• Artículo

Asesoría de seguridad

973811 de aviso de seguridad de Microsoft

Protección ampliada para la autenticación

Publicado: 11 de agosto de 2009 | Actualizado: 8 de enero de 2013

Versión: 1.14

Microsoft anuncia la disponibilidad de una nueva característica, Protección ampliada para la autenticación, en la plataforma Windows. Esta característica mejora la protección y el control de las credenciales al autenticar las conexiones de red mediante la autenticación integrada de Windows (IWA).

La propia actualización no proporciona directamente protección contra ataques específicos, como el reenvío de credenciales, pero permite que las aplicaciones opten por la protección ampliada para la autenticación. Este aviso breve a los desarrolladores y administradores del sistema sobre esta nueva funcionalidad y cómo se puede implementar para ayudar a proteger las credenciales de autenticación.

Factores de mitigación:

  • Las aplicaciones que usan la firma de sesión y el cifrado (como la llamada a procedimiento remoto (RPC) con privacidad e integridad, o el bloque de mensajes del servidor (SMB) con la firma habilitada no se ven afectados por el reenvío de credenciales.

Información general

Información general

Propósito del aviso: este aviso se publicó para anunciar a los clientes la publicación de una actualización que no es de seguridad para que esté disponible una nueva característica, protección ampliada para la autenticación, en la plataforma Windows.

Estado de aviso: aviso publicado.

Recomendación: revise las acciones sugeridas y configúrela según corresponda.

Referencias Identificación
Artículo de Microsoft Knowledge Base Artículo de Microsoft Knowledge Base 973811

Este aviso anuncia el lanzamiento de esta característica para las siguientes plataformas.

Software afectado
Windows XP Service Pack 2 y Windows XP Service Pack 3\ Windows XP para sistemas basados en x64 Service Pack 2 y Windows XP para sistemas basados en x64 Service Pack 3
Windows Server 2003 Service Pack 2\ Windows Server 2003 para sistemas basados en x64 Service Pack 2\ Windows Server 2003 para sistemas basados en Itanium y Windows Server 2003 para sistemas basados en Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2\ Windows Vista para sistemas basados en x64, Windows Vista para sistemas basados en x64 Service Pack 1 y Windows Vista para sistemas basados en x64 Service Pack 2
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2\ Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 service Pack 2\ Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2
Software no afectado
Windows 7 para sistemas de 32 bits\ Windows 7 para sistemas basados en x64
Windows Server 2008 R2 para sistemas basados en x64\ Windows Server 2008 R2 para sistemas basados en Itanium

Preguntas más frecuentes

¿Cuál es el ámbito del aviso?
Microsoft publicó este aviso para anunciar el lanzamiento de una nueva característica, Protección ampliada para la autenticación, como una actualización de SSPI de Windows para ayudar a abordar el reenvío de credenciales.

¿Se trata de una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad?
No, esto no es una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad. Esta característica requiere una configuración opcional que algunos clientes pueden optar por implementar. La habilitación de esta característica no es adecuada para todos los clientes. Para obtener más información sobre esta característica y cómo configurarla correctamente, consulte el artículo de Microsoft Knowledge Base 973811. Esta característica ya está incluida en Windows 7 y Windows Server 2008 R2.

¿Qué es la protección ampliada para la autenticación de Windows?
La actualización del artículo de Microsoft Knowledge Base 968389 modifica el SSPI para mejorar la forma en que autenticación de Windows funciona para que las credenciales no se reenvíen fácilmente cuando está habilitada la autenticación integrada de Windows (IWA).

Cuando la protección ampliada para la autenticación está habilitada, las solicitudes de autenticación se enlazan a los nombres de entidad de seguridad de servicio (SPN) del servidor al que el cliente intenta conectarse y al canal externo de seguridad de la capa de transporte (TLS) sobre el que tiene lugar la autenticación IWA. Se trata de una actualización base que permite a las aplicaciones participar en la nueva característica.

Las actualizaciones futuras modificarán los componentes individuales del sistema que realizan la autenticación IWA para que los componentes usen este mecanismo de protección. Los clientes deben instalar el artículo de Microsoft Knowledge Base 968389 actualizar y las actualizaciones específicas de la aplicación correspondientes para las aplicaciones cliente y los servidores en los que debe activarse la protección ampliada para la autenticación. Tras la instalación, la protección ampliada para la autenticación se controla en el cliente mediante el uso de claves del Registro. En el servidor, la configuración es específica de la aplicación.

¿Qué otras acciones realiza Microsoft para implementar esta característica?

Los cambios deben realizarse en las aplicaciones cliente y servidor específicas que usan la autenticación integrada de Windows (IWA) para asegurarse de que opten por esta nueva tecnología de protección.

Las actualizaciones publicadas por Microsoft el 11 de agosto de 2009 son:

  • El artículo de Microsoft Knowledge Base 968389 implementa la protección ampliada para la autenticación en la interfaz del proveedor de soporte técnico (SSPI) de Seguridad de Windows. Esta actualización permite a las aplicaciones participar en la protección ampliada para la autenticación.
  • El Boletín de seguridad de Microsoft MS09-042 también contiene una actualización de defensa en profundidad que no es de seguridad que permite al cliente y el servidor telnet participar en la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 13 de octubre de 2009 es:

Las actualizaciones publicadas por Microsoft el 8 de diciembre de 2009 son:

  • El artículo de Microsoft Knowledge Base 971737 contiene una actualización que no es de seguridad que permite que la API de Servicios HTTP de Windows (WinHTTP) opte por la protección ampliada para la autenticación.
  • El artículo 970430 de Microsoft Knowledge Base contiene una actualización que no es de seguridad que permite que la pila de protocolos HTTP (http.sys) opte por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 973917 contiene una actualización que no es de seguridad que permite a Internet Information Services (IIS) participar en la protección ampliada para la autenticación. Esta actualización se releagó el 9 de marzo de 2010. Para obtener más información, vea Problemas conocidos en el artículo 973917 de Microsoft Knowledge Base.

Las actualizaciones publicadas por Microsoft el 8 de junio de 2010 son:

  • El artículo de Microsoft Knowledge Base 982532 contiene una actualización que no es de seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows Vista Service Pack 1 opte por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 982533 contiene una actualización que no es de seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows Vista Service Pack 2 opte por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 982535 contiene una actualización que no es de seguridad que permite que .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows Vista Service Pack 1 opte por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 982536 contiene una actualización que no es de seguridad que permite que .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows Vista Service Pack 2 opte por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 982167 contiene una actualización que no es de seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows XP y Windows Server 2003 opten por la protección ampliada para la autenticación.
  • El artículo de Microsoft Knowledge Base 982168 contiene una actualización que no es de seguridad que permite a .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows XP y Windows Server 2003 participar en la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 14 de septiembre de 2010 es:

La actualización publicada por Microsoft el 12 de octubre de 2010 es:

La actualización publicada por Microsoft el 29 de diciembre de 2010 es:

La actualización publicada por Microsoft el 12 de abril de 2011 es:

Las soluciones de Corrección de Microsoft publicadas por Microsoft el 8 de enero de 2013 son:

  • El artículo de Microsoft Knowledge Base 2793313 contiene soluciones de Corrección de Microsoft que establecen los sistemas Windows XP y Windows Server 2003 para permitir solo NTLMv2. La aplicación de estas soluciones de Corrección de Microsoft habilita la configuración NTLMv2 necesaria para los usuarios de Windows XP y Windows Server 2003 para aprovechar la protección ampliada para la autenticación.

Microsoft planea ampliar la cobertura mediante la publicación de actualizaciones futuras que incluirán aplicaciones cliente y servidor de Microsoft adicionales en estos mecanismos de protección. Este aviso de seguridad se revisará para contener información actualizada cuando se publiquen dichas actualizaciones.

¿Cómo pueden los desarrolladores insertar esta tecnología de protección en sus aplicaciones?

Los desarrolladores pueden encontrar más información sobre cómo usar la tecnología de protección ampliada para la autenticación en el siguiente artículo de MSDN, Autenticación integrada de Windows con protección ampliada.

Cómo habilitar esta característica?

En el cliente, los clientes deben implementar la siguiente configuración de clave del Registro.

Encontrará instrucciones detalladas sobre cómo habilitar esta clave del Registro en el artículo de Microsoft Knowledge Base 968389.

  • Establezca la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection en 0 para habilitar la tecnología de protección. De forma predeterminada, esta clave se establece en 1 tras la instalación, deshabilitando la protección.
  • Establezca la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel en 3. No es el valor predeterminado en Windows XP y Windows Server 2003. Se trata de una clave existente que habilita la autenticación NTLMv2. La protección ampliada para autenticación de Windows solo se aplica a los protocolos de autenticación NTLMv2 y Kerberos y no se aplica a NTLMv1. Puede encontrar más información sobre cómo aplicar la autenticación NTLMv2 y esta clave se puede encontrar en el artículo de Microsoft Knowledge Base 239869.

En el servidor, la protección ampliada para la autenticación debe estar habilitada por servicio. En la información general siguiente se muestra cómo habilitar la protección ampliada para la autenticación en los protocolos comunes para los que está disponible actualmente:

Telnet (KB960859)

Para Telnet, la protección ampliada para la autenticación se puede habilitar en el servidor mediante la creación de la clave del Registro DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. El valor predeterminado de esta clave es Legacy. Establezca la clave en uno de los siguientes valores:

  • Heredado: al establecer el valor DWORD en 0, la protección ampliada para la autenticación se deshabilitará en el servidor y no habrá conexiones, incluso las de clientes actualizados y configurados correctamente, se protegerán frente a ataques de reenvío de credenciales.
  • Permitir protección ampliada: estableciendo el valor DWORD en 1, el servidor protegerá los equipos cliente que se han configurado para usar la protección ampliada para el mecanismo de autenticación frente a ataques de retransmisión de credenciales. Los clientes que no se han actualizado y configurado correctamente no se protegerán.
  • Requerir protección ampliada: estableciendo el valor DWORD en 2, el servidor requerirá que los clientes admitan la protección ampliada para la autenticación o rechazarán la autenticación. Los clientes que no tienen habilitada la protección ampliada no se autenticarán en el servidor.

Encontrará instrucciones detalladas sobre cómo crear esta clave del Registro en el artículo de Microsoft Knowledge Base 960859.

Internet Information Services (KB973917)

Para Internet Information Services, la protección ampliada para la autenticación se puede habilitar en el servidor mediante el uso del Administrador de configuración de IIS o editando directamente el archivo de configuración ApplicationHost.Config. Encontrará información detallada sobre cómo configurar IIS en el artículo 973917 de Microsoft Knowledge Base.

¿Qué debo tener en cuenta al implementar la protección ampliada para la autenticación?

Los clientes deben instalar la actualización contenida en el artículo de Microsoft Knowledge Base 968389, instalar las actualizaciones de aplicaciones respectivas en equipos cliente y servidor y configurar correctamente ambos equipos para que usen el mecanismo de protección para protegerse contra ataques de reenvío de credenciales.

Cuando la protección ampliada para la autenticación está habilitada en el lado cliente, está habilitada para todas las aplicaciones que usan IWA. Sin embargo, en el servidor debe habilitarse por aplicación.

¿Por qué no es una actualización de seguridad que se anuncia en un boletín de seguridad?
Esta actualización implementa una nueva característica que puede no ser adecuada para que todos los clientes lo habiliten. Proporciona una característica de seguridad adicional que los clientes pueden optar por implementar en función de su escenario específico.

Se trata de un aviso de seguridad sobre una actualización que no es de seguridad. ¿No es una contradicción?
Los avisos de seguridad abordan los cambios de seguridad que pueden no requerir un boletín de seguridad, pero pueden afectar a la seguridad general del cliente. Los avisos de seguridad son una manera de que Microsoft comunique información relacionada con la seguridad a los clientes sobre los problemas que pueden no clasificarse como vulnerabilidades y que pueden no requerir un boletín de seguridad o sobre los problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, estamos comunicando la disponibilidad de una actualización que no aborda una vulnerabilidad de seguridad específica; en su lugar, aborda la seguridad general.

¿Cómo se ofrece esta actualización?
Estas actualizaciones están disponibles en el Centro de descarga de Microsoft. Los vínculos directos a las actualizaciones de software afectado específico se muestran en la tabla Software afectado de la sección Información general. Para obtener más información sobre la actualización y los cambios en el comportamiento, consulte el artículo de Microsoft Knowledge Base 968389.

¿Esta actualización se distribuye en la actualización automática?
Sí. Estas actualizaciones se distribuyen a través del mecanismo de actualización automática.

¿Qué versiones de Windows están asociadas a este aviso?
La característica abordada en este aviso está disponible para todas las plataformas enumeradas en el resumen de software afectado. Esta característica está presente en todas las versiones de Windows 7 y Windows Server 2008 R2.

¿Conoce Microsoft información detallada y herramientas para ataques contra NTLMv1 (NT LAN Manager versión 1) y la autenticación de red de LAN Manager (LM)?
Sí. Microsoft conoce información detallada y herramientas para ataques contra NTLMv1 (NT LAN Manager versión 1) y la autenticación de red de LAN Manager (LM). Las mejoras en los algoritmos de hardware y software de equipos han hecho que estos protocolos sean vulnerables a ataques ampliamente publicados para obtener contraseñas de usuario. La información y los conjuntos de herramientas disponibles se dirigen específicamente a entornos que no aplican la autenticación NTLMv2.

La información detallada sobre amenazas y contramedidas para la seguridad de red de Windows y el nivel de autenticación de LAN Manager está disponible en Microsoft TechNet en la Guía de amenazas y contramedidas.

Microsoft recomienda encarecidamente a los clientes que evalúen sus entornos y mantengan actualizada la configuración de autenticación de red. Microsoft recomienda implementar NTLMv2 y que la configuración se implemente para reducir o eliminar el uso de la autenticación de red NTLMv1 y LM.

Acciones sugeridas

  • Revise el artículo de Microsoft Knowledge Base asociado a este aviso.
    Los clientes interesados en obtener más información sobre esta característica deben revisar el artículo de Microsoft Knowledge Base 973811.

  • Aplicar y habilitar las actualizaciones que no son de seguridad enumeradas en este aviso de seguridad
    Los clientes deben revisar la lista de actualizaciones de seguridad y seguridad que Microsoft ha publicado como parte de esta actualización de seguridad y, si procede, implementar y configurar estos mecanismos. La lista de actualizaciones disponibles se puede encontrar en la entrada ¿Qué otras acciones realiza Microsoft para implementar esta característica? en la sección Preguntas más frecuentes de este aviso.

  • Aplique las soluciones de Corrección de Microsoft que se describen en el artículo de Microsoft Knowledge Base 2793313
    Microsoft recomienda que los entornos que tengan Windows XP y Windows Server 2003 solo permitan NTLMv2. Para ello, establezca el nivel de autenticación de LAN Manager en 3 o superior. Consulte el artículo de Microsoft Knowledge Base 2793313 para obtener más información y usar las soluciones automatizadas de Microsoft Fix it que establecen estos sistemas para permitir solo NTLMv2. La aplicación de estas soluciones de Corrección de Microsoft también habilita la configuración NTLMv2 necesaria para que los usuarios aprovechen la protección ampliada para la autenticación.

  • Proteger su PC
    Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Los clientes pueden obtener más información sobre estos pasos visitando Proteger su equipo. Para obtener más información sobre cómo mantenerse a salvo en Internet, los clientes deben visitar Microsoft Security Central.

  • Mantener Windows actualizado
    Todos los usuarios de Windows deben aplicar las últimas actualizaciones de seguridad de Microsoft para asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Windows Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada la Novedades automática, las actualizaciones se le entregan cuando se publican, pero tiene que asegurarse de instalarlas.

Soluciones alternativas

Existen varias soluciones alternativas que ayudan a proteger los sistemas contra la reflexión de credenciales o el reenvío de credenciales. Microsoft ha probado las siguientes soluciones alternativas. Aunque estas soluciones alternativas no corregirán la vulnerabilidad subyacente, ayudan a bloquear vectores de ataque conocidos. Cuando una solución alternativa reduce la funcionalidad, se identifica en la sección siguiente.

Habilitación de la firma de SMB

Habilitar la firma SMB en el servidor impide que el atacante acceda al servidor en el contexto del usuario que ha iniciado sesión. Esto ayuda a proteger contra las credenciales que se reenvía al servicio SMB. Microsoft recomienda usar directivas de grupo para configurar la firma de SMB.

Para obtener instrucciones detalladas sobre el uso de directivas de grupo para habilitar y deshabilitar la firma SMB para Microsoft Windows 2000, Windows XP y Windows Server 2003, consulte el artículo 887429 de Microsoft Knowledge Base. Las instrucciones del artículo de Microsoft Knowledge Base 887429 para Windows XP y Windows Server 2003 también se aplican a Windows Vista y Windows Server 2008.

Impacto de la solución alternativa: el uso de la firma de paquetes SMB puede degradar el rendimiento con SMBv1 en las transacciones del servicio de archivos. Los equipos que tienen este conjunto de directivas no se comunicarán con equipos que no tengan habilitada la firma de paquetes del lado cliente. Para obtener más información sobre la firma de SMB y los posibles impactos, consulte el artículo de MSDN "Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)".

Otra información

Agradecimientos

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

  • Mark Gamache de T-Mobile USA para trabajar con nosotros para ayudar a proteger a los clientes frente a ataques contra NTLMv1 (NT LAN Manager versión 1) y la autenticación de red de LAN Manager (LM)

Recursos

  • Puede proporcionar comentarios completando el formulario visitando Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
  • Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información sobre las opciones de soporte técnico disponibles, consulte Ayuda y soporte técnico de Microsoft.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información sobre cómo ponerse en contacto con Microsoft para problemas de soporte técnico internacionales, visite Soporte técnico internacional.
  • Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.

Declinación de responsabilidades

La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (11 de agosto de 2009): Publicado el aviso.
  • V1.1 (14 de octubre de 2009): se han actualizado las preguntas más frecuentes con información sobre una actualización que no es de seguridad incluida en MS09-054 en relación con WinINET.
  • V1.2 (8 de diciembre de 2009): se han actualizado las preguntas más frecuentes con información sobre tres actualizaciones que no son de seguridad relacionadas con los servicios HTTP de Windows, la pila de protocolos HTTP y Internet Information Services.
  • V1.3 (9 de marzo de 2010): se han actualizado las preguntas más frecuentes para anunciar la versión preliminar de la actualización que permite a Internet Information Services participar en la protección ampliada para la autenticación. Para obtener más información, vea Problemas conocidos en el artículo 973917 de Microsoft Knowledge Base.
  • V1.4 (14 de abril de 2010): se actualizó la sección Acciones sugeridas para dirigir a los clientes a la entrada "¿Qué otras acciones realiza Microsoft para implementar esta característica?" en la sección Preguntas más frecuentes.
  • V1.5 (8 de junio de 2010): se han actualizado las preguntas más frecuentes con información sobre seis actualizaciones que no son de seguridad que permiten a .NET Framework participar en la protección ampliada para la autenticación.
  • V1.6 (14 de septiembre de 2010): se han actualizado las preguntas más frecuentes con información sobre una actualización que no es de seguridad, lo que permite que Outlook Express y Windows Mail opten por la protección ampliada para la autenticación.
  • V1.7 (12 de octubre de 2010): se han actualizado las preguntas más frecuentes con información sobre una actualización que no es de seguridad, lo que permite que el bloque de mensajes de Windows Server (SMB) opte por la protección ampliada para la autenticación.
  • V1.8 (14 de diciembre de 2010): se han actualizado las preguntas más frecuentes con información sobre una actualización que no es de seguridad, lo que permite a Microsoft Outlook participar en la protección ampliada para la autenticación.
  • V1.9 (17 de diciembre de 2010): se quitó la entrada de preguntas más frecuentes, que originalmente se agregó el 14 de diciembre de 2010, sobre una actualización que no es de seguridad, lo que permite a Microsoft Outlook participar en la protección ampliada para la autenticación.
  • V1.10 (11 de enero de 2011): se han actualizado las preguntas más frecuentes con información sobre una nueva versión que permite a Microsoft® Office Live Portal de servicio de reuniones participar en la protección ampliada para la autenticación.
  • V1.11 (12 de enero de 2011): corrigió el vínculo a las notas de la versión para Microsoft® Office Live Portal del servicio de reuniones en las preguntas más frecuentes.
  • V1.12 (12 de abril de 2011): se han actualizado las preguntas más frecuentes con información sobre una actualización que no es de seguridad, lo que permite a Microsoft Outlook participar en la protección ampliada para la autenticación.
  • V1.13 (31 de octubre de 2012): corrigió los factores mitigantes.
  • V1.14 (8 de enero de 2013): se han actualizado las preguntas más frecuentes y las acciones sugeridas con información sobre los ataques contra NTLMv1 (NT LAN Manager versión 1) y la autenticación de red de LAN Manager (LM). Microsoft Fix it solutions for Windows XP and Windows Server 2003 are available to help protect against these attacks. La aplicación de estas soluciones de Corrección de Microsoft habilita la configuración NTLMv2 necesaria para que los usuarios aprovechen la protección ampliada para la autenticación.

Compilado en 2014-04-18T13:49:36Z-07:00