Autenticación de los usuarios finales de MED-V

Se aplica a: Microsoft Enterprise Desktop Virtualization 2.0

La autenticación de los usuarios finales de Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 es un procedimiento de seguridad muy importante. En este contexto, la autenticación hace referencia a la comprobación de la identidad del usuario final de MED-V.

La siguiente sección proporciona información e instrucciones para la autenticación de usuarios finales de MED-V.

Autenticación de usuarios en MED-V

La autenticación en MED-V se produce generalmente en dos niveles: cuando un usuario tiene acceso por primera vez a MED-V y cada vez que cambia su contraseña.

Dependiendo de la configuración establecida en MED-V para la autenticación, en algún momento se suele pedir al usuario final que escriba su contraseña, ya sea la primera vez que se inicia MED-V o la primera vez que intentan abrir una aplicación publicada.

Existen varios aspectos de la autenticación de usuarios finales que se pueden controlar, como:

• Si las credenciales que introducen los usuarios finales se almacenan en el Administrador de credenciales.

• De qué manera se presenta al usuario final la opción de introducir y guardar su contraseña.

En función del proceso preferido por su compañía para administrar la autenticación de usuarios finales, puede especificar si el almacenamiento en caché de credenciales tiene lugar para un Espacio de trabajo MED-V en particular. El almacenamiento en caché de las credenciales del usuario final resulta útil porque así solo se les solicita la contraseña una vez. Si el usuario final no puede guardar su contraseña o decide no hacerlo, deberá introducirla cada vez que inicie una nueva sesión en MED-V. Por ejemplo, si MED-V está configurado para iniciarse cuando el usuario final inicia sesión en el host pero la autenticación está deshabilitada, se solicita la contraseña al usuario final solo una vez durante el inicio de sesión. En este caso, las credenciales son válidas hasta que el usuario final cierra la sesión en el host.

Si es necesario, puede utilizar el Administrador de credenciales para quitar las credenciales almacenadas del usuario final.

De manera predeterminada, el almacenamiento de credenciales está deshabilitado, pero puede cambiar esta opción con uno de los métodos siguientes:

• Durante la creación del paquete de Espacio de trabajo MED-V. Para obtener más información, vea Crear un paquete de área de trabajo de MED-V.

• Después de implementar el Espacio de trabajo MED-V. Edite el parámetro del cmdlet de MED-V UxCredentialCacheEnabled para establecer la clave del Registro de Terminal Services. Para obtener más información, vea la Ayuda de Windows PowerShell.

Después de la implementación del Espacio de trabajo MED-V, puede establecer sus preferencias para la autenticación de usuarios finales si modifica la directiva de Terminal Services llamada DisablePasswordSaving. DisablePasswordSaving controla si se muestra la casilla para guardar la contraseña en el cuadro de diálogo de RDP y si se muestra el mensaje que solicita las credenciales de MED-V.

A continuación encontrará la ruta de acceso de la directiva DisablePasswordSaving de Terminal Services.

Regedit:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving

En la siguiente tabla se indican las distintas formas en que puede configurar el almacenamiento de credenciales y los efectos de las diferentes configuraciones:

Valor	Configuración	Resultado
DisablePasswordSaving	Deshabilitado	Se presenta la solicitud de MED-V y aparece una casilla para aceptar desactivada. Si el usuario final activa la casilla, las credenciales se almacenan en caché para su uso posterior. El usuario final también tiene la ventaja de que solo recibe la solicitud al expirar la contraseña.
		Si el usuario final no activa la casilla, aparece la solicitud del cliente de Conexión a Escritorio remoto (RDC) en lugar de la de MED-V, y la casilla para aceptar está desactivada. Si el usuario final activa la casilla, la credencial del cliente de RDC se almacena para su uso posterior. Importante RDC no valida las credenciales cuando el usuario final las proporciona. Si el usuario final almacena en caché las credenciales a través de la solicitud de RDC, existe el riesgo de que se almacenen credenciales incorrectas. Si esto sucede, es necesario eliminar las credenciales incorrectas en el Administrador de credenciales de Windows.
DisablePasswordSaving	Habilitada	Nota Esta configuración es más segura porque no permite almacenar en caché las credenciales del usuario final.

De manera predeterminada, la instalación de MED-V configura una clave del Registro en el invitado para suprimir la solicitud que aparece cuando la contraseña está a punto de expirar. El usuario final solo recibe una solicitud de cambio de contraseña en el host. Las credenciales que se actualizan en el host se pasan al invitado.

Problemas de seguridad de la autenticación

Aunque el almacenamiento en caché de las credenciales del usuario final ofrece la mejor experiencia para el usuario, debe tener en cuenta los riesgos que esto implica.

Cuando está habilitado el almacenamiento en caché de credenciales, la credencial de dominio del usuario final se almacena en un formato reversible en el Administrador de credenciales de Windows. Como resultado, un atacante podría crear una herramienta que se ejecutase como un proceso de nivel de sistema o un proceso del usuario final y que recuperase las credenciales del usuario final. Este riesgo solo puede reducirse si se establece la clave DisablePasswordSaving en Habilitada.

Este problema también se da cuando la autenticación de MED-V está deshabilitada pero la configuración de directiva de Terminal Services está habilitada.

Vea también

Conceptos

Procedimientos recomendados de seguridad para las operaciones de MED-V

¿Encontró útil esta información? Envíe sus sugerencias y comentarios acerca de la documentación de MED-V a medvdocs@microsoft.com.