Documento informativo sobre seguridad de Microsoft (973811)

Finalidad del documento informativo: Este documento informativo se publicó para anunciar a los clientes la publicación de una actualización no relacionada con la seguridad para que esté disponible una nueva característica, protección ampliada para la autenticación, en la plataforma Windows.

Estado del documento informativo: Publicación del documento informativo.

Recomendación: Revisar las acciones sugeridas y realizar la configuración que corresponda.

Este documento informativo anuncia el lanzamiento de esta característica para las plataformas siguientes.

¿Cuál es el alcance de este documento informativo?
Microsoft publicó este documento informativo para anunciar el lanzamiento de una nueva característica, protección ampliada para la autenticación, como una actualización de Windows SSPI para corregir el reenvío de credenciales.

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
No es una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft. Esta característica requiere una configuración opcional que algunos clientes pueden optar por implementar. La habilitación de esta característica no resulta adecuada para todos los clientes. Para obtener más información acerca de esta característica y cómo configurarla adecuadamente, vea el artículo 973811 de Microsoft Knowledge Base. Esta característica ya está incluida en Windows 7 y en Windows Server 2008 R2.

¿Qué es la protección ampliada para la autenticación de Windows?
La actualización del artículo 968389 de Microsoft Knowledge Base modifica la SSPI para mejorar el modo en el que la autenticación de Windows funciona, de modo que las credenciales no se reenvíen fácilmente cuando está habilitada la autenticación integrada de Windows (IWA).

Cuando está habilitada la protección ampliada para la autenticación, las solicitudes de autenticación están enlazadas a los nombres principales de servicio (SPN) del servidor al que intenta conectarse el cliente y al canal de seguridad de la capa de transporte (TLS) externo a través del que se realiza la autenticación de IWA. Se trata de una actualización básica que permite a las aplicaciones activar esta característica.

Las futuras actualizaciones modificarán los componentes de sistema individuales que llevan a cabo la autenticación IWA, de modo que los componentes usen este mecanismo de protección. Los clientes deben instalar la actualización del artículo 968389 de Microsoft Knowledge Base y las correspondientes actualizaciones específicas de las aplicaciones cliente y servidores en los que se debe activar la protección ampliada para la autenticación. Tras la instalación, la protección ampliada para la autenticación se controla en el cliente mediante el uso de claves del Registro. En el servidor, la configuración es específica de la aplicación.

¿Qué otras medidas ha adoptado Microsoft para implementar esta característica?

Los cambios se deben realizar en las aplicaciones de servidor y cliente específicas que usan la autenticación integrada de Windows (IWA) para garantizar que pueden activar esta nueva tecnología de protección.

Las actualizaciones publicadas por Microsoft el 11 de agosto de 2009 son:

• El artículo 968389 de Microsoft Knowledge Base implementa la protección ampliada en la interfaz de proveedor de compatibilidad para seguridad de Windows (SSPI). Esta actualización permite que las aplicaciones opten a la protección ampliada para la autenticación.
• El boletín de seguridad de Microsoft MS09-042 también contiene una actualización de defensa no relacionada con la seguridad, que permite que un cliente y un servidor Telnet opten a la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 13 de octubre de 2009 es:

• El boletín de seguridad de Microsoft MS09-054 contiene una actualización de defensa no relacionada con la seguridad, que permite que WinINET opte a la protección ampliada para la autenticación.

Las actualizaciones publicadas por Microsoft el 8 de diciembre de 2009 son:

• El artículo 971737 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que la API de los servicios HTTP de Windows (WinHTTP) opte a la protección ampliada para la autenticación.
• El artículo 970430 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que la pila de protocolos HTTP (http.sys) opte a la protección ampliada para la autenticación.
• El artículo 973917 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que Internet Information Services (IIS) opte a la protección ampliada para la autenticación. Esta actualización se volvió a publicar el 9 de marzo de 2010. Para obtener más información, vea Problemas conocidos en el artículo 973917 de Microsoft Knowledge Base.

Las actualizaciones publicadas por Microsoft el 8 de junio de 2010 son:

• El artículo 982532 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows Vista Service Pack 1 opte a la protección ampliada para la autenticación.
• El artículo 982533 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows Vista Service Pack 2 opte a la protección ampliada para la autenticación.
• El artículo 982535 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows Vista Service Pack 1 opte a la protección ampliada para la autenticación.
• El artículo 982536 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows Vista Service Pack 2 opte a la protección ampliada para la autenticación.
• El artículo 982167 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 en Windows XP y Windows Server 2003 opte a la protección ampliada para la autenticación.
• El artículo 982168 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 en Windows XP y Windows Server 2003 opte a la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 14 de septiembre de 2010 es:

• El artículo 2141007 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que Outlook Express y Windows Mail opten a la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 12 de octubre de 2010 es:

• El artículo 2345886 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que el Bloque de mensajes del servidor (SMB) de Windows opte a la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 29 de diciembre de 2010 es:

• Una nueva versión de Portal del servicio de Microsoft Office Live Meeting permite que admita la protección ampliada para la autenticación.

La actualización publicada por Microsoft el 12 de abril de 2011 es:

• El artículo 2509470 de Microsoft Knowledge Base contiene una actualización no relacionada con la seguridad que permite que Microsoft Outlook opte a la protección ampliada para la autenticación.

Las soluciones Microsoft Fix it publicadas por Microsoft el 8 de enero de 2013 son:

• El artículo 2793313 de Microsoft Knowledge Base contiene soluciones Microsoft Fix it que configuran los sistemas Windows XP y Windows Server 2003 para permitir NTLMv2 únicamente. La aplicación de estas soluciones Microsoft Fix it habilita la configuración de NTLMv2 necesaria para que los usuarios de Windows XP y Windows Server 2003 aprovechen la protección ampliada para la autenticación.

Microsoft planea ampliar la cobertura mediante la publicación de actualizaciones futuras que incluirán aplicaciones de servidor y de cliente de Microsoft adicionales en estos mecanismos de protección. Este documento informativo sobre la seguridad se revisará para que contenga información actualizada cuando se publiquen dichas actualizaciones.

¿Cómo los desarrolladores de software puede incrustar esta tecnología de protección en sus aplicaciones?

Los desarrolladores de software pueden encontrar más información acerca de cómo usar la tecnología de protección ampliada para la autenticación en el artículo de MSDN Autenticación integrada de Windows con protección ampliada.

¿Cómo habilito esta característica?

En el cliente, los usuarios deben implementar la siguiente configuración de clave del Registro.

En el artículo 968389 de Microsoft Knowledge Base se pueden encontrar instrucciones detalladas acerca de cómo habilitar esta clave del Registro.

• Establezca la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection en 0 para habilitar la tecnología de protección. De forma predeterminada, esta clave se establece en 1 tras la instalación, con lo que se deshabilita la protección.
• Establezca la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel en 3. No es la configuración predeterminada en Windows XP y Windows Server 2003. Se trata de una clave existente que habilita la autenticación NTLMv2. La protección ampliada para la autenticación de Windows sólo se aplica al protocolo de autenticación NTLMv2 y Kerberos, y no a NTLMv1.
  
  En el artículo 239869 de Microsoft Knowledge Base se puede encontrar más información acerca de cómo aplicar la autenticación NTLMv2 y esta clave.

En el servidor, la protección ampliada para la autenticación se debe habilitar según cada servicio. La siguiente información general muestra cómo habilitar la protección ampliada para la autenticación en los protocolos habituales para la que se encuentra disponible actualmente:

Telnet (KB960859)

En el caso de Telnet, la protección ampliada para la autenticación se puede habilitar en el servidor mediante la creación de la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection de tipo DWORD. El valor predeterminado de esta clave es Heredado. Establezca la clave a uno de los siguientes valores:

• Heredado: al configurar el valor DWORD en 0, la protección ampliada para la autenticación se deshabilitará en el servidor y ninguna conexión, incluso las de los clientes actualizados y configurados correctamente, se protegerá frente a los ataques de reenvío de credenciales.
• Permitir protección ampliada: al configurar el valor DWORD en 1, el servidor protegerá los equipos cliente que se han configurado para usar el mecanismo de protección ampliada para la autenticación frente a los ataques de transmisión de credenciales. Los clientes que no se han actualizado ni configurado correctamente no estarán protegidos.
• Requerir protección ampliada: al configurar el valor DWORD en 2, el servidor requerirá que los clientes admitan la protección ampliada para la autenticación; de no ser así, se rechazará la autenticación. Los clientes que no tengan habilitada la protección habilitada no se podrán autenticar en el servidor.

En el artículo 960859 de Microsoft Knowledge Base se pueden encontrar instrucciones detalladas acerca de cómo crear esta clave del Registro.

Internet Information Services (KB973917)

En el caso de Internet Information Services, la protección ampliada para la autenticación se puede habilitar en el servidor mediante el uso del Administrador de configuración de IIS o directamente mediante la edición del archivo de configuración ApplicationHost.Config. En el artículo 973917 de Microsoft Knowledge Base se puede encontrar información detallada acerca de cómo configurar IIS.

¿Qué debo tener en cuenta al implementar la protección ampliada para la autenticación?

Los clientes deben instalar la actualización incluida en el artículo 968389 de Microsoft Knowledge Base, instalar las actualizaciones de aplicación correspondientes en los equipos de cliente y de servidor, y configurar correctamente ambos equipos para usar el mecanismo de protección para protegerse de los ataques de reenvío de credenciales.

Cuando la protección ampliada para la autenticación está habilitada en el cliente, está habilitada para todas las aplicaciones que usan IWA. No obstante, en el servidor se debe habilitar según cada aplicación.

¿Por qué no es una actualización de seguridad anunciada en un boletín de seguridad? 
Esta actualización implementa una característica nueva que puede no ser apropiada para que la habiliten todos los clientes. Ofrece una característica de seguridad adicional que los clientes pueden elegir implementar según su escenario específico.

Es un documento informativo sobre seguridad acerca de una actualización no relacionada con la seguridad ¿No es contradictorio? 
Los documentos informativos sobre seguridad tratan cambios en la seguridad que pueden no requerir un boletín de seguridad pero que pueden afectar a la seguridad general de los clientes. Los documentos informativos sobre seguridad constituyen una forma que tiene Microsoft para comunicar información relacionada con la seguridad a los clientes acerca de problemas que no se pueden clasificar como vulnerabilidades y pueden no requerir un boletín de seguridad, o acerca de problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, estamos comunicando la disponibilidad de una actualización que no corrige una vulnerabilidad de seguridad específica, sino, la seguridad general.

¿Cómo se ofrece esta actualización? 
Estas actualizaciones están disponibles en el Centro de descarga de Microsoft. En la tabla Software afectado de la sección Descripción general se enumeran los vínculos directos a las actualizaciones del software afectado específico. Para obtener más información acerca de la actualización y los cambios de comportamiento, vea el artículo 968389 de Microsoft Knowledge Base.

¿Esta actualización se distribuye en una actualización automática? 
Sí. Estas actualizaciones se distribuyen por el mecanismo de actualizaciones automáticas.

¿Qué versiones de SMS están relacionadas con este documento informativo? 
La característica tratada en este documento informativo se pone a disposición de todas las plataformas enumeradas en el resumen Software afectado. Esta característica se encuentra en todas las versiones de Windows 7 y Windows Server 2008 R2.

¿Microsoft tiene constancia de información detallada y herramientas para ataques contra la autenticación de red NTLMv1 (NT LAN Manager versión 1) y LAN Manager (LM)? 
Sí. Microsoft tiene constancia de información detallada y herramientas para ataques contra la autenticación de red NTLMv1 (NT LAN Manager versión 1) y LAN Manager (LM). Las mejoras en los algoritmos de hardware y software informático Han convertido estos protocolos en vulnerables a los ataques publicados para obtener las contraseñas de usuario. La información que los conjuntos de herramientas disponibles se dirigen específicamente a los entornos que no aplican la autenticación NTLMv2.

En la Guía de amenazas y contramedidas se ofrece información detallada sobre las amenazas y las contramedidas para la seguridad de redes de Windows y el nivel de autenticación de LAN Manager en Microsoft TechNet.

Microsoft recomienda a los clientes que evalúen sus entornos y mantengan actualizada la configuración de autenticación de red. Microsoft recomienda que se implemente NTLMv2 y que se implemente la configuración para reducir o eliminar el uso de la autenticación NTLMv1 y LM.

• Consultar el artículo de Microsoft Knowledge Base asociado a este documento informativo

  Los clientes interesados en obtener más información acerca de esta característica, pueden consultar el artículo 973811 de Microsoft Knowledge Base.

• Aplicar y habilitar las actualizaciones no relacionadas con la seguridad que se enumeran en este documento informativo sobre seguridad

  Los clientes deben revisar la lista de actualizaciones de seguridad y no relacionadas con la seguridad que Microsoft ha publicado como parte de esta actualización de seguridad y, donde resulte oportuno, implementar y configurar estos mecanismos. La lista de actualizaciones disponibles se puede encontrar en la entrada ¿Qué otras medidas ha adoptado Microsoft para implementar esta característica? de la sección Preguntas más frecuentes de este documento informativo.

• Aplicar las soluciones Microsoft Fix it descritas en el artículo 2793313 de Microsoft Knowledge Base

  Microsoft recomienda que los internos que tengan Windows XP y Windows Server 2003 permitan NTLMv2 únicamente. Esto se puede realizar configurando el nivel de autenticación de LAN Manager en 3 o un valor superior. Vea el artículo 2793313 de Microsoft Knowledge Base para obtener más información y usar las soluciones Microsoft Fix it que configuran estos sistemas para permitir NTLMv2 únicamente. La aplicación de estas soluciones Microsoft Fix it también habilita la configuración de NTLMv2 necesaria para que los usuarios aprovechen la protección ampliada para la autenticación.

• Proteger su PC

  Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo.
  
  Para obtener más información acerca de la seguridad en Internet, los clientes deben visitar Central de seguridad de Microsoft.

• Mantener actualizado Windows

  Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Windows Update, determine las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitada la función Actualizaciones automáticas, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.