Documente Academic
Documente Profesional
Documente Cultură
Se aplica a:
Windows 10
Windows 10 Mobile
S/MIME significa Extensiones seguras multipropósito al correo de Internet y proporciona una capa de seguridad
adicional para correos electrónicos enviados a una cuenta de Exchange ActiveSync (EAS ) y desde ella. En Windows
10, S/MIME permite a los usuarios cifrar los datos adjuntos y los mensajes salientes para que puedan leerlos solo
los destinatarios previstos que tienen una identificación digital (Id.), también conocida como certificado. Los
usuarios pueden firmar digitalmente un mensaje, lo que proporciona a los destinatarios una manera de comprobar
la identidad del remitente y que el mensaje no ha sido alterado.
Requisitos previos
S/MIME está habilitado para las cuentas de Exchange (local y Office 365). Los usuarios no pueden usar la firma
y el cifrado de S/MIME con una cuenta personal como Outlook.com.
Se han instalado en el dispositivo certificados de intercambio de información personal (PFX) válidos.
Cómo crear perfiles de certificado PFX en el Administrador de configuración
Habilitar el acceso a recursos de la compañía mediante perfiles de certificado con Microsoft Intune
Instalar certificados digitales en Windows 10 Mobile
4. En Seleccionar una cuenta, selecciona la cuenta para la que quieras configurar las opciones de S/MIME.
5. Selecciona un certificado para la firma digital y cifrado.
Selecciona Automáticamente para permitir que la aplicación elija el certificado.
Selecciona Manualmente para especificar un certificado de la lista de certificados válidos en el
dispositivo.
6. (Opcional) Selecciona Firmar siempre con S/MIME, Cifrar siempre con S/MIME, o ambas opciones,
para firmar digitalmente o cifrar de forma automática todos los mensajes salientes.
Nota: La opción para firmar o cifrar puede cambiarse para mensajes individuales, a menos que las
directivas EAS lo impidan.
7. Pulsa en la flecha atrás.
Se aplica a
Windows 10
La asignación de certificados de empresa es una característica de Windows para recordar o "asignar" una entidad
emisora de certificados raíz o certificado de entidad final a un nombre de dominio dado. La asignación de
certificados de ayuda a reducir los ataques de tipo "Man in the middle" al permitirte proteger los nombres de
dominio internos contra certificados de encadenamiento o no deseados o contra certificados emitidos de forma
fraudulenta.
NOTE
Los nombres de dominio externo, donde entidad de certificación pública emite el certificado emitido para estos dominios, no
son ideales para la asignación de certificados de empresa.
Implementación
Para implementar la asignación de certificados de empresa, debes:
Crear un archivo XML de reglas de asignación de certificados con formato correcto.
Crear un archivo de lista de certificados de confianza de reglas de asignación a partir del archivo XML.
Aplicar el archivo de lista de certificados de confianza de reglas de asignación a un equipo administrador de
referencia.
Implementar la configuración del registro en el equipo de referencia mediante la Consola de administración de
directivas de grupo (GPMC ), que se incluye en las Herramientas de administración remota del servidor (RSAT) .
Crear un archivo XML de las reglas de asignación
El archivo de reglas de asignación basado en XML consta de una secuencia de elementos PinRule. Cada elemento
PinRule contiene una secuencia de uno o más elementos Site y una secuencia de cero o más elementos Certificate.
<PinRules ListIdentifier="PinRulesExample" Duration="P28D">
</PinRules>
Elemento PinRules
El elemento PinRules puede tener los atributos siguientes. Para obtener ayuda con el formato de las reglas de
asignación, consulta Representar una fecha en XML o Representar una duración en XML.
Duration o NextUpdate Especifica cuándo expirarán las reglas de ¿Es obligatorio? Sí. Al menos uno es
asignación. Uno es obligatoria. obligatorio.
NextUpdate tiene prioridad si se
especifican ambos.
Duración, declarado como un tipo de
datos XML TimeSpan, no admite años y
meses. El atributo NextUpdate se
declara como un tipo de datos XML
DateTime en hora UTC.
Elemento PinRule
El elemento PinRule puede tener los atributos siguientes:
Elemento Certificate
El elemento Certificate puede tener los atributos siguientes:
Archivo Ruta de acceso a un archivo que Sí (debe estar presente File, Directory o
contiene uno o más certificados. Donde Base64).
los certificados pueden codificarse
como:
-.Certificado único
- p7b
- sst
Estos archivos también pueden tener el
formato Base64. Todos los elementos
Site que se incluyen en el mismo
elemento PinRule pueden coincidir con
cualquiera de estos certificados.
Directory Ruta de acceso a un directorio que Sí (debe estar presente File, Directory o
contiene uno o varios de los archivos de Base64).
certificado anteriores. Omite los
archivos que no contienen ningún
certificado.
Base64 Certificados codificados con Base64. Sí (debe estar presente File, Directory o
Donde los certificados pueden Base64).
codificarse como:
-.Certificado único
- p7b
- sst
Esto permite incluir los certificados en el
archivo XML sin una dependencia del
directorio de archivos.
Nota:
Puedes usar certutil-encode para
convertir un archivo .cer en base64. A
continuación, puedes usar el Bloc de
notas para copiar el certificado
codificado en base64 y pegarlo en la
regla de asignación.
Elemento Site
El elemento Site puede tener los atributos siguientes:
ATRIBUTO DESCRIPCIÓN REQUERIDO
Options:
-f -- Force overwrite
-v -- Verbose operation
Los mismos certificados pueden presentarse en varios elementos PinRule. El mismo dominio puede presentarse
en varios elementos PinRule. Certutil fusiona estos en la lista de certificados de confianza de reglas de asignación
resultante.
Certutil.exe no aplica estrictamente la definición de esquema XML. Lleva a cabo lo siguiente para permitir que otras
herramientas agreguen o consuman sus propios elementos y atributos específicos:
Omite los elementos antes y después del elemento PinRules.
Omite cualquier elemento que no coincida con Certificate o Site dentro del elemento PinRules.
Omite los atributos que no coinciden con los nombres anteriores para cada tipo de elemento.
Usa el comando certutil con el argumento generatePinRulesCTL junto con el archivo XML que contiene tus
reglas de asignación de certificados. Por último, proporciona el nombre de un archivo de salida que incluya las
reglas de asignación de certificados en forma de una lista de certificados de confianza.
NOMBRE VALOR
Clave HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingTyp
e0\CertDllCreateCertificateChainEngine\Config
Nombre PinRules
NOMBRE VALOR
Clave HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingTyp
e0\CertDllCreateCertificateChainEngine\Config
Nombre PinRulesLogDir
Siempre que una aplicación comprueba una cadena de certificados TLS/SSL que contiene un nombre de servidor
que coinciden con un nombre DNS en el certificado del servidor, Windows escribe un archivo. p7b, que consta de
todos los certificados de cadena del servidor, en una de tres carpetas secundarias:
AdminPinRules: coincide con un sitio en las reglas de asignación de certificados de la empresa.
AutoUpdatePinRules: coincide con un sitio en las reglas de asignación de certificados administradas por
Microsoft.
NoPinRules: no coincide con ningún sitio en las reglas de asignación de certificados.
El nombre de archivo de salida consta de 8 dígitos hexadecimales ASCII a la izquierda, correspondientes a la huella
digital de SHA1 de la raíz, seguidos por el nombre del servidor. Por ejemplo:
D4DE20D0_xsi.outlook.com.p7b
DE28F4A4_www.yammer.com.p7b
Si hay una falta de coincidencia con la regla de asignación de certificados de la empresa o la regla de asignación de
certificados de Microsoft, Windows escribe el archivo. p7b en la carpeta secundaria MismatchPinRules. Si
expiraron las reglas de asignación, Windows escribe el archivo. p7b en la carpeta secundaria ExpiredPinRules.
Por cuestiones de simplicidad, puedes truncar el punto decimal (.) y los números de después de él. Sin embargo,
asegúrate de anexar la "Z" mayúscula al final de la cadena de fecha XML.
2015-05-11T07:00:00.2655691Z
2015-05-11T07:00:00Z
Se aplica a:
Windows 10 Mobile
Los certificados digitales enlazan la identidad de un usuario o equipo a un par de claves que pueden usarse para
cifrar y firmar la información digital. Los certificados se emiten por una entidad de certificación (CA) que garantiza
la identidad del titular del certificado, y permiten comunicaciones de cliente seguras con sitios y servicios web.
Los certificados en Windows 10 Mobile se usan principalmente para los fines siguientes:
Para crear un canal seguro mediante una capa de sockets seguros (SSL ) entre un teléfono y un servidor o
servicio web.
Para autenticar un usuario en un servidor proxy inverso que se usa para habilitar Microsoft Exchange
ActiveSync (EAS ) para el correo electrónico.
Para la instalación y las licencias de aplicaciones (de la Tienda de Windows Phone o un sitio de distribución
personalizado de la empresa).
WARNING
En Windows10, versión1607, si tienes varios certificados aprovisionados en el dispositivo y el perfil de Wi-Fi aprovisionado no
tiene ningún criterio de filtrado estricto, pueden producirse errores de conexión al conectarte a la red Wi-Fi. Más información
sobre este problema conocido en la versión 1607
WARNING
No uses SCEP para certificados de cifrado de S/MIME. Debes usar un perfil de certificado PFX para admitir S/MIME en
Windows 10 Mobile. Para obtener instrucciones sobre cómo crear un perfil de certificado PFX en Microsoft Intune, consulta
Habilitar el acceso a los recursos de empresa mediante perfiles de certificados con Microsoft Intune.
NOTE
El dispositivo admite la función pendiente para permitir que el lado del servidor realice una comprobación adicional
antes de emitir el certificado. En este caso, se enviará un estado pendiente al dispositivo. El dispositivo se pondrá en
contacto periódicamente con el servidor, en función de los parámetros preconfigurados de número de reintentos y de
período de reintento. El reintento termina cuando:
Se ha recibido correctamente un certificado del servidor.
El servidor devuelve un error.
El número de reintentos alcanza el límite preconfigurado.
8. El certificado se instala en el dispositivo. El explorador, la red Wi-Fi, la VPN, el correo electrónico y otras
aplicaciones propias tienen acceso a este certificado.
NOTE
Si MDM solicita la clave privada que se almacena en el Módulo de proceso de confianza (TPM) (configurado durante
la solicitud de inscripción), la clave privada se guardará en el TPM. Ten en cuenta que certificado SCEP inscrito
protegido por TPM no está protegido por un PIN. Sin embargo, si el certificado se importa al proveedor de
almacenamiento de claves (KSP) de Windows Hello para empresas, está protegido por el PIN de Hello.
Temas relacionados
Configurar S/MIME
2 minutes to read
Proteger las credenciales de dominio derivadas con
Credential Guard de Windows Defender
29/08/2018 • 2 minutes to read
Se aplica a:
Windows 10
WindowsServer2016
¿Prefieres el vídeo? Consulta Credential Theft and Lateral Traversal (Robo de credenciales y cruce seguro lateral)
en la serie de vídeos Deep Dive into Windows Defender Credential Guard.
Credential Guard de Windows Defender, que se introdujo en Windows 10 Enterprise y en Windows Server 2016,
usa seguridad basada en la virtualización para aislar secretos, de manera que solo el software del sistema con
privilegios puede acceder a ellos. El acceso no autorizado a estos secretos puede derivar en ataques de robo de
credenciales, como ataques pass-the-hash o pass-the-ticket. Credential Guard de Windows Defender impide estos
ataques mediante la protección de los hash de contraseña NTLM, los vales de concesión de vales de Kerberos y las
credenciales que almacenan las aplicaciones como credenciales de dominio.
Al habilitar Credential Guard de Windows Defender, se proporcionan las siguientes características y soluciones:
Seguridad de hardware NTLM, Kerberos y el Administrador de credenciales usan las características de
seguridad de plataforma, como el arranque seguro y la virtualización, para proteger las credenciales.
Seguridad basada en la virtualización Windows NTLM, las credenciales derivadas de Kerberos y otros
secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
Mejor protección contra las amenazas persistentes avanzadas Cuando se protegen las credenciales de
dominio del Administrador de credenciales, NTLM y las credenciales derivadas de Kerberos mediante seguridad
basada en virtualización, las herramientas y técnicas de ataque de robo de credenciales que se usan en muchos
ataques dirigidos se bloquean. Con la ejecución de malware en el sistema operativo con privilegios
administrativos no se pueden extraer secretos que están protegidos con la seguridad basada en la virtualización.
Aunque Credential Guard de Windows Defender es una mitigación eficaz, los ataques de amenazas
persistentes, probablemente, cambiarán por nuevas técnicas de ataque y también deberías incorporar Device
Guard de Windows Defender y otras arquitecturas y estrategias de seguridad.
Temas relacionados
Modo de usuario aislado de Windows 10 con David Probert (Channel 9)
Características y procesos de modo de usuario aislado de Windows 10 con Logan Gabriel (Channel 9)
Más en Procesos y características en modo de usuario aislado de Windows 10 con David Probert (Channel 9)
Mitigación de los robos de credenciales mediante el modo de usuario aislado de Windows 10 (Channel 9)
Protección de contraseñas de red con Credential Guard de Windows Defender
Habilitación de la validación KDC estricta en Windows Kerberos
Novedades en la autenticación Kerberos para Windows Server 2012
Comprobación del mecanismo de autenticación de AD DS en la Guía paso a paso de Windows Server 2008 R2
Módulo de plataforma segura
Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Credentials Protected by Windows Defender Credential Guard (Credenciales protegidas con Credential Guard de
Windows Defender).
Cómo funciona Credential Guard de Windows
Defender
16/07/2018 • 2 minutes to read
Se aplica a:
Windows10
WindowsServer2016
¿Prefieres el vídeo? Consulta Windows Defender Credential Guard Design (Diseño de Credential Guard de
Windows Defender) en la serie de vídeos Deep Dive into Windows Defender Credential Guard.
Kerberos, NTLM y el Administrador de credenciales aíslan secretos mediante la seguridad basada en virtualización.
Las versiones anteriores de Windows almacenaban secretos en la Autoridad de seguridad local (LSA). Antes de
Windows 10, la LSA almacenaba los secretos que usaba el sistema operativo en la memoria del proceso. Con
Credential Guard de Windows Defender habilitado, el proceso de LSA en el sistema operativo se comunica con un
nuevo componente denominado proceso LSA aislado que almacena y protege estos secretos. Los datos
almacenados mediante el proceso LSA aislado se protegen con la seguridad basada en la virtualización y no son
accesibles para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el
proceso LSA aislado.
Por motivos de seguridad, el proceso LSA aislado no hospeda ningún controlador de dispositivo. En su lugar, solo
hospeda un pequeño subconjunto de binarios del sistema operativo que solo son necesarios para la seguridad.
Todos estos binarios se firman con un certificado de confianza de la seguridad basada en la virtualización y estas
firmas se validan antes de iniciar el archivo en el entorno protegido.
Cuando se habilita Credential Guard de Windows Defender, NTLMv1, MS -CHAPv2, Digest y CredSSP no pueden
usar las credenciales de inicio de sesión. Por lo tanto, el inicio de sesión único no funciona con estos protocolos. Sin
embargo, las aplicaciones pueden pedir credenciales o usar credenciales almacenadas en el almacén de
credenciales de Windows que no estén protegidas con Credential Guard de Windows Defender con cualquiera de
estos protocolos. Se recomienda encarecidamente que las credenciales importantes, como las de inicio de sesión,
no se usen con ninguno de estos protocolos. Si los usuarios del dominio o Azure AD deben usar estos protocolos,
se deben proporcionar credenciales secundarias para estos casos.
Cuando se habilita Credential Guard de Windows Defender, Kerberos no permite la delegación Kerberos sin
restricciones ni el cifrado DES, no solo para las credenciales de inicio de sesión, sino también para las credenciales
solicitadas o guardadas.
Aquí encontrarás una descripción general de cómo se aísla la LSA mediante la seguridad basada en virtualización:
Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Robo de credenciales y cruce seguro lateral
Seguridad de virtualización
Credentials Protected by Windows Defender Credential Guard (Credenciales protegidas con Credential Guard de
Windows Defender).
Requisitos de Credential Guard de Windows
Defender
29/08/2018 • 11 minutes to read
Se aplica a:
Windows 10
WindowsServer2016
¿Prefieres el vídeo? Consulta Windows Defender Credential Guard Deployment (Implementación de Credential
Guard de Windows Defender) en la serie de vídeos Deep Dive into Windows Defender Credential Guard.
Para que Windows Defender credenciales Guard proporcionar protección, los equipos que va a proteger deben
cumplir determinados requisitos de hardware, firmware y software de línea de base que nos referiremos a como
los requisitos de Hardware y software. Además, Credential Guard de Windows Defender bloquea determinadas
funcionalidades de autenticación, así que las aplicaciones que requieran funcionalidades bloqueadas no
funcionarán. Nos referiremos a esto como Requisitos de aplicación. Además, los equipos pueden cumplir
calificaciones adicionales de firmware y hardware, y recibir protecciones adicionales. Los equipos estarán más
reforzados frente a determinadas amenazas. Para obtener información detallada sobre las protecciones de línea
base, además de protecciones para mejorar la seguridad que están asociadas a las opciones de hardware y
firmware disponibles en 2015, 2016 y 2017, consulta las tablas de Consideraciones de seguridad.
Requisitos de aplicaciones
Cuando se habilita Credential Guard de Windows Defender, se bloquean las funcionalidades de autenticación
específicas, así que las aplicaciones que requieran funcionalidades bloqueadas no funcionarán. Las aplicaciones
deben probarse antes de la implementación para garantizar que son compatibles con la funcionalidad reducida.
WARNING
No se admite la habilitación de Credential Guard de Windows Defender en controladores de dominio.
El controlador de dominio hospeda los servicios de autenticación que se integran con procesos aislados cuando se habilita
Credential Guard de Windows Defender, lo que provoca bloqueos.
NOTE
Credential Guard de Windows Defender no proporciona protección para la base de datos de Active Directory ni el
Administrador de cuentas de seguridad (SAM). Las credenciales protegidas por Kerberos y NTLM cuando se habilita
Credential Guard de Windows Defender también están en la base de datos de Active Directory (en los controladores de
dominio) y en SAM (para las cuentas locales).
NOTE
A partir de Windows10, versión1607, el Módulo de plataforma segura (TPM2.0) debe estar habilitado de manera
predeterminada en equipos nuevos.
Si eres un OEM, consulta la información sobre requisitos en Requisitos de OEM de PC para Device Guard de Windows
Defender y Credential Guard de Windows Defender.
Protecciones básicas
PROTECCIONES DE LÍNEA DE BASE DESCRIPCIÓN BENEFICIOS DE SEGURIDAD
Hardware: extensiones de Requisitos: estas características de VBS proporciona aislamiento del kernel
virtualización de CPU, hardware son obligatorias para VBS. seguro desde el sistema operativo
y tablas de página extendidas. Una de las extensiones de virtualización normal. Gracias a este aislamiento, no
siguientes: es posible aprovechar las
• VT-x (Intel) o vulnerabilidades de día 0 ni otras
• AMD-V vulnerabilidades en el sistema operativo
Además: normal.
• Tablas de página extendidas, también
denominadas Traducción de direcciones
de segundo nivel (SLAT).
Hardware: módulo de plataforma Requisito: TPM 1.2 o TPM 2.0, discreto Un TPM proporciona protección para
segura (TPM) o firmware. las claves de cifrado de VBS que se
Recomendaciones para el TPM almacenan en el firmware. De esta
manera, se establece una protección
frente a ataques que involucran a un
usuario físicamente presente con acceso
al BIOS.
Firmware: firmware de UEFI versión Requisitos: consulta los requisitos del El arranque seguro de UEFI garantiza
2.3.1.c o posteriores con arranque programa de compatibilidad de que el dispositivo solo arranque código
seguro de UEFI. hardware con Windows en autorizado. Así se evita que se instalen
System.Fundamentals.Firmware.UEFISec kits de arranque y rootkits y que estos
ureBoot persistan entre reinicios.
Firmware: proceso de actualización Requisitos: el firmware de UEFI debe El firmware de UEFI, como el software,
de firmware seguro ser compatible con la actualización de puede tener vulnerabilidades de
firmware seguro disponible en los seguridad a las que se debe aplicar
requisitos del programa de parches mediante actualizaciones de
compatibilidad de hardware de firmware. La aplicación de revisiones
Windows de ayuda a impedir la instalación de
System.Fundamentals.Firmware.UEFISec rootkits.
ureBoot.
PROTECCIONES DE LÍNEA DE BASE DESCRIPCIÓN BENEFICIOS DE SEGURIDAD
Software: sistema operativo Windows Requisitos: Windows 10 Enterprise, Compatibilidad con VBS y con las
calificado Windows 10 Education, Windows Server características de administración que
2016 o Windows 10 IoT Enterprise simplifican la configuración de
Credential Guard de Windows Defender.
Importante:
Cuando Windows Server 2016
se ejecuta como controlador de
dominio, no es compatible con
Credential Guard de Windows
Defender. Solo Device Guard de
Windows Defender es
compatible con esta
configuración.
IMPORTANT
En las tablas siguientes se enumeran calificaciones adicionales para mejorar la seguridad. Sin embargo, te recomendamos
encarecidamente cumplir los requisitos para mejorar la seguridad y reforzar significativamente el nivel de seguridad que
Credential Guard de Windows Defender puede ofrecerte.
Calificaciones de seguridad adicionales de 2015 a partir de Windows 10, versión 1507 y Windows Server 2016
Technical Preview 4
PROTECCIONES PARA UNA SEGURIDAD MEJORADA DESCRIPCIÓN
Hardware: IOMMU (unidad de administración de memoria de Requisito: VT-D o AMD Vi IOMMU Ventajas de seguridad:
entrada y salida) una IOMMU puede mejorar la resistencia del sistema frente a
ataques de memoria. Para obtener más información, consulta
las tablas de descripción de ACPI.
Firmware: Secure MOR, implementación de revisión 2 Requisito: Secure MOR, implementación de revisión 2
Calificaciones de seguridad adicionales de 2016 a partir de Windows 10, versión 1607 y Windows Server 2016
IMPORTANT
En las tablas siguientes se enumeran calificaciones adicionales para mejorar la seguridad. Los sistemas que cumplan estas
calificaciones adicionales pueden proporcionar más protecciones.
Firmware: actualización de firmware Requisitos: el firmware debe ser Ayuda a garantizar que las
mediante Windows Update compatible con las actualizaciones de actualizaciones de firmware sean
campo a través de Windows Update y la rápidas, seguras y de confianza.
actualización de encapsulación de UEFI.
Se aplica a:
Windows 10
WindowsServer2016
¿Prefieres el vídeo? Consulta Windows Defender Credential Guard Deployment (Implementación de Credential
Guard de Windows Defender) en la serie de vídeos Deep Dive into Windows Defender Credential Guard.
NOTE
Si habilitas Credential Guard de Windows Defender mediante la directiva de grupo, no se requieren los pasos para habilitar las
características de Windows a través del Panel de Control o DISM. La directiva de grupo instalará para ti las características de
Windows.
NOTE
También puedes agregar estas características a una imagen en línea con DISM o Configuration Manager.
NOTE
También puedes habilitar Credential Guard de Windows Defender configurando las entradas del Registro en la configuración
desatendida FirstLogonCommands.
También puedes comprobar que Credential Guard de Windows Defender se está ejecutando mediante la
herramienta de preparación de hardware de Device Guard de Windows Defender y Credential Guard de Windows
Defender.
DG_Readiness_Tool_v3.5.ps1 -Ready
NOTE
En el caso de equipos cliente que ejecutan Windows 10 1703, LsaIso.exe se ejecuta cada vez que la seguridad
basada en virtualización se habilita para otras características.
Te recomendamos habilitar Credential Guard de Windows Defender antes de que un dispositivo se una a un
dominio. Si Credential Guard de Windows Defender se habilita después de unirse a un dominio, los secretos
de usuario y del dispositivo podrían estar ya en riesgo. En otras palabras, habilitar Credential Guard no
ayudará a proteger un dispositivo o identidad que ya se ha puesto en peligro, por lo que recomendamos
activar Credential Guard lo antes posible.
Debes realizar revisiones periódicas de los equipos que tienen Credential Guard de Windows Defender
habilitada. Esto puede hacerse con directivas de auditoría de seguridad o consultas de WMI. Esta es una lista
de identificadores de evento de WinInit que buscar:
Identificador de evento 13 Credential Guard de Windows Defender (LsaIso.exe) se ha iniciado y
protegerá las credenciales de LSA.
Identificador de evento 14 Configuración de Credential Guard de Windows Defender (LsaIso.exe):
0x1, 0
La primera variable: 0x1 significa que Credential Guard de Windows Defender está configurado
para ejecutarse. 0x0 significa que no está configurado para ejecutarse.
La segunda variable: 0 significa que está configurado para ejecutarse en el modo de protección. 1
significa que está configurado para ejecutarse en modo de prueba. Esta variable debe ser siempre
0.
Identificador de evento 15 Credential Guard de Windows Defender se ha configurado (LsaIso.exe),
pero el kernel seguro no se está ejecutando y continúa sin Credential Guard de Windows Defender.
Identificador de evento 16 Credential Guard de Windows Defender (LsaIso.exe) no se pudo iniciar:
[código de error]
Identificador de evento 17 Error al leer la configuración UEFI de Credential Guard de Windows
Defender (LsaIso.exe): [código de error] También puedes comprobar si el TPM se está usando para la
protección de claves consultando el evento con identificador 51 en el origen de eventos Microsoft ->
Windows -> Kernel-Arranque. Si ejecutas el sistema con un TPM, el valor de máscara de TPM PCR
será distinto de 0.
Identificador de evento 51 Aprovisionamiento de la clave de cifrado maestro de VSM. Estado
de la eliminación de la copia en caché: 0x0. Estado de la generación de la clave nueva: 0x1. Estado
de la generación de la clave nueva: 0x1. Estado del sello: 0x1. Máscara de TPM PCR: 0x0.
IMPORTANT
Si quitas manualmente estas opciones de configuración del Registro, asegúrate de eliminarlas todas. Si no las quitas
todas, el dispositivo podría ejecutar la recuperación de BitLocker.
3. Elimina las variables EFI de Credential Guard de Windows Defender mediante bcdedit. En un símbolo del
sistema con privilegios elevados, escribe los siguientes comandos:
mountvol X: /s
mountvol X: /d
4. Reinicia el equipo.
5. Acepta la solicitud para deshabilitar Credential Guard de Windows Defender.
6. Como alternativa, puedes deshabilitar las características de seguridad basada en la virtualización para
desactivar Credential Guard de Windows Defender.
NOTE
El equipo debe tener acceso de un solo uso a un controlador de dominio para descifrar contenido, como archivos cifrados con
EFS. Si quieres desactivar Credential Guard de Windows Defender y la seguridad basada en la virtualización, ejecuta el
siguiente comando de bcdedit después de desactivar todas las opciones de configuración del Registro y de la directiva de
grupo de seguridad basada en la virtualización: bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions
DISABLE-LSA-ISO,DISABLE-VBS
Para obtener más información sobre la seguridad basada en la virtualización y Device Guard de Windows
Defender, consulta el tema Guía de implementación de Device Guard de Windows Defender.
Deshabilitar Credential Guard de Windows Defender mediante la herramienta de preparación de hardware de Device Guard de
Windows Defender y Credential Guard de Windows Defender.
También puedes deshabilitar Credential Guard de Windows Defender mediante la herramienta de preparación de
hardware de Device Guard de Windows Defender y Credential Guard de Windows Defender.
Se aplica a:
Windows10
WindowsServer2016
¿Prefieres el vídeo? Consulta Credentials protected by Windows Defender Credential Guard (Credenciales
protegidas por Credential Guard de Windows Defender) en la serie de vídeos Deep Dive into Windows Defender
Credential Guard.
Algunas maneras de almacenar las credenciales no están protegidas por Credential Guard de Windows Defender,
como:
Software que administra credenciales fuera de la protección de la característica de Windows
Cuentas locales y cuentas de Microsoft
Credential Guard de Windows Defender no protege la base de datos de Active Directory que se ejecuta en los
controladores de dominio de Windows Server 2016. Tampoco protege las canalizaciones de entrada de
credenciales, como los servidores de Windows Server 2016 que ejecutan Puerta de enlace de Escritorio remoto.
Si usas un servidor de Windows Server 2016 como un equipo cliente, obtendrá la misma protección que la que
dispondría al ejecutar Windows 10 Enterprise.
Registradores de pulsaciones de teclas
Ataques físicos
No impide que un atacante con malware en el equipo use los privilegios asociados con cualquier credencial. Se
recomienda usar equipos dedicados para las cuentas de gran valor, como los profesionales de TI y los usuarios
con acceso a activos de gran valor de la organización.
Paquetes de seguridad de terceros
Credenciales de Digest y CredSSP
Cuando Credential Guard de Windows Defender está habilitado, ni Digest ni CredSSP tienen acceso a
las credenciales de inicio de sesión de los usuarios. Esto implica que no se usa el inicio de sesión único
para estos protocolos.
Las credenciales proporcionadas para la autenticación NTLM no están protegidas. Si se pide a usuario que
escriba las credenciales para la autenticación NTLM y obedece a esta solicitud, dichas credenciales se podrán
leer desde la memoria LSASS. Ten en cuenta que estas mismas credenciales también son vulnerables a los
registradores de pulsaciones de teclas.
Vales de servicio Kerberos no están protegidos por el guardián de credenciales, pero es el vale de concesión de
vales (TGT) de Kerberos.
Cuando se implementa Credential Guard de Windows Defender en una máquina virtual, Credential Guard de
Windows Defender protege los secretos frente a los ataques dentro de la máquina virtual. Sin embargo, no
proporciona protección adicional contra ataques de sistema con privilegios originados desde el host.
Los comprobadores de contraseñas almacenadas en caché de inicio de sesión de Windows (comúnmente
denominadas "credenciales almacenadas en caché") no se califican como credenciales porque no se pueden
presentar a otro equipo para autenticación y solo se pueden usar localmente para comprobar las credenciales.
Se almacenan en el Registro del equipo local y proporcionan la validación de credenciales cuando un equipo
unido al dominio no se puede conectar a AD DS durante el inicio de sesión del usuario. Estos “inicios de sesión
en caché” o, en concreto, la información de la cuenta de dominio almacenada en caché, se pueden administrar
mediante la configuración de directiva de seguridad Inicio de sesión interactivo: número de inicios de
sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible).
Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Proteger a los usuarios con privilegios con Credential Guard de Windows Defender
Consideraciones sobre el uso de Credential Guard de
Windows Defender
29/08/2018 • 8 minutes to read
Se aplica a:
Windows 10
WindowsServer2016
¿Prefieres el vídeo? Consulta Credentials protected by Windows Defender Credential Guard (Credenciales
protegidas por Credential Guard de Windows Defender) en la serie de vídeos Deep Dive into Windows
Defender Credential Guard.
Las contraseñas siguen siendo poco seguras. Recomendamos que además de implementar Credential Guard de
Windows Defender, las organizaciones deben evitar las contraseñas y usar otros métodos de autenticación, como
tarjetas inteligentes físicas, tarjetas inteligentes virtuales o Windows Hello para empresas.
Credential Guard de Windows Defender usa seguridad de hardware, por lo que algunas características, como
Windows To Go, no son compatibles.
Consideraciones de Kerberos
Al habilitar Credential Guard de Windows Defender, ya no se puede usar la delegación de Kerberos sin
restricciones ni el cifrado DES. La delegación sin restricciones podría permitir a los atacantes extraer claves de
Kerberos del proceso de LSA aislado. Usa la delegación de Kerberos restringida o basada en recursos en su lugar.
WARNING
Al borrar el TPM, se pierden los datos protegidos de todas las características que usan VBS para proteger los datos.
Cuando un TPM se borra, TODAS las características, que usan VBS para proteger los datos, ya no pueden descifrar sus datos
protegidos.
Como resultado, Credential Guard ya no puede descifrar los datos protegidos. VBS crea una nueva clave TPM
protegido para Credential Guard. Credential Guard usa la nueva clave para proteger los datos nuevos. Sin
embargo, los datos protegidos anteriormente se pierden para siempre.
NOTE
Credential Guard obtiene la clave durante la inicialización. De modo que la pérdida de datos únicamente afectará a los datos
persistentes y se producirá después del próximo inicio del sistema.
IMPORTANT
La práctica recomendada al borrar un TPM en un dispositivo unido a un dominio es estar en una red con conectividad a los
controladores de dominio. Esto garantiza que la DPAPI funcione y el usuario no experimente un comportamiento extraño.
La configuración de VPN automática está protegida con la DPAPI del usuario. Es posible que el usuario no pueda usar VPN
para conectarse a los controladores de dominio, dado que las configuraciones de VPN se pierden.
Si debes borrar el TPM en un dispositivo unido al dominio sin conectividad a los controladores de dominio, debes
tener en cuenta lo siguiente.
Inicio de sesión de un usuario de dominio en un dispositivo unido a un dominio tras borrar un TPM siempre que
no haya conectividad a un controlador de dominio:
Contraseña Windows10 v1607 o versiones Los datos protegidos por la DPAPI del
anteriores usuario existente son inutilizables. La
DPAPI de usuario es capaz de proteger
nuevos datos.
Una vez que el dispositivo tiene conectividad a los controladores de dominio, la DPAPI recupera la clave del
usuario y los datos protegidos antes de borrar el TPM pueden descifrarse.
Efecto de los errores de la DPAPI en WindowsInformationProtection
Cuando los datos protegidos con la DPAPI de usuario son inutilizables, el usuario pierde el acceso a todos los datos
de trabajo protegidos por WindowsInformationProtection. El efecto incluye: no se ha podido iniciar Outlook2016 y
no se han podido abrir documentos protegidos de trabajo. Si la DPAPI está funcionando, los datos de trabajo
creados recientemente están protegidos y se puede tener acceso a ellos.
Solución alternativa: los usuarios pueden resolver el problema conectando su dispositivo al dominio y
reiniciando o usando el certificado de Agente de recuperación de datos del Sistema de cifrado de archivos. Para
obtener más información sobre el certificado de Agente de recuperación de datos del Sistema de cifrado de
archivos, consulta Crear y comprobar un certificado del Agente de recuperación de datos (DRA) del Sistema de
cifrado de archivos (EFS ).
Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Seguridad de virtualización
Mitigaciones adicionales
16/07/2018 • 20 minutes to read
Credential Guard de Windows Defender puede proporcionar mitigaciones frente a los ataques de credenciales
derivadas y evitar el uso de credenciales robadas en otro lugar. Sin embargo, los equipos pueden seguir siendo
vulnerables a determinados ataques, aunque las credenciales derivadas estén protegidas por Credential Guard de
Windows Defender. Estos ataques pueden incluir el mal uso de privilegios y el uso de credenciales derivadas
directamente desde un dispositivo en peligro, al reutilizar credenciales robadas anteriormente antes de instalar
Device Guard de Windows Defender, y el abuso de herramientas de administración y configuraciones de
aplicaciones no seguras. Por este motivo, las mitigaciones adicionales también deben implementarse para hacer
que el entorno de dominio sea más sólido.
Restringir los usuarios del dominio a dispositivos específicos unidos a un dominio
Los ataques de robo de credenciales permiten al atacante robar secretos de un dispositivo y usarlos en otro
dispositivo. Si un usuario puede iniciar sesión en varios dispositivos, podría usarse cualquier dispositivo para robar
las credenciales. ¿Cómo garantizar que los usuarios solo inicien sesión al usar dispositivos que tengan Credential
Guard de Windows Defender habilitado? Esto se consigue implementando directivas de autenticación que les
permite iniciar sesión únicamente en un dispositivo unido a un dominio y que se ha configurado con Credential
Guard de Windows Defender. Para que el controlador de dominio sepa desde qué dispositivo está iniciando sesión
un usuario, se debe utilizar la protección de Kerberos.
Protección de Kerberos
La protección de Kerberos forma parte de RFC 6113. Cuando un dispositivo admite la protección de Kerberos, su
TGT se usa para proteger la prueba de posesión del usuario que puede mitigar los ataques de diccionario sin
conexión. La protección de Kerberos también proporciona la ventaja adicional de los errores de KDC firmados. Esto
mitiga la manipulación que puede ayudar a degradar los ataques.
Habilitar la protección de Kerberos para restringir los usuarios del dominio a dispositivos específicos
unidos a un dominio.
Los usuarios tienen que estar en dominios que ejecuten Windows Server 2012 R2 o superior.
Todos los controladores de dominio de estos dominios deben estar configurados para admitir la protección de
Kerberos. Establece la configuración de la directiva de grupo Compatibilidad de KDC con notificaciones,
autenticación compuesta y protección de Kerberos en Admitida o Siempre proporcionar
notificaciones.
Todos los dispositivos con Credential Guard de Windows Defender que estarán restringidos únicamente a los
usuarios deben configurarse para admitir la protección de Kerberos. Habilita las opciones de configuración de
directiva de grupo El cliente Kerberos admite notificaciones, autenticación compuesta y protección de
Kerberos **** Enviar siempre autenticación compuesta primero -> en Configuración del equipo ->
Plantillas administrativas -> Sistema Kerberos.
Proteger secretos de un dispositivo unido a un dominio
Dado que los dispositivos unidos a un dominio también usan secretos compartidos para la autenticación, los
atacantes también pueden robar esos secretos. Al implementar los certificados de dispositivo con Credential Guard
de Windows Defender, se puede proteger la clave privada. A continuación, las directivas de autenticación pueden
requerir que los usuarios inicien sesión en dispositivos que autentican con dichos certificados. Esto impide que los
secretos compartidos robados en los dispositivos se usen con las credenciales de usuario para iniciar sesión como
tal.
La autenticación de certificado de dispositivos unidos a un dominio tiene los siguientes requisitos:
Las cuentas de los dispositivos están ejecutando el nivel funcional de dominio de Windows Server 2012 o un
nivel superior.
Todos los controladores en esos dominios tienen certificados KDC que cumplen con los estrictos requisitos de
certificación de validación KDC.
EKU de KDC presente
El nombre de dominio DNS coincide con el campo DNSName de la extensión SubjectAltName (SAN ).
Los dispositivos de Windows 10 cuentan con los certificados de controlador de dominio que emite la entidad de
certificación en el almacén de la empresa.
Se establece un proceso para garantizar la identidad y la confiabilidad del dispositivo de una manera similar a la
que establecerías la identidad y la confiabilidad de un usuario antes de emitirle una tarjeta inteligente.
I m p l e m e n t a c i ó n d e c e r t i fi c a d o s d e u n d i sp o si t i v o u n i d o a u n d o m i n i o
Para garantizar que los certificados con la directiva de emisión necesaria se instalen únicamente en los dispositivos
que los usuarios deben utilizar, deberán implementarse de forma manual en cada dispositivo. Para los certificados
del dispositivo, deben aplicarse los mismos procedimientos de seguridad que se usan para emitir tarjetas
inteligentes a los usuarios.
Por ejemplo, supongamos que desea usar la directiva de seguridad alta solamente en estos dispositivos. Con una
entidad de certificación de Windows Server Enterprise puedes crear una nueva plantilla.
Crear una nueva plantilla de certificado
1. Desde la consola del Administrador de certificados, haz clic con el botón secundario en Plantillas de
certificado y, a continuación, haz clic en Administrar.
2. Haz clic con el botón secundario en Autenticación de estación de trabajo y, a continuación, haz clic en
Duplicar plantilla.
3. Haz clic en la nueva plantilla y, a continuación, haz clic en Propiedades.
4. En la pestaña Extensiones , haz clic en Directivas de aplicación y, a continuación, haz clic en Editar.
5. Haz clic en Autenticación de cliente y, a continuación, haz clic en Quitar.
6. Agrega el EKU ID -PKInit-KPClientAuth. Haz clic en Agregar, haz clic en Nuevo y, a continuación, especifica los
siguientes valores:
Nombre: Autenticación de cliente Kerberos
Identificador de objeto: 1.3.6.1.5.2.3.4
7. En la pestaña Extensiones , haz clic en Directivas de emisión y, a continuación, haz clic en Editar.
8. En Directivas de emisión, haz clic en Seguridad alta.
9. En la pestaña Nombre del sujeto, desactiva la casilla Nombre DNS y, a continuación, selecciona la casilla
Nombre principal de usuario (UPN ).
A continuación, inscribe los dispositivos que usan el certificado que acabas de crear en los dispositivos que
ejecutan Credential Guard de Windows Defender.
Inscripción de dispositivos en un certificado
Ejecuta el siguiente comando:
NOTE
Debes reiniciar el dispositivo después de realizar la inscripción del certificado de autenticación de equipo.
C ó m o u n a d i r e c t i v a d e e m i si ó n d e c e r t i fi c a d o s p u e d e u sa r se p a r a e l c o n t r o l d e a c c e so
A partir del nivel funcional de dominio de Windows Server 2008 R2, la compatibilidad de los controladores de
dominio para la seguridad del mecanismo de autenticación proporciona una manera de asignar los OID de la
directiva de emisión de certificados a grupos de seguridad universal. Los controladores de dominio de Windows
Server 2012 con soporte de notificación pueden asignarles estas notificaciones. Para obtener más información
sobre el mecanismo de autenticación, consulta Comprobación del mecanismo de autenticación de AD DS en la
Guía paso a paso de Windows Server 2008 R2 en TechNet.
Ver las directivas de emisión disponibles
get-IssuancePolicy.ps1 muestra todas las directivas de emisión que están disponibles en la entidad de
certificación. En el símbolo del sistema de Windows PowerShell, ejecuta el siguiente comando:
.\get-IssuancePolicy.ps1 –LinkedToGroup:All
NOTE
Cuando la directiva de autenticación aplica las restricciones de la directiva, los usuarios no podrán iniciar sesión en
dispositivos que no tengan un certificado con la directiva de emisión implementada correcta. Esto se aplica en escenarios de
inicio de sesión local y remoto. Por lo tanto, se recomienda encarecidamente auditar en primer lugar solo las restricciones de
directiva para que no ocurran errores inesperados.
Para realizar un seguimiento más fácil de los errores de autenticación debido a directivas de autenticación, existe
un registro operativo únicamente con esos eventos. Para habilitar los registros en los controladores de dominio, en
el Visor de eventos, ve a Registros de aplicaciones y servicios\Microsoft\Windows\Autenticación, haz clic
con el botón derecho en AuthenticationPolicyFailures-DomainController y, después, haz clic en Habilitar
registro.
Para obtener más información sobre los eventos de la directiva de autenticación, consulta Directivas de
autenticación y silos de directivas de autenticación.
Apéndice: scripts
A continuación, presentamos una lista de los scripts mencionados en este tema.
Obtener las directivas de emisión disponibles en la entidad de certificación
Guarda este archivo de script como get-IssuancePolicy.ps1.
#######################################
## Parameters to be defined ##
## by the user ##
#######################################
Param (
$Identity,
$LinkedToGroup
)
#######################################
## Strings definitions ##
#######################################
Data getIP_strings {
# culture="en-US"
ConvertFrom-StringData -stringdata @'
help1 = This command can be used to retrieve all available Issuance Policies in a forest. The forest of the
currently logged on user is targeted.
help2 = Usage:
help3 = The following parameter is mandatory:
help4 = -LinkedToGroup:<yes|no|all>
help5 = "yes" will return only Issuance Policies that are linked to groups. Checks that the linked Issuance
Policies are linked to valid groups.
help6 = "no" will return only Issuance Policies that are not currently linked to any group.
help7 = "all" will return all Issuance Policies defined in the forest. Checks that the linked Issuance policies
are linked to valid groups.
help8 = The following parameter is optional:
help9 = -Identity:<Name, Distinguished Name or Display Name of the Issuance Policy that you want to retrieve>.
If you specify an identity, the option specified in the "-LinkedToGroup" parameter is ignored.
help10 = Output: This script returns the Issuance Policy objects meeting the criteria defined by the above
parameters.
help11 = Examples:
errorIPNotFound = Error: no Issuance Policy could be found with Identity "{0}"
ErrorNotSecurity = Error: Issuance Policy "{0}" is linked to group "{1}" which is not of type "Security".
ErrorNotUniversal = Error: Issuance Policy "{0}" is linked to group "{1}" whose scope is not "Universal".
ErrorHasMembers = Error: Issuance Policy "{0}" is linked to group "{1}" which has a non-empty membership. The
group has the following members:
group has the following members:
LinkedIPs = The following Issuance Policies are linked to groups:
displayName = displayName : {0}
Name = Name : {0}
dn = distinguishedName : {0}
InfoName = Linked Group Name: {0}
InfoDN = Linked Group DN: {0}
NonLinkedIPs = The following Issuance Policies are NOT linked to groups:
'@
}
##Import-LocalizedData getIP_strings
import-module ActiveDirectory
#######################################
## Help ##
#######################################
function Display-Help {
""
$getIP_strings.help1
""
$getIP_strings.help2
""
$getIP_strings.help3
" " + $getIP_strings.help4
" " + $getIP_strings.help5
" " + $getIP_strings.help6
" " + $getIP_strings.help7
""
$getIP_strings.help8
" " + $getIP_strings.help9
""
$getIP_strings.help10
""
""
$getIP_strings.help11
" " + '$' + "myIPs = .\get-IssuancePolicy.ps1 -LinkedToGroup:All"
" " + '$' + "myLinkedIPs = .\get-IssuancePolicy.ps1 -LinkedToGroup:yes"
" " + '$' + "myIP = .\get-IssuancePolicy.ps1 -Identity:""Medium Assurance"""
""
}
$root = get-adrootdse
$domain = get-addomain -current loggedonuser
$configNCDN = [String]$root.configurationNamingContext
if ( !($Identity) -and !($LinkedToGroup) ) {
display-Help
break
}
if ($Identity) {
$OIDs = get-adobject -Filter {(objectclass -eq "msPKI-Enterprise-Oid") -and ((name -eq $Identity) -or
(displayname -eq $Identity) -or (distinguishedName -like $Identity)) } -searchBase $configNCDN -properties *
if ($OIDs -eq $null) {
$errormsg = $getIP_strings.ErrorIPNotFound -f $Identity
write-host $errormsg -ForegroundColor Red
}
foreach ($OID in $OIDs) {
if ($OID."msDS-OIDToGroupLink") {
# In case the Issuance Policy is linked to a group, it is good to check whether there is any problem with the
mapping.
$groupDN = $OID."msDS-OIDToGroupLink"
$group = get-adgroup -Identity $groupDN
$groupName = $group.Name
# Analyze the group
if ($group.groupCategory -ne "Security") {
$errormsg = $getIP_strings.ErrorNotSecurity -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
}
if ($group.groupScope -ne "Universal") {
$errormsg = $getIP_strings.ErrorNotUniversal -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
}
$members = Get-ADGroupMember -Identity $group
$members = Get-ADGroupMember -Identity $group
if ($members) {
$errormsg = $getIP_strings.ErrorHasMembers -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
foreach ($member in $members) {
write-host " " $member -ForeGroundColor Red
}
}
}
}
return $OIDs
break
}
if (($LinkedToGroup -eq "yes") -or ($LinkedToGroup -eq "all")) {
$LDAPFilter = "(&(objectClass=msPKI-Enterprise-Oid)(msDS-OIDToGroupLink=*)(flags=2))"
$LinkedOIDs = get-adobject -searchBase $configNCDN -LDAPFilter $LDAPFilter -properties *
write-host ""
write-host "*****************************************************"
write-host $getIP_strings.LinkedIPs
write-host "*****************************************************"
write-host ""
if ($LinkedOIDs -ne $null){
foreach ($OID in $LinkedOIDs) {
# Display basic information about the Issuance Policies
""
$getIP_strings.displayName -f $OID.displayName
$getIP_strings.Name -f $OID.Name
$getIP_strings.dn -f $OID.distinguishedName
# Get the linked group.
$groupDN = $OID."msDS-OIDToGroupLink"
$group = get-adgroup -Identity $groupDN
$getIP_strings.InfoName -f $group.Name
$getIP_strings.InfoDN -f $groupDN
# Analyze the group
$OIDName = $OID.displayName
$groupName = $group.Name
if ($group.groupCategory -ne "Security") {
$errormsg = $getIP_strings.ErrorNotSecurity -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
}
if ($group.groupScope -ne "Universal") {
$errormsg = $getIP_strings.ErrorNotUniversal -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
}
$members = Get-ADGroupMember -Identity $group
if ($members) {
$errormsg = $getIP_strings.ErrorHasMembers -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
foreach ($member in $members) {
write-host " " $member -ForeGroundColor Red
}
}
write-host ""
}
}else{
write-host "There are no issuance policies that are mapped to a group"
}
if ($LinkedToGroup -eq "yes") {
return $LinkedOIDs
break
}
}
if (($LinkedToGroup -eq "no") -or ($LinkedToGroup -eq "all")) {
$LDAPFilter = "(&(objectClass=msPKI-Enterprise-Oid)(!(msDS-OIDToGroupLink=*))(flags=2))"
$NonLinkedOIDs = get-adobject -searchBase $configNCDN -LDAPFilter $LDAPFilter -properties *
write-host ""
write-host "*********************************************************"
write-host $getIP_strings.NonLinkedIPs
write-host "*********************************************************"
write-host ""
write-host ""
if ($NonLinkedOIDs -ne $null) {
foreach ($OID in $NonLinkedOIDs) {
# Display basic information about the Issuance Policies
write-host ""
$getIP_strings.displayName -f $OID.displayName
$getIP_strings.Name -f $OID.Name
$getIP_strings.dn -f $OID.distinguishedName
write-host ""
}
}else{
write-host "There are no issuance policies which are not mapped to groups"
}
if ($LinkedToGroup -eq "no") {
return $NonLinkedOIDs
break
}
}
NOTE
Si tienes problemas para ejecutar este script, prueba a reemplazar la comilla simple después del parámetro ConvertFrom-
StringData.
#######################################
## Parameters to be defined ##
## by the user ##
#######################################
Param (
$IssuancePolicyName,
$groupOU,
$groupName
)
#######################################
## Strings definitions ##
#######################################
Data ErrorMsg {
# culture="en-US"
ConvertFrom-StringData -stringdata @'
help1 = This command can be used to set the link between a certificate issuance policy and a universal security
group.
help2 = Usage:
help3 = The following parameters are required:
help4 = -IssuancePolicyName:<name or display name of the issuance policy that you want to link to a group>
help5 = -groupName:<name of the group you want to link the issuance policy to>. If no name is specified, any
existing link to a group is removed from the Issuance Policy.
help6 = The following parameter is optional:
help7 = -groupOU:<Name of the Organizational Unit dedicated to the groups which are linked to issuance
policies>. If this parameter is not specified, the group is looked for or created in the Users container.
help8 = Examples:
help9 = This command will link the issuance policy whose display name is "High Assurance" to the group
"HighAssuranceGroup" in the Organizational Unit "OU_FOR_IPol_linked_groups". If the group or the Organizational
Unit do not exist, you will be prompted to create them.
help10 = This command will unlink the issuance policy whose name is "402.164959C40F4A5C12C6302E31D5476062" from
any group.
MultipleIPs = Error: Multiple Issuance Policies with name or display name "{0}" were found in the subtree of "
{1}"
NoIP = Error: no issuance policy with name or display name "{0}" could be found in the subtree of "{1}".
IPFound = An Issuance Policy with name or display name "{0}" was successfully found: {1}
MultipleOUs = Error: more than 1 Organizational Unit with name "{0}" could be found in the subtree of "{1}".
confirmOUcreation = Warning: The Organizational Unit that you specified does not exist. Do you want to create
it?
OUCreationSuccess = Organizational Unit "{0}" successfully created.
OUcreationError = Error: Organizational Unit "{0}" could not be created.
OUFoundSuccess = Organizational Unit "{0}" was successfully found.
multipleGroups = Error: More than one group with name "{0}" was found in Organizational Unit "{1}".
confirmGroupCreation = Warning: The group that you specified does not exist. Do you want to create it?
groupCreationSuccess = Univeral Security group "{0}" successfully created.
groupCreationError = Error: Univeral Security group "{0}" could not be created.
GroupFound = Group "{0}" was successfully found.
confirmLinkDeletion = Warning: The Issuance Policy "{0}" is currently linked to group "{1}". Do you really want
to remove the link?
UnlinkSuccess = Certificate issuance policy successfully unlinked from any group.
UnlinkError = Removing the link failed.
UnlinkExit = Exiting without removing the link from the issuance policy to the group.
IPNotLinked = The Certificate issuance policy is not currently linked to any group. If you want to link it to a
group, you should specify the -groupName option when starting this script.
ErrorNotSecurity = Error: You cannot link issuance Policy "{0}" to group "{1}" because this group is not of
type "Security".
ErrorNotUniversal = Error: You cannot link issuance Policy "{0}" to group "{1}" because the scope of this group
is not "Universal".
ErrorHasMembers = Error: You cannot link issuance Policy "{0}" to group "{1}" because it has a non-empty
membership. The group has the following members:
ConfirmLinkReplacement = Warning: The Issuance Policy "{0}" is currently linked to group "{1}". Do you really
want to update the link to point to group "{2}"?
LinkSuccess = The certificate issuance policy was successfully linked to the specified group.
LinkError = The certificate issuance policy could not be linked to the specified group.
ExitNoLinkReplacement = Exiting without setting the new link.
'@
}
# import-localizeddata ErrorMsg
function Display-Help {
""
write-host $ErrorMsg.help1
""
write-host $ErrorMsg.help2
""
write-host $ErrorMsg.help3
write-host "`t" $ErrorMsg.help4
write-host "`t" $ErrorMsg.help5
""
write-host $ErrorMsg.help6
write-host "`t" $ErrorMsg.help7
""
""
write-host $ErrorMsg.help8
""
write-host $ErrorMsg.help9
".\Set-IssuancePolicyToGroupMapping.ps1 -IssuancePolicyName ""High Assurance"" -groupOU
""OU_FOR_IPol_linked_groups"" -groupName ""HighAssuranceGroup"" "
""
write-host $ErrorMsg.help10
'.\Set-IssuancePolicyToGroupMapping.ps1 -IssuancePolicyName "402.164959C40F4A5C12C6302E31D5476062" -groupName
$null '
""
}
# Assumption: The group to which the Issuance Policy is going
# to be linked is (or is going to be created) in
# the domain the user running this script is a member of.
import-module ActiveDirectory
$root = get-adrootdse
$domain = get-addomain -current loggedonuser
if ( !($IssuancePolicyName) ) {
display-Help
break
}
#######################################
## Find the OID object ##
## (aka Issuance Policy) ##
#######################################
$searchBase = [String]$root.configurationnamingcontext
$searchBase = [String]$root.configurationnamingcontext
$OID = get-adobject -searchBase $searchBase -Filter { ((displayname -eq $IssuancePolicyName) -or (name -eq
$IssuancePolicyName)) -and (objectClass -eq "msPKI-Enterprise-Oid")} -properties *
if ($OID -eq $null) {
$tmp = $ErrorMsg.NoIP -f $IssuancePolicyName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
elseif ($OID.GetType().IsArray) {
$tmp = $ErrorMsg.MultipleIPs -f $IssuancePolicyName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
else {
$tmp = $ErrorMsg.IPFound -f $IssuancePolicyName, $OID.distinguishedName
write-host $tmp -ForeGroundColor Green
}
#######################################
## Find the container of the group ##
#######################################
if ($groupOU -eq $null) {
# default to the Users container
$groupContainer = $domain.UsersContainer
}
else {
$searchBase = [string]$domain.DistinguishedName
$groupContainer = get-adobject -searchBase $searchBase -Filter { (Name -eq $groupOU) -and (objectClass -eq
"organizationalUnit")}
if ($groupContainer.count -gt 1) {
$tmp = $ErrorMsg.MultipleOUs -f $groupOU, $searchBase
write-host $tmp -ForegroundColor Red
break;
}
elseif ($groupContainer -eq $null) {
$tmp = $ErrorMsg.confirmOUcreation
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
new-adobject -Name $groupOU -displayName $groupOU -Type "organizationalUnit" -ProtectedFromAccidentalDeletion
$true -path $domain.distinguishedName
if ($?){
$tmp = $ErrorMsg.OUCreationSuccess -f $groupOU
write-host $tmp -ForegroundColor Green
}
else{
$tmp = $ErrorMsg.OUCreationError -f $groupOU
write-host $tmp -ForeGroundColor Red
break;
}
$groupContainer = get-adobject -searchBase $searchBase -Filter { (Name -eq $groupOU) -and (objectClass -eq
"organizationalUnit")}
}
else {
break;
}
}
else {
$tmp = $ErrorMsg.OUFoundSuccess -f $groupContainer.name
write-host $tmp -ForegroundColor Green
}
}
#######################################
## Find the group ##
#######################################
if (($groupName -ne $null) -and ($groupName -ne "")){
##$searchBase = [String]$groupContainer.DistinguishedName
$searchBase = $groupContainer
$group = get-adgroup -Filter { (Name -eq $groupName) -and (objectClass -eq "group") } -searchBase $searchBase
if ($group -ne $null -and $group.gettype().isarray) {
$tmp = $ErrorMsg.multipleGroups -f $groupName, $searchBase
$tmp = $ErrorMsg.multipleGroups -f $groupName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
elseif ($group -eq $null) {
$tmp = $ErrorMsg.confirmGroupCreation
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
new-adgroup -samAccountName $groupName -path $groupContainer.distinguishedName -GroupScope "Universal" -
GroupCategory "Security"
if ($?){
$tmp = $ErrorMsg.GroupCreationSuccess -f $groupName
write-host $tmp -ForegroundColor Green
}else{
$tmp = $ErrorMsg.groupCreationError -f $groupName
write-host $tmp -ForeGroundColor Red
break
}
$group = get-adgroup -Filter { (Name -eq $groupName) -and (objectClass -eq "group") } -searchBase $searchBase
}
else {
break;
}
}
else {
$tmp = $ErrorMsg.GroupFound -f $group.Name
write-host $tmp -ForegroundColor Green
}
}
else {
#####
## If the group is not specified, we should remove the link if any exists
#####
if ($OID."msDS-OIDToGroupLink" -ne $null) {
$tmp = $ErrorMsg.confirmLinkDeletion -f $IssuancePolicyName, $OID."msDS-OIDToGroupLink"
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
set-adobject -Identity $OID -Clear "msDS-OIDToGroupLink"
if ($?) {
$tmp = $ErrorMsg.UnlinkSuccess
write-host $tmp -ForeGroundColor Green
}else{
$tmp = $ErrorMsg.UnlinkError
write-host $tmp -ForeGroundColor Red
}
}
else {
$tmp = $ErrorMsg.UnlinkExit
write-host $tmp
break
}
}
else {
$tmp = $ErrorMsg.IPNotLinked
write-host $tmp -ForeGroundColor Yellow
}
break;
}
#######################################
## Verify that the group is ##
## Universal, Security, and ##
## has no members ##
#######################################
if ($group.GroupScope -ne "Universal") {
$tmp = $ErrorMsg.ErrorNotUniversal -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
break;
}
}
if ($group.GroupCategory -ne "Security") {
$tmp = $ErrorMsg.ErrorNotSecurity -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
break;
}
$members = Get-ADGroupMember -Identity $group
if ($members -ne $null) {
$tmp = $ErrorMsg.ErrorHasMembers -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
foreach ($member in $members) {write-host " $member.name" -ForeGroundColor Red}
break;
}
#######################################
## We have verified everything. We ##
## can create the link from the ##
## Issuance Policy to the group. ##
#######################################
if ($OID."msDS-OIDToGroupLink" -ne $null) {
$tmp = $ErrorMsg.ConfirmLinkReplacement -f $IssuancePolicyName, $OID."msDS-OIDToGroupLink",
$group.distinguishedName
write-host $tmp "( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
$tmp = @{'msDS-OIDToGroupLink'= $group.DistinguishedName}
set-adobject -Identity $OID -Replace $tmp
if ($?) {
$tmp = $Errormsg.LinkSuccess
write-host $tmp -Foreground Green
}else{
$tmp = $ErrorMsg.LinkError
write-host $tmp -Foreground Red
}
} else {
$tmp = $Errormsg.ExitNoLinkReplacement
write-host $tmp
break
}
}
else {
$tmp = @{'msDS-OIDToGroupLink'= $group.DistinguishedName}
set-adobject -Identity $OID -Add $tmp
if ($?) {
$tmp = $Errormsg.LinkSuccess
write-host $tmp -Foreground Green
}else{
$tmp = $ErrorMsg.LinkError
write-host $tmp -Foreground Red
}
}
NOTE
Si tienes problemas para ejecutar este script, prueba a reemplazar la comilla simple después del parámetro ConvertFrom-
StringData.
Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Proteger a los usuarios con privilegios con Credential Guard de Windows Defender
Credential Guard de Windows Defender: problemas
conocidos
16/07/2018 • 4 minutes to read
Se aplica a:
Windows10
WindowsServer2016
Credential Guard de Windows Defender tiene determinados requisitos de aplicación. Credential Guard de
Windows Defender bloquea las funcionalidades de autenticación específicas. Por lo tanto, las aplicaciones que
requieren estas funcionalidades no funcionarán al habilitarlo. Para obtener más información, consulta Requisitos de
aplicaciones.
Se ha solucionado el siguiente problema conocido en la Actualización de seguridad acumulativa de noviembre de
2017:
Error al ejecutar tareas programadas con credenciales almacenadas cuando Credential Guard está habilitado. La
tarea produce un error y notifica el identificador de evento 104 con el siguiente mensaje:
"Task Scheduler failed to log on ‘\Test’ .
Error en "LogonUserExEx".
Acción del usuario: Asegúrate de que las credenciales de la tarea se especifican correctamente.
Datos adicionales: Valor de error: 2147943726. 2147943726 : ERROR_LOGON_FAILURE (El nombre de
usuario o la contraseña no son correctos)".
Los siguientes problemas conocidos se han solucionado con versiones puestas a disposición en las actualizaciones
de seguridad acumulativa de abril de 2017:
KB4015217: Credential Guard de Windows Defender genera el recuento doble de contraseña incorrecta en
equipos con Windows 10 unidos a un dominio de Active Directory
Este problema puede provocar bloqueos de cuenta inesperados. Consulta también artículos de Microsoft®
Knowledge Base KB4015219 y KB4015221
KB4033236: Dos intentos incorrectos de inicio de sesión se envían a Active Directory tras instalar Credential
Guard de Windows Defender en Windows 10
Este problema puede provocar bloqueos de cuenta inesperados. El problema se solucionó en actualizaciones
de mantenimiento para cada uno de los siguientes sistemas operativos:
Windows 10 versión 1607 y Windows Server 2016: KB4015217 (compilaciones del SO 14393.1066 y
14393.1083)
Windows 10 versión 1511: KB4015219 (compilación del SO 10586.873)
Windows 10 versión 1507: KB4015221 (compilación del SO 10240.17354)
Se aplica a
Windows10
Windows Server 2016
Control de cuentas de usuario (UAC ) ayuda a prevenir que el malware dañe un equipo y ayuda a las organizaciones
a implementar un escritorio mejor administrado. Con UAC, las aplicaciones y las tareas siempre se ejecutan en el
contexto de seguridad de una cuenta de administrador, a menos que un administrador autorice específicamente el
acceso de nivel de administrador al sistema. UAC puede bloquear la instalación automática de aplicaciones no
autorizadas y evitar cambios inadvertidos en la configuración del sistema.
UAC permite a los usuarios iniciar sesión en sus equipos con una cuenta de usuario estándar. Los procesos que se
inician con un token de usuario estándar pueden realizar tareas usando los derechos de acceso concedidos a un
usuario estándar. Por ejemplo, el Explorador de Windows hereda automáticamente los permisos de nivel de
usuario estándar. Además, las aplicaciones que se inician mediante el Explorador de Windows (por ejemplo,
haciendo doble clic en un acceso directo) también se ejecutan con el conjunto de permisos de usuario estándar.
Muchas aplicaciones, como las que se incluyen en el propio sistema operativo, están diseñadas para funcionar
correctamente de este modo.
Otras aplicaciones, en especial, aquellas que no se diseñaron específicamente teniendo en cuenta la configuración
de seguridad, requieren a menudo permisos adicionales para ejecutarse correctamente. Estos tipos de aplicaciones
se conocen como aplicaciones heredadas. Además, las acciones como instalar software nuevo y realizar cambios de
configuración en el Firewall de Windows, requieren más permisos de los que hay disponibles para una cuenta de
usuario estándar.
Cuando una aplicación necesita ejecutarse con más que derechos de usuario estándar, UAC puede restaurar grupos
de usuarios adicionales en el token. Esto permite que el usuario tenga control explícito de las aplicaciones que
están realizando cambios en el nivel del sistema en su equipo o dispositivo.
Aplicaciones prácticas
El Modo de aprobación de administración de UAC ayuda a prevenir que el malware se instale de forma silenciosa
sin conocimiento del administrador. También ayuda a prevenir cambios inadvertidos de todo el sistema. Por último,
se puede usar para aplicar un mayor nivel de cumplimiento donde los administradores deben consentir
activamente cada proceso administrativo o proporcionar credenciales para ellos.
En esta sección
TEMA DESCRIPCIÓN
Cómo funciona el Control de cuentas de usuario El Control de cuentas de usuario (UAC) es un componente
fundamental de la visión global de seguridad de Microsoft.
UAC te ayuda a mitigar el impacto de malware.
TEMA DESCRIPCIÓN
Configuración de directiva de seguridad de Control de cuentas Puedes usar directivas de seguridad para configurar cómo
de usuario funciona el Control de cuentas de usuario de la organización.
Pueden configurarse localmente mediante el complemento de
directiva de seguridad local (secpol.msc) o para el dominio,
unidad organizativa o grupos específicos mediante la directiva
de grupo.
Configuración de las claves del Registro y directiva de grupo Aquí tienes una lista de las opciones de configuración de
de Control de cuentas de usuario claves del registro y la directiva de grupo de UAC que tu
organización puede usar para gestionar el UAC.
Guía técnica de VPN para Windows 10
16/07/2018 • 2 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
En esta guía se explican las decisiones que tomarás para los clientes de Windows 10 en la solución VPN
empresarial y cómo configurar la implementación. Esta guía hace referencia al Proveedor de servicios de
configuración (CSP ) VPNv2 y proporciona instrucciones de configuración de la administración de dispositivos
móviles (MDM ) mediante Microsoft Intune y la plantilla de perfil de VPN para Windows 10.
NOTE
En esta guía no se explica la implementación del servidor.
En esta guía
TEMA DESCRIPCIÓN
Decisiones de enrutamiento de VPN Elige entre una configuración de túnel dividido y túnel forzado
Opciones desencadenadas automáticamente de perfil de VPN Configurar un perfil de VPN para conectarte automáticamente
por aplicación o por nombre, para estar "siempre activado" y
para que no active VPN en redes de confianza
Más información
Conexiones VPN en Microsoft Intune
Tipos de conexión de VPN
16/07/2018 • 2 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
Las redes privadas virtuales (VPN ) son conexiones de punto a punto en una red pública o privada, como Internet.
Un cliente VPN usa protocolos especiales TCP/IP o basados en UDP, denominados protocolos de túnel, para
realizar una llamada virtual a un puerto virtual en un servidor VPN. En una implementación típica de VPN, un
cliente inicia una conexión virtual de punto a punto en un servidor de acceso remoto a través de Internet. El
servidor de acceso remoto responde a la llamada, autentica al autor de la llamada y transfiere datos entre el
cliente VPN y de red privada de la organización.
Hay muchas opciones para los clientes VPN. En Windows 10, los complementos integrados y la plataforma de
complementos de VPN de la Plataforma universal de Windows (UWP ) se basan en la plataforma de VPN de
Windows. Esta guía se centra en los clientes de la plataforma de VPN de Windows y en las características que
pueden configurarse.
En Intune, también puedes incluir XML personalizado para los perfiles de complementos de terceros.
Temas relacionados
Guía técnica de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Decisiones de enrutamiento de VPN
16/07/2018 • 2 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
Las rutas de red son necesarias para que la pila comprenda qué interfaz usar para el tráfico saliente. Una de las
decisiones más importantes para la configuración de VPN es si quieres enviar todos los datos a través de VPN
(túnel forzado) o solo algunos datos a través de la VPN (túnel dividido). Esta decisión afecta a la configuración y
el planeamiento de capacidad, así como las expectativas de seguridad de la conexión.
Configurar el enrutamiento
Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
Cuando configuras un perfil de VPN en Microsoft Intune, seleccionas una casilla para habilitar la configuración de
túnel dividido.
Luego, en Límites corporativos, agregas las rutas que deben usar la conexión VPN.
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Opciones de autenticación de VPN
16/07/2018 • 3 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
Además de los métodos de autenticación basados en contraseña antiguos y menos seguros (que deben evitarse),
la solución VPN integrada usa el protocolo de autenticación extensible (EAP ) para proporcionar una autenticación
segura con el nombre de usuario y la contraseña, y métodos basados en certificados. Solo puedes configurar la
autenticación basada en EAP si seleccionas un tipo VPN integrado (IKEv2, L2TP, PPTP o automático).
Windows admite una serie de métodos de autenticación de EAP.
MÉTODO DETALLES
EAP con protocolo de autenticación por desafío mutuo de Autenticación por nombre de usuario y contraseña
Microsoft, versión 2 (EAP-MSCHAPv2) Credenciales de Winlogon: puedes especificar la
autenticación con credenciales de inicio de sesión del
equipo
EAP con seguridad de la capa de transporte (EAP-TLS) Admite los siguientes tipos de autenticación de
certificados
Certificado con claves en el proveedor de
almacenamiento de claves (KSP) de software
Certificado con claves en módulo de
plataforma segura (TPM) KSP
Certificados de tarjeta inteligente
Certificado de Windows Hello para empresas
Filtrado de certificados
El filtrado de certificados puede habilitarse para
buscar un determinado certificado que se
usará para autenticarse
El filtrado puede basarse en el emisor o
basarse en el uso mejorado de claves (EKU)
Validación del servidor: con TLS, la validación del
servidor se puede activar o desactivar
Nombre de servidor: especifica el servidor para
validar
Certificado de servidor: certificado raíz de
confianza para validar el servidor
Notificación: especifica si el usuario debe recibir
una notificación que le pregunte si confiar en el
servidor o no
MÉTODO DETALLES
Protocolo de autenticación extensible protegido (PEAP) Validación del servidor: con PEAP, la validación del
servidor se puede activar o desactivar
Nombre de servidor: especifica el servidor para
validar
Certificado de servidor: certificado raíz de
confianza para validar el servidor
Notificación: especifica si el usuario debe recibir
una notificación que le pregunte si confiar en el
servidor o no
Método interno: el método externo crea un túnel
seguro en el interior, mientras que el método interno
se usa para completar la autenticación
EAP-MSCHAPv2
EAP-TLS
Reconexión rápida: reduce el retraso entre un la
solicitud de autenticación de un cliente y la respuesta
del servidor de directivas de redes (NPS) u otro
servidor de Servicio de autenticación remota telefónica
de usuario (RADIUS). Esto reduce los requisitos de
recursos del cliente y el servidor, a la vez que minimiza
el número de veces que se le piden las credenciales a
los usuarios.
Cryptobinding: al derivar e intercambiar valores desde
el material de clave PEAP de fase 1 (clave de túnel) y
el material de clave del método EAP interno PEAP de
fase 2 (Clave de sesión interna), es posible
demostrar que las dos autenticaciones terminan en las
mismas dos entidades (mismo nivel PEAP y servidor
PEAP). Este proceso, que se conoce como
"cryptobinding", se usa para proteger la negociación
de PEAP contra los ataques "Man in the Middle".
Para un complemento VPN de UWP, el proveedor de la aplicación controla el método de autenticación que se
usará. Pueden usarse los siguientes tipos de credenciales:
Tarjeta inteligente
Certificado
Windows Hello para empresas
Nombre de usuario y contraseña
Contraseña de un solo uso
Tipo de credencial personalizada
Configurar la autenticación
Consulta Configuración de EAP para conocer la configuración de EAP XML.
NOTE
Para configurar la autenticación de Windows Hello para empresas, sigue los pasos de configuración de EAP para crear un
certificado de tarjeta inteligente. Más información sobre Windows Hello para empresas.
La siguiente imagen muestra el campo para EAP XML en un perfil de VPN de Microsoft Intune. El campo de EAP
XML solo aparece cuando seleccionas un tipo de conexión integrada (automático, IKEv2, L2TP, PPTP ).
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
VPN y acceso condicional
16/07/2018 • 6 minutes to read
El cliente VPN ahora es capaz de integrarse con la plataforma de acceso condicional basado en la nube para
proporcionar una opción de cumplimiento del dispositivo para los clientes remotos. Acceso condicional es un
motor de evaluación basado en directivas que te permite crear reglas de acceso para cualquier aplicación
conectada de Azure Active Directory (Azure AD ).
NOTE
Acceso condicional es una característica de Azure AD Premium.
Los componentes de la plataforma de acceso condicional usados para el cumplimiento del dispositivo incluyen
los siguientes servicios basados en la nube:
Marco de acceso condicional
Azure AD Connect Health
Servicio de atestación de estado de Windows (opcional)
Entidad de certificación de Azure AD: es obligatorio que el certificado de cliente usado para la solución de
cumplimiento del dispositivo basado en la nube sea emitido por una entidad de certificación (CA) basada
en Azure Active Directory. Una entidad de certificación de Azure AD es, básicamente, un inquilino de nube
miniCA en Azure. No puede configurarse la entidad de certificación de Azure AD como parte de una CA
empresarial local.
Certificados emitidos por Azure AD de corta duración: cuando se realiza un intento de conexión a VPN, el
agente de tokens de Azure AD en el dispositivo local se comunica con Azure Active Directory, que, a
continuación, comprueba el estado en función de reglas de cumplimiento. Si cumple, Azure AD devuelve
un certificado de corta duración que se usa para autenticar la VPN. Ten en cuenta que pueden usarse
métodos de autenticación de certificados como EAP -TLS.
Detalles adicionales relativos a certificados emitidos por Azure AD de corta duración:
La duración predeterminada es de 60 minutos y se puede configurar
Cuando expira el certificado, el cliente volverá a comprobar con Azure AD para que se pueda validar el
estado continuo antes de emitir un nuevo certificado, lo que permite la continuación de la conexión
Directivas de cumplimiento de dispositivo de Microsoft Intune: el cumplimiento de dispositivos basado en
la nube aprovecha las directivas de cumplimiento de Microsoft Intune, que son capaces de consultar el
estado del dispositivo y definir reglas de cumplimiento para lo siguiente, entre otras cosas.
Estado del antivirus
Estado de actualización automática y cumplimiento de actualización
Cumplimiento de la directiva de contraseñas
Cumplimiento de cifrado
Estado de atestación de estado de dispositivo (que se validan con el servicio de atestación después de la
consulta)
Los siguientes componentes del lado cliente también son obligatorios:
Proveedor de servicio de configuración (CSP ) de HealthAttestation
Configuración del nodo VPNv2 CSP DeviceCompliance
Módulo de plataforma segura (TPM )
Cuando se configura un perfil de VPNv2 con \ < DeviceCompliance > \ < habilitada > true < /Enabled > el
cliente VPN usa este flujo de conexión:
1. El cliente VPN llama al agente de tokens de AAD de Windows 10 y se identifica como un cliente VPN.
2. El agente de tokens de Azure AD se autentica en Azure AD y le proporciona información acerca del dispositivo
que intenta conectarse. El servidor de AD Azure comprueba si el dispositivo cumple con las directivas.
3. Si cumple, Azure AD solicita un certificado de corta duración
4. Azure AD inserta un certificado de corta duración en el almacén de certificados mediante el agente de tokens.
El agente de tokens luego devuelve el control al cliente VPN para el procesamiento posterior de conexión.
5. El cliente VPN usa el certificado emitido por AD Azure para autenticarse en el servidor VPN.
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Resolución de nombres de VPN
16/07/2018 • 2 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
Cuando el cliente VPN se conecta al servidor VPN, el cliente VPN recibe la dirección IP del cliente. El cliente
también puede recibir la dirección IP del servidor de sistema de nombres de dominio (DNS ) y la dirección IP del
servidor del Servicio de nombres Internet de Windows (WINS ).
La configuración de resolución de nombre en el perfil de VPN configura cómo debe funcionar la resolución de
nombres en el sistema cuando se conecta la VPN. La pila de red primero busca las coincidencias en la tabla de
directivas de resolución de nombre (NRPT) e intenta una resolución en caso de hallar una coincidencia. Si no se
encuentra ninguna coincidencia, el sufijo DNS en la interfaz preferida en función de la métrica de interfaz se
anexa al nombre (en el caso de un nombre corto) y se envía una consulta DNS en la interfaz preferida. Si se agota
el tiempo de espera de la consulta, se usa la lista de búsqueda de sufijos DNS en orden y se envían consultas
DNS en todas las interfaces.
Sufijo DNS
Esta opción se usa para configurar el sufijo DNS principal de la interfaz VPN y la lista de búsqueda sufijos una
vez que se establece la conexión VPN.
El sufijo DNS principal se establece mediante el nodo VPNv2/ProfileName/DnsSuffix.
Averigua más sobre el sufijo DNS principal
Persistente
También puedes configurar reglas de resolución de nombres persistente. La resolución de nombres para los
elementos especificados se realizará únicamente por VPN.
La resolución de nombres persistente se establece mediante el nodo
VPNv2/ProfileName/DomainNameInformationList//dniRowId/Persistent.
Los campos en Agregar o editar regla de DNS en el perfil de Intune correspondiente a la configuración de
XML que se muestra en la siguiente tabla.
CAMPO XML
Nombre VPNv2/ProfileName/DomainNameInformationList/dniRo
wId/DomainName
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Opciones desencadenadas automáticamente de
perfil de VPN
30/07/2018 • 3 minutes to read
Se aplica a
Windows 10
Windows 10 Mobile
En Windows 10, se agregó una serie de características para el desencadenamiento automático de VPN para que
los usuarios no tengan que conectarse manualmente cuando se necesita una VPN para acceder a recursos.
Existen tres tipos diferentes de reglas de desencadenamiento automático:
Desencadenador de aplicaciones
Desencadenador basado en nombre
Siempre activado
Desencadenador de aplicaciones
Los perfiles de VPN en Windows 10 pueden configurarse para conectarse automáticamente en el inicio de un
conjunto de aplicaciones especificado. Puedes configurar aplicaciones de escritorio o para Plataforma universal
de Windows (UWP ) para desencadenar una conexión VPN. También puedes configurar VPN por aplicación y
especificar las reglas de tráfico para cada aplicación. Consulta Filtros de tráfico para obtener más detalles.
El identificador de la aplicación para una aplicación de escritorio es una ruta de acceso de archivo. El identificador
de la aplicación para una aplicación para UWP es un nombre de familia de paquete.
Buscar un nombre de familia de paquete (PFN ) para la configuración de VPN por aplicación
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Características de seguridad de VPN
16/07/2018 • 3 minutes to read
Se aplica a
Windows10
Windows 10 Mobile
VPN de bloqueo
Un perfil de VPN configurado con bloqueo protege el dispositivo para permitir solamente el tráfico de red a
través de la interfaz de VPN. Tiene las siguientes características:
El sistema intenta mantener la VPN conectada en todo momento.
El usuario no puede desconectar la conexión VPN.
El usuario no puede eliminar o modificar el perfil de VPN.
El perfil de bloqueo de VPN usa la conexión de túnel forzada.
Si la conexión VPN no está disponible, se bloquea el tráfico de red saliente.
Solo se permite un perfil de bloqueo de VPN en un dispositivo.
NOTE
Para la VPN integrada, Bloquear VPN solo está disponible para el tipo de conexión de la versión 2 del intercambio de claves
por red (IKEv2).
Implementa esta característica con precaución, ya que la conexión resultante no podrá enviar ni recibir tráfico de
red sin que la VPN esté conectada.
Filtros de tráfico
Los filtros de tráfico permiten a las empresas decidir qué tráfico se permite en la red corporativa según las
directivas. Los administradores de redes deben agregar de manera eficaz reglas de firewall específicas para la
interfaz en la interfaz de VPN. Hay dos tipos de reglas de filtros de tráfico:
Reglas basadas en aplicaciones. Con las reglas basadas en aplicaciones, se puede marcar una lista de
aplicaciones para permitir en la interfaz VPN solo el tráfico procedente de dichas aplicaciones.
Reglas basadas en el tráfico. Las reglas basadas en el tráfico son directivas de 5 tuplas (puertos, direcciones,
protocolo) que se pueden especificar para permitir solo el tráfico que coincida con dichas reglas en la interfaz
VPN.
Puede haber varios conjuntos de reglas vinculados con el operador OR. En cada conjunto, puede haber reglas
basadas en aplicaciones y en el tráfico. Todas las propiedades del conjunto se vincularán mediante el operador
AND. Además, estas reglas pueden aplicarse en un nivel por aplicación o por dispositivo.
Por ejemplo, un administrador puede definir las reglas que especifican:
La aplicación de Recursos Humanos de Contoso debe tener permitido pasar por la VPN y acceder
únicamente al puerto 4545.
Las aplicaciones de finanzas de Contoso pueden pasar por la VPN y acceder únicamente a los intervalos IP
remota de 10.10.0.40 a 10.10.0.201 en el puerto 5889.
Todas las demás aplicaciones en el dispositivo deben poder acceder únicamente a los puertos 80 o 443.
Se aplica a
Windows10
Windows 10 Mobile
La mayoría de las opciones de VPN en Windows 10 puede configurarse en los perfiles de VPN con Microsoft
Intune o System Center Configuration Manager. Todas las opciones de VPN en Windows 10 pueden
configurarse mediante el nodo ProfileXML en el proveedor de servicios de configuración (CSP ) VPNv2.
NOTE
Si no estás familiarizado con los CSP, consulta antes Introducción a los proveedores de servicios de configuración (CSP) .
En la siguiente tabla se enumeran las opciones de VPN y si las opciones pueden configurarse en Intune y
Configuration Manager, o solo se pueden configurarse mediante ProfileXML.
Tipo de conexión sí
Acceso condicional sí
LockDown no
Filtros de tráfico sí
El nodo ProfileXML se agregó al VPNv2 CSP para permitir que los usuarios implementen un perfil de VPN
como un blob único. Esto es especialmente útil para la implementación de perfiles con características que las
MDM aún no admiten. Puedes obtener otros ejemplos en el tema ProfileXML XSD.
<VPNProfile>
<ProfileName>TestVpnProfile</ProfileName>
<NativeProfile>
<Servers>testServer.VPN.com</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<!--Sample routing policy: in this case, this is a split tunnel configuration with two routes
configured-->
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>
</NativeProfile>
<Route>
<Address>192.168.0.0</Address>
<PrefixSize>24</PrefixSize>
</Route>
<Route>
<Address>10.10.0.0</Address>
<PrefixSize>16</PrefixSize>
</Route>
<!--Example of per-app VPN. This configures traffic filtering rules for two apps. Internet Explorer is
<!--Example of per-app VPN. This configures traffic filtering rules for two apps. Internet Explorer is
configured for force tunnel, meaning that all traffic allowed through this app must go over VPN. Microsoft
Edge is configured as split tunnel, so whether data goes over VPN or the physical interface is dictated by
the routing configuration.-->
<TrafficFilter>
<App>
<Id>%ProgramFiles%\Internet Explorer\iexplore.exe</Id>
</App>
<Protocol>6</Protocol>
<LocalPortRanges>10,20-50,100-200</LocalPortRanges>
<RemotePortRanges>20-50,100-200,300</RemotePortRanges>
<RemoteAddressRanges>30.30.0.0/16,10.10.10.10-20.20.20.20</RemoteAddressRanges>
<RoutingPolicyType>ForceTunnel</RoutingPolicyType>
</TrafficFilter>
<TrafficFilter>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
<LocalAddressRanges>3.3.3.3/32,1.1.1.1-2.2.2.2</LocalAddressRanges>
</TrafficFilter>
<!--Name resolution configuration. The AutoTrigger node configures name-based triggering. In this
profile, the domain "hrsite.corporate.contoso.com" triggers VPN.-->
<DomainNameInformation>
<DomainName>hrsite.corporate.contoso.com</DomainName>
<DnsServers>1.2.3.4,5.6.7.8</DnsServers>
<WebProxyServers>5.5.5.5</WebProxyServers>
<AutoTrigger>true</AutoTrigger>
</DomainNameInformation>
<DomainNameInformation>
<DomainName>.corp.contoso.com</DomainName>
<DnsServers>10.10.10.10,20.20.20.20</DnsServers>
<WebProxyServers>100.100.100.100</WebProxyServers>
</DomainNameInformation>
<!--EDPMode is turned on for the enterprise ID "corp.contoso.com". When a user accesses an app with that
ID, VPN will be triggered.-->
<EdpModeId>corp.contoso.com</EdpModeId>
<RememberCredentials>true</RememberCredentials>
<!--Always On is turned off, and triggering VPN for the apps and domain name specified earlier in the
profile will not occur if the user is connected to the trusted network "contoso.com".-->
<AlwaysOn>false</AlwaysOn>
<DnsSuffix>corp.contoso.com</DnsSuffix>
<TrustedNetworkDetection>contoso.com</TrustedNetworkDetection>
<Proxy>
<Manual>
<Server>HelloServer</Server>
</Manual>
<AutoConfigUrl>Helloworld.Com</AutoConfigUrl>
</Proxy>
<!--Device compliance is enabled and an alternate certificate is specified for domain resource
authentication.-->
<DeviceCompliance>
<Enabled>true</Enabled>
<Sso>
<Enabled>true</Enabled>
<Eku>This is my Eku</Eku>
<IssuerHash>This is my issuer hash</IssuerHash>
</Sso>
</DeviceCompliance>
</VPNProfile>
Más información
Aprende a configurar conexiones VPN con Microsoft Intune.
Referencia del proveedor de servicio de configuración (CSP ) VPNv2
Cómo crear perfiles de VPN en Configuration Manager
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Cómo configurar el Protocolo Diffie Hellman sobre
conexiones VPN IKEv2
16/07/2018 • 2 minutes to read
En conexiones VPN IKEv2, la configuración predeterminada del grupo Diffie Hellman es Grupo 2, que no es segura
para intercambios IKE. Para proteger las conexiones, actualiza la configuración de los clientes y servidores de la
VPN mediante la ejecución de los cmdlets de VPN.
Servidor VPN
Para los servidores VPN que ejecuten Windows Server 2012 R2 o posterior, debes ejecutar Set-
VpnServerConfiguration para configurar el tipo de túnel. Esto hace que todos los intercambios IKE en el túnel
IKEv2 usen la configuración segura.
Set-VpnServerIPsecConfiguration -CustomPolicy
Cliente VPN
Para el cliente VPN, deberás configurar cada conexión VPN. Por ejemplo, ejecuta Set-
VpnConnectionIPsecConfiguration (versión 4.0) y especifica el nombre de la conexión:
En Windows 10, Windows Hello para empresas reemplaza las contraseñas por la autenticación segura en dos
fases, tanto en equipos como en dispositivos móviles. Esta autenticación consiste en un nuevo tipo de credenciales
de usuario vinculadas a un dispositivo y usa un PIN o datos biométricos.
Windows Hello para empresas permite al usuario autenticarse en una cuenta de Active Directory o Azure Active
Directory.
Windows Hello soluciona estos problemas de las contraseñas:
Las contraseñas seguras resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.
Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas (contraseñas).
Las contraseñas están sujetas a ataques de reproducción.
Los usuarios pueden exponer sus contraseñas de forma involuntaria debido a ataques de suplantación de
identidad (phishing).
Información general Por qué un PIN es mejor que una Administrar Windows Hello en tu
contraseña organización
Requisitos previos.
Implementación solo en la nube
Windows10, versión 1511 o posterior
Cuenta de Microsoft Azure
Azure Active Directory
Multifactor authentication de Azure
Administración moderno (Intune o MDM de terceros compatible), opcional
Suscripción a Azure AD Premium - opcional, necesario para la inscripción de MDM automática cuando el
dispositivo se une a Azure Active Directory
Implementaciones híbridas
La tabla muestra los requisitos mínimos para cada implementación.
CLAVE DE CONFIANZA
DIRECTIVA DE GRUPO CERTIFICADO DE CONFIANZA CLAVE DE CONFIANZA CERTIFICADO DE CONFIANZA
ADMINISTRADA ADMINISTRADO MIX TO ADMINISTRADO MODERNO ADMINISTRADO MODERNO
CLAVE DE CONFIANZA
DIRECTIVA DE GRUPO CERTIFICADO DE CONFIANZA CLAVE DE CONFIANZA CERTIFICADO DE CONFIANZA
ADMINISTRADA ADMINISTRADO MIX TO ADMINISTRADO MODERNO ADMINISTRADO MODERNO
Windows10, versión 1511 o Unido a Azure AD híbrido: Windows10, versión 1511 o Windows10, versión 1511 o
posterior Mínimo: Windows 10, posterior posterior
version 1703
Mejor experiencia: Windows
10, versión 1709 o posterior
(admite inscripción
sincrónica de certificados).
Unido a Azure AD:
Windows10, versión 1511 o
posterior
Esquema Windows Server Esquema de Windows Server Esquema de Windows Server Esquema de Windows Server
2016 2016 2016 2016
Nivel funcional del Nivel funcional del Nivel funcional del Nivel funcional del
dominio/bosque de dominio/bosque de dominio/bosque de dominio/bosque de
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2
Inquilino de MFA de Azure, Inquilino de MFA de Azure, Inquilino de MFA de Azure, o Inquilino de MFA de Azure, o
o o AD FS con adaptador de AD FS con adaptador de
AD FS con adaptador de AD FS con adaptador de MFA de Azure, o MFA de Azure, o
MFA de Azure, o MFA de Azure, o AD FS con adaptador del AD FS con adaptador del
AD FS con adaptador del AD FS con adaptador del servidor de MFA de Azure, o servidor de MFA de Azure, o
servidor de MFA de Azure, o servidor de MFA de Azure, o AD FS con adaptador de AD FS con adaptador de
AD FS con adaptador de AD FS con adaptador de MFA de terceros MFA de terceros
MFA de terceros MFA de terceros
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Premium, opcional Azure AD Premium, Azure AD Premium, opcional Azure AD Premium, opcional
necesario para la reescritura para la inscripción para la inscripción
de dispositivos automática de MDM automática de MDM
Implementaciones locales
La tabla muestra los requisitos mínimos para cada implementación.
Nivel funcional del dominio/bosque de Windows Server 2008 Nivel funcional del dominio/bosque de Windows Server 2008
R2 R2
Controladores de dominio de Windows Server 2016 Controladores de dominio de Windows Server 2008 R2 o
posterior
Entidad de certificación de Windows Server 2012 o posterior Entidad de certificación de Windows Server 2012 o posterior
Windows Server 2016 AD FS con actualización KB4088889 Windows Server 2016 AD FS con actualización KB4088889
AD FS con servidor de MFA de Azure, o AD FS con adaptador del servidor de MFA de Azure, o
AD FS con adaptador de MFA de terceros AD FS con adaptador de MFA de terceros
Cuenta de Azure, opcional para la facturación de MFA de Cuenta de Azure, opcional para la facturación de MFA de
Azure Azure
Preguntas frecuentes
¿Puedo implementar Windows Hello para empresas usando System Center Configuration Manager?
Windows Hello para implementaciones empresariales con System Center Configuration Manager tenga que
mover para el modelo de implementación híbrida que usa los servicios de federación de Active Directory. Las
implementaciones con System Center Configuration Manager no durante cuánto tiempo se admitirá después de
2018 de noviembre.
¿Qué es la estrategia sin contraseña?
Ver la presentación de Ignite 2017 del Director sénior de programa Karanbir Singh Guía de Microsoft para no
utilizar contraseña
PROTOCOLO DESCRIPCIÓN
[MS-OAPX]: OAuth 2.0 Extensiones del protocolo Especifica las extensiones de protocolo OAuth 2.0, que se usan
para ampliar el marco de autorización de OAuth 2.0. Estas
extensiones habilitan características de autorización, tales
como la especificación de recursos, los identificadores de
solicitud y sugerencias de inicio de sesión.
[MS-OAPXBC]: extensiones del protocolo OAuth 2.0 para Especifica las extensiones de protocolo OAuth 2.0 para clientes
clientes de agente de agente, extensiones para RFC6749 (el marco de
autorización de OAuth 2.0) que permiten que un cliente de
agente obtenga tokens de acceso en nombre de clientes de
llamada.
[MS-OIDCE]: Extensiones del protocolo de OpenID Connect Especifica las extensiones de protocolo de OpenID Connect
1.0 1.0. Estas extensiones definen notificaciones adicionales para
transmitir información sobre el usuario final, incluidos el
nombre principal de usuario, un identificador único local, un
tiempo de expiración de la contraseña y una dirección URL
para cambiar la contraseña. Estas extensiones también definen
metadatos de proveedor adicionales que permiten descubrir el
emisor de tokens de acceso y proporcionar información
adicional sobre las funcionalidades de proveedor.
¿Windows Hello para empresas funciona con clientes de Mac y Linux?
Windows Hello para empresas es una funcionalidad de Windows 10 En este momento, Microsoft no está
implementando clientes para otras plataformas. Sin embargo, Microsoft está abierto a terceros que estén
interesados en mover estas plataformas lejos de las contraseñas. Terceros interesados pueden consultar en
whfbfeedback@microsoft.com