Cambios importantes en la configuración de seguridad del controlador de dominio de Windows
En mayo de 2022, Microsoft implementó actualizaciones de seguridad críticas para Windows que abordaban varias vulnerabilidades identificadas como CVE-2022-34691, CVE-2022-26931 y CVE-2022-26923. Estas vulnerabilidades se refieren a fallos de elevación de privilegios (EoP) que afectan específicamente a los procesos de servicio de los sistemas de autenticación basados en certificados empleados en el Centro de Distribución de Claves Kerberos (KDC).
El problema afectó especialmente a los controladores de dominio (DC) de Windows, que no reconocían el símbolo de dólar («$») al final de los nombres de las máquinas. Este descuido creó una oportunidad para que los ciberdelincuentes falsificaran certificados de diversas maneras maliciosas. En respuesta, Microsoft introdujo una serie de actualizaciones en los últimos años para facilitar una transición más fluida para los administradores de TI, manteniendo al mismo tiempo la compatibilidad del sistema.
Próximas actualizaciones del martes de parches
A partir del 9 de septiembre, se implementarán cambios significativos con las próximas actualizaciones del martes de parches. En particular, la clave de registro del Centro de Distribución de Claves se considerará no compatible. Como solución temporal, introducida en mayo de 2022, Microsoft proporcionó la clave de registro StrongCertificateBindingEnforcement. Esta clave permitió a los administradores de TI seguir utilizando asignaciones y autenticación basadas en certificados, aunque solo en modo de compatibilidad, lo que permite diversos métodos de validación de la autenticidad del usuario y mecanismos de respaldo basados en valores definidos.
Impacto de la retrodatación de certificados
Además de la clave StrongCertificateBindingEnforcement, otra clave de registro, conocida como CertificateBackdatingCompensation, también experimentará cambios en septiembre. Esta clave, cuyo objetivo era también admitir el modo de compatibilidad, permitía la autenticación de usuarios incluso con asignaciones de certificados más débiles, siempre que la fecha del certificado fuera anterior a la fecha de creación del usuario. Sin embargo, tras las próximas actualizaciones, se prohibirá el uso de asignaciones de certificados débiles. La razón de este cambio es lógica, dado que la configuración anterior desactivaba una comprobación de seguridad esencial.
Transición del modo de compatibilidad
Es fundamental que los administradores de TI tengan en cuenta que, una vez activado el modo de Cumplimiento Total después del 10 de septiembre, no será posible volver al modo de Compatibilidad. Este cambio recalca el compromiso de Microsoft con la mejora de la seguridad de los controladores de dominio de Windows, garantizando que las organizaciones no solo cumplan con las normativas, sino que también estén protegidas contra posibles amenazas.
Para obtener información más detallada sobre estos cambios, se recomienda a los profesionales de TI que administran controladores de dominio de Windows que consulten la guía completa de Microsoft.
Artículos relacionados:
Una característica clásica de Windows Vista podría regresar a Windows 11
19:30
Microsoft elimina el bloqueo de actualizaciones, lo que permite que más usuarios descarguen Windows 11 24H2
8:44
Microsoft confirma que las actualizaciones KB5065426 y KB5064081 de Windows 11 interrumpen la reproducción de vídeo DRM/HDCP
5:58
Deja una respuesta