Seguridad de red: nivel de autenticación de LAN Manager
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Seguridad de red: nivel de autenticación de LAN Manager.
Referencia
Esta configuración de directiva determina qué protocolo de autenticación desafío/respuesta se usa para inicios de sesión de red. LAN Manager (LM) incluye software de servidor y equipo cliente de Microsoft que permite a los usuarios vincular dispositivos personales juntos en una sola red. Entre las funcionalidades de red se incluyen el uso compartido de impresoras y archivos transparente, las características de seguridad de usuario y las herramientas de administración de red. En los dominios de Active Directory, el protocolo Kerberos es el protocolo de autenticación predeterminado. Sin embargo, si no se negocia el protocolo Kerberos por algún motivo, Active Directory usa LM, NTLM o NTLM versión 2 (NTLMv2).
La autenticación de LAN Manager incluye las variantes LM, NTLM, y NTLMv2 y es el protocolo que se usa para autenticar todos los dispositivos cliente que ejecutan el sistema operativo Windows cuando llevan a cabo las siguientes operaciones:
Unirse a un dominio
Autenticar entre bosques de Active Directory
Autenticar en dominios en función de las versiones anteriores del sistema operativo Windows
Autenticar en equipos que no ejecutan sistemas operativos Windows, a partir de Windows 2000
Autenticar en equipos que no están en el dominio
Valores posibles
Enviar respuestas LM y NTLM
Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia
Enviar solo respuestas NTLM
Enviar solo respuestas NTLMv2
Enviar solo respuestas NTLMv2. Rechazar LM
Enviar solo respuestas NTLMv2. Rechazar LM y NTLM
Sin definir
La configuración Seguridad de red: nivel de autenticación de LAN Manager determina qué protocolo de autenticación desafío/respuesta se usa para conexiones de red. Esta opción afecta al nivel de protocolo de autenticación que usan los clientes, el nivel de seguridad de la sesión que los equipos negocian y el nivel de autenticación que los servidores aceptan. En la siguiente tabla se identifica la configuración de la directiva, se describe la configuración y se identifica el nivel de seguridad que se usa en la configuración del registro correspondiente si eliges usar el registro para controlar esta configuración en lugar de la configuración de la directiva.
| Configuración | Descripción | Nivel de seguridad del registro |
|---|---|---|
Enviar respuestas LM y NTLM |
Los dispositivos cliente usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. |
0 |
Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia |
Los dispositivos cliente usan la autenticación LM y NTLM, y usan la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. |
1 |
Enviar solo respuesta NTLM |
Los dispositivos cliente usan la autenticación NTLMv1, y usan la seguridad de sesión NTLMv2 si la admite el servidor. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. |
2 |
Enviar solo respuesta NTLMv2 |
Los dispositivos cliente usan la autenticación NTLMv2, y usan la seguridad de sesión NTLMv2 si la admite el servidor. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. |
3 |
Enviar solo respuesta NTLMv2. Rechazar LM |
Los dispositivos cliente usan la autenticación NTLMv2, y usan la seguridad de sesión NTLMv2 si la admite el servidor. Los controladores de dominio rechazan aceptar autenticación LM y aceptarán únicamente la autenticación NTLM y NTLMv2. |
4 |
Enviar solo respuesta NTLMv2. Rechazar LM y NTLM |
Los dispositivos cliente usan la autenticación NTLMv2, y usan la seguridad de sesión NTLMv2 si la admite el servidor. Los controladores de dominio rechazan aceptar autenticación LM y NTLM, y aceptarán únicamente la autenticación NTLMv2. |
5 |
Procedimientos recomendados
- Los procedimientos recomendados dependen de los requisitos de seguridad y autenticación específicos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Valores predeterminados
En la siguiente tabla se enumeran los valores predeterminados (tanto reales como eficaces) de esta directiva. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Enviar solo respuesta NTLMv2 |
Configuración predeterminada eficaz de DC |
Enviar solo respuesta NTLMv2 |
Configuración predeterminada eficaz del servidor miembro |
Enviar solo respuesta NTLMv2 |
Configuración predeterminada eficaz del equipo cliente |
Sin definir |
Administración de directivas
En esta sección se describen las características y herramientas que tienes disponibles para ayudarte a administrar esta directiva con facilidad.
Requisito de reinicio
Ninguno. Los cambios realizados a esta directiva surten efecto sin reiniciar un dispositivo cuando se guardan localmente o se distribuyen a través de la directiva de grupo.
Directiva de grupo
La modificación de esta configuración puede afectar a la compatibilidad con los dispositivos cliente, los servicios y las aplicaciones.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración, como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
En Windows 7 y Windows Vista, esta configuración no está definida. En Windows Server 2008 R2 y posteriores, esta opción se configura como Enviar solo respuestas NTLMv2.
Contramedidas
Defina la configuración Seguridad de red: nivel de autenticación de LAN Manager en Enviar solo respuestas NTLMv2. Microsoft y varias organizaciones independientes recomiendan encarecidamente este nivel de autenticación cuando todos los equipos cliente admiten NTLMv2.
Impacto potencial
Los dispositivos cliente que no admiten la autenticación NTLMv2 no pueden autenticarse en el dominio ni obtener acceso a recursos de dominio mediante LM y NTLM.