Directivas de autenticación y silos de directivas de autenticación
En este tema para los profesionales de TI se describen los silos de directivas de autenticación y las directivas que pueden restringir las cuentas a esos silos. También se explica cómo usar las directivas de autenticación para restringir el ámbito de las cuentas.
Los silos de directivas de autenticación y las directivas correspondientes proporcionan una manera de contener credenciales de privilegios elevados a sistemas que solo son pertinentes para los usuarios, equipos o servicios seleccionados. Los silos se pueden definir y administrar en los Servicios de dominio de Active Directory (AD DS) usando el Centro de administración de Active Directory y los cmdlets de Active Directory Windows PowerShell.
Los silos de directivas de autenticación son contenedores a los que los administradores pueden asignar cuentas de usuario, cuentas de equipo y cuentas de servicio. Las directivas de autenticación que se han aplicado a un contenedor pueden administrar conjuntos de cuentas. De esta manera se reduce la necesidad de que el administrador realice un seguimiento del acceso de las cuentas individuales a los recursos, y ayuda a evitar que usuarios malintencionados accedan a otros recursos mediante el robo de credenciales.
Las funcionalidades presentadas en Windows Server 2012 R2 permiten crear silos de directivas de autenticación que hospedan un conjunto de usuarios con privilegios elevados. Después, puedes asignar directivas de autenticación para este contenedor para limitar en qué lugar del dominio se pueden usar las cuentas con privilegios. Cuando las cuentas están en el grupo de seguridad Usuarios protegidos, se aplican otros controles adicionales, como el uso exclusivo del protocolo Kerberos.
Con estas funcionalidades, puedes limitar el uso de las cuentas valiosas a los hosts valiosos. Por ejemplo, podrías crear un nuevo silo Administradores del bosque que contiene los administradores de organización, de esquema y dominio. Después, podrías configurar el silo con una directiva de autenticación para que se produzca un error en la autenticación basada en contraseña y en tarjetas inteligentes de sistemas que no sean controladores de dominio o administradores de dominio.
Para obtener información sobre cómo configurar los silos de directivas de autenticación, consulta Configurar cuentas protegidas.
Acerca de los silos de directivas de autenticación
Un silo de directivas de autenticación controla qué cuentas puede restringir el silo y define las directivas de autenticación que se aplicarán a los miembros. Puedes crear el silo según los requisitos de tu organización. Los silos son objetos de Active Directory para usuarios, equipos y servicios tal y como se definen en el esquema de la siguiente tabla.
Esquema de Active Directory para silos de directivas de autenticación
Nombre para mostrar | Descripción |
---|---|
Authentication Policy Silo | Una instancia de esta clase define las directivas de autenticación y los comportamientos relacionados para los usuarios, equipos y servicios asignados. |
Authentication Policy Silos | Un contenedor de esta clase puede contener objetos de silo de directivas de autenticación. |
Authentication Policy Silo Enforced | Especifica si se aplica el silo de directivas de autenticación. Cuando no se aplica, la directiva está en modo de auditoría de forma predeterminada. Se generan eventos que indican posibles operaciones correctas o incorrectas, pero no se aplican protecciones al sistema. |
Assigned Authentication Policy Silo Backlink | Este atributo es el vínculo de retroceso de msDS-AssignedAuthNPolicySilo. |
Authentication Policy Silo Members | Especifica qué entidades de seguridad se asignan al AuthNPolicySilo. |
Authentication Policy Silo Members Backlink | Este atributo es el vínculo de retroceso de msDS-AuthNPolicySiloMembers. |
Los silos de directivas de autenticación se pueden configurar mediante la Consola de administración de Active Directory o Windows PowerShell. Para obtener más información, consulta Configurar cuentas protegidas.
Acerca de las directivas de autenticación
Una directiva de autenticación define las propiedades de vigencia del vale de concesión de vales (TGT) del protocolo Kerberos y las condiciones de control de acceso de autenticación para un tipo de cuenta. La directiva se crea sobre el contenedor de AD DS conocido como silo de directivas de autenticación y lo controla.
Las directivas de autenticación controlan lo siguiente:
La vigencia del TGT para la cuenta, que está definido como no renovable.
Los criterios que las cuentas de dispositivo deben cumplir para iniciar sesión con una contraseña o certificado.
Los criterios que los usuarios y dispositivos deben cumplir para autenticarse en los servicios que se ejecutan como parte de la cuenta.
El tipo de cuenta de Active Directory determina que el rol del llamador es uno de los siguientes:
User
Los usuarios siempre deben ser miembros del grupo de seguridad Usuarios protegidos que, de forma predeterminada, rechaza los intentos de autenticación con NTLM.
Las directivas se pueden configurar para establecer la duración de TGT de una cuenta de usuario a un valor más corto o restringir los dispositivos en los que puede iniciar sesión una cuenta de usuario. Las expresiones enriquecidas se pueden configurar en la directiva de autenticación para controlar los criterios que deben cumplir los usuarios y sus dispositivos para autenticarse en el servicio.
Para obtener más información, consulta Grupo de seguridad de usuarios protegidos.
Servicio
Se usan cuentas de servicio administradas independientes, cuentas de servicio administradas de grupo o un objeto de cuenta personalizada que deriva de estos dos tipos de cuentas de servicio. Las directivas pueden establecer las condiciones de control de acceso de un dispositivo, que se usan para restringir las credenciales de las cuentas de servicio administradas a dispositivos específicos con una identidad de Active Directory. Los servicios nunca deben ser miembros del grupo de seguridad Usuarios protegidos porque se producirá un error de autenticación de entrada.
Equipo
Se usa el objeto de cuenta de equipo o el objeto de cuenta personalizada que deriva del objeto de cuenta de equipo. Las directivas pueden establecer las condiciones del control de acceso necesarias para permitir la autenticación de la cuenta en función de las propiedades del usuario y dispositivo. Los equipos nunca deben ser miembros del grupo de seguridad Usuarios protegidos porque se producirá un error de autenticación de entrada. De forma predeterminada, se rechazan los intentos de usar autenticación NTLM. No se debe configurar una vigencia de TGT para cuentas de equipo.
Nota
Se puede establecer una directiva de autenticación en un conjunto de cuentas sin asociar la directiva a un silo de directivas de autenticación. Puedes usar esta estrategia cuando tienes una sola cuenta que proteger.
Esquema de Active Directory para directivas de autenticación
En el esquema de la siguiente tabla se definen las directivas para objetos de Active Directory para usuarios, equipos y servicios.
Tipo | Display Name (Nombre para mostrar) | Descripción |
---|---|---|
Directiva | Directiva de autenticación | Una instancia de esta clase define los comportamientos de las directivas de autenticación para las entidades de seguridad asignadas. |
Directiva | Authentication Policies | Un contenedor de esta clase puede contener objetos de directiva de autenticación. |
Directiva | Authentication Policy Enforced | Especifica si se aplica la directiva de autenticación. Cuando no se aplica, la directiva está en modo de auditoría de forma predeterminada, y se generan eventos que indican posibles operaciones correctas o incorrectas, pero no se aplican protecciones al sistema. |
Directiva | Assigned Authentication Policy Backlink | Este atributo es el vínculo de retroceso de msDS-AssignedAuthNPolicy. |
Directiva | Assigned Authentication Policy | Especifica qué AuthNPolicy se debe aplicar a esta entidad de seguridad. |
Usuario | User Authentication Policy | Especifica qué AuthNPolicy se debe aplicar a los usuarios que están asignados a este objeto de silo. |
Usuario | User Authentication Policy Backlink | Este atributo es el vínculo de retroceso de msDS-UserAuthNPolicy. |
Usuario | ms-DS-User-Allowed-To-Authenticate-To | Este atributo se usa para determinar el conjunto de entidades de seguridad que tienen permiso para autenticarse en un servicio que se ejecuta con la cuenta de usuario. |
Usuario | ms-DS-User-Allowed-To-Authenticate-From | Este atributo se usa para determinar el conjunto de dispositivos en los que la cuenta de usuario tiene permiso para iniciar sesión. |
Usuario | User TGT Lifetime | Especifica el tiempo máximo de un TGT de Kerberos emitido a un usuario (expresado en segundos). Los TGT resultantes no son renovables. |
Computer | Computer Authentication Policy | Especifica qué AuthNPolicy se debe aplicar a los equipos que están asignados a este objeto de silo. |
Computer | Computer Authentication Policy Backlink | Este atributo es el vínculo de retroceso de msDS-ComputerAuthNPolicy. |
Computer | ms-DS-Computer-Allowed-To-Authenticate-To | Este atributo se usa para determinar el conjunto de entidades de seguridad que tienen permiso para autenticarse en un servicio que se ejecuta con la cuenta de equipo. |
Computer | Computer TGT Lifetime | Especifica el tiempo máximo de un TGT de Kerberos emitido a un equipo (expresado en segundos). No se recomienda cambiar esta configuración. |
Servicio | Service Authentication Policy | Especifica qué AuthNPolicy se debe aplicar a los servicios que están asignados a este objeto de silo. |
Servicio | Service Authentication Policy Backlink | Este atributo es el vínculo de retroceso de msDS-ServiceAuthNPolicy. |
Servicio | ms-DS-Service-Allowed-To-Authenticate-To | Este atributo se usa para determinar el conjunto de entidades de seguridad que tienen permiso para autenticarse en un servicio que se ejecuta con la cuenta de servicio. |
Servicio | ms-DS-Service-Allowed-To-Authenticate-From | Este atributo se usa para determinar el conjunto de dispositivos en los que una cuenta de servicio tiene permiso para iniciar sesión. |
Servicio | Service TGT Lifetime | Especifica el tiempo máximo de un TGT de Kerberos emitido a un servicio (expresado en segundos). |
Las directivas de autenticación se pueden configurar para cada silo mediante la Consola de administración de Active Directory o Windows PowerShell. Para obtener más información, consulta Configurar cuentas protegidas.
Cómo funciona
En esta sección se describe cómo funcionan los silos de directivas de autenticación y las directivas de autenticación junto con el grupo de seguridad Usuarios protegidos y la implementación del protocolo Kerberos en Windows.
Cómo se usa el protocolo Kerberos con los silos y las directivas de autenticación
Cómo funciona la restricción del inicio de sesión de un usuario
Cómo funciona la restricción de la emisión de vales de servicio
Cuentas protegidas
El grupo de seguridad Usuarios protegidos activa una protección no configurable en dispositivos y equipos host que ejecutan Windows Server 2012 R2 y Windows 8.1, y en controladores de dominio en dominios cuyo controlador de dominio principal ejecuta Windows Server 2012 R2. Según el nivel funcional de dominio de la cuenta, los miembros del grupo de seguridad Usuarios protegidos están aún más protegidos por los cambios en los métodos de autenticación que se admiten en Windows.
Los miembros del grupo de seguridad Usuarios protegidos no pueden autenticarse mediante NTLM, autenticación implícita o delegación de credenciales predeterminada CredSSP. En los dispositivos que ejecutan Windows 8.1 y que usan cualquiera de estos proveedores de compatibilidad para seguridad (SSP), se produce un error en la autenticación en un dominio cuando la cuenta es miembro del grupo de seguridad Usuarios protegidos.
El protocolo Kerberos no usará los tipos de cifrado DES o RC4 más débiles en el proceso de autenticación previa. Esto significa que el dominio se debe configurar para que admita al menos el tipo de cifrado AES.
La cuenta del usuario no se puede delegar mediante la delegación Kerberos, sea con o sin restricciones. Esto significa que se producirán errores en las conexiones anteriores a otros sistemas si el usuario es miembro del grupo de seguridad Usuarios protegidos.
La vigencia predeterminada de los TGT de Kerberos de cuatro horas se pueden configurar mediante silos y directivas de autenticación, accesibles a través del Centro de administración de Active Directory. esto quiere decir que, una vez transcurridas esas cuatro horas, el usuario debe volver a autenticarse.
Para obtener más información sobre este grupo de seguridad, consulta Cómo funciona el grupo Usuarios protegidos.
Silos y directivas de autenticación
Los silos de directivas de autenticación y las directivas de autenticación aprovechan la infraestructura de autenticación de Windows existente. Se rechaza el uso del protocolo NTLM y se usa el protocolo Kerberos con nuevos tipos de cifrado. Las directivas de autenticación complementan el grupo de seguridad Usuarios protegidos porque proporcionan una manera de aplicar restricciones configurables a las cuentas, además de restricciones a las cuentas de servicios y equipos. Las directivas de autenticación se aplican durante el intercambio del servicio de autenticación (AS) o del servicio de concesión de vales (TGS) del protocolo Kerberos. Para obtener más información sobre cómo usa Windows el protocolo Kerberos y qué cambios se han realizado para admitir silos de directivas de autenticación y directivas de autenticación, consulta:
Funcionamiento del protocolo de autenticación Kerberos, versión 5
Cambios en la autenticación Kerberos (Windows Server 2008 R2 y Windows 7)
Cómo se usa el protocolo Kerberos con los silos de directivas de autenticación y las directivas de autenticación
Cuando una cuenta de dominio se vincula a un silo de directivas de autenticación y el usuario inicia sesión, el Administrador de cuentas de seguridad agrega el tipo de notificación Silo de directivas de autenticación que incluye el silo como valor. Esta notificación en la cuenta proporciona acceso al silo de destino.
Cuando se aplica una directiva de autenticación y en el controlador de dominio se recibe una solicitud del servicio de autenticación para una cuenta de servicio, el controlador de dominio devuelve un TGT no renovable con la vigencia configurada (a menos que la vigencia del TGT del dominio sea menor).
Nota
La cuenta de dominio debe tener configurada una vigencia de TGT y debe estar vinculada directamente a la directiva o vinculada indirectamente a través de la pertenencia al silo.
Cuando una directiva de autenticación está en modo de auditoría y en el controlador de dominio se recibe una solicitud del servicio de autenticación para una cuenta de dominio, el controlador de dominio comprueba si la autenticación está permitida para el dispositivo para poder registrar una advertencia en caso de error. Una directiva de autenticación auditada no altera el proceso, por lo que no se producirán errores en las solicitudes de autenticación si no cumplen los requisitos de la directiva.
Nota
La cuenta de dominio debe estar vinculada directamente a la directiva o vinculada indirectamente a través de la pertenencia al silo.
Cuando se aplica una directiva de autenticación y el servicio de autenticación está protegido, y en el controlador de dominio se recibe una solicitud del servicio de autenticación para una cuenta de dominio, el controlador de dominio comprueba si la autenticación está permitida para el dispositivo. Si se produce un error, el controlador de dominio devuelve un mensaje de error y registra un evento.
Nota
La cuenta de dominio debe estar vinculada directamente a la directiva o vinculada indirectamente a través de la pertenencia al silo.
Cuando una directiva de autenticación está en modo de auditoría y el controlador de dominio recibe una solicitud del servicio de concesión de vales para una cuenta de dominio, el controlador comprueba si la autenticación está permitida en función de los datos del certificado de atributos de privilegios (PAC) del vale de la solicitud y registra un mensaje de advertencia en caso de error. El PAC contiene varios tipos de datos de autorización, incluidos los grupos a los que pertenece el usuario, los derechos que el usuario tiene y qué directivas se aplican al usuario. Esta información se usa para generar el token de acceso del usuario. Si es una directiva de autenticación aplicada que permite la autenticación de un usuario, dispositivo o servicio, el controlador de dominio comprueba si la autenticación está permitida en función de los datos de PAC del vale de la solicitud. Si se produce un error, el controlador de dominio devuelve un mensaje de error y registra un evento.
Nota
La cuenta de dominio debe estar vinculada directamente o vinculada indirectamente a través de la pertenencia al silo a una directiva de autenticación auditada que permite la autenticación de un usuario, dispositivo o servicio.
Puedes usar una única directiva de autenticación para todos los miembros de un silo, o puedes usar directivas diferentes para usuarios, equipos y cuentas de servicio administradas.
Las directivas de autenticación se pueden configurar para cada silo mediante la Consola de administración de Active Directory o Windows PowerShell. Para obtener más información, consulta Configurar cuentas protegidas.
Cómo funciona la restricción del inicio de sesión de un usuario
Como estas directivas de autenticación se aplican a una cuenta, también se aplican a las cuentas que usan los servicios. Si quieres limitar el uso de una contraseña para un servicio a hosts específicos, esta configuración resulta útil. Por ejemplo, se configuran cuentas de servicio administradas de grupo para que los hosts tengan permiso para recuperar la contraseña de Active Directory Domain Services. Sin embargo, esa contraseña se puede usar desde cualquier host para la autenticación inicial. Se puede lograr un nivel adicional de protección aplicando una condición de control de acceso que limite la contraseña a tan solo el conjunto de hosts que pueden recuperar la contraseña.
Cuando los servicios que se ejecutan como sistema, servicio de red u otra identidad de servicio local se conectan a los servicios de red, usan la cuenta de equipo del host. Los equipos cliente no se pueden restringir. Aunque el servicio esté usando una cuenta de equipo que no sea para un host de Windows, no se puede restringir.
Para restringir el inicio de sesión de un usuario a hosts concretos requiere que el controlador de dominio valide la identidad del host. Cuando se usa la autenticación Kerberos con la protección Kerberos (que forma parte de Control de acceso dinámico), se proporciona el Centro de distribución de claves con el TGT del host desde el cual se está autenticando el usuario. El contenido de este TGT protegido se usa para completar una comprobación del acceso para determinar si el host está permitido.
Cuando un usuario inicia sesión en Windows o especifica sus credenciales de dominio en una petición de credenciales de una aplicación, de forma predeterminada, Windows envía una AS-REQ sin proteger al controlador de dominio. Si el usuario envía la solicitud desde un equipo que no admite protección, como los equipos que ejecutan Windows 7 o Windows Vista, se produce un error en la solicitud.
La lista siguiente describe el proceso:
El controlador de dominio de un dominio que ejecuta Windows Server 2012 R2 consulta la cuenta de usuario y determina si está configurada con una directiva de autenticación que restringe la autenticación inicial que requiere solicitudes protegidas.
El controlador de dominio producirá un error en la solicitud.
Dado que se necesita protección, el usuario puede intentar iniciar sesión mediante un equipo que ejecute Windows 8.1 o Windows 8, que está habilitado para admitir la protección de Kerberos para poder volver a intentar el proceso de inicio de sesión.
Windows detecta que el dominio admite la protección Kerberos y envía una AS-REQ protegida para reintentar la solicitud de inicio de sesión.
El controlador de dominio realiza una comprobación del acceso, para lo que usan las condiciones de control de acceso configuradas y la información de identidad del sistema operativo cliente en el TGT que se usó para proteger la solicitud.
Si la comprobación del acceso es incorrecta, el controlador de dominio rechaza la solicitud.
Aunque los sistemas operativos admitan la protección Kerberos, se pueden aplicar requisitos de control de acceso que deben cumplirse para que se conceda el acceso. Los usuarios inician sesión en Windows o especifican sus credenciales de dominio en una petición de credenciales de una aplicación. De forma predeterminada, Windows envía una AS-REQ sin proteger al controlador de dominio. Si el usuario envía la solicitud desde un equipo que admite la protección, como Windows 8.1 o Windows 8, las directivas de autenticación se evalúan de la siguiente manera:
El controlador de dominio de un dominio que ejecuta Windows Server 2012 R2 consulta la cuenta de usuario y determina si está configurada con una directiva de autenticación que restringe la autenticación inicial que requiere solicitudes protegidas.
El controlador de dominio realiza una comprobación del acceso, para lo que usa las condiciones de control de acceso configuradas y la información de identidad del sistema en el TGT que se usó para proteger la solicitud. La comprobación del acceso es correcta.
Nota
Si se han configurado restricciones de grupo de trabajo heredadas, se deben cumplir también.
El controlador de dominio responde con una respuesta protegida (AS-REP) y la autenticación continúa.
Cómo funciona la restricción de la emisión de vales de servicio
Cuando una cuenta no está autorizada y un usuario que tiene un TGT intenta conectarse al servicio (por ejemplo, abriendo una aplicación que requiere autenticación en un servicio identificado por el nombre de entidad de seguridad [SPN] del servicio), se produce la siguiente secuencia:
En un intento por conectar con SPN1 desde SPN, Windows envía una TGS-REQ al controlador de dominio que está solicitando un vale de servicio a SPN1.
El controlador de dominio que está en un dominio que ejecuta Windows Server 2012 R2 consulta SPN1 para buscar la cuenta de Active Directory Domain Services para el servicio y determina que la cuenta está configurada con una directiva de autenticación que restringe la emisión de vales de servicio.
El controlador de dominio realiza una comprobación del acceso, para lo que usa las condiciones de control de acceso configuradas y la información de identidad del usuario en el TGT. La comprobación del acceso es incorrecta.
El controlador de dominio rechaza la solicitud.
Cuando una cuenta está autorizada porque cumple las condiciones de control de acceso que establece la directiva de autenticación y un usuario que tiene un TGT intenta conectarse al servicio (por ejemplo, abriendo una aplicación que requiere autenticación en un servicio identificado por SPN del servicio), se produce la siguiente secuencia:
En un intento por conectar con SPN1, Windows envía una TGS-REQ al controlador de dominio que está solicitando un vale de servicio a SPN1.
El controlador de dominio que está en un dominio que ejecuta Windows Server 2012 R2 consulta SPN1 para buscar la cuenta de Active Directory Domain Services para el servicio y determina que la cuenta está configurada con una directiva de autenticación que restringe la emisión de vales de servicio.
El controlador de dominio realiza una comprobación del acceso, para lo que usa las condiciones de control de acceso configuradas y la información de identidad del usuario en el TGT. La comprobación del acceso es correcta.
El controlador de dominio responde a la solicitud con una respuesta de servicio de concesión de vales (TGS-REP).
Mensajes de eventos de error e informativos asociados
En la tabla siguiente se describen los eventos asociados con el grupo de seguridad Usuarios protegidos y las directivas de autenticación que se aplican a los silos de directivas de autenticación.
Los eventos se registran en los registros de aplicaciones y servicios en Microsoft\Windows\Authentication.
Para ver los pasos que usan estos eventos para solucionar problemas, consulta Solución de problemas de directivas de autenticación y Solución de problemas de eventos relativos a Usuarios protegidos.
Identificador de evento y registro | Descripción |
---|---|
101 AuthenticationPolicyFailures-DomainController |
Motivo: Se produce un error de inicio de sesión de NTLM porque la directiva de autenticación está configurada. Se registra un evento en el controlador de dominio para indicar que se produjo un error de autenticación NTLM porque se necesitan restricciones de control de acceso, y esas restricciones no se pueden aplicar a NTLM. Muestra los nombres de cuenta, dispositivo, directiva y silo. |
105 AuthenticationPolicyFailures-DomainController |
Motivo: Se produce un error de restricción Kerberos porque no se permite la autenticación desde un dispositivo determinado. Se registra un evento en el controlador de dominio para indicar que se denegó un TGT de Kerberos porque el dispositivo no cumple las restricciones de control de acceso aplicadas. Muestra los nombres de cuenta, dispositivo, directiva y silo, y la vigencia del TGT. |
305 AuthenticationPolicyFailures-DomainController |
Motivo: Se podría producir un posible error de restricción Kerberos porque no se permite la autenticación desde un dispositivo determinado. En el modo de auditoría, se registra un evento informativo en el controlador de dominio para determinar si se denegará un TGT de Kerberos porque el dispositivo no cumple las restricciones de control de acceso aplicadas. Muestra los nombres de cuenta, dispositivo, directiva y silo, y la vigencia del TGT. |
106 AuthenticationPolicyFailures-DomainController |
Motivo: Se produce un error de restricción Kerberos porque el usuario o dispositivo no están autorizados a autenticarse en el servidor. Se registra un evento en el controlador de dominio para indicar que se denegó un vale de servicio de Kerberos porque el usuario, el dispositivo o ambos no cumplen las restricciones de control de acceso aplicadas. Muestra los nombres de dispositivo, directiva y silo. |
306 AuthenticationPolicyFailures-DomainController |
Motivo: Se podría producir un error de restricción Kerberos porque el usuario o dispositivo no están autorizados a autenticarse en el servidor. En el modo de auditoría, se registra un evento informativo en el controlador de dominio para indicar que se denegará un vale de servicio de Kerberos porque el usuario, el dispositivo o ambos no cumplen las restricciones de control de acceso. Muestra los nombres de dispositivo, directiva y silo. |
Referencias adicionales
Cómo configurar cuentas protegidas