Procesos de las credenciales en la autenticación de WindowsCredentials Processes in Windows Authentication

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Este tema de referencia para profesionales de TI describe cómo la autenticación de Windows procesa las credenciales.This reference topic for the IT professional describes how Windows authentication processes credentials.

Administración de credenciales de Windows es el proceso por el que recibe las credenciales en el servicio o usuario del sistema operativo y asegura que la información de presentación futuras en el destino de autenticación.Windows credentials management is the process by which the operating system receives the credentials from the service or user and secures that information for future presentation to the authenticating target. En el caso de un equipo unido al dominio, el destino de autenticación es el controlador de dominio.In the case of a domain-joined computer, the authenticating target is the domain controller. Las credenciales de autenticación son documentos digitales que asociación la identidad del usuario a algún tipo de la prueba de autenticidad, como un certificado, una contraseña o un PIN.The credentials used in authentication are digital documents that associate the user's identity to some form of proof of authenticity, such as a certificate, a password, or a PIN.

De forma predeterminada, se validan las credenciales de Windows con la base de datos de administrador de cuentas de seguridad (SAM) en el equipo local o de Active Directory en un equipo unido al dominio, a través del servicio de Winlogon.By default, Windows credentials are validated against the Security Accounts Manager (SAM) database on the local computer, or against Active Directory on a domain-joined computer, through the Winlogon service. Las credenciales se recopilan a través de la entrada del usuario en la interfaz de usuario de inicio de sesión o mediante programación a través de la interfaz de programación de aplicaciones (API) que se presentará en el destino de autenticación.Credentials are collected through user input on the logon user interface or programmatically via the application programming interface (API) to be presented to the authenticating target.

Información de seguridad local se almacena en el registro bajo HKEY_LOCAL_MACHINE\SECURITY.Local security information is stored in the registry under HKEY_LOCAL_MACHINE\SECURITY. Información almacenada incluye la configuración de directiva, los valores de seguridad predeterminados e información de la cuenta, como las credenciales de inicio de sesión almacenado en caché.Stored information includes policy settings, default security values, and account information, such as cached logon credentials. También se almacena una copia de la base de datos SAM aquí, aunque es protegido contra escritura.A copy of the SAM database is also stored here, although it is write-protected.

El siguiente diagrama muestra los componentes que son necesarios y las rutas de acceso que las credenciales llevan por el sistema para autenticar el usuario o proceso para un inicio de sesión correcto.The following diagram shows the components that are required and the paths that credentials take through the system to authenticate the user or process for a successful logon.

Diagrama que muestra los componentes que son necesarios y las rutas de acceso que las credenciales llevan por el sistema para autenticar el usuario o proceso para un inicio de sesión correcto.

La tabla siguiente describe cada componente que administra las credenciales en el proceso de autenticación en el punto de inicio de sesión.The following table describes each component that manages credentials in the authentication process at the point of logon.

Componentes de autenticación para todos los sistemasAuthentication components for all systems

ComponenteComponent DescripciónDescription
Inicio de sesión del usuarioUser logon Winlogon.exe es el archivo ejecutable responsable de administrar las interacciones del usuario segura.Winlogon.exe is the executable file responsible for managing secure user interactions. El servicio Winlogon inicia el proceso de inicio de sesión para los sistemas operativos de Windows, pasando las credenciales recopiladas por acción del usuario en el escritorio seguro (interfaz de usuario de inicio de sesión) para la autoridad de seguridad Local (LSA) a través de Secur32.dll.The Winlogon service initiates the logon process for Windows operating systems by passing the credentials collected by user action on the secure desktop (Logon UI) to the Local Security Authority (LSA) through Secur32.dll.
Inicio de sesión de aplicaciónApplication logon Aplicación o los inicios de sesión de servicio que no requieren inicio de sesión interactivo.Application or service logons that do not require interactive logon. La mayoría de los procesos iniciados por el usuario que se ejecutan en modo usuario utilizando Secur32.dll, mientras que los procesos iniciados durante el inicio, como los servicios, se ejecutan en modo kernel usando Ksecdd.sys.Most processes initiated by the user run in user mode by using Secur32.dll whereas processes initiated at startup, such as services, run in kernel mode by using Ksecdd.sys.

Para obtener más información acerca del modo de usuario y modo kernel, vea las aplicaciones y el modo de usuario o servicios y el modo de núcleo en este tema.For more information about user mode and kernel mode, see Applications and User Mode or Services and Kernel Mode in this topic.
Secur32.dllSecur32.dll Los proveedores de autenticación múltiples que forman la base del proceso de autenticación.The multiple authentication providers that form the foundation of the authentication process.
Lsasrv.dllLsasrv.dll El servicio servidor LSA, que aplica las directivas de seguridad y actúa como el Administrador de paquetes de seguridad de la LSA.The LSA Server service, which both enforces security policies and acts as the security package manager for the LSA. La LSA contiene la función Negotiate, que selecciona el protocolo NTLM o Kerberos después de determinar el protocolo que se va a ser correcto.The LSA contains the Negotiate function, which selects either the NTLM or Kerberos protocol after determining which protocol is to be successful.
Proveedores de compatibilidad para seguridadSecurity Support Providers Un conjunto de proveedores que puede invocar individualmente uno o más protocolos de autenticación.A set of providers that can individually invoke one or more authentication protocols. El conjunto predeterminado de los proveedores puede cambiar con cada versión del sistema operativo Windows y se pueden escribir proveedores personalizados.The default set of providers can change with each version of the Windows operating system, and custom providers can be written.
Netlogon.dllNetlogon.dll Los servicios que realiza el servicio de Net Logon son los siguientes:The services that the Net Logon service performs are as follows:

-Mantiene desde el canal seguro del equipo (para no confundir con Schannel) a un controlador de dominio.- Maintains the computer's secure channel (not to be confused with Schannel) to a domain controller.
-Pasa las credenciales del usuario a través de un canal seguro para el controlador de dominio y devuelve los identificadores de seguridad (SID) de dominio y derechos de usuario para el usuario.- Passes the user's credentials through a secure channel to the domain controller and returns the domain security identifiers (SIDs) and user rights for the user.
-Publica registros de recursos de servicio en el sistema de nombres de dominio (DNS) y utiliza DNS para resolver nombres en las direcciones de protocolo de Internet (IP) de los controladores de dominio.- Publishes service resource records in the Domain Name System (DNS) and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.
-Implementa el protocolo de replicación en función de llamada a procedimiento remoto (RPC) para sincronizar los controladores de dominio principal (PDC) y controladores de dominio de reserva (BDC).- Implements the replication protocol based on remote procedure call (RPC) for synchronizing primary domain controllers (PDCs) and backup domain controllers (BDCs).
Samsrv.dllSamsrv.dll El Administrador de cuentas de seguridad (SAM), que almacena las cuentas de seguridad local, aplica las directivas almacenadas localmente y es compatible con las API.The Security Accounts Manager (SAM), which stores local security accounts, enforces locally stored policies and supports APIs.
RegistroRegistry El registro contiene una copia de la base de datos SAM, configuración de directiva de seguridad local, los valores de seguridad predeterminados e información de la cuenta que solo es accesible para el sistema.The Registry contains a copy of the SAM database, local security policy settings, default security values, and account information that is only accessible to the system.

Este tema contiene las siguientes secciones:This topic contains the following sections:

Entrada de credencial de inicio de sesión de usuarioCredential input for user logon

En Windows Server 2008 y Windows Vista, la arquitectura de autenticación (GINA) e identificación gráfica se ha reemplazado por un modelo de proveedor de credenciales, que se hizo posible enumerar tipos de inicio de sesión diferente mediante el uso de los iconos de inicio de sesión.In Windows Server 2008 and Windows Vista, the Graphical Identification and Authentication (GINA) architecture was replaced with a credential provider model, which made it possible to enumerate different logon types through the use of logon tiles. A continuación se describen ambos modelos.Both models are described below.

Arquitectura de autenticación e identificación gráficaGraphical Identification and Authentication architecture

La arquitectura de autenticación (GINA) e identificación gráfica se aplica a los sistemas operativos Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Windows 2000 Professional.The Graphical Identification and Authentication (GINA) architecture applies to the Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Windows 2000 Professional operating systems. En estos sistemas, cada sesión de inicio de sesión interactivo crea una instancia independiente del servicio de Winlogon.In these systems, every interactive logon session creates a separate instance of the Winlogon service. La arquitectura GINA se carga en el espacio de proceso usado por Winlogon, recibe y procesa las credenciales y realiza las llamadas a las interfaces de autenticación a través de LSALogonUser.The GINA architecture is loaded into the process space used by Winlogon, receives and processes the credentials, and makes the calls to the authentication interfaces through LSALogonUser.

Las instancias de Winlogon para un inicio de sesión interactivo se ejecutan en la sesión 0.The instances of Winlogon for an interactive logon run in Session 0. Servicios del sistema de hosts de sesión 0 y otros procesos vitales, incluido el proceso de autoridad de seguridad Local (LSA).Session 0 hosts system services and other critical processes, including the Local Security Authority (LSA) process.

El siguiente diagrama muestra el proceso de credencial de Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Microsoft Windows 2000 Professional.The following diagram shows the credential process for Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Microsoft Windows 2000 Professional.

Diagrama que muestra el proceso de credenciales de Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Microsoft Windows 2000 Professional

Arquitectura de proveedor de credencialesCredential provider architecture

La arquitectura de proveedor de credenciales se aplica a las versiones designadas en la se aplica a lista al principio de este tema.The credential provider architecture applies to those versions designated in the Applies To list at the beginning of this topic. En estos sistemas, la arquitectura de entrada de credenciales se cambia a un diseño extensible mediante el uso de proveedores de credenciales.In these systems, the credentials input architecture changed to an extensible design by using credential providers. Estos proveedores están representados por los iconos de inicio de sesión diferente en el escritorio seguro que permiten a cualquier número de escenarios de inicio de sesión - cuentas diferentes para el mismo usuario y los métodos de autenticación diferentes, como contraseñas, tarjetas inteligentes y biometría.These providers are represented by the different logon tiles on the secure desktop that permit any number of logon scenarios - different accounts for the same user and different authentication methods, such as password, smart card, and biometrics.

Con la arquitectura de proveedor de credenciales, Winlogon inicia siempre la interfaz de usuario de inicio de sesión después de recibir un evento de la secuencia de aviso de seguridad.With the credential provider architecture, Winlogon always starts Logon UI after it receives a secure attention sequence event. Interfaz de usuario de inicio de sesión, consulta cada proveedor de credenciales para el número de diferentes tipos de credenciales que se configura el proveedor para enumerar.Logon UI queries each credential provider for the number of different credential types the provider is configured to enumerate. Los proveedores de credenciales tienen la opción de especificar uno de estos iconos como valor predeterminado.Credential providers have the option of specifying one of these tiles as the default. Después de que todos los proveedores han enumerado sus iconos, interfaz de usuario de inicio de sesión los muestra al usuario.After all providers have enumerated their tiles, Logon UI displays them to the user. El usuario interactúa con un icono para proporcionar sus credenciales.The user interacts with a tile to supply their credentials. Interfaz de usuario de inicio de sesión envía estas credenciales para la autenticación.Logon UI submits these credentials for authentication.

Proveedores de credenciales no son mecanismos de cumplimiento.Credential providers are not enforcement mechanisms. Se usaron para recopilar y serializar las credenciales.They are used to gather and serialize credentials. Exigir la seguridad de los paquetes de autenticación y la autoridad de seguridad Local.The Local Security Authority and authentication packages enforce security.

Los proveedores de credenciales se registran en el equipo y están responsables de lo siguiente:Credential providers are registered on the computer and are responsible for the following:

  • Que describe la información de credenciales necesaria para la autenticación.Describing the credential information required for authentication.

  • Controlar la comunicación y la lógica con las entidades de autenticación externo.Handling communication and logic with external authentication authorities.

  • Las credenciales de empaquetado para interactivo e inicio de sesión de red.Packaging credentials for interactive and network logon.

Las credenciales de empaquetado para interactivo e inicio de sesión de red incluye el proceso de serialización.Packaging credentials for interactive and network logon includes the process of serialization. Al serializar las credenciales se pueden mostrar varios iconos de inicio de sesión en la interfaz de usuario de inicio de sesión.By serializing credentials multiple logon tiles can be displayed on the logon UI. Por lo tanto, su organización puede controlar la presentación de inicio de sesión como usuarios, sistemas de destino para el inicio de sesión, inicio de sesión previo acceso a la red y la estación de trabajo Bloquear/desbloquear directivas - mediante el uso de proveedores de credenciales personalizadas.Therefore, your organization can control the logon display such as users, target systems for logon, pre-logon access to the network and workstation lock/unlock policies - through the use of customized credential providers. Varios proveedores de credenciales pueden coexistir en el mismo equipo.Multiple credential providers can co-exist on the same computer.

Como un proveedor de credenciales estándar o como un proveedor de acceso de inicio de sesión previo, se pueden desarrollar solo proveedores de inicio de sesión (SSO).Single sign-on (SSO) providers can be developed as a standard credential provider or as a Pre-Logon-Access Provider.

Cada versión de Windows contiene el proveedor de credenciales de un valor predeterminado y el inicio de sesión anterior a una etiqueta default-acceso proveedor (PLAP), también conocido como el proveedor de inicio de sesión único.Each version of Windows contains one default credential provider and one default Pre-Logon-Access Provider (PLAP), also known as the SSO provider. El proveedor de inicio de sesión único permite a los usuarios para realizar una conexión a una red antes de iniciar sesión el equipo local.The SSO provider permits users to make a connection to a network before logging on to the local computer. Cuando se implementa este proveedor, el proveedor no enumera los iconos de la interfaz de usuario de inicio de sesión.When this provider is implemented, the provider does not enumerate tiles on Logon UI.

Un proveedor de inicio de sesión único está pensado para usarse en los siguientes escenarios:A SSO provider is intended to be used in the following scenarios:

  • Inicio de sesión de autenticación y el equipo de red se controlan mediante proveedores de credenciales diferentes.Network authentication and computer logon are handled by different credential providers. Se incluyen las variaciones en este escenario:Variations to this scenario include:

    • Un usuario tiene la opción de conectarse a una red, como la conexión a una red privada virtual (VPN), antes de iniciar sesión en el equipo, pero no es necesario para realizar esta conexión.A user has the option of connecting to a network, such as connecting to a virtual private network (VPN), before logging on to the computer but is not required to make this connection.

    • Se requiere autenticación de red para recuperar la información utilizada durante la autenticación interactiva en el equipo local.Network authentication is required to retrieve information used during interactive authentication on the local computer.

    • Varias autenticaciones de red van seguidas de uno de los otros escenarios.Multiple network authentications are followed by one of the other scenarios. Por ejemplo, un usuario se autentica en un proveedor de servicios Internet (ISP), se autentica en una red privada virtual y, a continuación, utiliza sus credenciales de cuenta de usuario para iniciar sesión localmente.For example, a user authenticates to an Internet service provider (ISP), authenticates to a VPN, and then uses their user account credentials to log on locally.

    • Credenciales almacenadas en caché están deshabilitadas y se requiere una conexión de servicios de acceso remoto a través de VPN antes de inicio de sesión local para autenticar al usuario.Cached credentials are disabled, and a Remote Access Services connection through VPN is required before local logon to authenticate the user.

    • Un usuario de dominio no tiene una cuenta local en un equipo unido al dominio y debe establecer una conexión de servicios de acceso remoto a través de la conexión VPN antes de completar el inicio de sesión interactivo.A domain user does not have a local account set up on a domain-joined computer and must establish a Remote Access Services connection through VPN connection before completing interactive logon.

  • Inicio de sesión de autenticación y el equipo de red se controlan mediante el mismo proveedor de credenciales.Network authentication and computer logon are handled by the same credential provider. En este escenario, el usuario es necesario para conectarse a la red antes de iniciar sesión en el equipo.In this scenario, the user is required to connect to the network before logging on to the computer.

Enumeración de icono de inicio de sesiónLogon tile enumeration

El proveedor de credenciales enumera los iconos de inicio de sesión en los casos siguientes:The credential provider enumerates logon tiles in the following instances:

  • Para esos sistemas operativos designados en el se aplica a lista al principio de este tema.For those operating systems designated in the Applies to list at the beginning of this topic.

  • El proveedor de credenciales enumera los iconos de inicio de sesión de estación de trabajo.The credential provider enumerates the tiles for workstation logon. Normalmente, el proveedor de credenciales serializa las credenciales de autenticación a la entidad de seguridad local.The credential provider typically serializes credentials for authentication to the local security authority. Este proceso muestra iconos específicos para cada usuario y específicos para los sistemas de destino de cada usuario.This process displays tiles specific for each user and specific to each user's target systems.

  • La arquitectura de inicio de sesión y autenticación permite a un usuario use iconos enumerados por el proveedor de credenciales para desbloquear una estación de trabajo.The logon and authentication architecture lets a user use tiles enumerated by the credential provider to unlock a workstation. Normalmente, el usuario ha iniciado sesión actualmente es el icono de forma predeterminada, pero si más de un usuario ha iniciado sesión, se muestran varios iconos.Typically, the currently logged-on user is the default tile, but if more than one user is logged on, numerous tiles are displayed.

  • El proveedor de credenciales enumera los iconos en respuesta a una solicitud de usuario para cambiar su contraseña u otra información privada, por ejemplo, un PIN.The credential provider enumerates tiles in response to a user request to change their password or other private information, such as a PIN. Normalmente, el usuario ha iniciado sesión actualmente es el icono predeterminado; Sin embargo, si más de un usuario ha iniciado sesión, se muestran varios iconos.Typically, the currently logged-on user is the default tile; however, if more than one user is logged on, numerous tiles are displayed.

  • El proveedor de credenciales enumera los iconos basados en las credenciales serializadas que se usará para la autenticación en equipos remotos.The credential provider enumerates tiles based on the serialized credentials to be used for authentication on remote computers. Credencial de la interfaz de usuario no usa la misma instancia del proveedor como la interfaz de usuario de inicio de sesión, desbloquear la estación de trabajo o cambiar la contraseña.Credential UI does not use the same instance of the provider as the Logon UI, Unlock Workstation, or Change Password. Por lo tanto, no se puede mantener información de estado en el proveedor de entre las instancias de la interfaz de usuario de la credencial.Therefore, state information cannot be maintained in the provider between instances of Credential UI. Esta estructura da como resultado un mosaico para cada inicio de sesión del equipo remoto, suponiendo que se han serializado correctamente las credenciales.This structure results in one tile for each remote computer logon, assuming the credentials have been correctly serialized. Este escenario también se usa en el Control de cuentas de usuario (UAC), que puede ayudar a evitar cambios no autorizados a un equipo por preguntar al usuario permiso o una contraseña de administrador antes de permitir que las acciones que podrían afectar el funcionamiento del equipo o que podrían cambiar la configuración que afecta a otros usuarios del equipo.This scenario is also used in User Account Control (UAC), which can help prevent unauthorized changes to a computer by prompting the user for permission or an administrator password before permitting actions that could potentially affect the computer's operation or that could change settings that affect other users of the computer.

El siguiente diagrama muestra el proceso de credenciales para los sistemas operativos designado en el se aplica a lista al principio de este tema.The following diagram shows the credential process for the operating systems designated in the Applies To list at the beginning of this topic.

Diagrama que muestra el proceso de credenciales para los sistemas operativos designados en la ** se aplica a ** lista al principio de este tema.

Entrada de credencial de inicio de sesión de servicio y aplicaciónCredential input for application and service logon

Autenticación de Windows está diseñada para administrar las credenciales para aplicaciones o servicios que no requieren interacción del usuario.Windows authentication is designed to manage credentials for applications or services that do not require user interaction. Las aplicaciones en modo de usuario están limitadas en cuanto a qué recursos del sistema que tienen acceso, mientras que los servicios pueden tienen acceso ilimitado a la memoria del sistema y los dispositivos externos.Applications in user mode are limited in terms of what system resources they have access to, while services can have unrestricted access to the system memory and external devices.

Servicios del sistema y las aplicaciones de nivel de transporte de acceso a un proveedor de compatibilidad para seguridad (SSP) a través de la interfaz de proveedor de soporte técnico de seguridad (SSPI) en Windows, que proporciona funciones para enumerar los paquetes de seguridad disponibles en un sistema, seleccione un paquete y use ese paquete para obtener una conexión autenticada.System services and transport-level applications access an Security Support Provider (SSP) through the Security Support Provider Interface (SSPI) in Windows, which provides functions for enumerating the security packages available on a system, selecting a package, and using that package to obtain an authenticated connection.

Cuando se autentica una conexión cliente/servidor:When a client/server connection is authenticated:

  • La aplicación en el lado cliente de la conexión envía credenciales al servidor mediante la función SSPI InitializeSecurityContext (General).The application on the client side of the connection sends credentials to the server by using the SSPI function InitializeSecurityContext (General).

  • Responde de la aplicación en el servidor de la conexión con la función SSPI AcceptSecurityContext (General).The application on the server side of the connection responds with the SSPI function AcceptSecurityContext (General).

  • Las funciones SSPI InitializeSecurityContext (General) y AcceptSecurityContext (General) se repiten hasta que se han intercambiado todos los mensajes de autenticación necesaria para tener éxito o se superará la autenticación.The SSPI functions InitializeSecurityContext (General) and AcceptSecurityContext (General) are repeated until all the necessary authentication messages have been exchanged to either succeed or fail authentication.

  • Después de que se ha autenticado la conexión, la LSA en el servidor usa información del cliente para crear el contexto de seguridad, que contiene un token de acceso.After the connection has been authenticated, the LSA on the server uses information from the client to build the security context, which contains an access token.

  • El servidor, a continuación, puede llamar a la función SSPI ImpersonateSecurityContext para asociar el token de acceso a un subproceso de representación para el servicio.The server can then call the SSPI function ImpersonateSecurityContext to attach the access token to an impersonation thread for the service.

Las aplicaciones y el modo de usuarioApplications and user mode

Modo de usuario en Windows se compone de dos sistemas capaces de pasar las solicitudes de E/S a los controladores de modo kernel adecuado: el sistema del entorno, que se ejecuta a las aplicaciones escritas para muchos tipos diferentes de los sistemas operativos, y el sistema entero, que funciona funciones específicas del sistema en nombre del sistema del entorno.User mode in Windows is composed of two systems capable of passing I/O requests to the appropriate kernel-mode drivers: the environment system, which runs applications written for many different types of operating systems, and the integral system, which operates system-specific functions on behalf of the environment system.

El sistema entero administra las funciones operativas de system'specific en nombre del sistema del entorno y consta de un proceso del sistema de seguridad (LSA), un servicio de estación de trabajo y un servicio de servidor.The integral system manages operating system'specific functions on behalf of the environment system and consists of a security system process (the LSA), a workstation service, and a server service. El proceso del sistema de seguridad se ocupa de los tokens de seguridad, se concede o deniega permisos para tener acceso a las cuentas de usuario según los permisos de recursos, controla las solicitudes de inicio de sesión e inicia la autenticación de inicio de sesión y determina qué recursos del sistema en el sistema operativo necesita realizar la auditoría.The security system process deals with security tokens, grants or denies permissions to access user accounts based on resource permissions, handles logon requests and initiates logon authentication, and determines which system resources the operating system needs to audit.

Las aplicaciones pueden ejecutar en modo de usuario donde la aplicación puede ejecutarse como cualquier entidad de seguridad, incluidos en el contexto de seguridad del sistema Local (SYSTEM).Applications can run in user mode where the application can run as any principal, including in the security context of Local System (SYSTEM). Las aplicaciones también pueden ejecutar en modo kernel donde la aplicación puede ejecutarse en el contexto de seguridad del sistema Local (SYSTEM).Applications can also run in kernel mode where the application can run in the security context of Local System (SYSTEM).

SSPI está disponible a través del módulo Secur32.dll, que es una API que se utiliza para obtener servicios de seguridad integrados para la autenticación, integridad del mensaje y privacidad de mensajes.SSPI is available through the Secur32.dll module, which is an API used for obtaining integrated security services for authentication, message integrity, and message privacy. Proporciona una capa de abstracción entre los protocolos de nivel de aplicación y los protocolos de seguridad.It provides an abstraction layer between application-level protocols and security protocols. Dado que las distintas aplicaciones requieren diferentes maneras de identificar o autenticar usuarios y distintas formas de cifrar los datos que viajan a través de una red, SSPI proporciona una manera de obtener acceso a bibliotecas de vínculos dinámicos (DLL) que contienen autenticación diferente y funciones de cifrado.Because different applications require different ways of identifying or authenticating users and different ways of encrypting data as it travels across a network, SSPI provides a way to access dynamic-link libraries (DLLs) that contain different authentication and cryptographic functions. Estos archivos DLL se denominan proveedores de compatibilidad para seguridad (SSP).These DLLs are called Security Support Providers (SSPs).

Cuentas de servicio administradas y cuentas virtuales se introdujeron en Windows Server 2008 R2 y Windows 7 para proporcionar aplicaciones cruciales, como Microsoft SQL Server e Internet Information Services (IIS), el aislamiento de sus propias cuentas de dominio, mientras que elimina la necesidad de un administrador administre manualmente el nombre principal de servicio (SPN) y las credenciales para estas cuentas.Managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide crucial applications, such as Microsoft SQL Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Para obtener más información acerca de estas características y su rol en la autenticación, consulte Managed Service cuentas documentación para Windows 7 y Windows Server 2008 R2 y grupo Managed Service Accounts Overview.For more information about these features and their role in authentication, see Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2 and Group Managed Service Accounts Overview.

Servicios y modo de núcleoServices and kernel mode

Aunque la mayoría de las aplicaciones de Windows se ejecuta en el contexto de seguridad del usuario que se inicia, esto no es cierto de servicios.Even though most Windows applications run in the security context of the user who starts them, this is not true of services. Muchos de los servicios de Windows, como la red y los servicios de impresión, se inician mediante el servicio de controlador cuando el usuario arranca el equipo.Many Windows services, such as network and printing services, are started by the service controller when the user starts the computer. Estos servicios podrían ejecutar como servicio Local o sistema Local y podrían seguir ejecutándose después de que el último usuario humano cierra la sesión.These services might run as Local Service or Local System and might continue to run after the last human user logs off.

Nota

Normalmente, los servicios se ejecutan en contextos de seguridad conocidos como sistema Local (SYSTEM), servicio de red o servicio Local.Services normally run in security contexts known as Local System (SYSTEM), Network Service, or Local Service. Windows Server 2008 R2 introdujo los servicios que se ejecutan bajo una cuenta de servicio administrada, que son entidades de dominio.Windows Server 2008 R2 introduced services that run under a managed service account, which are domain principals.

Antes de iniciar un servicio, el controlador del servicio inicia sesión con la cuenta que está designada para el servicio y, a continuación, presenta las credenciales del servicio para la autenticación de la LSA.Before starting a service, the service controller logs on by using the account that is designated for the service, and then presents the service's credentials for authentication by the LSA. El servicio de Windows implementa una interfaz de programación que puede usar el Administrador de control de servicio para controlar el servicio.The Windows service implements a programmatic interface that the service controller manager can use to control the service. Un servicio de Windows se puede iniciar automáticamente cuando se inicia el sistema o manualmente con un programa de control de servicios.A Windows service can be started automatically when the system is started or manually with a service control program. Por ejemplo, cuando un equipo cliente de Windows une a un dominio, el servicio messenger en el equipo se conecta a un controlador de dominio y abre un canal seguro a ella.For example, when a Windows client computer joins a domain, the messenger service on the computer connects to a domain controller and opens a secure channel to it. Para obtener una conexión autenticada, el servicio debe tener credenciales en los que confía la autoridad de seguridad Local (LSA) del equipo remoto.To obtain an authenticated connection, the service must have credentials that the remote computer's Local Security Authority (LSA) trusts. Al comunicarse con otros equipos de la red, LSA usa las credenciales de cuenta de dominio del equipo local, igual que todos los demás servicios que se ejecutan en el contexto de seguridad del sistema Local y servicio de red.When communicating with other computers in the network, LSA uses the credentials for the local computer's domain account, as do all other services running in the security context of the Local System and Network Service. Servicios en el equipo local que se ejecute como sistema, por lo que no es necesario que las credenciales se presentará la LSA.Services on the local computer run as SYSTEM so credentials do not need to be presented to the LSA.

El archivo Ksecdd.sys administra y cifra estas credenciales y usa una llamada a procedimiento local en la LSA.The file Ksecdd.sys manages and encrypts these credentials and uses a local procedure call into the LSA. El tipo de archivo es DRV (controlador) y se conoce como el proveedor de soporte técnico de seguridad (SSP) de modo kernel y, en las versiones designadas en la se aplica a lista al principio de este tema, es FIPS 140-2 nivel compatible con 1.The file type is DRV (driver) and is known as the kernel-mode Security Support Provider (SSP) and, in those versions designated in the Applies To list at the beginning of this topic, is FIPS 140-2 Level 1-compliant.

Modo kernel tiene acceso completo a los recursos de hardware y del sistema del equipo.Kernel mode has full access to the hardware and system resources of the computer. El modo de núcleo detiene servicios de modo de usuario y aplicaciones tengan acceso a áreas críticas del sistema operativo que no deberían tener acceso a.The kernel mode stops user-mode services and applications from accessing critical areas of the operating system that they should not have access to.

Autoridad de seguridad localLocal Security Authority

La autoridad de seguridad Local (LSA) es un proceso del sistema protegido que autentica y cierran sesión en el equipo local de los usuarios.The Local Security Authority (LSA) is a protected system process that authenticates and logs users on to the local computer. Además, LSA mantiene información sobre todos los aspectos de seguridad local en un equipo (estos aspectos se conocen colectivamente como la directiva de seguridad local), y proporciona varios servicios de traducción entre nombres e identificadores de seguridad (SID).In addition, LSA maintains information about all aspects of local security on a computer (these aspects are collectively known as the local security policy), and it provides various services for translation between names and security identifiers (SIDs). El proceso del sistema de seguridad Local autoridad de seguridad servidor de servicio (LSASS), realiza un seguimiento de las directivas de seguridad y las cuentas que estén vigentes en un sistema informático.The security system process, Local Security Authority Server Service (LSASS), keeps track of the security policies and the accounts that are in effect on a computer system.

La LSA valida la identidad del usuario en función de cuál de las siguientes dos entidades que emitió la cuenta de usuario:The LSA validates a user's identity based on which of the following two entities issued the user's account:

  • Autoridad de seguridad local.Local Security Authority. La LSA puede validar la información de usuario mediante la comprobación de la base de datos de administrador de cuentas de seguridad (SAM) ubicado en el mismo equipo.The LSA can validate user information by checking the Security Accounts Manager (SAM) database located on the same computer. Cualquier servidor miembro o estación de trabajo puede almacenar información acerca de los grupos locales y cuentas de usuario locales.Any workstation or member server can store local user accounts and information about local groups. Sin embargo, estas cuentas pueden utilizarse para tener acceso a solo esa estación de trabajo o equipo.However, these accounts can be used for accessing only that workstation or computer.

  • Autoridad de seguridad para el dominio local o para un dominio de confianza.Security authority for the local domain or for a trusted domain. La LSA pone en contacto con la entidad que emitió la cuenta y la comprobación de las solicitudes que la cuenta es válida y que se originó la solicitud del titular de la cuenta.The LSA contacts the entity that issued the account and requests verification that the account is valid and that the request originated from the account holder.

El Servicio de subsistema de autoridad de seguridad local (LSASS) almacena las credenciales en memoria en representación de los usuarios con sesiones de Windows activas.The Local Security Authority Subsystem Service (LSASS) stores credentials in memory on behalf of users with active Windows sessions. Las credenciales almacenadas permiten a los usuarios acceder sin problemas a los recursos de red, como recursos compartidos de archivos, buzones de Exchange Server y sitios de SharePoint, sin volver a escribir sus credenciales para cada servicio remoto.The stored credentials let users seamlessly access network resources, such as file shares, Exchange Server mailboxes, and SharePoint sites, without re-entering their credentials for each remote service.

LSASS puede almacenar credenciales de diferentes formas, por ejemplo:LSASS can store credentials in multiple forms, including:

  • Texto sin formato cifrado de manera reversibleReversibly encrypted plaintext

  • Vales de Kerberos (vale de concesión de vales (TGT), vales de servicio)Kerberos tickets (ticket-granting tickets (TGTs), service tickets)

  • Hash de NTNT hash

  • Hash de LAN Manager (LM)LAN Manager (LM) hash

Si el usuario inicia sesión en Windows mediante el uso de una tarjeta inteligente, LSASS no almacena una contraseña de texto simple, pero almacena el valor de hash de NT correspondiente para la cuenta y el PIN de texto simple para la tarjeta inteligente.If the user logs on to Windows by using a smart card, LSASS does not store a plaintext password, but it stores the corresponding NT hash value for the account and the plaintext PIN for the smart card. Si se habilita el atributo de la cuenta para una tarjeta inteligente que sea necesaria para el inicio de sesión interactivo, se generará automáticamente un valor hash de NT para la cuenta, en lugar del hash de contraseña original.If the account attribute is enabled for a smart card that is required for interactive logon, a random NT hash value is automatically generated for the account instead of the original password hash. El hash de contraseña generado automáticamente al establecer el atributo no cambia.The password hash that is automatically generated when the attribute is set does not change.

Si un usuario inicia sesión en un equipo basado en Windows con una contraseña que sea compatible con los valores de hash de LAN Manager (LM), este autenticador está presente en la memoria.If a user logs on to a Windows-based computer with a password that is compatible with LAN Manager (LM) hashes, this authenticator is present in memory.

El almacenamiento en memoria de credenciales en texto sin formato no se puede deshabilitar, incluso si los proveedores de credenciales requieren que estén deshabilitados.The storage of plaintext credentials in memory cannot be disabled, even if the credential providers that require them are disabled.

Las credenciales almacenadas se asocian directamente con los inicios de sesión del servicio de subsistema de autoridad de seguridad Local (LSASS) que se han iniciado después del último reinicio y no se han cerrado.The stored credentials are directly associated with the Local Security Authority Subsystem Service (LSASS) logon sessions that have been started after the last restart and have not been closed. Por ejemplo, las sesiones LSA con credenciales LSA almacenadas se crean cuando un usuario realiza una de las acciones siguientes:For example, LSA sessions with stored LSA credentials are created when a user does any of the following:

  • Inicie sesión en una sesión local o una sesión de protocolo de escritorio remoto (RDP) en el equipoLogs on to a local session or Remote Desktop Protocol (RDP) session on the computer

  • Ejecuta una tarea mediante la opción Ejecutar comoRuns a task by using the RunAs option

  • Ejecuta un servicio de Windows activo en el equipoRuns an active Windows service on the computer

  • Ejecuta una tarea programada o un trabajo por lotesRuns a scheduled task or batch job

  • Ejecuta una tarea en el equipo local mediante una herramienta de administración remotaRuns a task on the local computer by using a remote administration tool

En algunas circunstancias, los secretos de LSA, que son partes secretas de los datos que son accesibles sólo a los procesos de cuenta del sistema, se almacenan en la unidad de disco duro.In some circumstances, the LSA secrets, which are secret pieces of data that are accessible only to SYSTEM account processes, are stored on the hard disk drive. Algunos de estos secretos son credenciales que deben persistir después de un reinicio y que se almacenan con formato cifrado en la unidad de disco duro.Some of these secrets are credentials that must persist after reboot, and they are stored in encrypted form on the hard disk drive. Las credenciales almacenadas como secretos de LSA son los siguientes:Credentials stored as LSA secrets might include:

  • Contraseña de cuenta para la cuenta del equipo los servicios de dominio de Active Directory (AD DS)Account password for the computer's Active Directory Domain Services (AD DS) account

  • Contraseñas de cuenta para servicios de Windows configurados en el equipoAccount passwords for Windows services that are configured on the computer

  • Contraseñas de cuenta para tareas programadas configuradasAccount passwords for configured scheduled tasks

  • Contraseñas de cuenta para grupos de aplicaciones y sitios web de IISAccount passwords for IIS application pools and websites

  • Contraseñas de cuentas de MicrosoftPasswords for Microsoft accounts

Se introdujo en Windows 8.1, el sistema operativo cliente proporciona protección adicional para LSA de cara a evitar la lectura de memoria y la inserción de código por parte de procesos no protegidos.Introduced in Windows 8.1, the client operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Esta protección aumenta la seguridad de las credenciales que LSA almacena y administra.This protection increases security for the credentials that the LSA stores and manages.

Para obtener más información sobre estas protecciones adicionales, consulte Configuring Additional LSA Protection.For more information about these additional protections, see Configuring Additional LSA Protection.

Validación y las credenciales almacenadas en cachéCached credentials and validation

Mecanismos de validación se basan en la presentación de credenciales en el momento de inicio de sesión.Validation mechanisms rely on the presentation of credentials at the time of logon. Sin embargo, cuando el equipo se desconecta un controlador de dominio y el usuario está presentando las credenciales de dominio, Windows utiliza el proceso de credenciales almacenadas en caché en el mecanismo de validación.However, when the computer is disconnected from a domain controller, and the user is presenting domain credentials, Windows uses the process of cached credentials in the validation mechanism.

Cada vez que un usuario inicia sesión en un dominio, Windows almacena en caché las credenciales proporcionadas y los almacena en la sección de seguridad en el registro del sistema operativo.Each time a user logs on to a domain, Windows caches the credentials supplied and stores them in the security hive in the registry of the operation system.

Con las credenciales almacenadas en caché, el usuario puede iniciar sesión en un miembro del dominio sin estar conectados a un controlador de dominio dentro de ese dominio.With cached credentials, the user can log on to a domain member without being connected to a domain controller within that domain.

Almacenamiento de credenciales y la validaciónCredential storage and validation

No siempre es deseable utilizar un conjunto de credenciales para acceder a recursos diferentes.It is not always desirable to use one set of credentials for access to different resources. Por ejemplo, un administrador puede usar administrativo en lugar de las credenciales de usuario al tener acceso a un servidor remoto.For example, an administrator might want to use administrative rather than user credentials when accessing a remote server. De forma similar, si un usuario tiene acceso a recursos externos, como una cuenta bancaria, que sólo puede utilizar las credenciales que sean diferentes a sus credenciales de dominio.Similarly, if a user accesses external resources, such as a bank account, he or she can only use credentials that are different than their domain credentials. Las secciones siguientes describen las diferencias en la administración de credenciales entre las versiones actuales de los sistemas operativos de Windows y los sistemas operativos Windows Vista y Windows XP.The following sections describe the differences in credential management between current versions of Windows operating systems and the Windows Vista and Windows XP operating systems.

Procesos de credenciales de inicio de sesión remotoRemote logon credential processes

El protocolo de escritorio remoto (RDP) administra las credenciales del usuario que se conecta a un equipo remoto mediante el cliente de escritorio remoto, que se introdujo en Windows 8.The Remote Desktop Protocol (RDP) manages the credentials of the user who connects to a remote computer by using the Remote Desktop Client, which was introduced in Windows 8. Las credenciales en texto sin formato se envían al host de destino donde el host intenta realizar el proceso de autenticación y, si se realiza correctamente, conecta al usuario a los recursos permitidos.The credentials in plaintext form are sent to the target host where the host attempts to perform the authentication process, and, if successful, connects the user to allowed resources. RDP no almacena las credenciales en el cliente, pero las credenciales de dominio del usuario se almacenan en LSASS.RDP does not store the credentials on the client, but the user's domain credentials are stored in the LSASS.

Se introdujo en Windows Server 2012 R2 y Windows 8.1, modo de administración restringida proporciona seguridad adicional para escenarios de inicio de sesión remoto.Introduced in Windows Server 2012 R2 and Windows 8.1, Restricted Admin mode provides additional security to remote logon scenarios. Este modo de escritorio remoto hace que la aplicación cliente realizar un inicio de sesión red desafío / respuesta con la función unidireccional de NT (NTOWF) o usará un vale de servicio de Kerberos al autenticarse en el host remoto.This mode of Remote Desktop causes the client application to perform a network logon challenge-response with the NT one-way function (NTOWF) or use a Kerberos service ticket when authenticating to the remote host. Una vez autenticado el administrador, el administrador no tiene las credenciales de cuenta correspondiente en LSASS porque no se proporcionan para el host remoto.After the administrator is authenticated, the administrator does not have the respective account credentials in LSASS because they were not supplied to the remote host. En su lugar, el administrador tiene las credenciales de cuenta de equipo para la sesión.Instead, the administrator has the computer account credentials for the session. No se proporcionan credenciales de administrador en el host remoto, por lo que se llevan a cabo acciones como la cuenta de equipo.Administrator credentials are not supplied to the remote host, so actions are performed as the computer account. Los recursos también se limitan a la cuenta de equipo y el administrador no puede tener acceso a recursos con su propia cuenta.Resources are also limited to the computer account, and the administrator cannot access resources with his own account.

Proceso de reinicio automático de credenciales de inicio de sesiónAutomatic restart sign-on credential process

Cuando un usuario inicia sesión en un dispositivo Windows 8.1, LSA guarda las credenciales de usuario en la memoria cifrada que son accesibles por LSASS.exe.When a user signs in on a Windows 8.1 device, LSA saves the user credentials in encrypted memory that are accessible only by LSASS.exe. Cuando Windows Update se inicia un reinicio automático sin la presencia de usuario, estas credenciales se utilizan para configurar el inicio de sesión automático para el usuario.When Windows Update initiates an automatic restart without user presence, these credentials are used to configure Autologon for the user.

En el reinicio, el usuario ha iniciado automáticamente a través del mecanismo de inicio de sesión automático y, a continuación, el equipo además está bloqueado para proteger la sesión del usuario.On restart, the user is automatically signed in via the Autologon mechanism, and then the computer is additionally locked to protect the user's session. El bloqueo se inicia a través de Winlogon, mientras que la administración de credenciales se realiza mediante la LSA.The locking is initiated through Winlogon whereas the credential management is done by LSA. Al iniciar sesión automáticamente en y el bloqueo de la sesión del usuario en la consola, aplicaciones de pantalla de bloqueo del usuario es reinicien y estén disponibles.By automatically signing in and locking the user's session on the console, the user's lock screen applications is restarted and available.

Para obtener más información sobre ARSO, consulte Winlogon automática reiniciar sesión (ARSO).For more information about ARSO, see Winlogon Automatic Restart Sign-On (ARSO).

Los nombres de usuario y contraseñas en Windows Vista y Windows XPStored user names and passwords in Windows Vista and Windows XP

En Windows Server 2008, Windows Server 2003, Windows Vista y Windows XP, almacena nombres de usuario y contraseñas en el Panel de Control que simplifica la administración y el uso de varios conjuntos de credenciales de inicio de sesión, incluidos los certificados X.509 usados con las tarjetas inteligentes y credenciales de Windows Live (ahora denominadas cuenta de Microsoft).In Windows Server 2008 , Windows Server 2003, Windows Vista, and Windows XP, Stored User Names and Passwords in Control Panel simplifies the management and use of multiple sets of logon credentials, including X.509 certificates used with smart cards and Windows Live credentials (now called Microsoft account). Las credenciales, parte del perfil de usuario: se almacenan hasta que sea necesario.The credentials - part of the user's profile - are stored until needed. Esta acción puede aumentar la seguridad en una base por recurso al garantizar que si se ve comprometida una contraseña, no comprometa toda la seguridad.This action can increase security on a per-resource basis by ensuring that if one password is compromised, it does not compromise all security.

Después de que un usuario inicia sesión y se intenta obtener acceso a recursos protegidos por contraseña adicionales, como un recurso compartido en un servidor, y si las credenciales de inicio de sesión predeterminada del usuario no son suficientes para tener acceso, almacena nombres de usuario y contraseñas se realiza una consulta .After a user logs on and attempts to access additional password-protected resources, such as a share on a server, and if the user's default logon credentials are not sufficient to gain access, Stored User Names and Passwords is queried. Si se guardaron las credenciales alternativas con la información de inicio de sesión correcto en almacena nombres de usuario y contraseñas, estas credenciales se utilizan para obtener acceso.If alternate credentials with the correct logon information have been saved in Stored User Names and Passwords, these credentials are used to gain access. En caso contrario, se solicita al usuario que proporcione las credenciales nuevo, que pueden guardarse para su reutilización, más adelante en el inicio de sesión o durante una sesión posterior.Otherwise, the user is prompted to supply new credentials, which can then be saved for reuse, either later in the logon session or during a subsequent session.

Se aplican las restricciones siguientes:The following restrictions apply:

  • Si almacena nombres de usuario y contraseñas contiene credenciales incorrectas o no válidas para un recurso específico, el acceso al recurso denegado y el almacena nombres de usuario y contraseñas cuadro de diálogo no parecer.If Stored User Names and Passwords contains invalid or incorrect credentials for a specific resource, access to the resource is denied, and the Stored User Names and Passwords dialog box does not appear.

  • Los nombres de usuario y contraseñas almacenados almacena las credenciales sólo de NTLM, el protocolo Kerberos, la cuenta de Microsoft (anteriormente Windows Live ID) y la autenticación de capa de Sockets seguros (SSL).Stored User Names and Passwords stores credentials only for NTLM, Kerberos protocol, Microsoft account (formerly Windows Live ID), and Secure Sockets Layer (SSL) authentication. Algunas versiones de Internet Explorer mantienen su propia memoria caché para la autenticación básica.Some versions of Internet Explorer maintain their own cache for basic authentication.

Estas credenciales se convierten en una parte cifrada de un perfil de usuario local en el directorio Data\Microsoft\Credentials Settings\Nombreusuario\Application \Documents and.These credentials become an encrypted part of a user's local profile in the \Documents and Settings\Username\Application Data\Microsoft\Credentials directory. Como resultado, estas credenciales pueden moverse con el usuario si la directiva de red del usuario es compatible con perfiles de usuario móviles.As a result, these credentials can roam with the user if the user's network policy supports Roaming User Profiles. Sin embargo, si el usuario tiene copias de almacena nombres de usuario y contraseñas en dos equipos diferentes y los cambios de las credenciales que están asociadas con el recurso en uno de estos equipos, el cambio no se propaga a Los nombres de usuario y contraseñas almacenados en el segundo equipo.However, if the user has copies of Stored User Names and Passwords on two different computers and changes the credentials that are associated with the resource on one of these computers, the change is not propagated to Stored User Names and Passwords on the second computer.

Almacén de Windows y el Administrador de credencialesWindows Vault and Credential Manager

El Administrador de credenciales se introdujo en Windows Server 2008 R2 y Windows 7 como una característica de Panel de Control para almacenar y administrar las contraseñas y nombres de usuario.Credential Manager was introduced in Windows Server 2008 R2 and Windows 7 as a Control Panel feature to store and manage user names and passwords. El Administrador de credenciales permite a los usuarios almacenar credenciales relevantes para otros sistemas y sitios Web en el almacén seguro de Windows.Credential Manager lets users store credentials relevant to other systems and websites in the secure Windows Vault. Algunas versiones de Internet Explorer utilizan esta característica para autenticación en sitios Web.Some versions of Internet Explorer use this feature for authentication to websites.

El usuario controla la administración de credenciales mediante el Administrador de credenciales en el equipo local.Credential management by using Credential Manager is controlled by the user on the local computer. Los usuarios pueden guardar y almacenar credenciales desde exploradores y aplicaciones de Windows admitidos para poder iniciar sesión en estos recursos de forma cómoda cuando lo necesiten.Users can save and store credentials from supported browsers and Windows applications to make it convenient when they need to sign in to these resources. Las credenciales se guardan en carpetas cifradas especiales en el equipo en el perfil del usuario.Credentials are saved in special encrypted folders on the computer under the user's profile. Las aplicaciones que admiten esta característica (mediante el uso de las API del Administrador de credenciales), como los exploradores web y aplicaciones, pueden presentar las credenciales correctas a otros equipos y sitios Web durante el proceso de inicio de sesión.Applications that support this feature (through the use of the Credential Manager APIs), such as web browsers and apps, can present the correct credentials to other computers and websites during the logon process.

Cuando otro equipo solicita autenticación a través de NTLM o el protocolo Kerberos, una aplicación o un sitio Web, aparece un cuadro de diálogo en el que seleccionar el Actualizar credenciales predeterminadas o Guardar contraseñacasilla de verificación.When a website, an application, or another computer requests authentication through NTLM or the Kerberos protocol, a dialog box appears in which you select the Update Default Credentials or Save Password check box. Este cuadro de diálogo que permite al usuario guardar localmente las credenciales se genera mediante una aplicación que admite las API del Administrador de credenciales.This dialog box that lets a user save credentials locally is generated by an application that supports the Credential Manager APIs. Si el usuario selecciona el Guardar contraseña realiza un seguimiento de la casilla de verificación, el Administrador de credenciales del usuario nombre de usuario, contraseña e información relacionada para el servicio de autenticación que está en uso.If the user selects the Save Password check box, Credential Manager keeps track of the user's user name, password, and related information for the authentication service that is in use.

La próxima vez que se usa el servicio, el Administrador de credenciales suministrará automáticamente la credencial que se almacena en el almacén de Windows.The next time the service is used, Credential Manager automatically supplies the credential that is stored in the Windows Vault. Si no se acepta, se solicitará al usuario la información de acceso correcta.If it is not accepted, the user is prompted for the correct access information. Si se concede acceso con las nuevas credenciales, el Administrador de credenciales sobrescribe la credencial anterior con el nuevo y, a continuación, almacena la nueva credencial en el almacén de Windows.If access is granted with the new credentials, Credential Manager overwrites the previous credential with the new one and then stores the new credential in the Windows Vault.

Base de datos de administrador de cuentas de seguridadSecurity Accounts Manager database

El Administrador de cuentas de seguridad (SAM) es una base de datos que almacena los grupos y cuentas de usuario locales.The Security Accounts Manager (SAM) is a database that stores local user accounts and groups. Está presente en cada sistema operativo de Windows; Sin embargo, cuando un equipo está unido a un dominio, Active Directory administra las cuentas de dominio en dominios de Active Directory.It is present in every Windows operating system; however, when a computer is joined to a domain, Active Directory manages domain accounts in Active Directory domains.

Por ejemplo, los equipos cliente que ejecutan el sistema operativo Windows participan en un dominio de red mediante la comunicación con un controlador de dominio, incluso cuando ningún usuario haya iniciado sesión.For example, client computers running a Windows operating system participate in a network domain by communicating with a domain controller even when no human user is logged on. Para iniciar las comunicaciones, el equipo debe tener una cuenta activa en el dominio.To initiate communications, the computer must have an active account in the domain. Antes de aceptar comunicaciones desde el equipo, la LSA en el controlador de dominio autentica la identidad del equipo y, a continuación, construye contexto de seguridad del equipo, al igual que para una entidad de seguridad humana.Before accepting communications from the computer, the LSA on the domain controller authenticates the computer's identity and then constructs the computer's security context just as it does for a human security principal. Este contexto de seguridad define la identidad y las capacidades de un usuario o un servicio en un equipo determinado o un usuario, servicio o equipo de la red.This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, or computer on a network. Por ejemplo, el token de acceso dentro del contexto de seguridad define los recursos (por ejemplo, un recurso compartido de archivos o una impresora) que se pueden tener acceso y las acciones (como lectura, escritura o modificación) que se pueden realizar esa entidad de seguridad: un usuario, equipo o servicio en la que recurso.For example, the access token contained within the security context defines the resources (such as a file share or printer) that can be accessed and the actions (such as Read, Write, or Modify) that can be performed by that principal - a user, computer, or service on that resource.

El contexto de seguridad de un usuario o equipo puede variar de un equipo a otro, por ejemplo, cuando un usuario inicia sesión en un servidor o una estación de trabajo que no sean de la estación de trabajo principal del usuario.The security context of a user or computer can vary from one computer to another, such as when a user logs on to a server or a workstation other than the user's own primary workstation. También puede variar de una sesión a otra, como cuando un administrador modifica los derechos y permisos del usuario.It can also vary from one session to another, such as when an administrator modifies the user's rights and permissions. Además, el contexto de seguridad es normalmente diferente cuando un usuario o equipo funciona de forma independiente, en una red, o como parte de un dominio de Active Directory.In addition, the security context is usually different when a user or computer is operating on a stand-alone basis, in a network, or as part of an Active Directory domain.

Dominios de confianza y dominios localesLocal domains and trusted domains

Cuando existe una confianza entre dos dominios, los mecanismos de autenticación para cada dominio dependen de la validez de las autenticaciones procedentes de otro dominio.When a trust exists between two domains, the authentication mechanisms for each domain rely on the validity of the authentications coming from the other domain. Confía en Ayuda para proporcionar acceso controlado a los recursos compartidos en un dominio de recursos (el dominio que confía) mediante la comprobación de que solicitudes de esa autenticación entrantes proceden de una autoridad de confianza (el dominio de confianza).Trusts help to provide controlled access to shared resources in a resource domain (the trusting domain) by verifying that incoming authentication requests come from a trusted authority (the trusted domain). De este modo, las confianzas actúan como puentes que permiten sólo validan viaje de solicitudes de autenticación entre dominios.In this way, trusts act as bridges that let only validated authentication requests travel between domains.

Cómo una relación de confianza específico pasa las solicitudes de autenticación depende de cómo esté configurada.How a specific trust passes authentication requests depends on how it is configured. Las relaciones de confianza pueden ser unidireccional, proporcionando acceso desde el dominio de confianza a los recursos del dominio que confía o bidireccional, proporcionando acceso de cada dominio a los recursos en el otro dominio.Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. Confianzas también son no transitivas, en cuyo caso existe una relación de confianza solo entre los dominios de dos confianza socios o transitiva, en cuyo caso una relación de confianza automáticamente se extiende a ningún otro dominio que confía en cualquiera de los asociados.Trusts are also either nontransitive, in which case a trust exists only between the two trust partner domains, or transitive, in which case a trust automatically extends to any other domains that either of the partners trusts.

Para obtener información acerca de las relaciones de confianza de bosque y dominio relativos a la autenticación, consulte la autenticación delegada y relaciones de confianza.For information about domain and forest trust relationships regarding authentication, see Delegated Authentication and Trust Relationships.

Certificados de autenticación de WindowsCertificates in Windows authentication

Una infraestructura de clave pública (PKI) es la combinación de software, las tecnologías de cifrado, los procesos y servicios que permiten a una organización proteger sus comunicaciones y las transacciones de negocio.A public key infrastructure (PKI) is the combination of software, encryption technologies, processes, and services that enable an organization to secure its communications and business transactions. La capacidad de una PKI para proteger las comunicaciones y las transacciones de negocio se basa en el intercambio de certificados digitales, entre los usuarios autenticados y recursos de confianza.The ability of a PKI to secure communications and business transactions is based on the exchange of digital certificates between authenticated users and trusted resources.

Un certificado digital es un documento electrónico que contiene información acerca de la entidad a la que pertenece, la entidad que emitió, un número de serie único o algunos otro identificación única, emisión y fechas de expiración y una huella digital.A digital certificate is an electronic document that contains information about the entity it belongs to, the entity it was issued by, a unique serial number or some other unique identification, issuance and expiration dates, and a digital fingerprint.

La autenticación es el proceso de determinar si se puede confiar en un host remoto.Authentication is the process of determining if a remote host can be trusted. Para establecer el grado de confianza, el host remoto debe proporcionar un certificado de autenticación aceptable.To establish its trustworthiness, the remote host must provide an acceptable authentication certificate.

Los hosts remotos establecen su confiabilidad mediante la obtención de un certificado de una entidad de certificación (CA).Remote hosts establish their trustworthiness by obtaining a certificate from a certification authority (CA). La entidad de certificación a su vez, puede tener la certificación de una entidad superior, que crea una cadena de confianza.The CA can, in turn, have certification from a higher authority, which creates a chain of trust. Para determinar si un certificado es de confianza, una aplicación debe determinar la identidad de la CA raíz y, a continuación, determinar si se trata de confianza.To determine whether a certificate is trustworthy, an application must determine the identity of the root CA, and then determine if it is trustworthy.

De forma similar, el equipo local o un host remoto debe determinar si el certificado presentado por el usuario o la aplicación es auténtico.Similarly, the remote host or local computer must determine if the certificate presented by the user or application is authentic. El certificado presentado por el usuario a través de la LSA y SSPI se evalúa para autenticidad en el equipo local para el inicio de sesión local, en la red o en el dominio a través de los almacenes de certificados en Active Directory.The certificate presented by the user through the LSA and SSPI is evaluated for authenticity on the local computer for local logon, on the network, or on the domain through the certificate stores in Active Directory.

Para generar un certificado, los datos de autenticación pasa a través de algoritmos hash, por ejemplo, el algoritmo Hash seguro 1 (SHA1), para generar una síntesis del mensaje.To produce a certificate, authentication data passes through hash algorithms, such as Secure Hash Algorithm 1 (SHA1), to produce a message digest. La síntesis del mensaje, a continuación, está firmada digitalmente mediante el uso de clave privada del remitente para demostrar que el remitente lo ha generado la síntesis del mensaje.The message digest is then digitally signed by using the sender's private key to prove that the message digest was produced by the sender.

Nota

SHA1 es el valor predeterminado en Windows 7 y Windows Vista, pero se ha cambiado a SHA2 en Windows 8.SHA1 is the default in Windows 7 and Windows Vista, but was changed to SHA2 in Windows 8.

Autenticación mediante tarjeta inteligenteSmart card authentication

Tecnología de tarjeta inteligente es un ejemplo de autenticación basada en certificados.Smart card technology is an example of certificate-based authentication. Inicia sesión en una red con una tarjeta inteligente proporciona un medio seguro de autenticación porque usa criptografía de identificación y prueba de posesión al autenticar un usuario a un dominio.Logging on to a network with a smart card provides a strong form of authentication because it uses cryptography-based identification and proof of possession when authenticating a user to a domain. Los servicios de certificados de Active Directory (AD CS) proporciona la identificación cifrada a través de la emisión de un certificado de inicio de sesión para cada tarjeta inteligente.Active Directory Certificate Services (AD CS) provides the cryptographic-based identification through the issuance of a logon certificate for each smart card.

Para obtener información acerca de la autenticación de tarjeta inteligente, consulte el referencia técnica de tarjeta inteligente de Windows.For information about smart card authentication, see the Windows Smart Card Technical Reference.

Tecnología de tarjeta inteligente virtual se introdujo en Windows 8.Virtual smart card technology was introduced in Windows 8. Almacena el certificado de la tarjeta inteligente en el equipo y, a continuación, se protege mediante el uso de chip de seguridad de módulo de plataforma segura (TPM) de prueba de manipulaciones del dispositivo.It stores the smart card's certificate in the PC, and then protects it by using the device's tamper-proof Trusted Platform Module (TPM) security chip. De este modo, el equipo realmente se convierte en la tarjeta inteligente que debe recibir el PIN del usuario para autenticarse.In this way, the PC actually becomes the smart card which must receive the user's PIN in order to be authenticated.

Autenticación remota e inalámbricaRemote and wireless authentication

Autenticación de redes inalámbricas y remota es otra tecnología que usa certificados para la autenticación.Remote and wireless network authentication is another technology that uses certificates for authentication. Usan el servicio de autenticación de Internet (IAS) y los servidores de red privada virtual para seguridad de nivel de transporte de protocolo de autenticación Extensible (EAP-TLS), protocolo de autenticación Extensible protegido (PEAP) o seguridad de protocolo Internet (IPsec) realizar la autenticación basada en certificados para muchos tipos de acceso de red, incluidas las conexiones inalámbricas y red privada virtual (VPN).The Internet Authentication Service (IAS) and virtual private network servers use Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), or Internet Protocol security (IPsec) to perform certificate-based authentication for many types of network access, including virtual private network (VPN) and wireless connections.

Para obtener información acerca de la autenticación basada en certificados en las redes, consulte certificados y la autenticación de acceso de red.For information about certificate-based authentication in networking, see Network access authentication and certificates.

Vea tambiénSee also

Conceptos de autenticación de WindowsWindows Authentication Concepts