Introducción
Microsoft anuncia la disponibilidad de una nueva característica en la plataforma Windows: la protección ampliada para la autenticación (EPA). Esta característica mejora la protección y el control de las credenciales durante la autenticación de las conexiones de red mediante la Autenticación integrada de Windows (IWA).
La actualización en sí no proporciona protección directamente contra ataques específicos, como el reenvío de credenciales, pero permite que las aplicaciones participen en EPA. Este aviso proporciona información a los desarrolladores y administradores del sistema sobre esta nueva funcionalidad y cómo se puede implementar para ayudar a proteger las credenciales de autenticación.
Para obtener más información, consulte el Aviso de seguridad de Microsoft 973811.
Más información
Esta actualización de seguridad modifica la interfaz del proveedor de compatibilidad para seguridad (SSPI) para mejorar la forma en que funciona la autenticación de Windows a fin de que las credenciales no se reenvíen fácilmente cuando IWA está habilitado.
Cuando EPA está habilitada, las solicitudes de autenticación se enlazan a los nombres principales de servicio (SPN) del servidor al que el cliente intenta conectarse y al canal externo de Seguridad de la capa de transporte (TLS) a través del cual se produce la autenticación de IWA.
La actualización agrega una nueva entrada del Registro para administrar la protección ampliada:
-
Establezca el valor del Registro SuppressExtendedProtection.
Clave del registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Valor
SuppressExtendedProtection
Tipo
REG_DWORD
Datos
0 Habilita la tecnología de protección.
1 La protección ampliada está deshabilitada.
3 La protección ampliada está deshabilitada y los enlaces de canal enviados por Kerberos también están deshabilitados, incluso si la aplicación los proporciona.Valor predeterminado: 0x0
Nota Un problema que se produce cuando EPA está habilitada de manera predeterminada se describe en el tema Error de autenticación de servidores NTLM o Kerberos que no son de Windows en el sitio web de Microsoft.
-
Establezca el valor del Registro LmCompatibilityLevel.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel en 3. Se trata de una clave existente que habilita la autenticación NTLMv2. EPA solo se aplica a NTLMv2, Kerberos, hash y protocolos de negociación de autenticación, y no se aplica a NTLMv1.
Nota Debe reiniciar el equipo después de establecer los valores del Registro SuppressExtendedProtection y LmCompatibilityLevel en un equipo Windows.
Habilitar la protección ampliada
Nota De forma predeterminada, la protección ampliada y NTLMv2 están habilitados en todas las versiones compatibles de Windows. Puede usar esta guía para comprobar que este es el caso.
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
-
KB322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows
Para habilitar la protección ampliada por su cuenta después de descargar e instalar la actualización de seguridad para su plataforma, siga estos pasos:
-
Inicie el Editor del Registro. Para hacerlo, haga clic en Inicio, luego en Ejecutar, escriba regedit en el cuadro Abrir y, luego, haga clic en Aceptar.
-
Busque la siguiente subclave del registro y haga clic en ella:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
Compruebe que los valores del Registro SuppressExtendedProtection y LmCompatibilityLevel estén presentes.
Si los valores del Registro no están presentes, siga estos pasos para crearlos:-
Con la subclave del Registro que aparece en el paso 2 seleccionada, en el menú Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD.
-
Escriba SuppressExtendedProtection y presione Entrar.
-
Con la subclave del Registro que aparece en el paso 2 seleccionada, en el menú Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD.
-
Escriba LmCompatibilityLevel y presione Intro.
-
-
Haga clic para seleccionar el valor del Registro SuppressExtendedProtection.
-
En el menú Edición, haga clic en Modificar.
-
En el cuadro Información del valor, escriba 0 y haga clic en Aceptar.
-
Haga clic para seleccionar el valor del Registro LmCompatibilityLevel.
-
En el menú Edición, haga clic en Modificar.
Nota Este paso cambia los requisitos de autenticación de NTLM. Revise el siguiente artículo de Microsoft Knowledge Base para asegurarse de estar familiarizado con este comportamiento.KB239869 Cómo habilitar la autenticación NTLM 2
-
En el cuadro Información del valor, escriba 3 y, luego, haga clic en Aceptar.
-
Salga del Editor del Registro.
-
Si realiza estos cambios en un equipo Windows, debe reiniciarlo para que surtan efecto.
