Cómo solucionar problemas de autenticación en una red segura

Si tienes problemas para iniciar sesión en una red diversa y segura, la solución puede ser simplemente permitir los puertos y protocolos correctos entre los dispositivos para autenticar. Sin embargo, antes de pasar a los puertos y protocolos, es importante entender la secuencia de eventos que inician la autenticación del usuario.

Índice de Contenido
  1. El proceso de WinLogon
  2. El esquema de autenticación predeterminado de Windows
  3. Nota del autor
  4. ¿Qué pasa con Kerberos para NT?

El proceso de WinLogon

La primera fase de WinLogon es [Ctrl][Alt][Supr], la secuencia predeterminada de Atención de Seguridad (SAS) de Windows. Esta secuencia indica al sistema operativo que alguien está intentando iniciar sesión.

Cuando se inicia el SAS, todas las aplicaciones en modo de usuario se pausan hasta que se complete o cancele la operación de seguridad. Esta suspensión de las aplicaciones en modo de usuario es una característica de seguridad importante. Los registradores de pulsaciones de teclas o los virus troyanos quedan desactivados y se evita que graben las pulsaciones de teclas mientras los usuarios ingresan sus contraseñas.

El proceso de WinLogon es parte de la Autoridad de Seguridad Local (LSA) para el procedimiento de inicio de sesión del sistema operativo Windows. Para completar este procedimiento, el sistema operativo autentica las credenciales del usuario con un servidor de inicio de sesión y, dependiendo del tipo de autenticación, el inicio de sesión puede fallar si los puertos y protocolos adecuados entre el cliente y el servidor no están abiertos.

El esquema de autenticación predeterminado de Windows

Por defecto, el esquema de autenticación tanto en máquinas con Windows NT como en máquinas con Windows 2000 está configurado en LAN Manager (LM), que transmite y almacena el hash de la contraseña de cada usuario utilizando un algoritmo de seguridad extremadamente débil. Esto facilita que los hackers descifren las contraseñas una vez que capturan este hash de contraseña débil.

Microsoft ha actualizado su esquema de autenticación propietario cuatro veces. El estándar de autenticación actual para las comunicaciones entre clientes de NT y servidores de NT/Win2K es NTLMv2. Sin embargo, si no has cambiado la variable LMCompatabilityLevel en la siguiente clave del registro tanto en clientes de NT/Win2K como en servidores, de forma predeterminada seguirás utilizando el esquema LM, lo que disminuye en gran medida la seguridad de toda tu red:

Dónde se encuentran los programas que se inician automáticamente en Windows XP

HKEY_Local_Machine\System\CurrentControlSet\control\LSA

Nota del autor

Editar el registro del sistema es arriesgado. Antes de realizar cualquier modificación en el registro, asegúrate de hacer una copia de seguridad para poder restaurarlo en caso de que algo salga mal.

Después de realizar este cambio, aún necesitarás forzar al sistema a eliminar el hash LM. Ejecuta Regedt32.exe y vuelve a la misma clave del registro. En el menú Edición, haz clic en "Agregar clave", agrega la clave NoLMHash y deja vacío el campo de clase. (Para obtener más información sobre este cambio en el registro, lee el artículo 299656 de Microsoft.)

Esta nueva clave del registro obligará tanto a NT como a Win2K a eliminar el hash LM, lo que reducirá tu vulnerabilidad a los descifradores de contraseñas. Sin embargo, los cambios en el registro no surtirán efecto hasta que el usuario cambie su contraseña y se cree un nuevo hash.

Ahora que te has deshecho del hash LM y tu red utiliza NTLMv2 para la autenticación de clientes, el siguiente paso para asegurar el tráfico de autenticación en redes basadas en Windows es actualizar tus clientes y servidores para aprovechar Kerberos, el último esquema de autenticación de Windows.

¿Qué pasa con Kerberos para NT?

No existe "Kerberos para NT". Si todavía utilizas clientes de NT, puedes instalar el cliente de Active Directory (AD) y hacer que sean conscientes de Active Directory, pero no habilitar Kerberos. El cliente de AD instala las Interfaces de Servicios de Directorio Activo (ADSI), proporciona conocimiento de sitio a las computadoras NT para que puedan encontrar el controlador de dominio más cercano y permite que NT use el Dfs y la Libreta de direcciones de Windows AD. Esto no cambia el método que utilizan las computadoras NT para la autenticación.

Cómo recuperar contraseñas perdidas en Windows: técnicas y herramientas

Las máquinas NT utilizarán solo NTLM para autenticarse, independientemente de si están comunicándose con servidores NT o Win2K. Para permitir que tus clientes y servidores se comuniquen de manera segura, asegúrate de que los puertos adecuados estén abiertos y verifica que tus clientes y servidores estén configurados para usar NTLMv2.

Este artículo apareció originalmente en el boletín de noticias Security Solutions de Newsmatic.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo solucionar problemas de autenticación en una red segura , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.