Protección y administración de credenciales

Se aplica a: Windows Server 2012 R2

En este tema para profesionales de TI se tratan las características y los métodos introducidos en Windows Server 2012 R2 y Windows 8.1 para la protección de credenciales y los controles de autenticación de dominio con el fin de reducir el robo de credenciales.

Modo de administración restringida para la conexión a Escritorio remoto

El modo de administración restringida proporciona un método para iniciar sesión de forma interactiva en un servidor host remoto sin transmitir las credenciales al servidor. Esto evita que las credenciales se recopilen durante el proceso de conexión inicial si el servidor está en peligro.

Al utilizar este modo con credenciales de administrador, el cliente de Escritorio remoto intenta iniciar sesión de forma interactiva en un host que también es compatible con este modo sin necesidad de enviar las credenciales. Cuando el host comprueba que la cuenta de usuario que se está conectando tiene derechos de administrador y es compatible con el modo de de administración restringida, la conexión se realiza correctamente. De lo contrario, se produce un error en el intento de conexión. El modo de administración restringida no envía en ningún momento texto sin formato u otras formas reutilizables de credenciales a los equipos remotos.

Para obtener más información, consulte Novedades en los Servicios de Escritorio remoto de Windows Server.

Protección LSA

La Autoridad de seguridad local (LSA), que reside en el proceso del Servicio de seguridad de la Autoridad de seguridad local (LSASS), valida a los usuarios para los inicios de sesión locales y remotos y exige la aplicación de directivas de seguridad local. El sistema operativo Windows 8.1 proporciona protección adicional para LSA de cara a evitar la inserción de código por parte de procesos no protegidos. Esto proporciona seguridad adicional para las credenciales que LSA almacena y administra. Esta configuración del proceso protegido para LSA puede configurarse en Windows 8.1, pero está activada de manera predeterminada en Windows RT 8.1y no puede cambiarse.

Para obtener información acerca de cómo configurar el la protección LSA, vea Configuración de protección LSA adicional.

Grupo de seguridad Usuarios protegidos

Este nuevo grupo global de dominio activa una protección nueva no configurable en los dispositivos y los equipos host que ejecutan Windows Server 2012 R2 y Windows 8.1. El grupo Usuarios protegidos habilita otras protecciones para controladores de dominio y para dominios en los dominios Windows Server 2012 R2. Esto reduce considerablemente los tipos de credenciales disponibles cuando los usuarios han iniciado sesión en equipos de la red desde un equipo que no está en peligro.

Los miembros del grupo Usuarios protegidos están también limitados por los siguientes métodos de autenticación:

• Un miembro del grupo Usuarios protegidos solo puede iniciar sesión a través del protocolo Kerberos. La cuenta no puede autenticarse con NTLM, Digest Authentication o CredSSP. En un dispositivo con Windows 8.1, las contraseñas no se almacenan en caché, con lo cual los dispositivos que usen alguno de estos proveedores de compatibilidad para seguridad (SSP) no podrán autenticarse en un dominio si la cuenta es miembro del grupo de usuarios protegidos.

• El protocolo Kerberos no usará los tipos de cifrado DES o RC4 más débiles en el proceso de autenticación previa. Esto significa que el dominio debe estar configurado para ser compatible como mínimo con el conjunto de cifrado AES.

• La cuenta del usuario no se puede delegar mediante la delegación Kerberos, sea con o sin restricciones; esto quiere decir que es posible que las conexiones anteriores a otros sistemas no puedan realizarse si el usuario es miembro del grupo de usuarios protegidos.

• El ajuste predeterminado de cuatro horas para la duración de un vale de concesión de vales (TGT) de Kerberos puede configurarse mediante silos y directivas de autenticación, a los que se accede a través del Centro de administración de Active Directory (ADAC). esto quiere decir que, una vez transcurridas esas cuatro horas, el usuario debe volver a autenticarse.

Para obtener más información acerca de este grupo, vea Grupo de seguridad de usuarios protegidos.

Directiva de autenticación y silos de directivas de autenticación

Se han introducido directivas basadas en bosque de Active Directory, que pueden aplicarse a las cuentas de un dominio con un nivel funcional de dominio de Windows Server 2012 R2. Estas directivas de autenticación pueden controlar qué hosts puede usar un usuario para iniciar sesión. Funcionan conjuntamente con el grupo de seguridad Usuarios protegidos y los administradores pueden aplicar condiciones para el control del acceso para la autenticación de las cuentas. Estas políticas de autenticación aíslan las cuentas asociadas para restringir el ámbito de una red.

La nueva clase de objeto de Active Directory, la directiva de autenticación, permite aplicar la configuración de autenticación a clases de cuentas en dominios con un nivel funcional de dominio de Windows Server 2012 R2. Las políticas de autenticación se aplican durante el intercambio AS o TGS de Kerberos. Las clases de cuentas de Active Directory son las siguientes:

• Usuario

• Equipo

• Cuenta de servicio administrada

• Cuenta de servicio administrada de grupo

Para obtener más información, consulte Directivas de autenticación y silos de directivas de autenticación.

Para obtener más información sobre cómo configurar cuentas protegidas, consulte Cómo configurar cuentas protegidas.

Vea también

Para obtener más información sobre LSA y LSASS, consulte Información técnica de inicio de sesión y autenticación de Windows.

Para obtener más información acerca de cómo Windows administra las credenciales, vea Introducción técnica a las credenciales almacenadas y almacenadas en caché.