Se aplica a
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Fecha de publicación original: 29 de agosto de 2025

KB ID: 5066470

Introducción

Este artículo detalla los cambios recientes y futuros en Windows 11, versión 24H2 y Windows Server 2025, centrándose en la auditoría y la eventual aplicación del bloqueo de criptografía derivada de NTLMv1. Estos cambios forman parte de la iniciativa más amplia de Microsoft para eliminar gradualmente NTLM.

Origen

Microsoft ha quitado el protocolo NTLMv1 (consulte Características y funcionalidades eliminadas) de Windows 11, versión 24H2 y Windows Server 2025 y versiones posteriores. Sin embargo, aunque se elimina el protocolo NTLMv1, los remanentes de criptografía NTLMv1 siguen estando presentes en algunos escenarios, como cuando se usa MS-CHAPv2 en un entorno unido a un dominio.

Credential Guard proporciona protección completa de criptografía heredada NTLMv1 y muchas otras superficies de ataque, por lo que Microsoft recomienda encarecidamente su implementación y habilitación si se cumplen los requisitos de Credential Guard. Los próximos cambios solo afectan a los dispositivos en los que Credential Guard está deshabilitado; si Credential Guard de Windows está habilitado en el dispositivo, los cambios descritos en este artículo no surtan efecto.

Objetivo

Con el desuso de NTLM (consulte Características en desuso) y la eliminación del protocolo NTLMv1, Microsoft está trabajando para finalizar la deshabilitación de NTLMv1 deshabilitando el uso de credenciales derivadas de NTLMv1.

Próximos cambios

En esta actualización se incluyen dos cambios nuevos, la introducción de una nueva clave del Registro y nuevos registros de eventos. Para obtener una escala de tiempo de estos cambios, consulte la sección Implementación de cambios .

Nueva clave del Registro

Se introduce una nueva clave del Registro, que determina si los cambios están en el modo Auditoría o en el modo Exigir.

Ubicación del registro

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Valor

BlockNtlmv1SSO

Tipo

REG_DWORD

Datos

  • 0 (valor predeterminado): la solicitud para generar ntlMv1-credentials para un usuario con sesión iniciada se audita pero se le permite tener éxito. Se generan eventos de advertencia. Esta configuración también se denomina Modo auditoría.

  • 1 – Se bloquea la solicitud para generar NTLMv1-credentials para un usuario con sesión iniciada. Se generan eventos de error. Esta configuración también se denomina Modo de aplicación.

Nuevas capacidades de auditoría

  • Al usar la configuración de auditoría (predeterminada)

    Registro de eventos

    Microsoft-Windows-NTLM/Operational

    Tipos de eventos

    Advertencia

    Origen del evento

    NTLM

    Id. del evento

    4024

    Texto del evento

    Auditoría de un intento de usar credenciales derivadas de NTLMv1 para inicio de sesión único Servidor de destino: <domain_name> Usuario suministrado: <user_name> Dominio suministrado: <domain_name> PID del proceso del cliente: <process_identifier> Nombre del proceso del cliente: <process_name> LUID del proceso del cliente: <locally_unique_identifier> Identidad de usuario del proceso del cliente: <user_name> Nombre de dominio de la identidad de usuario del proceso del cliente: <domain_name> Mecanismo OID: <object_identifier> Para obtener más información, vea https://go.microsoft.com/fwlink/?linkid=2321802.

  • Al usar Exigir configuración

    Registro de eventos

    Microsoft-Windows-NTLM/Operational

    Tipos de eventos

    Error

    Origen del evento

    NTLM

    Id. del evento

    4025

    Texto del evento

    Un intento de utilizar las credenciales derivadas de NTLMv1 para el Sign-On único se bloqueó debido a la directiva.Servidor de destino: <domain_name> Usuario suministrado: <user_name> Dominio suministrado: <domain_name> PID del proceso del cliente: <process_identifier> Nombre del proceso del cliente: <process_name> LUID del proceso del cliente: <locally_unique_identifier> Identidad de usuario del proceso del cliente: <user_name> Nombre de dominio de la identidad de usuario del proceso del cliente: <domain_name> Mecanismo OID: <object_identifier> Para obtener más información, vea https://go.microsoft.com/fwlink/?linkid=2321802.

Para obtener más información sobre otras mejoras de auditoría, consulte Información general sobre las mejoras de auditoría NTLM en Windows 11, versión 24H2 y Windows Server 2025.

Implementación de cambios

En septiembre de 2025 y actualizaciones posteriores, los cambios se implementarán en Windows 11, versión 24H2 y versiones posteriores del so cliente en modo auditoría. En este modo, se registrará el Id. de evento: 4024 siempre que se utilicen las credenciales derivadas de NTLMv1, pero la autenticación seguirá funcionando. El lanzamiento llegará a Windows Server 2025 más adelante en el año.

En octubre de 2026, Microsoft establecerá el valor predeterminado de la clave del Registro BlockNTLMv1SSO en 1 (Exigir) en lugar de 0 (Auditoría) si la clave del Registro BlockNTLMv1SSO no se ha implementado en el dispositivo.

Escala de tiempo

Fecha

Cambio

Finales de agosto de 2025

Registros de auditoría para uso de NTLMv1 habilitado en Windows 11, versión 24H2 y clientes más recientes.

Noviembre de 2025

Comenzar el lanzamiento de los cambios en Windows Server 2025.

Octubre de 2026

El valor predeterminado de la clave del Registro BlockNtlmv1SSO cambia del modo Auditoría (0) al modo Exigir (1) a través de una futura actualización de Windows, lo que refuerza las restricciones de NTLMv1. Este cambio en los valores predeterminados solo se aplica si no se ha implementado la clave del Registro BlockNtlmv1SSO .

Nota Estas fechas son provisionales y están sujetas a cambios.

Preguntas más frecuentes (P+F)

Microsoft usa un método de implementación gradual para distribuir una actualización de versión durante un período de tiempo, en lugar de hacerlo todo a la vez. Esto significa que los usuarios reciben las actualizaciones en diferentes momentos y es posible que no estén disponibles inmediatamente para todos los usuarios.

NTLMv1-credenciales derivadas son utilizados por ciertos protocolos de nivel superior para propósitos de Sign-On único; Algunos ejemplos son las implementaciones Wi-Fi, Ethernet y VPN que usan la autenticación de MS-CHAPv2. De forma similar a cuando Credential Guard está habilitado, los flujos de Sign-On únicos para estos protocolos no funcionaban, pero la especificación manual de credenciales seguirá funcionando incluso en el modo Exigir . Para obtener más información y procedimientos recomendados, consulta Consideraciones y problemas conocidos al usar Credential Guard.

La única similitud entre esta actualización y Credential Guard son las protecciones en torno a las credenciales de usuario de la criptografía derivada de NTLMv1. Esta actualización no proporciona la protección amplia y sólida de Credential Guard; Microsoft recomienda la habilitación de Credential Guard en todas las plataformas compatibles.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad