Exportar (0) Imprimir
Expandir todo

Documento informativo sobre seguridad de Microsoft 2871997

Actualización para mejorar la protección y la administración de credenciales

Publicado: 13 de mayo de 2014 | Actualizado: 14 de octubre de 2014

Versión: 4.0

Información general

Resumen ejecutivo

Microsoft anuncia la disponibilidad de actualizaciones para las ediciones compatibles de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 que mejoran los controles de protección de credenciales y de autenticación de dominios controles para reducir el robo de credenciales.

Recomendación. Microsoft recomienda que los clientes apliquen inmediatamente estas actualizaciones con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update. Estas actualizaciones se pueden instalar en cualquier orden.

  • El 13 de mayo de 2014, Microsoft publicó la actualización 2871997 para las ediciones compatibles de Windows 8, Windows RT, Windows Server 2012, Windows 7 y Windows Server 2008 R2 que mejora los controles de protección de credenciales y de autenticación de dominios para reducir el robo de credenciales. Esta actualización proporciona protección adicional para la autoridad de seguridad local (LSA), agrega un modo administración restringida para proveedor de compatibilidad para seguridad de credenciales (CredSSP), incluye compatibilidad con la categoría de usuario de dominio protegido con restricción de cuenta y aplica políticas de autenticación más estrictas para equipos Windows 7, Windows Server 2008 R2, Windows 8 y Windows Server 2012 como clientes. Para obtener más información acerca de esta actualización, incluidos los vínculos de descarga, vea el artículo 2871997 de Microsoft Knowledge Base.
    Dn690109.note(es-ES,Security.10).gifNota:
    Nota Las ediciones compatibles de Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 ya incluyen estas características y no es necesaria la actualización 2871997.

  • El 8 de julio de 2014, Microsoft publicó la actualización 2973351 para las ediciones compatibles de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 y Windows RT, y paras las ediciones compatibles de Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 que tengan instalada la actualización 2919355 (actualización de Windows 8.1). Microsoft publicó la actualización 2975625 para las ediciones compatibles de Windows 8.1 y Windows Server 2012 R2 que no tengan instalada la actualización 2919355 (actualización de Windows 8.1). La actualización proporciona opciones configurables del Registro para administrar el modo de administración restringida para proveedor de compatibilidad para seguridad de credenciales (CredSSP). Para obtener más información acerca de esta actualización, incluidos los vínculos de descarga, vea los artículos 2973351 y 2975625 de Microsoft Knowledge Base.
    Dn690109.note(es-ES,Security.10).gifNota:
    Nota. La actualización cambia la funcionalidad del modo de administración restringida para Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. Vea la sección Preguntas más frecuentes sobre el documento informativo para obtener más detalles.

  • El 9 septiembre de 2014, Microsoft publicó la actualización 2982378 para las ediciones compatibles de Windows 7 y Windows Server 2008 R2. La actualización agrega protección adicional para las credenciales de los usuarios cuando inician sesión en un sistema Windows 7 o Windows Server 2008 R2 al garantizar que las credenciales se limpian inmediatamente en vez de esperar hasta que se haya obtenido un vale de concesión de vales (TGT) de Kerberos. Para obtener más información acerca de esta actualización, incluidos los vínculos de descarga, vea el artículo 2982378 de Microsoft Knowledge Base.

     

  • El 14 de octubre de 2014, Microsoft publicó las actualizaciones siguientes. Las actualizaciones aplicables agregan un modo de administrador restringido para Conexión a Escritorio remoto y el protocolo de Escritorio remoto:
    • 2984972 para las ediciones compatibles de Windows 7 y Windows Server 2008 R2
    • 2984976 para las ediciones compatibles de Windows 7 y Windows Server 2008 R2 que tienen instalada la actualización 2592687 (actualización del protocolo de Escritorio remoto [RDP] 8.0). Los clientes que instalen la actualización 2984976 también deben instalar la actualización 2984972.
    • 2984981 para las ediciones compatibles de Windows 7 y Windows Server 2008 R2 que tienen instalada la actualización 2830477 (actualización del cliente de Conexión a Escritorio remoto [RDC] 8.1). Los clientes que instalen la actualización 2984981 también deben instalar la actualización 2984972.
    • 2973501 para las ediciones compatibles de Windows 8, Windows Server 2012 y Windows RT.
      Dn690109.note(es-ES,Security.10).gifNota:
      Nota Las ediciones compatibles de Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 ya incluyen esta característica y no necesitan la actualización.

Este documento informativo trata sobre el software que se indica a continuación.

Sistema operativo

Windows 7 para sistemas de 32 bits Service Pack 1

Windows 7 para sistemas x64 Service Pack 1

Windows Server 2008 R2 para sistemas x64 Service Pack 1

Windows Server 2008 R2 para sistemas con Itanium Service Pack 1

Windows 8 para sistemas de 32 bits

Windows 8 para sistemas x64

Windows 8.1 para sistemas de 32 bits

Windows 8.1 para sistemas x64

Windows Server 2012

Windows Server 2012 R2

Windows RT

Windows RT 8.1

Opción de instalación Server Core

Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación Server Core)

Windows Server 2012 (instalación Server Core)

Windows Server 2012 R2 (instalación Server Core)

 

¿Cuál es el alcance de este documento informativo? 
El propósito de este documento informativo es notificar a los clientes que hay disponibles actualizaciones para Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 que proporcionan protección y administración adicionales para las credenciales.

¿Qué sistemas están más expuestos al robo de credenciales? 
Los entornos empresariales en los que se implementan dominios de Windows están más expuestos. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios iniciar sesión en los servidores y ejecutar programas. Sin embargo, los procedimientos recomendados desaconsejan permitir esto.

¿Hay algún cambio de funcionalidad para las actualizaciones 2973351 y 2975625? 
Sí. El comportamiento predeterminado del modo de administración restringida ha cambiado en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. El modo de administración restringida ahora está desactivado de forma predeterminada; si desea usar esta funcionalidad, deberá volver a habilitarla después de instalar las actualizaciones 2973351 o 2975625. Anteriormente, el modo de administración restringida estaba activado de forma predeterminada. Para obtener más información acerca de cómo habilitar el modo de administración restringida, vea los artículos 2973351 o 2975625 de Microsoft Knowledge Base.

La actualización 2973351 no cambia el comportamiento predeterminado en las ediciones compatibles de Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 o Windows RT. El modo de administración restringida está desactivado de forma predeterminada en estos sistemas operativos.

¿Las actualizaciones 2973351 o 2975625 reemplazan la actualización 2871997? 
No. La actualización 2871997 es necesaria para instalar la actualización 2973351 o 2975625. Estas actualizaciones proporcionan opciones configurables del Registro para el modo de administración restringida que se agregó al instalar la actualización 2871997.

Hay varias actualizaciones enumeradas para Windows 8.1 y Windows Server 2012 R2. ¿Debo instalarlas todas? 
No. En función del modo en que esté configurado el sistema para recibir actualizaciones, solo se aplicará una de las actualizaciones para Windows 8.1 o Windows Server 2012 R2.

Para los sistemas con Windows 8.1 o Windows Server 2012 R2:

La actualización 2973351 corresponde a los sistemas que ya tienen instalada la actualización 2919355 (actualización de Windows 8.1).

La actualización 2975625 corresponde a los sistemas que no tienen instalada la actualización 2919355. Tenga en cuenta que la actualización 2975625 solo está disponible para los clientes que administran las actualizaciones con Windows Server Update Services (WSUS), Windows Intune o System Center Configuration Manager.

Para Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1, ¿hay requisitos previos para la actualización 2973351? 
Sí. Los clientes que ejecutan Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1, primero deben instalar la actualización 2919355 (actualización de Windows 8.1), publicada en abril de 2014, antes de instalar la actualización 2973351. Para obtener más información acerca de la actualización de requisito previo, vea el artículo 2919355 de Microsoft Knowledge Base.

¿Debo instalar todas las actualizaciones de seguridad que se han publicado para este documento informativo? 
Sí. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en su sistema a fin de obtener todas las características de protección de credenciales.

¿Cuáles son los escenarios de implementación previstos? 
Aunque estos cambios mejorarán la protección de credenciales en todos los sistemas, resultan más útiles en un entorno empresarial en el que se implementan dominios de Windows. Algunos de estos cambios dependen de las características disponibles en un dominio basado en Windows Server 2012 R2 y otros cambios son útiles en todos los entornos empresariales.

¿Qué es el servicio de subsistema de autoridad de seguridad local (LSASS)? 
El servicio de subsistema de autoridad de seguridad local (LSASS) ofrece una interfaz para administrar la seguridad local, la autenticación de dominios y los procesos de Active Directory. Controla la autenticación para el cliente y para el servidor. También incluye características que se usan para admitir utilidades de Active Directory.

¿Qué es la autoridad de seguridad local (LSA)?
La autoridad de seguridad local (LSA), que está en el proceso del servicio de subsistema de autoridad de seguridad local (LSASS), valida a los usuarios remotos y locales para los inicios de sesión y aplica directivas de seguridad local.

¿Cómo funciona la actualización? 
Esta actualización mejora los controles de protección de credenciales y de autenticación de dominios para reducir el robo de credenciales mediante la mejora de cuatro áreas:

  • Modo restringido para el proveedor de compatibilidad para seguridad de credenciales (CredSSP) 

    Se pueden escribir aplicaciones para usar este cambio a fin de conectar con un servidor remoto sin transmitir credenciales al servidor host. De este modo se impide que las credenciales se recopilen durante el proceso de conexión inicial si el servidor está en peligro.

    Cuando el host comprueba que la cuenta de usuario a la que se conecta tiene derechos de administrador y admite el modo de administración restringida, la conexión se realiza correctamente. De lo contrario, se produce un error en el intento de conexión. El modo de administración restringida no envía, en ningún momento, las credenciales en texto sin formato o de otras formas reutilizables a los equipos remotos.

    Se pueden configurar dos opciones de claves del Registro para administrar el modo de administración restringida. La clave DisableRestrictedAdmin se usa para habilitar o deshabilitar el modo de administración restringida. Si el modo de administración restringida está habilitado, DisableRestrictedAdminOutboundCreds se usa para habilitar o deshabilitar la capacidad de que un usuario conectado a un sistema mediante Escritorio remoto con el modo de administración restringida se pueda autenticar automáticamente en los recursos remotos mediante la cuenta del equipo local.

  • Limpieza de credenciales en LSA 

    Esta característica reduce la superficie expuesta a ataques de credenciales de dominio en LSA. Entre los cambios de esta característica se incluyen: evitar el inicio de sesión de red y el inicio de sesión interactivo remoto en un equipo unido a un dominio mediante cuentas locales, restringir la memoria caché de credenciales de inicio de sesión a la duración del inicio de sesión, restringir la memoria caché de credenciales suministradas por Kerberos/NTLM/autenticación implícita/CredSSP, restringir la memoria caché de Kerberos de contraseñas en texto sin formato, no almacenar en caché las credenciales de inicio de sesión en CredSSP a menos que la política de delegación de credenciales permita y restrinja el uso de credenciales de inicio de sesión para el acceso implícito.

  • Grupo de seguridad Usuarios protegidos 

    Esta característica agrega compatibilidad con el grupo de seguridad Usuarios protegidos que se presentó en Windows 8.1 y Windows Server 2012 R2. Esta compatibilidad se puede aplicar a los equipos miembro en un dominio basado en Windows Server 2012 R2.

    Además, los miembros del grupo Usuarios protegidos están limitados por los siguientes métodos de autenticación:

    • Un miembro del grupo Usuarios protegidos solo puede iniciar sesión con el protocolo Kerberos. La cuenta no se puede autenticar con NTLM, autenticación implícita o CredSSP. En un dispositivo con Windows 8, las contraseñas no se almacenan en caché, por lo que el dispositivo que usa cualquiera de estos proveedores de compatibilidad para seguridad (SSP) no se autenticará en un dominio si la cuenta es de un miembro del grupo Usuarios protegidos.
    • El protocolo Kerberos no usará los tipos de cifrado DES o RC4 menos seguros en el proceso de autenticación previa. Esto significa que el dominio debe estar configurado para administrar el conjunto de cifrado AES como mínimo.
    • La cuenta del usuario no se puede delegar con la delegación restringida o sin restringir de Kerberos. Esto significa que las conexiones anteriores a otros sistemas no se llevarán a cabo si el usuario es miembro del grupo Usuarios protegidos.
  • Modo de administración restringida para Conexión a Escritorio remoto

    Esta característica agrega compatibilidad para el modo de administración restringida a Conexión a Escritorio remoto y al protocolo de Escritorio remoto en Windows 7, Windows Server 2008 R2, Windows 8 y Windows Server 2012, que se incluyó en Windows 8.1 y Windows Server 2012 R2.

    • El modo de administración restringida proporciona un método de inicio de sesión interactivo en un servidor host remoto sin transmitir las credenciales al servidor. De este modo se impide que las credenciales se recopilen durante el proceso de conexión inicial si el servidor está en peligro.
    • Mediante este modo con credenciales de administrador, el cliente de Escritorio remoto intenta iniciar sesión interactivamente en un host que también admite este modo sin enviar credenciales. Cuando el host comprueba que la cuenta de usuario a la que se conecta tiene derechos de administrador y admite el modo de administración restringida, la conexión se realiza correctamente. De lo contrario, se produce un error en el intento de conexión. El modo de administración restringida no envía, en ningún momento, las credenciales en texto sin formato o de otras formas reutilizables a los equipos remotos.
    • Para obtener más información, vea Novedades de Servicios de Escritorio remoto en Windows Server.

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Soporte técnico

Renuncia

La información proporcionada en este documento informativo se suministra “tal cual”, sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (13 de mayo de 2014): Publicación del documento informativo.
  • V2.0 (8 de julio de 2014): se ha vuelto a publicar el documento informativo para anunciar la publicación de las actualizaciones 2973351 y 2919355 para proporcionar más control sobre la configuración de administración restringida. Según el software instalado en su sistema, los clientes deben aplicar la actualización 2973351 o 2919355 inmediatamente. Vea Actualizaciones relacionadas con este documento informativo y Preguntas más frecuentes sobre el documento informativo para obtener más detalles.
  • V3.0 (9 de septiembre de 2014): se ha vuelto a publicar el documento informativo para anunciar la publicación de la actualización 2982378 para proporcionar protección adicional para las credenciales de los usuarios cuando inicien sesión en un sistema Windows 7 o Windows Server 2008 R2. Vea Actualizaciones relacionadas con este documento informativo para obtener más detalles.
  • V4.0 (14 de octubre de 2014): se ha vuelto a publicar el documento informativo para anunciar la publicación de actualizaciones que proporcionan protección adicionales para las credenciales de los usuarios cuando inician sesión en un servidor host remoto. Vea Actualizaciones relacionadas con este documento informativo y Preguntas más frecuentes sobre el documento informativo para obtener más detalles.
Página generada el 2014-10-09 15:32Z-07:00.
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2015 Microsoft