Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

El Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2) es un protocolo de autenticación basado en contraseña ampliamente utilizado como un método de autenticación en VPN basadas en PPTP (Protocolo de túnel punto a punto). Microsoft advierte de que cualquier organización que utilice MS-CHAP v2 sin la encapsulación junto con túneles PPTP para la conectividad de VPN, está trabajando en una configuración potencialmente no segura.

INTRODUCCIÓN

Microsoft sugiere que las organizaciones que utilizan MS-CHAP v2/PPTP implementen el protocolo de autenticación extensible protegido (PEAP) en sus redes. Esto mitiga esta técnica encapsulando el tráfico de la autenticación MS-CHAP v2 en TLS.

Configuración de PPTP para utilizar PEAP-MS-CHAP v2 para la autenticación

PEAP-MS-CHAP v2

PEAP con MS-CHAP v2 como el método de autenticación del cliente es una forma de ayudar a la autenticación segura de VPN. Para exigir el uso de PEAP en plataformas de clientes, los servidores del Servidor de enrutamiento y acceso remoto de Windows (RRAS) deberían configurarse para permitir únicamente conexiones que utilicen la autenticación PEAP y rechazar las conexiones de clientes que utilicen MS-CHAP v2 o EAP-MS-CHAP v2. Los administradores deben comprobar las opciones del método de autenticación correspondiente en el servidor RRAS y en el del Servidor de directivas de redes (NPS).

Además, los administradores deben confirmar lo siguiente:

  • La validación de certificado del servidor está ACTIVADA. (El comportamiento predeterminado es ACTIVADO).

  • La validación del nombre del servidor está ACTIVADA. (El comportamiento predeterminado es ACTIVADO). Se debe especificar el nombre correcto del servidor.

  • El certificado raíz desde el cual se emitió el certificado del Servidor está instalado correctamente en el almacén del sistema y está ACTIVADO. (Siempre ACTIVADO).

  • En Windows 7, Windows Vista y Windows XP, la casilla de verificación No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza en la ventana de propiedades de PEAP debe estar habilitada. De forma predeterminada, está deshabilitada.

Configuración del servidor RRAS para el método de autenticación PEAP-MS-CHAP v2

El procedimiento para configurar el método de autenticación PEAP-MS-CHAP v2 para el servidor RRAS y para desactivar los métodos menos seguros MS-CHAP v2 y EAP-MS-CHAP v2 se describe brevemente en los siguientes pasos.

Configuración del método de autenticación para RRAS

Para ello, siga estos pasos: 

  1. En la ventana Administración del servidor RRAS, abra el cuadro de diálogo Propiedades del servidor y, a continuación, haga clic en la ficha Seguridad.

  2. Haga clic en Métodos de autenticación

  3. Compruebe que la casilla de verificación EAP está seleccionada y que la casilla de verificación MS-CHAP v2 no lo está.

Configuración de las conexiones para NPS

Configuración del Servidor de directivas de redes (NPS) para permitir únicamente las conexiones de clientes que utilicen el método de autenticación PEAP-MS-CHAP v2. Para configurar NPS, siga estos pasos:

  1. Abra la IU de NPS, haga clic en Directivas y, a continuación, haga clic en Redes Directivas.

  2. Haga clic con el botón secundario del mouse en Conexiones al servidor de Enrutamiento y acceso remoto de Microsoft y, a continuación, haga clic en Propiedades.

  3. En la IU de Propiedades, haga clic en la ficha Restricciones.

  4. En el panel izquierdo de Restricciones, seleccione Métodos de autenticación y, a continuación, haga clic para desactivar las casillas de verificación de los métodos MS-CHAP y MS-CHAP-v2.

  5. Elimine EAP-MS-CHAP v2 de la lista Tipos de EAP.

  6. Haga clic en Agregar, seleccione Método de autenticación PEAP y, a continuación, haga clic en Aceptar.


    Nota: un certificado de Servidor válido debe estar instalado en el almacén "Personal" y un certificado raíz válido debe estar instalado en el almacén "CA raíz de confianza" del servidor antes de configurar la conexión NPS.

  7. Haga clic en Editar y, a continuación, seleccione EAP-MS-CHAP v2 como el método de autenticación.

Configuración del cliente RRAS para el método de autenticación PEAP-MS-CHAP v2

Los clientes de VPN de Windows se pueden configurar para utilizar el método de autenticación PEAP-MS-CHAP v2 seleccionando el método correspondiente desde la IU de propiedades de conexión de VPN e instalando el certificado raíz correspondiente en el sistema del cliente.

Recomendaciones

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×