Directiva Kerberos

 

Se aplica a: Windows Server 2008, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2

En este tema para profesionales de TI se describe la configuración de directiva de Kerberos y proporciona vínculos a descripciones de la configuración de directiva.

El protocolo Kerberos versión 5 autenticación proporciona el mecanismo predeterminado para los servicios de autenticación y los datos de autorización necesarios para un usuario acceso a un recurso y realizar una tarea en dicho recurso. Al reducir la duración de los vales Kerberos, reducir el riesgo de las credenciales de un usuario legítimo se roban y correctamente usada por un atacante. Sin embargo, esto también aumenta la sobrecarga de autorización. En la mayoría de los entornos, esta configuración no es necesario cambiar.

Esta configuración de directiva se encuentra ennombre_gpo**\Computer Configuration\Windows Windows\Configuración de seguridad\Directivas de Cuenta\directiva**y se puede establecer en un controlador de dominio.

Para obtener información acerca de cómo establecer directivas de seguridad, consulteCómo configurar opciones de directiva de seguridad.

Los temas siguientes proporcionan una explicación de la implementación y consideraciones mejores prácticas, la ubicación de directiva, los valores predeterminados para el tipo de servidor o el GPO, relevante diferencias en las versiones de sistema operativo, consideraciones de seguridad (incluidas las vulnerabilidades posibles configuraciones de cada configuración), las medidas puede tomar y el potencial impacto de cada opción.

• Aplicar restricciones de inicio de sesión de usuario

  Esta configuración de directiva determina si el centro de distribución de claves (KDC) de Kerberos V5 valida cada solicitud de vale de sesión con la directiva de derechos de usuario de la cuenta de usuario.

• Vigencia máxima del vale de servicio

  Esta configuración de directiva determina el número máximo de minutos que un vale de sesión concedido puede utilizarse para tener acceso a un servicio determinado.

• Vigencia máxima del vale de usuario

  Esta configuración de directiva determina la cantidad máxima de tiempo (en horas) que puede usarse el vale de concesión de vales de usuario.

• Vigencia máxima de renovación de vales de usuario

  Esta configuración de directiva determina el período de tiempo (en días) durante el que se puede renovar el vale de concesión de vales de usuario.

• Tolerancia máxima para la sincronización de los relojes

  Esta configuración de directiva determina la diferencia máxima de tiempo (en minutos) que el protocolo Kerberos V5 tolera entre la hora del reloj del cliente y la hora en el controlador de dominio que proporciona la autenticación Kerberos.