Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Stack HCI, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introducción

Microsoft anuncia la disponibilidad de una nueva característica en la plataforma Windows: la protección ampliada para la autenticación (EPA). Esta característica mejora la protección y el control de las credenciales durante la autenticación de las conexiones de red mediante la Autenticación integrada de Windows (IWA). La actualización en sí no proporciona protección directamente contra ataques específicos, como el reenvío de credenciales, pero permite que las aplicaciones participen en EPA. Este aviso proporciona información a los desarrolladores y administradores del sistema sobre esta nueva funcionalidad y cómo se puede implementar para ayudar a proteger las credenciales de autenticación. Para obtener más información, consulte el Aviso de seguridad de Microsoft 973811.

Más información

Esta actualización de seguridad modifica la interfaz del proveedor de compatibilidad para seguridad (SSPI) para mejorar la forma en que funciona la autenticación de Windows a fin de que las credenciales no se reenvíen fácilmente cuando IWA está habilitado. Cuando EPA está habilitada, las solicitudes de autenticación se enlazan a los nombres principales de servicio (SPN) del servidor al que el cliente intenta conectarse y al canal externo de Seguridad de la capa de transporte (TLS) a través del cual se produce la autenticación de IWA.

La actualización agrega una nueva entrada del Registro para administrar la protección ampliada:

  • Establezca el valor del Registro SuppressExtendedProtection.

    Clave del registro

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Valor

    SuppressExtendedProtection

    Tipo

    REG_DWORD

    Datos

    0 Habilita la tecnología de protección.1 La protección ampliada está deshabilitada.3 La protección ampliada está deshabilitada y los enlaces de canal enviados por Kerberos también están deshabilitados, incluso si la aplicación los proporciona.

    Valor predeterminado: 0x0

    Nota Un problema que se produce cuando EPA está habilitada de manera predeterminada se describe en el tema Error de autenticación de servidores NTLM o Kerberos que no son de Windows en el sitio web de Microsoft.

  • Establezca el valor del Registro LmCompatibilityLevel.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel en 3. Se trata de una clave existente que habilita la autenticación NTLMv2. EPA solo se aplica a NTLMv2, Kerberos, hash y protocolos de negociación de autenticación, y no se aplica a NTLMv1.

Nota Debe reiniciar el equipo después de establecer los valores del Registro SuppressExtendedProtection y LmCompatibilityLevel en un equipo Windows.

Habilitar la protección ampliada

Nota De forma predeterminada, la protección ampliada y NTLMv2 están habilitados en todas las versiones compatibles de Windows. Puede usar esta guía para comprobar que este es el caso.

Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

  • KB322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows

Para habilitar la protección ampliada por su cuenta después de descargar e instalar la actualización de seguridad para su plataforma, siga estos pasos:

  1. Inicie el Editor del Registro. Para hacerlo, haga clic en Inicio, luego en Ejecutar, escriba regedit en el cuadro Abrir y, luego, haga clic en Aceptar.

  2. Busque la siguiente subclave del registro y haga clic en ella:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Compruebe que los valores del Registro SuppressExtendedProtection y LmCompatibilityLevel estén presentes. Si los valores del Registro no están presentes, siga estos pasos para crearlos:

    1. Con la subclave del Registro que aparece en el paso 2 seleccionada, en el menú Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD.

    2. Escriba SuppressExtendedProtection y presione Entrar.

    3. Con la subclave del Registro que aparece en el paso 2 seleccionada, en el menú Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD.

    4. Escriba LmCompatibilityLevel y presione Intro.

  4. Haga clic para seleccionar el valor del Registro SuppressExtendedProtection.

  5. En el menú Edición, haga clic en Modificar.

  6. En el cuadro Información del valor, escriba 0 y haga clic en Aceptar.

  7. Haga clic para seleccionar el valor del Registro LmCompatibilityLevel.

  8. En el menú Edición, haga clic en Modificar.Nota Este paso cambia los requisitos de autenticación de NTLM. Revise el siguiente artículo de Microsoft Knowledge Base para asegurarse de estar familiarizado con este comportamiento.

    KB239869 Cómo habilitar la autenticación NTLM 2

  9. En el cuadro Información del valor, escriba 3 y, luego, haga clic en Aceptar.

  10. Salga del Editor del Registro.

  11. Si realiza estos cambios en un equipo Windows, debe reiniciarlo para que surtan efecto.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.