Procesos de las credenciales en la autenticación de WindowsCredentials Processes in Windows Authentication

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

En este tema de referencia para profesionales de TI se describe cómo la autenticación de Windows procesa las credenciales.This reference topic for the IT professional describes how Windows authentication processes credentials.

La administración de credenciales de Windows es el proceso por el que el sistema operativo recibe las credenciales del servicio o usuario, y protege esa información para su futura presentación en el destino de autenticación.Windows credentials management is the process by which the operating system receives the credentials from the service or user and secures that information for future presentation to the authenticating target. En el caso de un equipo unido a un dominio, el destino de autenticación es el controlador de dominio.In the case of a domain-joined computer, the authenticating target is the domain controller. Las credenciales usadas en la autenticación son documentos digitales que asocian la identidad del usuario a algún tipo de prueba de autenticidad, como un certificado, una contraseña o un PIN.The credentials used in authentication are digital documents that associate the user's identity to some form of proof of authenticity, such as a certificate, a password, or a PIN.

De forma predeterminada, las credenciales de Windows se validan en la base de datos del administrador de cuentas de seguridad (SAM) en el equipo local o en Active Directory en un equipo unido a un dominio, a través del servicio Winlogon.By default, Windows credentials are validated against the Security Accounts Manager (SAM) database on the local computer, or against Active Directory on a domain-joined computer, through the Winlogon service. Las credenciales se recopilan a través de los datos proporcionados por el usuario en la interfaz de usuario de inicio de sesión o mediante programación a través de la interfaz de programación de aplicaciones (API) para presentarse al destino de autenticación.Credentials are collected through user input on the logon user interface or programmatically via the application programming interface (API) to be presented to the authenticating target.

La información de seguridad local se almacena en el registro en HKEY_LOCAL_MACHINE\SECURITY.Local security information is stored in the registry under HKEY_LOCAL_MACHINE\SECURITY. La información almacenada incluye la configuración de Directiva, los valores de seguridad predeterminados y la información de la cuenta, como las credenciales de inicio de sesión en caché.Stored information includes policy settings, default security values, and account information, such as cached logon credentials. Aquí también se almacena una copia de la base de datos de SAM, aunque está protegida contra escritura.A copy of the SAM database is also stored here, although it is write-protected.

En el diagrama siguiente se muestran los componentes necesarios y las rutas de acceso que las credenciales toman a través del sistema para autenticar el usuario o el proceso para un inicio de sesión correcto.The following diagram shows the components that are required and the paths that credentials take through the system to authenticate the user or process for a successful logon.

Diagrama que muestra los componentes necesarios y las rutas de acceso que las credenciales toman a través del sistema para autenticar el usuario o el proceso para un inicio de sesión correcto.

En la tabla siguiente se describen los componentes que administran las credenciales en el proceso de autenticación en el momento del inicio de sesión.The following table describes each component that manages credentials in the authentication process at the point of logon.

Componentes de autenticación para todos los sistemasAuthentication components for all systems

ComponenteComponent DescripciónDescription
Inicio de sesión del usuarioUser logon Winlogon. exe es el archivo ejecutable responsable de la administración de interacciones de usuario seguras.Winlogon.exe is the executable file responsible for managing secure user interactions. El servicio Winlogon inicia el proceso de inicio de sesión para los sistemas operativos Windows pasando las credenciales recopiladas por la acción del usuario en el escritorio seguro (IU de inicio de sesión) a la autoridad de seguridad local (LSA) a través de SECUR32. dll.The Winlogon service initiates the logon process for Windows operating systems by passing the credentials collected by user action on the secure desktop (Logon UI) to the Local Security Authority (LSA) through Secur32.dll.
Inicio de sesión de aplicaciónApplication logon Inicios de sesión de aplicaciones o servicios que no requieren inicio de sesión interactivo.Application or service logons that do not require interactive logon. La mayoría de los procesos iniciados por el usuario ejecutan el modo de usuario mediante SECUR32. dll, mientras que los procesos iniciados en el inicio, como los servicios, se ejecutan en modo kernel mediante Ksecdd. sys.Most processes initiated by the user run in user mode by using Secur32.dll whereas processes initiated at startup, such as services, run in kernel mode by using Ksecdd.sys.

Para obtener más información sobre el modo de usuario y el modo kernel, consulte aplicaciones y modo de usuario o servicios y modo kernel en este tema.For more information about user mode and kernel mode, see Applications and User Mode or Services and Kernel Mode in this topic.
Secur32.dllSecur32.dll Los proveedores de autenticación múltiple que forman la base del proceso de autenticación.The multiple authentication providers that form the foundation of the authentication process.
Lsasrv.dllLsasrv.dll El servicio LSA Server, que aplica las directivas de seguridad y actúa como el administrador de paquetes de seguridad de la LSA.The LSA Server service, which both enforces security policies and acts as the security package manager for the LSA. La LSA contiene la función Negotiate, que selecciona el protocolo NTLM o Kerberos después de determinar qué protocolo debe ser correcto.The LSA contains the Negotiate function, which selects either the NTLM or Kerberos protocol after determining which protocol is to be successful.
Proveedores de compatibilidad para seguridadSecurity Support Providers Un conjunto de proveedores que pueden invocar individualmente uno o más protocolos de autenticación.A set of providers that can individually invoke one or more authentication protocols. El conjunto predeterminado de proveedores puede cambiar con cada versión del sistema operativo Windows y se pueden escribir proveedores personalizados.The default set of providers can change with each version of the Windows operating system, and custom providers can be written.
Netlogon.dllNetlogon.dll Los servicios que realiza el servicio Inicio de sesión de red son los siguientes:The services that the Net Logon service performs are as follows:

-Mantiene el canal seguro del equipo (no debe confundirse con Schannel) con un controlador de dominio.- Maintains the computer's secure channel (not to be confused with Schannel) to a domain controller.
: Pasa las credenciales del usuario a través de un canal seguro al controlador de dominio y devuelve los identificadores de seguridad (SID) del dominio y los derechos de usuario para el usuario.- Passes the user's credentials through a secure channel to the domain controller and returns the domain security identifiers (SIDs) and user rights for the user.
-Publica registros de recursos de servicio en el sistema de nombres de dominio (DNS) y usa DNS para resolver nombres en las direcciones de protocolo de Internet (IP) de los controladores de dominio.- Publishes service resource records in the Domain Name System (DNS) and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.
-Implementa el protocolo de replicación basado en llamada a procedimiento remoto (RPC) para sincronizar los controladores de dominio principal (PDC) y los controladores de dominio de reserva (BDC).- Implements the replication protocol based on remote procedure call (RPC) for synchronizing primary domain controllers (PDCs) and backup domain controllers (BDCs).
Samsrv. dllSamsrv.dll El administrador de cuentas de seguridad (SAM), que almacena las cuentas de seguridad locales, aplica las directivas almacenadas localmente y admite las API.The Security Accounts Manager (SAM), which stores local security accounts, enforces locally stored policies and supports APIs.
RegistroRegistry El registro contiene una copia de la base de datos SAM, la configuración de la Directiva de seguridad local, los valores de seguridad predeterminados y la información de la cuenta a la que solo puede tener acceso el sistema.The Registry contains a copy of the SAM database, local security policy settings, default security values, and account information that is only accessible to the system.

Este tema contiene las siguientes secciones:This topic contains the following sections:

Entrada de credenciales para el inicio de sesión de usuarioCredential input for user logon

En Windows Server 2008 y Windows Vista, la arquitectura de identificación y autenticación gráfica (GINA) se ha reemplazado por un modelo de proveedor de credenciales, que hizo posible enumerar distintos tipos de inicio de sesión mediante el uso de iconos de inicio de sesión.In Windows Server 2008 and Windows Vista, the Graphical Identification and Authentication (GINA) architecture was replaced with a credential provider model, which made it possible to enumerate different logon types through the use of logon tiles. Ambos modelos se describen a continuación.Both models are described below.

Arquitectura de identificación y autenticación gráficaGraphical Identification and Authentication architecture

La arquitectura de identificación y autenticación gráfica (GINA) se aplica a los sistemas operativos Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Windows 2000 Professional.The Graphical Identification and Authentication (GINA) architecture applies to the Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Windows 2000 Professional operating systems. En estos sistemas, cada sesión de inicio de sesión interactiva crea una instancia independiente del servicio Winlogon.In these systems, every interactive logon session creates a separate instance of the Winlogon service. La arquitectura de GINA se carga en el espacio de proceso que usa Winlogon, recibe y procesa las credenciales y realiza las llamadas a las interfaces de autenticación a través de LSALogonUser.The GINA architecture is loaded into the process space used by Winlogon, receives and processes the credentials, and makes the calls to the authentication interfaces through LSALogonUser.

Las instancias de Winlogon para un inicio de sesión interactivo se ejecutan en la sesión 0.The instances of Winlogon for an interactive logon run in Session 0. La sesión 0 hospeda los servicios del sistema y otros procesos críticos, incluido el proceso de la autoridad de seguridad local (LSA).Session 0 hosts system services and other critical processes, including the Local Security Authority (LSA) process.

En el diagrama siguiente se muestra el proceso de credenciales para Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Microsoft Windows 2000 Professional.The following diagram shows the credential process for Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Microsoft Windows 2000 Professional.

Diagrama que muestra el proceso de credenciales para Windows Server 2003, Microsoft Windows 2000 Server, Windows XP y Microsoft Windows 2000 Professional

Arquitectura del proveedor de credencialesCredential provider architecture

La arquitectura del proveedor de credenciales se aplica a las versiones designadas en la lista se aplica a que se encuentra al principio de este tema.The credential provider architecture applies to those versions designated in the Applies To list at the beginning of this topic. En estos sistemas, la arquitectura de entrada de credenciales ha cambiado a un diseño extensible mediante el uso de proveedores de credenciales.In these systems, the credentials input architecture changed to an extensible design by using credential providers. Estos proveedores se representan mediante los distintos iconos de inicio de sesión en el escritorio seguro que permiten cualquier número de escenarios de inicio de sesión: cuentas diferentes para el mismo usuario y métodos de autenticación diferentes, como la contraseña, la tarjeta inteligente y la biometría.These providers are represented by the different logon tiles on the secure desktop that permit any number of logon scenarios - different accounts for the same user and different authentication methods, such as password, smart card, and biometrics.

Con la arquitectura del proveedor de credenciales, Winlogon siempre inicia la interfaz de usuario de inicio de sesión después de recibir un evento de secuencia de atención segura.With the credential provider architecture, Winlogon always starts Logon UI after it receives a secure attention sequence event. La interfaz de usuario de inicio de sesión consulta cada proveedor de credenciales para el número de tipos de credenciales diferentes que el proveedor está configurado para enumerar.Logon UI queries each credential provider for the number of different credential types the provider is configured to enumerate. Los proveedores de credenciales tienen la opción de especificar uno de estos mosaicos como valor predeterminado.Credential providers have the option of specifying one of these tiles as the default. Una vez que todos los proveedores han enumerado sus iconos, la interfaz de usuario de inicio de sesión los muestra al usuario.After all providers have enumerated their tiles, Logon UI displays them to the user. El usuario interactúa con un icono para proporcionar sus credenciales.The user interacts with a tile to supply their credentials. La interfaz de usuario de inicio de sesión envía estas credenciales para la autenticación.Logon UI submits these credentials for authentication.

Los proveedores de credenciales no son mecanismos de cumplimiento.Credential providers are not enforcement mechanisms. Se usan para recopilar y serializar las credenciales.They are used to gather and serialize credentials. La autoridad de seguridad local y los paquetes de autenticación imponen seguridad.The Local Security Authority and authentication packages enforce security.

Los proveedores de credenciales se registran en el equipo y son responsables de lo siguiente:Credential providers are registered on the computer and are responsible for the following:

  • Que describe la información de credenciales necesaria para la autenticación.Describing the credential information required for authentication.

  • Control de la comunicación y la lógica con entidades de autenticación externas.Handling communication and logic with external authentication authorities.

  • Empaquetando credenciales para el inicio de sesión interactivo y de red.Packaging credentials for interactive and network logon.

El empaquetado de credenciales para el inicio de sesión interactivo y de red incluye el proceso de serialización.Packaging credentials for interactive and network logon includes the process of serialization. Al serializar las credenciales, se pueden mostrar varios iconos de inicio de sesión en la interfaz de usuario de inicio de sesión.By serializing credentials multiple logon tiles can be displayed on the logon UI. Por lo tanto, su organización puede controlar la presentación de inicio de sesión, como usuarios, sistemas de destino para el inicio de sesión, acceso previo al inicio de sesión a las directivas de bloqueo/desbloqueo de la red y estación de trabajo mediante el uso de proveedores de credenciales personalizados.Therefore, your organization can control the logon display such as users, target systems for logon, pre-logon access to the network and workstation lock/unlock policies - through the use of customized credential providers. Varios proveedores de credenciales pueden coexistir en el mismo equipo.Multiple credential providers can co-exist on the same computer.

Los proveedores de inicio de sesión único (SSO) se pueden desarrollar como un proveedor de credenciales estándar o como un proveedor de acceso previo al inicio de sesión.Single sign-on (SSO) providers can be developed as a standard credential provider or as a Pre-Logon-Access Provider.

Cada versión de Windows contiene un proveedor de credenciales predeterminado y un proveedor de acceso previo al inicio de sesión predeterminado (PLAP), también conocido como proveedor de SSO.Each version of Windows contains one default credential provider and one default Pre-Logon-Access Provider (PLAP), also known as the SSO provider. El proveedor de SSO permite que los usuarios realicen una conexión a una red antes de iniciar sesión en el equipo local.The SSO provider permits users to make a connection to a network before logging on to the local computer. Cuando se implementa este proveedor, el proveedor no enumera los iconos en la interfaz de usuario de inicio de sesión.When this provider is implemented, the provider does not enumerate tiles on Logon UI.

Un proveedor de SSO está diseñado para usarse en los escenarios siguientes:A SSO provider is intended to be used in the following scenarios:

  • Los distintos proveedores de credenciales controlan la autenticación de red y el inicio de sesión del equipo.Network authentication and computer logon are handled by different credential providers. Las variaciones en este escenario incluyen:Variations to this scenario include:

    • Un usuario tiene la opción de conectarse a una red, como conectarse a una red privada virtual (VPN), antes de iniciar sesión en el equipo, pero no es necesario para realizar esta conexión.A user has the option of connecting to a network, such as connecting to a virtual private network (VPN), before logging on to the computer but is not required to make this connection.

    • La autenticación de red es necesaria para recuperar la información utilizada durante la autenticación interactiva en el equipo local.Network authentication is required to retrieve information used during interactive authentication on the local computer.

    • Varias autenticaciones de red van seguidas de uno de los otros escenarios.Multiple network authentications are followed by one of the other scenarios. Por ejemplo, un usuario se autentica en un proveedor de servicios Internet (ISP), se autentica en una VPN y, a continuación, usa sus credenciales de cuenta de usuario para iniciar sesión localmente.For example, a user authenticates to an Internet service provider (ISP), authenticates to a VPN, and then uses their user account credentials to log on locally.

    • Las credenciales almacenadas en caché están deshabilitadas y se requiere una conexión de servicios de acceso remoto a través de VPN antes del inicio de sesión local para autenticar al usuario.Cached credentials are disabled, and a Remote Access Services connection through VPN is required before local logon to authenticate the user.

    • Un usuario de dominio no tiene una cuenta local configurada en un equipo unido a un dominio y debe establecer una conexión de servicios de acceso remoto a través de la conexión VPN antes de completar el inicio de sesión interactivo.A domain user does not have a local account set up on a domain-joined computer and must establish a Remote Access Services connection through VPN connection before completing interactive logon.

  • El mismo proveedor de credenciales administra la autenticación de red y el inicio de sesión del equipo.Network authentication and computer logon are handled by the same credential provider. En este escenario, es necesario que el usuario se conecte a la red antes de iniciar sesión en el equipo.In this scenario, the user is required to connect to the network before logging on to the computer.

Enumeración de iconos LogonLogon tile enumeration

El proveedor de credenciales enumera los iconos de inicio de sesión en las instancias siguientes:The credential provider enumerates logon tiles in the following instances:

  • Para los sistemas operativos designados en la lista se aplica a que se encuentra al principio de este tema.For those operating systems designated in the Applies to list at the beginning of this topic.

  • El proveedor de credenciales enumera los iconos del inicio de sesión de la estación de trabajo.The credential provider enumerates the tiles for workstation logon. Normalmente, el proveedor de credenciales serializa las credenciales para la autenticación en la autoridad de seguridad local.The credential provider typically serializes credentials for authentication to the local security authority. Este proceso muestra iconos específicos para cada usuario y específico para los sistemas de destino de cada usuario.This process displays tiles specific for each user and specific to each user's target systems.

  • La arquitectura de inicio de sesión y autenticación permite al usuario usar iconos enumerados por el proveedor de credenciales para desbloquear una estación de trabajo.The logon and authentication architecture lets a user use tiles enumerated by the credential provider to unlock a workstation. Normalmente, el usuario que ha iniciado sesión actualmente es el icono predeterminado, pero si más de un usuario ha iniciado sesión, se muestran numerosos iconos.Typically, the currently logged-on user is the default tile, but if more than one user is logged on, numerous tiles are displayed.

  • El proveedor de credenciales enumera los mosaicos en respuesta a una solicitud de usuario para cambiar su contraseña u otra información privada, como un PIN.The credential provider enumerates tiles in response to a user request to change their password or other private information, such as a PIN. Normalmente, el usuario que ha iniciado sesión actualmente es el icono predeterminado; sin embargo, si hay más de un usuario que ha iniciado sesión, se muestran numerosos iconos.Typically, the currently logged-on user is the default tile; however, if more than one user is logged on, numerous tiles are displayed.

  • El proveedor de credenciales enumera los iconos según las credenciales serializadas que se van a usar para la autenticación en equipos remotos.The credential provider enumerates tiles based on the serialized credentials to be used for authentication on remote computers. La interfaz de usuario de credenciales no utiliza la misma instancia del proveedor que la interfaz de usuario de inicio de sesión, desbloquear la estación de trabajo o cambiar la contraseña.Credential UI does not use the same instance of the provider as the Logon UI, Unlock Workstation, or Change Password. Por lo tanto, no se puede mantener la información de estado en el proveedor entre instancias de la interfaz de usuario de credenciales.Therefore, state information cannot be maintained in the provider between instances of Credential UI. Esta estructura da como resultado un icono para cada inicio de sesión de equipo remoto, suponiendo que las credenciales se han serializado correctamente.This structure results in one tile for each remote computer logon, assuming the credentials have been correctly serialized. Este escenario también se usa en el control de cuentas de usuario (UAC), que puede ayudar a evitar cambios no autorizados en un equipo solicitando al usuario permiso o una contraseña de administrador antes de permitir acciones que podrían afectar al funcionamiento del equipo. o que podrían cambiar la configuración que afecta a otros usuarios del equipo.This scenario is also used in User Account Control (UAC), which can help prevent unauthorized changes to a computer by prompting the user for permission or an administrator password before permitting actions that could potentially affect the computer's operation or that could change settings that affect other users of the computer.

En el siguiente diagrama se muestra el proceso de credenciales para los sistemas operativos designados en la lista se aplica a que se encuentra al principio de este tema.The following diagram shows the credential process for the operating systems designated in the Applies To list at the beginning of this topic.

Diagrama que muestra el proceso de credenciales para los sistemas operativos designados en la lista * * se aplica a * * al principio de este tema.

Entrada de credenciales para el inicio de sesión de aplicación y servicioCredential input for application and service logon

La autenticación de Windows está diseñada para administrar las credenciales de las aplicaciones o servicios que no requieren la interacción del usuario.Windows authentication is designed to manage credentials for applications or services that do not require user interaction. Las aplicaciones en modo usuario están limitadas en cuanto a los recursos del sistema a los que tienen acceso, mientras que los servicios pueden tener acceso sin restricciones a la memoria del sistema y a los dispositivos externos.Applications in user mode are limited in terms of what system resources they have access to, while services can have unrestricted access to the system memory and external devices.

Los servicios del sistema y las aplicaciones de nivel de transporte tienen acceso a un proveedor de compatibilidad para seguridad (SSP) a través de la interfaz del proveedor de compatibilidad para seguridad (SSPI) de Windows, que proporciona funciones para enumerar los paquetes de seguridad disponibles en un sistema, seleccionando un paquete y uso de ese paquete para obtener una conexión autenticada.System services and transport-level applications access an Security Support Provider (SSP) through the Security Support Provider Interface (SSPI) in Windows, which provides functions for enumerating the security packages available on a system, selecting a package, and using that package to obtain an authenticated connection.

Cuando se autentica una conexión cliente/servidor:When a client/server connection is authenticated:

  • La aplicación en el lado cliente de la conexión envía las credenciales al servidor mediante la función SSPI InitializeSecurityContext (General).The application on the client side of the connection sends credentials to the server by using the SSPI function InitializeSecurityContext (General).

  • La aplicación en el lado servidor de la conexión responde con la función SSPI AcceptSecurityContext (General).The application on the server side of the connection responds with the SSPI function AcceptSecurityContext (General).

  • Las funciones SSPI InitializeSecurityContext (General) y AcceptSecurityContext (General) se repiten hasta que todos los mensajes de autenticación necesarios se han intercambiado a una autenticación correcta o errónea.The SSPI functions InitializeSecurityContext (General) and AcceptSecurityContext (General) are repeated until all the necessary authentication messages have been exchanged to either succeed or fail authentication.

  • Una vez que se ha autenticado la conexión, la LSA del servidor usa la información del cliente para compilar el contexto de seguridad, que contiene un token de acceso.After the connection has been authenticated, the LSA on the server uses information from the client to build the security context, which contains an access token.

  • Después, el servidor puede llamar a la función SSPI ImpersonateSecurityContext para adjuntar el token de acceso a un subproceso de suplantación para el servicio.The server can then call the SSPI function ImpersonateSecurityContext to attach the access token to an impersonation thread for the service.

Aplicaciones y modo de usuarioApplications and user mode

El modo de usuario de Windows se compone de dos sistemas capaces de pasar las solicitudes de e/s a los controladores adecuados en modo kernel: el sistema de entorno, que ejecuta las aplicaciones escritas para muchos tipos diferentes de sistemas operativos y el sistema entero, que funciona funciones específicas del sistema en nombre del sistema de entorno.User mode in Windows is composed of two systems capable of passing I/O requests to the appropriate kernel-mode drivers: the environment system, which runs applications written for many different types of operating systems, and the integral system, which operates system-specific functions on behalf of the environment system.

El sistema entero administra funciones operativas de system'specific en nombre del sistema de entorno y consta de un proceso del sistema de seguridad (LSA), un servicio de estación de trabajo y un servicio de servidor.The integral system manages operating system'specific functions on behalf of the environment system and consists of a security system process (the LSA), a workstation service, and a server service. El proceso del sistema de seguridad se ocupa de los tokens de seguridad, concede o deniega permisos para obtener acceso a las cuentas de usuario en función de los permisos de recursos, controla las solicitudes de inicio de sesión e inicia la autenticación de inicio de sesión y determina qué recursos del sistema es el sistema operativo debe auditar.The security system process deals with security tokens, grants or denies permissions to access user accounts based on resource permissions, handles logon requests and initiates logon authentication, and determines which system resources the operating system needs to audit.

Las aplicaciones se pueden ejecutar en modo de usuario, donde la aplicación se puede ejecutar como cualquier entidad de seguridad, incluso en el contexto de seguridad del sistema local (sistema).Applications can run in user mode where the application can run as any principal, including in the security context of Local System (SYSTEM). Las aplicaciones también se pueden ejecutar en modo kernel, donde la aplicación se puede ejecutar en el contexto de seguridad del sistema local (sistema).Applications can also run in kernel mode where the application can run in the security context of Local System (SYSTEM).

SSPI está disponible a través del módulo SECUR32. dll, que es una API que se usa para obtener servicios de seguridad integrados para la autenticación, la integridad del mensaje y la privacidad de los mensajes.SSPI is available through the Secur32.dll module, which is an API used for obtaining integrated security services for authentication, message integrity, and message privacy. Proporciona una capa de abstracción entre los protocolos de nivel de aplicación y los protocolos de seguridad.It provides an abstraction layer between application-level protocols and security protocols. Dado que las aplicaciones diferentes requieren diferentes maneras de identificar o autenticar a los usuarios y diferentes formas de cifrar los datos a medida que viajan por la red, SSPI proporciona una manera de tener acceso a las bibliotecas de vínculos dinámicos (dll) que contienen una autenticación diferente. y funciones criptográficas.Because different applications require different ways of identifying or authenticating users and different ways of encrypting data as it travels across a network, SSPI provides a way to access dynamic-link libraries (DLLs) that contain different authentication and cryptographic functions. Estos archivos DLL se denominan proveedores de compatibilidad para seguridad (SSP).These DLLs are called Security Support Providers (SSPs).

Las cuentas de servicio administradas y las cuentas virtuales se introdujeron en Windows Server 2008 R2 y Windows 7 para proporcionar aplicaciones cruciales, como Microsoft SQL Server y Internet Information Services (IIS), con el aislamiento de sus propias cuentas de dominio, mientras que eliminar la necesidad de que un administrador administre manualmente el nombre de entidad de seguridad de servicio (SPN) y las credenciales de estas cuentas.Managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide crucial applications, such as Microsoft SQL Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Para obtener más información sobre estas características y su rol en la autenticación, vea la documentación sobre las cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2 y la información general sobre las cuentas de servicio administradas de grupo.For more information about these features and their role in authentication, see Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2 and Group Managed Service Accounts Overview.

Servicios y modo kernelServices and kernel mode

Aunque la mayoría de las aplicaciones de Windows se ejecutan en el contexto de seguridad del usuario que las inicia, esto no se aplica a los servicios.Even though most Windows applications run in the security context of the user who starts them, this is not true of services. Muchos servicios de Windows, como los servicios de impresión y red, los inicia el controlador de servicio cuando el usuario inicia el equipo.Many Windows services, such as network and printing services, are started by the service controller when the user starts the computer. Estos servicios pueden ejecutarse como servicio local o sistema local y pueden continuar ejecutándose después de que el último usuario humano cierre la sesión.These services might run as Local Service or Local System and might continue to run after the last human user logs off.

Nota

Normalmente, los servicios se ejecutan en contextos de seguridad conocidos como sistema local (sistema), servicio de red o servicio local.Services normally run in security contexts known as Local System (SYSTEM), Network Service, or Local Service. Windows Server 2008 R2 presentó servicios que se ejecutan en una cuenta de servicio administrada, que son entidades de seguridad de dominio.Windows Server 2008 R2 introduced services that run under a managed service account, which are domain principals.

Antes de iniciar un servicio, el controlador de servicio inicia sesión con la cuenta designada para el servicio y, a continuación, presenta las credenciales del servicio para la autenticación de la LSA.Before starting a service, the service controller logs on by using the account that is designated for the service, and then presents the service's credentials for authentication by the LSA. El servicio de Windows implementa una interfaz de programación que el administrador de controladores de servicio puede utilizar para controlar el servicio.The Windows service implements a programmatic interface that the service controller manager can use to control the service. Un servicio de Windows puede iniciarse automáticamente cuando se inicia el sistema o manualmente con un programa de control de servicios.A Windows service can be started automatically when the system is started or manually with a service control program. Por ejemplo, cuando un equipo cliente de Windows se une a un dominio, el servicio mensajero del equipo se conecta a un controlador de dominio y abre un canal seguro para él.For example, when a Windows client computer joins a domain, the messenger service on the computer connects to a domain controller and opens a secure channel to it. Para obtener una conexión autenticada, el servicio debe tener credenciales de confianza para la autoridad de seguridad local (LSA) del equipo remoto.To obtain an authenticated connection, the service must have credentials that the remote computer's Local Security Authority (LSA) trusts. Al comunicarse con otros equipos de la red, LSA usa las credenciales para la cuenta de dominio del equipo local, al igual que todos los demás servicios que se ejecutan en el contexto de seguridad del sistema local y del servicio de red.When communicating with other computers in the network, LSA uses the credentials for the local computer's domain account, as do all other services running in the security context of the Local System and Network Service. Los servicios del equipo local se ejecutan como sistema, por lo que no es necesario presentar las credenciales a la LSA.Services on the local computer run as SYSTEM so credentials do not need to be presented to the LSA.

El archivo Ksecdd. sys administra y cifra estas credenciales y usa una llamada a procedimiento local en la LSA.The file Ksecdd.sys manages and encrypts these credentials and uses a local procedure call into the LSA. El tipo de archivo es DRV (controlador) y se conoce como proveedor de compatibilidad para seguridad (SSP) de modo kernel y, en las versiones designadas en la lista se aplica a al principio de este tema, es compatible con el nivel 1 de FIPS 140-2.The file type is DRV (driver) and is known as the kernel-mode Security Support Provider (SSP) and, in those versions designated in the Applies To list at the beginning of this topic, is FIPS 140-2 Level 1-compliant.

El modo kernel tiene acceso total a los recursos de hardware y del sistema del equipo.Kernel mode has full access to the hardware and system resources of the computer. El modo kernel impide que los servicios de modo de usuario y las aplicaciones tengan acceso a las áreas críticas del sistema operativo a las que no deberían tener acceso.The kernel mode stops user-mode services and applications from accessing critical areas of the operating system that they should not have access to.

Autoridad de seguridad localLocal Security Authority

La autoridad de seguridad local (LSA) es un proceso del sistema protegido que autentica los usuarios y los registra en el equipo local.The Local Security Authority (LSA) is a protected system process that authenticates and logs users on to the local computer. Además, LSA mantiene información sobre todos los aspectos de la seguridad local en un equipo (estos aspectos se conocen colectivamente como la Directiva de seguridad local) y proporcionan varios servicios para la traducción entre los nombres y los identificadores de seguridad (SID).In addition, LSA maintains information about all aspects of local security on a computer (these aspects are collectively known as the local security policy), and it provides various services for translation between names and security identifiers (SIDs). El proceso del sistema de seguridad, el servicio del servidor de autoridad de seguridad local (LSASS), realiza un seguimiento de las directivas de seguridad y las cuentas que están en vigor en un sistema informático.The security system process, Local Security Authority Server Service (LSASS), keeps track of the security policies and the accounts that are in effect on a computer system.

LSA valida la identidad de un usuario en función de las dos entidades siguientes emitidas por la cuenta del usuario:The LSA validates a user's identity based on which of the following two entities issued the user's account:

  • Autoridad de seguridad local.Local Security Authority. La LSA puede validar la información de usuario comprobando la base de datos del administrador de cuentas de seguridad (SAM) ubicada en el mismo equipo.The LSA can validate user information by checking the Security Accounts Manager (SAM) database located on the same computer. Cualquier estación de trabajo o servidor miembro puede almacenar cuentas de usuario locales e información acerca de los grupos locales.Any workstation or member server can store local user accounts and information about local groups. Sin embargo, estas cuentas solo se pueden usar para tener acceso a esa estación de trabajo o equipo.However, these accounts can be used for accessing only that workstation or computer.

  • Autoridad de seguridad para el dominio local o para un dominio de confianza.Security authority for the local domain or for a trusted domain. La LSA se pone en contacto con la entidad que emitió la cuenta y solicita la comprobación de que la cuenta es válida y que la solicitud se originó en el titular de la cuenta.The LSA contacts the entity that issued the account and requests verification that the account is valid and that the request originated from the account holder.

El Servicio de subsistema de autoridad de seguridad local (LSASS) almacena las credenciales en memoria en representación de los usuarios con sesiones de Windows activas.The Local Security Authority Subsystem Service (LSASS) stores credentials in memory on behalf of users with active Windows sessions. Las credenciales almacenadas permiten a los usuarios tener acceso sin problemas a los recursos de red, como recursos compartidos de archivos, buzones de Exchange Server y sitios de SharePoint, sin tener que volver a escribir sus credenciales para cada servicio remoto.The stored credentials let users seamlessly access network resources, such as file shares, Exchange Server mailboxes, and SharePoint sites, without re-entering their credentials for each remote service.

LSASS puede almacenar credenciales de diferentes formas, por ejemplo:LSASS can store credentials in multiple forms, including:

  • Texto sin formato cifrado de manera reversibleReversibly encrypted plaintext

  • Vales de Kerberos (vales de concesión de vales (TGT), vales de servicio)Kerberos tickets (ticket-granting tickets (TGTs), service tickets)

  • Hash de NTNT hash

  • Hash de LAN Manager (LM)LAN Manager (LM) hash

Si el usuario inicia sesión en Windows mediante una tarjeta inteligente, LSASS no almacena una contraseña en texto sin formato, sino que almacena el valor hash de NT correspondiente para la cuenta y el PIN de texto sin formato de la tarjeta inteligente.If the user logs on to Windows by using a smart card, LSASS does not store a plaintext password, but it stores the corresponding NT hash value for the account and the plaintext PIN for the smart card. Si se habilita el atributo de la cuenta para una tarjeta inteligente que sea necesaria para el inicio de sesión interactivo, se generará automáticamente un valor hash de NT para la cuenta, en lugar del hash de contraseña original.If the account attribute is enabled for a smart card that is required for interactive logon, a random NT hash value is automatically generated for the account instead of the original password hash. El hash de contraseña generado automáticamente al establecer el atributo no cambia.The password hash that is automatically generated when the attribute is set does not change.

Si un usuario inicia sesión en un equipo basado en Windows con una contraseña compatible con hashes de LAN Manager (LM), este autenticador se encuentra en la memoria.If a user logs on to a Windows-based computer with a password that is compatible with LAN Manager (LM) hashes, this authenticator is present in memory.

El almacenamiento en memoria de credenciales en texto sin formato no se puede deshabilitar, incluso si los proveedores de credenciales requieren que estén deshabilitados.The storage of plaintext credentials in memory cannot be disabled, even if the credential providers that require them are disabled.

Las credenciales almacenadas se asocian directamente con las sesiones de inicio de sesión de Servicio de subsistema de autoridad de seguridad local (LSASS) (LSASS) que se han iniciado después del último reinicio y que no se han cerrado.The stored credentials are directly associated with the Local Security Authority Subsystem Service (LSASS) logon sessions that have been started after the last restart and have not been closed. Por ejemplo, las sesiones LSA con credenciales LSA almacenadas se crean cuando un usuario realiza una de las acciones siguientes:For example, LSA sessions with stored LSA credentials are created when a user does any of the following:

  • Inicia sesión en una sesión local o Protocolo de escritorio remoto (RDP) en el equipo.Logs on to a local session or Remote Desktop Protocol (RDP) session on the computer

  • Ejecuta una tarea mediante la opción Ejecutar comoRuns a task by using the RunAs option

  • Ejecuta un servicio de Windows activo en el equipoRuns an active Windows service on the computer

  • Ejecuta una tarea programada o un trabajo por lotesRuns a scheduled task or batch job

  • Ejecuta una tarea en el equipo local mediante una herramienta de administración remotaRuns a task on the local computer by using a remote administration tool

En algunas circunstancias, los secretos de LSA, que son partes secretas de datos a los que solo pueden acceder los procesos de la cuenta del sistema, se almacenan en la unidad de disco duro.In some circumstances, the LSA secrets, which are secret pieces of data that are accessible only to SYSTEM account processes, are stored on the hard disk drive. Algunos de estos secretos son credenciales que deben persistir después de un reinicio y que se almacenan con formato cifrado en la unidad de disco duro.Some of these secrets are credentials that must persist after reboot, and they are stored in encrypted form on the hard disk drive. Las credenciales almacenadas como secretos de LSA son los siguientes:Credentials stored as LSA secrets might include:

  • Contraseña de la cuenta de la cuenta de Active Directory Domain Services (AD DS) del equipoAccount password for the computer's Active Directory Domain Services (AD DS) account

  • Contraseñas de cuenta para servicios de Windows configurados en el equipoAccount passwords for Windows services that are configured on the computer

  • Contraseñas de cuenta para tareas programadas configuradasAccount passwords for configured scheduled tasks

  • Contraseñas de cuenta para grupos de aplicaciones y sitios web de IISAccount passwords for IIS application pools and websites

  • Contraseñas de las cuentas de MicrosoftPasswords for Microsoft accounts

Introducido en Windows 8.1, el sistema operativo cliente proporciona protección adicional para LSA para evitar la lectura de memoria y la inserción de código por parte de procesos no protegidos.Introduced in Windows 8.1, the client operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Esta protección aumenta la seguridad de las credenciales que LSA almacena y administra.This protection increases security for the credentials that the LSA stores and manages.

Para obtener más información acerca de estas protecciones adicionales, consulte Configuración de la protección LSA adicional.For more information about these additional protections, see Configuring Additional LSA Protection.

Credenciales y validación almacenadas en cachéCached credentials and validation

Los mecanismos de validación dependen de la presentación de credenciales en el momento del inicio de sesión.Validation mechanisms rely on the presentation of credentials at the time of logon. Sin embargo, cuando el equipo se desconecta de un controlador de dominio y el usuario presenta las credenciales de dominio, Windows usa el proceso de credenciales almacenadas en caché en el mecanismo de validación.However, when the computer is disconnected from a domain controller, and the user is presenting domain credentials, Windows uses the process of cached credentials in the validation mechanism.

Cada vez que un usuario inicia sesión en un dominio, Windows almacena en caché las credenciales proporcionadas y las almacena en el subárbol de seguridad en el registro del sistema operativo.Each time a user logs on to a domain, Windows caches the credentials supplied and stores them in the security hive in the registry of the operation system.

Con las credenciales almacenadas en caché, el usuario puede iniciar sesión en un miembro del dominio sin estar conectado a un controlador de dominio dentro de ese dominio.With cached credentials, the user can log on to a domain member without being connected to a domain controller within that domain.

Almacenamiento y validación de credencialesCredential storage and validation

No siempre es conveniente usar un conjunto de credenciales para el acceso a diferentes recursos.It is not always desirable to use one set of credentials for access to different resources. Por ejemplo, un administrador podría querer usar las credenciales administrativas en lugar de las de usuario al obtener acceso a un servidor remoto.For example, an administrator might want to use administrative rather than user credentials when accessing a remote server. Del mismo modo, si un usuario tiene acceso a recursos externos, como una cuenta bancaria, solo puede usar credenciales que sean diferentes de las credenciales de su dominio.Similarly, if a user accesses external resources, such as a bank account, he or she can only use credentials that are different than their domain credentials. En las secciones siguientes se describen las diferencias en la administración de credenciales entre las versiones actuales de los sistemas operativos Windows y los sistemas operativos Windows Vista y Windows XP.The following sections describe the differences in credential management between current versions of Windows operating systems and the Windows Vista and Windows XP operating systems.

Procesos de credenciales de inicio de sesión remotoRemote logon credential processes

El Protocolo de escritorio remoto (RDP) administra las credenciales del usuario que se conecta a un equipo remoto mediante el cliente de Escritorio remoto, que se presentó en Windows 8.The Remote Desktop Protocol (RDP) manages the credentials of the user who connects to a remote computer by using the Remote Desktop Client, which was introduced in Windows 8. Las credenciales en formato de texto no cifrado se envían al host de destino en el que el host intenta realizar el proceso de autenticación y, si se realiza correctamente, conecta el usuario a los recursos permitidos.The credentials in plaintext form are sent to the target host where the host attempts to perform the authentication process, and, if successful, connects the user to allowed resources. RDP no almacena las credenciales en el cliente, pero las credenciales de dominio del usuario se almacenan en el LSASS.RDP does not store the credentials on the client, but the user's domain credentials are stored in the LSASS.

Introducido en Windows Server 2012 R2 y Windows 8.1, el modo de administración restringida proporciona seguridad adicional a los escenarios de inicio de sesión remoto.Introduced in Windows Server 2012 R2 and Windows 8.1, Restricted Admin mode provides additional security to remote logon scenarios. Este modo de Escritorio remoto hace que la aplicación cliente realice un desafío-respuesta de inicio de sesión de red con la función unidireccional de NT (NTOWF) o use un vale de servicio de Kerberos al autenticarse en el host remoto.This mode of Remote Desktop causes the client application to perform a network logon challenge-response with the NT one-way function (NTOWF) or use a Kerberos service ticket when authenticating to the remote host. Una vez autenticado el administrador, el administrador no tiene las credenciales de cuenta respectivas en LSASS porque no se proporcionaron al host remoto.After the administrator is authenticated, the administrator does not have the respective account credentials in LSASS because they were not supplied to the remote host. En su lugar, el administrador tiene las credenciales de la cuenta de equipo para la sesión.Instead, the administrator has the computer account credentials for the session. Las credenciales de administrador no se proporcionan al host remoto, por lo que las acciones se realizan como la cuenta de equipo.Administrator credentials are not supplied to the remote host, so actions are performed as the computer account. Los recursos también se limitan a la cuenta de equipo y el administrador no puede acceder a los recursos con su propia cuenta.Resources are also limited to the computer account, and the administrator cannot access resources with his own account.

Proceso de credenciales de inicio de sesión de reinicio automáticoAutomatic restart sign-on credential process

Cuando un usuario inicia sesión en un dispositivo Windows 8.1, LSA guarda las credenciales de usuario en memoria cifrada a las que solo puede tener acceso LSASS. exe.When a user signs in on a Windows 8.1 device, LSA saves the user credentials in encrypted memory that are accessible only by LSASS.exe. Cuando Windows Update inicia un reinicio automático sin presencia de usuario, estas credenciales se usan para configurar el inicio de sesión automático para el usuario.When Windows Update initiates an automatic restart without user presence, these credentials are used to configure Autologon for the user.

Al reiniciar, el usuario inicia sesión automáticamente mediante el mecanismo de inicio de sesión automático y, a continuación, el equipo se bloquea además para proteger la sesión del usuario.On restart, the user is automatically signed in via the Autologon mechanism, and then the computer is additionally locked to protect the user's session. El bloqueo se inicia a través de Winlogon, mientras que la administración de credenciales se realiza mediante LSA.The locking is initiated through Winlogon whereas the credential management is done by LSA. Al iniciar sesión automáticamente y bloquear la sesión del usuario en la consola, las aplicaciones de la pantalla de bloqueo del usuario se reinician y están disponibles.By automatically signing in and locking the user's session on the console, the user's lock screen applications is restarted and available.

Para obtener más información sobre ARSO, consulte Inicio de sesión de reinicio)automático de Winlogon (Arso.For more information about ARSO, see Winlogon Automatic Restart Sign-On (ARSO).

Nombres de usuario y contraseñas almacenados en Windows Vista y Windows XPStored user names and passwords in Windows Vista and Windows XP

En Windows Server 2008, Windows Server 2003, Windows Vista y Windows XP, los nombres de usuario y contraseñas almacenados en el panel de control simplifican la administración y el uso de varios conjuntos de credenciales de inicio de sesión, incluidos los certificados X. 509 utilizados con tarjetas inteligentes y Credenciales de Windows Live (ahora denominados cuenta de Microsoft).In Windows Server 2008 , Windows Server 2003, Windows Vista, and Windows XP, Stored User Names and Passwords in Control Panel simplifies the management and use of multiple sets of logon credentials, including X.509 certificates used with smart cards and Windows Live credentials (now called Microsoft account). Las credenciales: parte del perfil del usuario, se almacenan hasta que sea necesario.The credentials - part of the user's profile - are stored until needed. Esta acción puede aumentar la seguridad en función de cada recurso asegurándose de que si una contraseña está en peligro, no ponga en peligro toda la seguridad.This action can increase security on a per-resource basis by ensuring that if one password is compromised, it does not compromise all security.

Una vez que un usuario inicia sesión e intenta tener acceso a recursos adicionales protegidos mediante contraseña, como un recurso compartido en un servidor, y si las credenciales de inicio de sesión predeterminadas del usuario no son suficientes para obtener acceso, se consultan los nombres de usuario y contraseñas almacenados .After a user logs on and attempts to access additional password-protected resources, such as a share on a server, and if the user's default logon credentials are not sufficient to gain access, Stored User Names and Passwords is queried. Si se han guardado credenciales alternativas con la información de inicio de sesión correcta en nombres de usuario y contraseñas almacenados, estas credenciales se usan para obtener acceso.If alternate credentials with the correct logon information have been saved in Stored User Names and Passwords, these credentials are used to gain access. De lo contrario, se solicita al usuario que proporcione nuevas credenciales, que se pueden guardar para su reutilización, ya sea después en la sesión de inicio de sesión o durante una sesión posterior.Otherwise, the user is prompted to supply new credentials, which can then be saved for reuse, either later in the logon session or during a subsequent session.

Se aplican las restricciones siguientes:The following restrictions apply:

  • Si los nombres de usuario y contraseñas almacenados contienen credenciales no válidas o incorrectas para un recurso específico, se deniega el acceso al recurso y no aparece el cuadro de diálogo nombres de usuario y contraseñas almacenados .If Stored User Names and Passwords contains invalid or incorrect credentials for a specific resource, access to the resource is denied, and the Stored User Names and Passwords dialog box does not appear.

  • Los nombres de usuario y contraseñas almacenados almacenan las credenciales solo para NTLM, el protocolo Kerberos, cuenta de Microsoft (anteriormente Windows Live ID) y la autenticación de capa de sockets seguros (SSL).Stored User Names and Passwords stores credentials only for NTLM, Kerberos protocol, Microsoft account (formerly Windows Live ID), and Secure Sockets Layer (SSL) authentication. Algunas versiones de Internet Explorer mantienen su propia memoria caché para la autenticación básica.Some versions of Internet Explorer maintain their own cache for basic authentication.

Estas credenciales se convierten en una parte cifrada del perfil local de un usuario en el directorio \Documents and Settings\Username\Application Data\Microsoft\CredentialsThese credentials become an encrypted part of a user's local profile in the \Documents and Settings\Username\Application Data\Microsoft\Credentials directory. Como resultado, estas credenciales pueden moverse con el usuario si la Directiva de red del usuario es compatible con los perfiles de usuario móviles.As a result, these credentials can roam with the user if the user's network policy supports Roaming User Profiles. Sin embargo, si el usuario tiene copias de nombres de usuario y contraseñas almacenados en dos equipos diferentes y cambia las credenciales asociadas al recurso en uno de estos equipos, el cambio no se propaga a los nombres de usuario y contraseñas almacenados. en el segundo equipo.However, if the user has copies of Stored User Names and Passwords on two different computers and changes the credentials that are associated with the resource on one of these computers, the change is not propagated to Stored User Names and Passwords on the second computer.

Windows Vault y el administrador de credencialesWindows Vault and Credential Manager

El administrador de credenciales se presentó en Windows Server 2008 R2 y Windows 7 como una característica del panel de control para almacenar y administrar nombres de usuario y contraseñas.Credential Manager was introduced in Windows Server 2008 R2 and Windows 7 as a Control Panel feature to store and manage user names and passwords. El administrador de credenciales permite que los usuarios almacenen las credenciales relevantes para otros sistemas y sitios web en el almacén seguro de Windows.Credential Manager lets users store credentials relevant to other systems and websites in the secure Windows Vault. Algunas versiones de Internet Explorer usan esta característica para la autenticación en sitios Web.Some versions of Internet Explorer use this feature for authentication to websites.

El usuario controla la administración de credenciales mediante el Administrador de credenciales en el equipo local.Credential management by using Credential Manager is controlled by the user on the local computer. Los usuarios pueden guardar y almacenar credenciales desde exploradores y aplicaciones de Windows admitidos para poder iniciar sesión en estos recursos de forma cómoda cuando lo necesiten.Users can save and store credentials from supported browsers and Windows applications to make it convenient when they need to sign in to these resources. Las credenciales se guardan en carpetas cifradas especiales en el equipo bajo el perfil del usuario.Credentials are saved in special encrypted folders on the computer under the user's profile. Las aplicaciones que admiten esta característica (mediante el uso de las API del administrador de credenciales), como las aplicaciones y los exploradores Web, pueden presentar las credenciales correctas a otros equipos y sitios web durante el proceso de inicio de sesión.Applications that support this feature (through the use of the Credential Manager APIs), such as web browsers and apps, can present the correct credentials to other computers and websites during the logon process.

Cuando un sitio web, una aplicación u otro equipo solicita la autenticación a través de NTLM o del protocolo Kerberos, aparece un cuadro de diálogo en el que se activa la casilla Actualizar credenciales predeterminadas o guardar contraseña .When a website, an application, or another computer requests authentication through NTLM or the Kerberos protocol, a dialog box appears in which you select the Update Default Credentials or Save Password check box. Este cuadro de diálogo que permite al usuario guardar las credenciales localmente se genera mediante una aplicación que admite las API del administrador de credenciales.This dialog box that lets a user save credentials locally is generated by an application that supports the Credential Manager APIs. Si el usuario activa la casilla guardar contraseña , el administrador de credenciales realiza un seguimiento del nombre de usuario, la contraseña y la información relacionada del usuario para el servicio de autenticación que está en uso.If the user selects the Save Password check box, Credential Manager keeps track of the user's user name, password, and related information for the authentication service that is in use.

La próxima vez que se use el servicio, el administrador de credenciales proporcionará automáticamente las credenciales que se almacenan en el almacén de Windows.The next time the service is used, Credential Manager automatically supplies the credential that is stored in the Windows Vault. Si no se acepta, se solicitará al usuario la información de acceso correcta.If it is not accepted, the user is prompted for the correct access information. Si se concede el acceso con las nuevas credenciales, el administrador de credenciales sobrescribe la credencial anterior con la nueva y, a continuación, almacena la nueva credencial en el almacén de Windows.If access is granted with the new credentials, Credential Manager overwrites the previous credential with the new one and then stores the new credential in the Windows Vault.

Base de datos del administrador de cuentas de seguridadSecurity Accounts Manager database

El administrador de cuentas de seguridad (SAM) es una base de datos que almacena grupos y cuentas de usuario locales.The Security Accounts Manager (SAM) is a database that stores local user accounts and groups. Está presente en todos los sistemas operativos de Windows; sin embargo, cuando un equipo se une a un dominio, Active Directory administra cuentas de dominio en Active Directory dominios.It is present in every Windows operating system; however, when a computer is joined to a domain, Active Directory manages domain accounts in Active Directory domains.

Por ejemplo, los equipos cliente que ejecutan un sistema operativo Windows participan en un dominio de red mediante la comunicación con un controlador de dominio, incluso cuando ningún usuario humano inicia sesión.For example, client computers running a Windows operating system participate in a network domain by communicating with a domain controller even when no human user is logged on. Para iniciar las comunicaciones, el equipo debe tener una cuenta activa en el dominio.To initiate communications, the computer must have an active account in the domain. Antes de aceptar las comunicaciones del equipo, la LSA del controlador de dominio autentica la identidad del equipo y, a continuación, construye el contexto de seguridad del equipo tal y como lo hace para una entidad de seguridad humana.Before accepting communications from the computer, the LSA on the domain controller authenticates the computer's identity and then constructs the computer's security context just as it does for a human security principal. Este contexto de seguridad define la identidad y las capacidades de un usuario o servicio en un equipo determinado o un usuario, un servicio o un equipo de una red.This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, or computer on a network. Por ejemplo, el token de acceso contenido dentro del contexto de seguridad define los recursos (por ejemplo, un recurso compartido de archivos o una impresora) a los que se puede tener acceso y las acciones (como lectura, escritura o modificación) que puede realizar esa entidad de seguridad (un usuario, un equipo o un servicio en ese recurso.For example, the access token contained within the security context defines the resources (such as a file share or printer) that can be accessed and the actions (such as Read, Write, or Modify) that can be performed by that principal - a user, computer, or service on that resource.

El contexto de seguridad de un usuario o equipo puede variar de un equipo a otro, por ejemplo, cuando un usuario inicia sesión en un servidor o en una estación de trabajo que no sea la propia estación de trabajo principal del usuario.The security context of a user or computer can vary from one computer to another, such as when a user logs on to a server or a workstation other than the user's own primary workstation. También puede variar de una sesión a otra, por ejemplo, cuando un administrador modifica los derechos y permisos del usuario.It can also vary from one session to another, such as when an administrator modifies the user's rights and permissions. Además, el contexto de seguridad suele ser diferente cuando un usuario o un equipo está trabajando de forma independiente, en una red o como parte de un dominio de Active Directory.In addition, the security context is usually different when a user or computer is operating on a stand-alone basis, in a network, or as part of an Active Directory domain.

Dominios locales y dominios de confianzaLocal domains and trusted domains

Cuando existe una confianza entre dos dominios, los mecanismos de autenticación para cada dominio dependen de la validez de las autenticaciones procedentes del otro dominio.When a trust exists between two domains, the authentication mechanisms for each domain rely on the validity of the authentications coming from the other domain. Las confianzas ayudan a proporcionar acceso controlado a los recursos compartidos en un dominio de recursos (el dominio que confía) comprobando que las solicitudes de autenticación entrantes proceden de una autoridad de confianza (el dominio de confianza).Trusts help to provide controlled access to shared resources in a resource domain (the trusting domain) by verifying that incoming authentication requests come from a trusted authority (the trusted domain). De esta manera, las confianzas actúan como puentes que permiten que solo las solicitudes de autenticación validadas viajen entre dominios.In this way, trusts act as bridges that let only validated authentication requests travel between domains.

La forma en que una confianza específica pasa solicitudes de autenticación depende de cómo esté configurada.How a specific trust passes authentication requests depends on how it is configured. Las relaciones de confianza pueden ser unidireccionales, ya que proporcionan acceso desde el dominio de confianza a los recursos del dominio que confía, o bien de forma bidireccional, al proporcionar acceso desde cada dominio a los recursos del otro dominio.Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. Las confianzas también son no transitivas, en cuyo caso solo existe una confianza entre los dos dominios de asociados de confianza, o transitiva, en cuyo caso una confianza se extiende automáticamente a cualquier otro dominio en el que uno de los asociados confíe.Trusts are also either nontransitive, in which case a trust exists only between the two trust partner domains, or transitive, in which case a trust automatically extends to any other domains that either of the partners trusts.

Para obtener información sobre las relaciones de dominio y de confianza de bosque con respecto a la autenticación, vea autenticación delegada y relaciones de confianza.For information about domain and forest trust relationships regarding authentication, see Delegated Authentication and Trust Relationships.

Certificados en la autenticación de WindowsCertificates in Windows authentication

Una infraestructura de clave pública (PKI) es la combinación de software, tecnologías de cifrado, procesos y servicios que permiten a una organización proteger sus comunicaciones y transacciones empresariales.A public key infrastructure (PKI) is the combination of software, encryption technologies, processes, and services that enable an organization to secure its communications and business transactions. La capacidad de una PKI para proteger las comunicaciones y las transacciones empresariales se basa en el intercambio de certificados digitales entre usuarios autenticados y recursos de confianza.The ability of a PKI to secure communications and business transactions is based on the exchange of digital certificates between authenticated users and trusted resources.

Un certificado digital es un documento electrónico que contiene información sobre la entidad a la que pertenece, la entidad de la que fue emitido, un número de serie único o cualquier otra identificación única, fechas de emisión y de expiración, y una huella digital.A digital certificate is an electronic document that contains information about the entity it belongs to, the entity it was issued by, a unique serial number or some other unique identification, issuance and expiration dates, and a digital fingerprint.

La autenticación es el proceso de determinar si se puede confiar en un host remoto.Authentication is the process of determining if a remote host can be trusted. Para establecer su confiabilidad, el host remoto debe proporcionar un certificado de autenticación aceptable.To establish its trustworthiness, the remote host must provide an acceptable authentication certificate.

Los hosts remotos establecen su confiabilidad mediante la obtención de un certificado de una entidad de certificación (CA).Remote hosts establish their trustworthiness by obtaining a certificate from a certification authority (CA). La CA puede, a su vez, tener la certificación de una autoridad superior, lo que crea una cadena de confianza.The CA can, in turn, have certification from a higher authority, which creates a chain of trust. Para determinar si un certificado es de confianza, una aplicación debe determinar la identidad de la CA raíz y, a continuación, determinar si es de confianza.To determine whether a certificate is trustworthy, an application must determine the identity of the root CA, and then determine if it is trustworthy.

Del mismo modo, el host remoto o el equipo local deben determinar si el certificado presentado por el usuario o la aplicación es auténtico.Similarly, the remote host or local computer must determine if the certificate presented by the user or application is authentic. El certificado presentado por el usuario a través de LSA y SSPI se evalúa para su autenticidad en el equipo local para el inicio de sesión local, en la red o en el dominio a través de los almacenes de certificados de Active Directory.The certificate presented by the user through the LSA and SSPI is evaluated for authenticity on the local computer for local logon, on the network, or on the domain through the certificate stores in Active Directory.

Para generar un certificado, los datos de autenticación pasan a través de algoritmos hash, como Algoritmo hash seguro 1 (SHA1), para generar una síntesis del mensaje.To produce a certificate, authentication data passes through hash algorithms, such as Secure Hash Algorithm 1 (SHA1), to produce a message digest. La síntesis del mensaje se firma digitalmente mediante la clave privada del remitente para demostrar que el remitente produjo la síntesis del mensaje.The message digest is then digitally signed by using the sender's private key to prove that the message digest was produced by the sender.

Nota

SHA1 es el valor predeterminado en Windows 7 y Windows Vista, pero se cambió a SHA2 en Windows 8.SHA1 is the default in Windows 7 and Windows Vista, but was changed to SHA2 in Windows 8.

Autenticación mediante tarjeta inteligenteSmart card authentication

La tecnología de tarjeta inteligente es un ejemplo de autenticación basada en certificados.Smart card technology is an example of certificate-based authentication. El inicio de sesión en una red con una tarjeta inteligente proporciona una forma segura de autenticación, ya que usa la identificación basada en criptografía y la prueba de posesión al autenticar a un usuario en un dominio.Logging on to a network with a smart card provides a strong form of authentication because it uses cryptography-based identification and proof of possession when authenticating a user to a domain. Active Directory servicios de Certificate Server (AD CS) proporciona la identificación basada en cifrado a través de la emisión de un certificado de inicio de sesión para cada tarjeta inteligente.Active Directory Certificate Services (AD CS) provides the cryptographic-based identification through the issuance of a logon certificate for each smart card.

Para obtener información acerca de la autenticación mediante tarjeta inteligente, consulte la referencia técnica de la tarjeta inteligente de Windows.For information about smart card authentication, see the Windows Smart Card Technical Reference.

La tecnología de tarjeta inteligente virtual se presentó en Windows 8.Virtual smart card technology was introduced in Windows 8. Almacena el certificado de la tarjeta inteligente en el equipo y, a continuación, lo protege mediante el chip de seguridad del Módulo de plataforma segura de la prueba de alteración del dispositivo (TPM).It stores the smart card's certificate in the PC, and then protects it by using the device's tamper-proof Trusted Platform Module (TPM) security chip. De esta manera, el equipo se convierte realmente en la tarjeta inteligente, que debe recibir el PIN del usuario para autenticarse.In this way, the PC actually becomes the smart card which must receive the user's PIN in order to be authenticated.

Autenticación remota e inalámbricaRemote and wireless authentication

La autenticación de red remota e inalámbrica es otra tecnología que usa certificados para la autenticación.Remote and wireless network authentication is another technology that uses certificates for authentication. El servicio de autenticación de Internet (IAS) y los servidores de red privada virtual usan el protocolo de autenticación extensible-seguridad de nivel de transporte (EAP-TLS), el protocolo de autenticación extensible protegido (PEAP) o el protocolo de seguridad de Internet (IPsec) para realizar la autenticación basada en certificados para muchos tipos de acceso de red, incluidas las conexiones de red privada virtual (VPN) y inalámbricas.The Internet Authentication Service (IAS) and virtual private network servers use Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), or Internet Protocol security (IPsec) to perform certificate-based authentication for many types of network access, including virtual private network (VPN) and wireless connections.

Para obtener información acerca de la autenticación basada en certificados en redes, consulte autenticación de acceso a la red y certificados.For information about certificate-based authentication in networking, see Network access authentication and certificates.

Vea tambiénSee also

Conceptos de autenticación de WindowsWindows Authentication Concepts