RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Escenarios admitidos para restringir NTLM en un dominio [Parte2]

Avatar photo

ByRoberto Di Lello

Sep 22, 2023 , , , , ,

Hola, hoy continuaremos la nota que empezamos a ver el protocolo NTLM Entendiendo el protocolo NTLM: Auditor�a y restricci�n del uso [Parte1].

NTLM es un protocolo de autenticaci�n patentado por Microsoft que fue desarrollado para ser compatible con el sistema operativo Windows NT, principalmente para la autenticaci�n SMB. El proveedor de soporte de seguridad Negotiate (Spnego SSP) puede seleccionar NTLM como protocolo de autenticaci�n compatible seg�n diversas condiciones, y las aplicaciones y servicios pueden especificar expl�citamente el uso de NTLM (generalmente para reducir los problemas de compatibilidad de autenticaci�n). Sin embargo, Kerberos es el protocolo preferido durante el proceso de negociaci�n porque proporciona autenticaci�n mutua entre el cliente y el servidor.

Debido a que NTLM no proporciona autenticaci�n de servidor (o mutua), es un protocolo de autenticaci�n inferior. A partir de Windows Server 2008 R2 y Windows 7, el sistema operativo Windows incluye pol�ticas de grupo y pol�ticas de seguridad para ayudarlo a evaluar y reducir el uso de NTLM.

En este tema

  • Posibles problemas con el uso de NTLM heredado y actual
  • Escenarios de uso reducido de NTLM que comienzan con <token xmlns=”https://ddue.schemas.microsoft.com/authoring/2003/5″>nextref_server_7</token> y <token xmlns=”https://ddue.schemas. microsoft.com/authoring/2003/5″>nextref_client_7</token>

Posibles problemas con el uso de NTLM heredado y actual

La siguiente lista describe algunos problemas comunes en su entorno cuando tiene implementaciones mixtas de sistemas operativos Windows y aplicaciones que usan NTLM.

  • La autenticaci�n NTLM se utiliza en sus aplicaciones.Es posible que algunas de las aplicaciones implementadas en su entorno tengan NTLM codificado como protocolo de autenticaci�n. Hay varias formas de comprender este uso, ya sea utilizando el complemento NTLM para la herramienta Application Verifier o utilizando las pol�ticas de seguridad de auditor�a para restringir NTLM.
  • Dispositivos y aplicaciones compatibles con SAMBALa comunicaci�n y el intercambio de archivos entre Windows y UNIX o Linux se gestionan a trav�s de un conjunto de protocolos conocido como Common Internet File System o CIFS. CIFS implementa el protocolo Server Message Block (SMB) y Samba es una implementaci�n CIFS de c�digo abierto. Las aplicaciones se pueden cambiar para que utilicen otro protocolo de autenticaci�n como Kerberos, pero los dispositivos de hardware existentes a menudo no se pueden cambiar.
  • Las aplicaciones no proporcionan un nombre de pszTarget v�lidoNegotiate SSP requiere un pszTargetName v�lido para poder utilizar Kerberos, si est� disponible, y para habilitar mejoras de seguridad en el protocolo NTLM. NTLM depende de la aplicaci�n cliente para reenviar la solicitud de autenticaci�n de manera adecuada, pero Kerberos requiere el SPN. El uso de un FQDN SPN permite un mejor acceso en escenarios de confianza entre bosques. Los UPN tambi�n se pueden utilizar para pszTargetName en la comunicaci�n de usuario a usuario. No pasar un nombre de destino impide la autenticaci�n mutua.
  • Aplicaciones que pasan nombres NetBIOS en entornos entre bosquesNTLM depende de la aplicaci�n para encontrar el servidor de destino, por lo que la autenticaci�n de desaf�o-respuesta funciona. Sin embargo, debido a que el cliente no puede decodificar el nombre NetBIOS, Kerberos no puede usarlo para determinar el destino del servidor deseado. El Centro de distribuci�n de claves (KDC) solo proporciona informaci�n del cat�logo global en un dominio particular por bosque, no entre fideicomisos de bosques.
  • Autenticaci�n de aplicaciones en entornos con confianzas externasPara entornos con confianzas externas, NTLM funciona porque depende de la aplicaci�n para encontrar el servidor de destino. La autenticaci�n mutua es dif�cil de lograr en esta topolog�a porque el cliente no puede determinar una relaci�n de confianza con el servidor.
  • Acceso basado en una direcci�n IPCuando una aplicaci�n o un usuario accede a recursos a trav�s de una direcci�n IP, no se puede realizar la autenticaci�n mutua y, por lo tanto, se utiliza NTLM. El registro de direcciones IP generalmente no es pr�ctico en entornos que utilizan DHCP y, a partir de Windows Vista, el sistema operativo examina el formato del SPN solicitado y, si es solo una direcci�n IP, se utiliza expl�citamente NTLM.
  • Registro de SPNEn versiones del sistema operativo Windows anteriores a Windows Server 2012 y Windows 8, NTLM no requiere registrar SPN, pero Kerberos s�. Esto significa que debe considerar el esfuerzo de registrar (o cambiar) los SPN de los servicios al reducir el uso de NTLM en su entorno.
  • Soporte an�nimoNTLM admite la autenticaci�n an�nima, pero el protocolo Kerberos no.�Esto significa que debe considerar el esfuerzo de cambiar el esquema de autenticaci�n de la autenticaci�n an�nima al reducir el uso de NTLM en su entorno.
  • DCOM y NetlogonEn casos especiales, Negotiate SSP permite que el servidor seleccione NTLM incluso cuando se obtuvo un ticket de Kerberos. Esto ocurre cuando un usuario remoto inici� sesi�n en la red sin especificar DELEGATE, lo que inici� los servidores DCOM para hacerse pasar por ese usuario remoto.
  • Acceso remoto mediante NTLMNTLM funciona para el acceso corporativo remoto, mientras que el protocolo Kerberos no porque la computadora cliente fuera del firewall corporativo no puede obtener un ticket de Kerberos.

Escenarios de uso reducido de NTLM a partir de Windows Server 2008 R2 y Windows 7

Las pol�ticas de seguridad y de grupo introducidas en Windows Server 2008 R2 y Windows 7 pueden ayudarlo a evaluar el uso de NTLM en su entorno y, en algunos casos, ayudarlo a reducir la cantidad y la frecuencia de las solicitudes de autenticaci�n NTLM.�Pero las pol�ticas est�n dise�adas �nicamente para ayudarle a comprender y controlar el tr�fico.�Es posible que deba modificar aplicaciones, reemplazar dispositivos de red, instalar herramientas de auditor�a y sistemas de recopilaci�n de eventos, y actualizar los sistemas operativos, seg�n los objetivos de su proyecto.�Para comprender los elementos del proyecto que quiz�s deba abordar, consulte�Evaluaci�n de su entorno para la reducci�n de NTLM�.

Hay tres escenarios de bloqueo NTLM dentro de un dominio de destino:

  1. Denegar NTLM de usuarios del dominio a servidores del dominio
  2. Denegar NTLM de usuarios del dominio a servidores de otros dominios
  3. Denegar NTLM a usuarios de otros dominios a servidores del dominio

La siguiente tabla muestra el uso de autenticaci�n para cada combinaci�n, ya sea compatible o no.

Post Relacionados:

  1. Entendiendo el protocolo NTLM: Auditor�a y restricci�n del uso [Parte1]
  2. Windows 11 Insider Preview Build 25921
  3. Windows 11 Insider Preview Build 25375
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

Windows 11

Copilot en Windows y Windows 365: Ayudando a los clientes a avanzar en la nueva era del trabajo

Jun 28, 2024 Roberto Di Lello
Windows 11

Windows 11: cómo ver el rendimiento {HowTo}

Jun 18, 2024 Roberto Di Lello
Windows 11

Windows 11: publicidad en el menu inicio?

Jun 14, 2024 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

You missed

Windows 11

Copilot en Windows y Windows 365: Ayudando a los clientes a avanzar en la nueva era del trabajo

Jun 28, 2024 Roberto Di Lello
Uncategorized

Mejoras de Microsoft Copilot para Windows 11

Jun 24, 2024 Roberto Di Lello
Windows 11

Windows 11: cómo ver el rendimiento {HowTo}

Jun 18, 2024 Roberto Di Lello
Windows 11

Windows 11: publicidad en el menu inicio?

Jun 14, 2024 Roberto Di Lello