Se aplica a
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Fecha de publicación original: 8 de abril de 2025

KB ID: 5057784

Cambiar fecha

Cambiar descripción

22 de julio de 2025

  • Se ha actualizado el párrafo en "Información de clave del Registro" en la sección "Configuración del registro y registros de eventos".Texto original: La siguiente clave del Registro permite auditar escenarios vulnerables y, después, aplicar el cambio una vez que se aborden los certificados vulnerables. La clave del Registro no se creará automáticamente. El comportamiento del sistema operativo cuando la clave del Registro no está configurada dependerá de la fase de la implementación en la que se encuentre.Texto revisado: La siguiente clave del Registro permite auditar escenarios vulnerables y, después, aplicar el cambio una vez que se aborden los certificados vulnerables. La clave del Registro no se agrega automáticamente. Si necesita cambiar el comportamiento, debe crear manualmente la clave del Registro y establecer el valor que necesita. Tenga en cuenta que el comportamiento del sistema operativo cuando la clave del Registro no está configurada dependerá de la fase de la implementación en la que se encuentre.

  • Se han actualizado los comentarios en "AllowNtAuthPolicyBypass" en la sección "Configuración del registro y registros de eventos".Texto original: La configuración del Registro AllowNtAuthPolicyBypasssolo debe configurarse en los KDC de Windows, como los controladores de dominio que han instalado las actualizaciones de Windows publicadas en mayo de 2025 o después.Texto revisado: La configuración del Registro AllowNtAuthPolicyBypasssolo debe configurarse en los KDC de Windows que hayan instalado las actualizaciones de Windows publicadas en abril de 2025 o después.

9 de mayo de 2025

  • Reemplazó el término "cuenta privilegiada" por "entidad de seguridad que usa autenticación basada en certificados" en la sección "Resumen".

  • Reformulamos el paso "Habilitar" de la sección "Tomar medidas" para aclarar el uso de certificados de inicio de sesión emitidos por autoridades que se encuentran en el almacén NTAuth.Texto original:HABILITAR el modo de obligatoriedad cuando el entorno ya no usa certificados de inicio de sesión emitidos por autoridades que no están en el almacén NTAuth.

  • En la sección "8 de abril de 2025: fase de implementación inicial : modo auditoría", realizó cambios exhaustivos haciendo hincapié en que deben existir ciertas condiciones antes de habilitar las protecciones ofrecidas por esta actualización... esta actualización debe aplicarse a todos los controladores de dominio Y asegurarse de que los certificados de inicio de sesión emitidos por las autoridades se encuentran en el almacén NTAuth. Se agregaron pasos para pasar al modo de obligatoriedad y se agregó una nota de excepción para retrasar el movimiento cuando tiene controladores de dominio que service autenticación basada en certificado autofirmado usada en varios escenarios.Texto original: Para habilitar el nuevo comportamiento y protegerse de la vulnerabilidad, debe asegurarse de que todos los controladores de dominio de Windows se actualizan y que la configuración de la clave del registro AllowNtAuthPolicyBypass se establece en 2.

  • Se ha agregado contenido adicional a los "Comentarios" de las secciones "Información de clave del Registro" y "Eventos de auditoría".

  • Se ha agregado una sección "Problema conocido".

En este artículo

Resumen

Las actualizaciones de seguridad de Windows publicadas el 8 de abril de 2025 o después contienen protecciones para una vulnerabilidad con autenticación Kerberos. Esta actualización proporciona un cambio en el comportamiento cuando la entidad emisora del certificado usado para la autenticación basada en certificados (CBA) de una entidad de seguridad es de confianza, pero no en el almacén NTAuth, y la asignación de identificador de clave de asunto (SKI) está presente en el atributo altSecID de la entidad de seguridad mediante autenticación basada en certificado. Para obtener más información sobre esta vulnerabilidad, consulta CVE-2025-26647.

Tomar medidas

Para ayudar a proteger su entorno y evitar interrupciones, le recomendamos que siga estos pasos:

  1. ACTUALIZAR todos los controladores de dominio con una actualización de Windows publicada el 8 de abril de 2025 o después.

  2. SUPERVISE los nuevos eventos que serán visibles en los controladores de dominio para identificar las entidades emisoras de certificados afectadas.

  3. HABILITAR El modo de obligatoriedad después de que el entorno esté usando ahora solo certificados de inicio de sesión emitidos por autoridades que se encuentran en el almacén NTAuth.

atributos altSecID

En la tabla siguiente se enumeran todos los atributos Identificadores de seguridad alternativos (altSecIDs) y los altSecID que se ven afectados por este cambio.

Lista de atributos de certificado que se podrían asignar a altSecIDs 

AltSecID que requieren un certificado coincidente para encadenar al almacén NTAuth

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Escala de tiempo de los cambios

8 de abril de 2025: fase de implementación inicial: modo auditoría

La fase de implementación inicial (modo auditoría ) comienza con las actualizaciones publicadas el 8 de abril de 2025. Estas actualizaciones cambian el comportamiento que detecta la vulnerabilidad de elevación de privilegios descrita en CVE-2025-26647 , pero no la aplica inicialmente.

Mientras esté en modo auditoría , el id. de evento: 45 se registrará en el controlador de dominio cuando reciba una solicitud de autenticación Kerberos con un certificado no seguro. Se permitirá la solicitud de autenticación y no se espera ningún error de cliente.

Para habilitar el cambio en el comportamiento y protegerse de la vulnerabilidad, debe asegurarse de que todos los controladores de dominio de Windows se actualizan con una versión de Windows Update el 8 de abril de 2025 o posterior, y que la configuración de la clave del Registro AllowNtAuthPolicyBypass se establece en 2 para configurar para el modo de cumplimiento .

Cuando esté en modo de obligatoriedad , si el controlador de dominio recibe una solicitud de autenticación Kerberos con un certificado no seguro, registrará el id. de evento heredado: 21 y denegará la solicitud.

Para activar las protecciones ofrecidas por esta actualización, sigue estos pasos:

  1. Aplique la actualización de Windows publicada el 8 de abril de 2025 o después a todos los controladores de dominio de su entorno. Después de aplicar la actualización, el valor predeterminado de AllowNtAuthPolicyBypass es 1 (Audit), que habilita la comprobación NTAuth y los eventos de advertencia del registro de auditoría.IMPORTANTE Si no está listo para continuar con la aplicación de las protecciones ofrecidas por esta actualización, establezca la clave del Registro en 0 para deshabilitar temporalmente este cambio. Consulte la sección Información de clave del Registro para obtener más información.

  2. Supervise los nuevos eventos que serán visibles en los controladores de dominio para identificar entidades emisoras de certificados afectadas que no forman parte del almacén de NTAuth. El id. de evento que debe supervisar es el Id. de evento: 45. Consulte la sección Eventos de auditoría para obtener más información sobre estos eventos.

  3. Asegúrese de que todos los certificados de cliente sean válidos y estén encadenados a una CA emisora de confianza en el almacén de NTAuth.

  4. Después de que se resuelvan todos los id. de evento: se resuelven 45 eventos y, a continuación, puede pasar al modo de obligatoriedad . Para ello, establezca el valor de registro AllowNtAuthPolicyBypass en 2. Consulte la sección Información de clave del Registro para obtener más información.Nota Recomendamos retrasar temporalmente la configuración de AllowNtAuthPolicyBypass = 2 hasta después de aplicar la actualización de Windows publicada después de mayo de 2025 a los controladores de dominio que service autenticación basada en certificados autofirmada usada en varios escenarios. Esto incluye los controladores de dominio que service Windows Hello para empresas Key Trust y Domain-joined Device Public Key Authentication.

Julio de 2025: Fase de aplicación predeterminada

Novedades publicado en julio de 2025 o después exigirá la comprobación de la Tienda NTAuth de forma predeterminada. La configuración de la clave del registro AllowNtAuthPolicyBypass seguirá permitiendo que los clientes vuelvan al modo Auditoría si es necesario. Sin embargo, se quitará la capacidad de deshabilitar por completo esta actualización de seguridad.

Octubre de 2025: modo de obligatoriedad

Novedades publicado en octubre de 2025 o después interrumpirá el soporte técnico de Microsoft para la clave del Registro AllowNtAuthPolicyBypass. En esta etapa, todos los certificados deben ser emitidos por autoridades que forman parte del almacén NTAuth. 

Configuración del Registro y registros de eventos

Información de clave del Registro

La siguiente clave del Registro permite auditar escenarios vulnerables y, después, aplicar el cambio una vez que se aborden los certificados vulnerables. La clave del Registro no se agrega automáticamente. Si necesita cambiar el comportamiento, debe crear manualmente la clave del Registro y establecer el valor que necesita. Tenga en cuenta que el comportamiento del sistema operativo cuando la clave del Registro no está configurada dependerá de la fase de la implementación en la que se encuentre.

AllowNtAuthPolicyBypass

Subclave del Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valor

AllowNtAuthPolicyBypass

Tipo de datos

REG_DWORD

Datos de valor

0

Deshabilita el cambio por completo.

1

Realiza el evento de advertencia de registro y comprobación de NTAuth que indica el certificado emitido por una autoridad que no forma parte del almacén NTAuth (modo auditoría). (Comportamiento predeterminado a partir de la versión del 8 de abril de 2025).

2

Realice la comprobación NTAuth y, si se produce un error, no permita el inicio de sesión. Registre eventos normales (existentes) para un error AS-REQ con un código de error que indica que no se pudo realizar la comprobación NTAuth (modo obligatorio ).

Comentarios

La configuración del Registro AllowNtAuthPolicyBypasssolo debe configurarse en los KDC de Windows que hayan instalado las actualizaciones de Windows publicadas en abril de 2025 o después.

Eventos de auditoría

Id. de evento: 45 | Evento de auditoría de comprobación de almacén de autenticación NT

Los administradores deben watch para el siguiente evento agregado por la instalación de actualizaciones de Windows publicadas el 8 de abril de 2025 o después. Si existe, implica que un certificado fue emitido por una autoridad que no forma parte del almacén NTAuth.

Registro de eventos

Sistema de registro

Tipos de eventos

Advertencia

Origen del evento

Kerberos-Clave-Centro de distribución

Id. del evento

45

Texto del evento

El Centro de distribución de claves (KDC) encontró un certificado de cliente que era válido pero no encadenado a una raíz en el almacén NTAuth. La compatibilidad con certificados que no se encadenan al almacén NTAuth está en desuso.

La compatibilidad con certificados encadenados a almacenes que no sean NTAuth está en desuso e inseguro.Consulta https://go.microsoft.com/fwlink/?linkid=2300705 para obtener más información.

 Usuario: <> Nombre de usuario  Asunto del certificado: <>del asunto del certificado  Emisor de certificados: <> emisor de certificados  Número de serie del certificado: <número de serie de certificado>  Huella digital del certificado: <>CertThumbprint

Comentarios

  • Las futuras actualizaciones de Windows optimizarán el número de controladores de dominio protegidos con CVE-2025-26647 con registro 45.

  • Los administradores pueden ignorar el registro del evento 45 kerberos-clave-centro de distribución en las siguientes circunstancias:

    • Windows Hello para empresas inicios de sesión de usuario (WHfB) donde el emisor y el asunto de los certificados coinciden con el formato: <>/<UID>/login.windows.net/<Id. de inquilino>/<usuario UPN>

    • Inicios de sesión de criptografía de clave pública de máquina para autenticación inicial (PKINIT) donde el usuario es una cuenta de equipo (terminada por un carácter $ final)), el asunto y el emisor son el mismo equipo y el número de serie es 01.

Id. de evento: 21 | Evento de error AS-REQ

Después de dirigirse al evento 45 del Centro de distribución de claves Kerberos, el registro de este evento genérico heredado indica que el certificado de cliente sigue sin ser de confianza. Este evento se puede registrar por varias razones, una de las cuales es que un certificado de cliente válido NO se encadena a una CA emisora en el almacén NTAuth.

Registro de eventos

Sistema de registro

Tipos de eventos

Advertencia

Origen del evento

Kerberos-Clave-Centro de distribución

Id. del evento

21

Texto del evento

El certificado de cliente del usuario <Domain\UserName> no es válido y ha provocado un error en el inicio de sesión de tarjeta inteligente.

Póngase en contacto con el usuario para obtener más información sobre el certificado que está intentando usar para el inicio de sesión de tarjeta inteligente.

El estado de la cadena era : Una cadena de certificación procesada correctamente, pero uno de los certificados de CA no es de confianza por el proveedor de directivas.

Comentarios

  • Un id. de evento: 21 que hace referencia a una cuenta de "usuario" o "equipo" describe el principal de seguridad que inicia la autenticación Kerberos.

  • Windows Hello para empresas inicios de sesión (WHfB) harán referencia a una cuenta de usuario.

  • La criptografía de claves públicas de máquina para autenticación inicial (PKINIT) hace referencia a una cuenta de equipo.

Problema conocido

Los clientes notificaron problemas con el Id. de evento: 45 y el Id. de evento: 21 desencadenados por la autenticación basada en certificados con certificados autofirmados. Para obtener más información, consulta el problema conocido documentado en el estado de la versión de Windows:

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad