problemas si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft garantiza que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad.

Nota Esta actualización presenta compatibilidades para el siguiente valor del Registro con el objetivo de habilitar el modo de cumplimiento. Este valor del Registro no se crea mediante la instalación de esta actualización. Debe agregar este valor del Registro manualmente.

Subclave del Registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Valor

PerformTicketSignature

Tipo de datos

REG_DWORD

Datos

1: habilita el modo de cumplimiento. La corrección está habilitada en el controlador de dominio, pero el controlador de dominio de Active Directory no requiere que los vales de servicio Kerberos cumplan con la corrección. Este modo agrega compatibilidad con las firmas de vales en los controladores de dominio actualizados con CVE-2020-17049, pero los controladores de dominio no requieren que se firmen los vales. Esto permite que coexistan controladores de dominio en fase de implementación inicial (los actualizados con la actualización de implementación inicial de diciembre) y controladores de dominio actualizados. Con todos los controladores de dominio actualizados y establecidos en 1, todos los nuevos vales se firmarán. En este modo, los nuevos vales se marcarán como renovables.

2: habilita el modo de cumplimiento. Esto habilita la corrección en el modo requerido, en el que todos los dominios se deben actualizar y todos los controladores de dominio de Active Directory requieren vales de servicio Kerberos con firmas. Con esta configuración, todos los vales deben estar firmados para considerarse válidos. En este modo, los vales se volverán a marcar como renovables.

0: No recomendado. Deshabilita las firmas de los vales de servicio Kerberos y los dominios no están protegidos.

Importante: El establecimiento de 0 no es compatible con la configuración de cumplimiento 2. Si el modo de cumplimiento se aplica en una etapa posterior mientras los dominios estén establecidos en 0, pueden producirse errores intermitentes de autenticación. Recomendamos que los clientes establezcan la opción en 1 antes de la etapa de cumplimiento (al menos una semana antes de aplicar el cumplimiento).

Valor predeterminado

1 (si no está establecida la clave del Registro)

¿Es necesario reiniciar?

No

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.