Documento informativo sobre seguridad de Microsoft (973811)

Protección ampliada para la autenticación

Publicado: Agosto 11, 2009 | Actualizado: 14 de octubre de 2009

Versión: 1.1

Microsoft anuncia la disponibilidad de una característica nueva, protección ampliada para la autenticación, en la plataforma Windows. Esta característica mejora la protección y la administración de las credenciales al autenticarse en conexiones de red mediante la autenticación integrada de Windows (IWA).

La actualización en sí no proporciona protección frente a ataques específicos, como el reenvío de credenciales, pero permite que las aplicaciones opten a la protección ampliada para la autenticación. Este documento informativo comunica a los desarrolladores de software y a los administradores del sistema esta nueva funcionalidad y cómo se puede implementar como ayuda para proteger las credenciales de autenticación.

Factores atenuantes:

•	Internet Explorer nunca enviará las credenciales automáticamente a los servidores hospedados en la zona Internet. Esto reduce el riesgo de que un atacante dentro de esa zona pueda reenviar las credenciales.
•	Las aplicaciones que usan la firma y el cifrado de las sesiones (como llamada a procedimiento remoto, RPC, con privacidad e integridad, o bloque de mensajes de servidor, SMB, con la firma habilitada) no están afectadas por el reenvío de credenciales.

Información general

Descripción general

Finalidad del documento informativo: Este documento informativo se publicó para anunciar a los clientes la publicación de una actualización no relacionada con la seguridad para que esté disponible una nueva característica, protección ampliada para la autenticación, en la plataforma Windows.

Estado del documento informativo: Publicación del documento informativo.

Recomendación:Revisar y configurar las acciones sugeridas según corresponda.

Referencias	Identificación
Artículo de Microsoft Knowledge Base	Artículo 973811 de Microsoft Knowledge Base

Este documento informativo anuncia el lanzamiento de esta característica para las plataformas siguientes.

Software afectado
Windows XP Service Pack 2 y Windows XP Service Pack 3 Windows XP para sistemas x64 Service Pack 2 y Windows XP para sistemas x64 Service Pack 3
Windows Server 2003 Service Pack 2 Windows Server 2003 para sistemas x64 Service Pack 2 Windows Server 2003 para sistemas con Itanium y Windows Server 2003 para sistemas con Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2 Windows Vista para sistemas x64, Windows Vista para sistemas x64 Service Pack 1 y Windows Vista para sistemas x64 Systems Service Pack 2
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2 Windows Server 2008 para sistemas x64 y Windows Server 2008 para sistemas x64 Service Pack 2 Windows Server 2008 para sistemas con Itanium y Windows Server 2008 para sistemas con Itanium Service Pack 2
Software no afectado
Windows 7 para sistemas de 32 bits Windows 7 para sistemas x64
Windows Server 2008 R2 para sistemas x64 Windows Server 2008 R2 para sistemas con Itanium

Top of section

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
Microsoft publicó este documento informativo para anunciar el lanzamiento de una nueva característica, protección ampliada para la autenticación, como una actualización de Windows SSPI para corregir el reenvío de credenciales.

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
No es una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft. Esta característica requiere una configuración opcional que algunos clientes pueden optar por implementar. La habilitación de esta característica no resulta adecuada para todos los clientes. Para obtener más información acerca de esta característica y cómo configurarla adecuadamente, consulte el artículo 973811 de Microsoft Knowledge Base. Esta característica ya está incluida en Windows 7 y en Windows Server 2008 R2.

¿Qué es la protección ampliada para la autenticación de Windows?
La actualización del artículo 968389 de Microsoft Knowledge Base modifica la SSPI para mejorar el modo en el que la autenticación de Windows funciona, de modo que las credenciales no se reenvíen fácilmente cuando está habilitada la autenticación integrada de Windows (IWA).

Cuando está habilitada la protección ampliada para la autenticación, las solicitudes de autenticación están enlazadas a los nombres principales de servicio (SPN) del servidor al que intenta conectarse el cliente y al canal de seguridad de la capa de transporte (TLS) externo a través del que se realiza la autenticación de IWA. Se trata de una actualización básica que permite a las aplicaciones activar esta característica.

Las futuras actualizaciones modificarán los componentes de sistema individuales que llevan a cabo la autenticación IWA, de modo que los componentes usen este mecanismo de protección. Los clientes deben instalar la actualización del artículo 968389 de Microsoft Knowledge Base y las correspondientes actualizaciones específicas de las aplicaciones cliente y servidores en los que se debe activar la protección ampliada para la autenticación. Tras la instalación, la protección ampliada para la autenticación se controla en el cliente mediante el uso de claves del Registro. En el servidor, la configuración es específica de la aplicación.

¿Qué otras medidas ha adoptado Microsoft para implementar esta característica?

Los cambios se deben realizar en las aplicaciones de servidor y cliente específicas que usan la autenticación integrada de Windows (IWA) para garantizar que pueden activar esta nueva tecnología de protección.

Las actualizaciones publicadas por Microsoft el 11 de agosto de 2009 son:

•	El artículo 968389 de Microsoft Knowledge Base implementa la protección ampliada en la interfaz de proveedor de compatibilidad para seguridad de Windows (SSPI). Esta actualización permite que las aplicaciones opten a la protección ampliada para la autenticación.
•	Boletín de seguridad de Microsoft MS09-042, que también contiene una actualización de defensa no relacionada con la seguridad, que permite que un cliente y un servidor Telnet opten a la protección ampliada para la autenticación.

La actualización publicada por Micrófono el 13 de octubre de 2009 es:

•	Boletín de seguridad de Microsoft MS09-054, que contiene una actualización de defensa no relacionada con la seguridad, que permite que WinINET opte a la protección ampliada para la autenticación.

Microsoft planea ampliar la cobertura mediante la publicación de actualizaciones futuras que incluirán aplicaciones de servidor y de cliente de Microsoft adicionales en estos mecanismos de protección. Este documento informativo sobre la seguridad se revisará para que contenga información actualizada cuando se publiquen dichas actualizaciones.

¿Cómo los desarrolladores de software puede incrustar esta tecnología de protección en sus aplicaciones?

Los desarrolladores de software pueden encontrar más información acerca de cómo usar la tecnología de protección ampliada para la autenticación en el artículo de MSDN "Autenticación integrada de Windows con protección ampliada de la autenticación".

¿Cómo habilito esta característica?

En el cliente, los usuarios deben implementar la siguiente configuración de clave del Registro.

En el artículo 968389 de Microsoft Knowledge Base se pueden encontrar instrucciones acerca de cómo habilitar esta clave del Registro.

•

Establezca la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection en 0 para habilitar la tecnología de protección. De forma predeterminada, esta clave se establece en 1 tras la instalación, con lo que se deshabilita la protección.

•

Establezca la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel en 3. No es la configuración predeterminada en Windows XP y Windows Server 2003. Se trata de una clave existente que habilita la autenticación NTLMv2. La protección ampliada para la autenticación de Windows sólo se aplica al protocolo de autenticación NTLMv2 y Kerberos, y no a NTLMv1.

En el artículo 239869 de Microsoft Knowledge Base se puede encontrar más información acerca de cómo aplicar la autenticación NTLMv2 y esta clave.

En el servidor, la protección ampliada para la autenticación se debe habilitar según cada servicio. La siguiente información general muestra cómo habilitar la protección ampliada para la autenticación en los protocolos habituales para la que se encuentra disponible actualmente:

Telnet (KB 960859)

En el caso de Telnet, la protección ampliada para la autenticación se puede habilitar en el servidor mediante la creación de la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection de tipo DWORD. El valor predeterminado de esta clave es Heredado. Establezca la clave a uno de los siguientes valores:

•	Heredado: al configurar el valor DWORD en 0, la protección ampliada para la autenticación se deshabilitará en el servidor y ninguna conexión, incluso las de los clientes actualizados y configurados correctamente, se protegerá frente a los ataques de reenvío de credenciales.
•	Permitir protección ampliada: al configurar el valor DWORD en 1, el servidor protegerá los equipos cliente que se han configurado para usar el mecanismo de protección ampliada para la autenticación frente a los ataques de transmisión de credenciales. Los clientes que no se han actualizado ni configurado correctamente no estarán protegidos.
•	Requerir protección ampliada: al configurar el valor DWORD en 2, el servidor requerirá que los clientes admitan la protección ampliada para la autenticación; de no ser así, se rechazará la autenticación. Los clientes que no tengan habilitada la protección habilitada no se podrán autenticar en el servidor.

En el artículo 960859 de Microsoft Knowledge Base se pueden encontrar instrucciones acerca de cómo crear clave del Registro.

¿Qué debo tener en cuenta al implementar la protección ampliada para la autenticación?

Los clientes deben instalar la actualización incluida en el artículo 968389 de Microsoft Knowledge Base, instalar las actualizaciones de aplicación correspondientes en los equipos de cliente y de servidor, y configurar correctamente ambos equipos para usar el mecanismo de protección para protegerse de los ataques de reenvío de credenciales.

Cuando la protección ampliada para la autenticación está habilitada en el cliente, está habilitada para todas las aplicaciones que usan IWA. No obstante, en el servidor se debe habilitar según cada aplicación.

¿Por qué no es una actualización de seguridad anunciada en un boletín de seguridad?
Esta actualización implementa una característica nueva que puede no ser apropiada para que la habiliten todos los clientes. Ofrece una característica de seguridad adicional que los clientes pueden elegir implementar según su escenario específico.

Es un documento informativo sobre seguridad acerca de una actualización no relacionada con la seguridad. ¿No es contradictorio?
Los documentos informativos sobre seguridad tratan cambios en la seguridad que pueden no requerir un boletín de seguridad pero que pueden afectar a la seguridad general de los clientes. Los documentos informativos sobre seguridad constituyen una forma que tiene Microsoft para comunicar información relacionada con la seguridad a los clientes acerca de problemas que no se pueden clasificar como vulnerabilidades y pueden no requerir un boletín de seguridad, o acerca de problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, estamos comunicando la disponibilidad de una actualización que no corrige una vulnerabilidad de seguridad específica, sino, la seguridad general.

¿Cómo se ofrece esta actualización?
Estas actualizaciones están disponibles en el Centro de descarga de Microsoft. En la tabla Software afectado de la sección Descripción general se enumeran los vínculos directos a las actualizaciones del software afectado específico. Para obtener más información acerca de la actualización y los cambios de comportamiento, vea el artículo 968389 de Microsoft Knowledge Base.

¿Esta actualización se distribuye en una actualización automática?
Sí. Estas actualizaciones se distribuyen por el mecanismo de actualizaciones automáticas.

¿Qué versiones de Windows están relacionadas con este documento informativo?
La característica tratada en este documento informativo se pone a disposición de todas las plataformas enumeradas en el resumen Software afectado. Esta característica se encuentra en todas las versiones de Windows 7 y Windows Server 2008 R2.

Top of section

Acciones recomendadas

•	Consultar el artículo de Microsoft Knowledge Base asociado a este documento informativo Los clientes interesados en obtener más información acerca de esta característica, pueden consultar el artículo 973811 de Microsoft Knowledge Base.
•	Aplique las actualizaciones asociadas al boletín de seguridad MS09-042 Los clientes con sistemas afectados pueden descargar la actualización desde el artículo 968389 de Microsoft Knowledge Base. Esta actualización modifica la forma en que el servicio Telnet valida las respuestas de autenticación para evitar la retransmisión de credenciales.
•	Proteja su PC Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo.
•	Para obtener más información acerca de la seguridad en Internet, los clientes deben visitar Central de seguridad de Microsoft.
•	Mantener actualizado Windows Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Soluciones provisionales

Existen varias soluciones provisionales que ayudan a proteger los sistemas frente a la reflexión o el reenvío de las credenciales. Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución provisional reduce la funcionalidad, se identifica en la siguiente sección.

Habilite la firma SMB

Al habilitar la firma de SMB en el servidor se impide que el atacante obtenga acceso al servidor en el contexto del servidor que ha iniciado sesión. De este modo se ofrece protección contra el reenvío de credenciales al servicio SMB. Microsoft recomienda el uso de directivas de grupo para configurar la firma SMB.

Para obtener instrucciones detalladas acerca del uso de directivas de grupo para habilitar y deshabilitar la firma SMB para Microsoft Windows 2000, Windows XP y Windows Server 2003, vea el artículo 887429 de Microsoft Knowledge Base. Las instrucciones del artículo 887429 de Microsoft Knowledge Base para Windows XP y Windows Server 2003 también se aplican a Windows Vista y Windows Server 2008.

Consecuencias de la solución provisional: El uso de la firma de paquetes SMB puede deteriorar el rendimiento con SMBv1 de las transacciones de servicio de archivo. Los equipos que tengan configurada esta directiva no se comunicarán con los equipos que no tengan habilitada la firma de paquetes en el lado cliente. Para obtener más información acerca de la firma SMB y las posibles repercusiones, vea el artículo de MSDN "Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)".

Top of section

Recursos:

•	Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
•	Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	V1.0 (11 de agosto de 2009): Publicación del documento informativo.
•	V1.1 (14 de octubre de 2009): Se han actualizado las preguntas más frecuentes con información acerca de una actualización no relacionada con la seguridad incluida en MS09-054 relacionada con WinINET.

Principio de la página