Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen las entradas del Registro sobre el protocolo de autenticación Kerberos versión 5 y la configuración del Centro de distribución de claves (KDC).
Número de KB original: 837361
Resumen
Kerberos es un mecanismo de autenticación que se usa para comprobar la identidad de usuario o host. Kerberos es el método de autenticación preferido para los servicios de Windows.
Si ejecuta Windows, puede modificar los parámetros Kerberos para ayudar a solucionar problemas de autenticación Kerberos o para probar el protocolo Kerberos. Para ello, agregue o modifique las entradas del Registro que aparecen en las secciones siguientes.
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
Nota:
Después de finalizar la solución de problemas o probar el protocolo Kerberos, quite las entradas del Registro que agregue. De lo contrario, es posible que el rendimiento del equipo se vea afectado.
Entradas y valores del Registro en la clave Parámetros
Las entradas del Registro que aparecen en esta sección deben agregarse a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nota:
Si la clave Parameters no aparece en Kerberos, debe crear la clave.
Entrada: SkewTime
Tipo: REG_DWORD
Valor predeterminado: 5 (minutos)
Este valor es la diferencia de tiempo máxima permitida entre el equipo cliente y el servidor que acepta la autenticación Kerberos o el KDC.
Nota:
SkewTime se considera en la determinación de la validez del vale kerberos para su reutilización. Un vale se considera expirado si el tiempo de expiración es menor que la hora actual + skewTime. Por ejemplo, si SkewTime se establece en 20 minutos y la hora actual es 08:00, cualquier vale con una hora de expiración antes de las 08:20 se considerará expirada.
Entrada: LogLevel
Tipo: REG_DWORD
Valor predeterminado: 0
Este valor indica si los eventos se registran en el registro de eventos del sistema. Si este valor se establece en cualquier valor distinto de cero, todos los eventos relacionados con Kerberos se registran en el registro de eventos del sistema.
Nota:
Los eventos registrados pueden incluir falsos positivos en los que el cliente Kerberos vuelve a intentarlo con marcas de solicitud diferentes que después se realizan correctamente. Por lo tanto, no suponga que tiene un problema de Kerberos cuando vea un evento registrado en función de esta configuración. Para obtener más información, consulte Habilitación del registro de eventos Kerberos.
Entrada: MaxPacketSize
Tipo: REG_DWORD
Valor predeterminado: 1465 (bytes)
Este valor es el tamaño máximo de paquete del Protocolo de datagramas de usuario (UDP). Si el tamaño del paquete supera este valor, se usa TCP.
El valor predeterminado para este valor en Windows Vista y la versión posterior de Windows es 0, por lo que UDP nunca lo usa el cliente Kerberos de Windows.
Entrada: StartupTime
Tipo: REG_DWORD
Valor predeterminado: 120 (segundos)
Este valor es el tiempo que Windows espera a que el KDC se inicie antes de que Windows se desasíe.
Entrada: KdcWaitTime
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el momento en que Windows espera una respuesta de un KDC.
Entrada: KdcBackoffTime
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el tiempo entre llamadas sucesivas al KDC si se produjo un error en la llamada anterior.
Entrada: KdcSendRetries
Tipo: REG_DWORD
Valor predeterminado: 3
Este valor es el número de veces que un cliente intentará ponerse en contacto con un KDC.
Entrada: DefaultEncryptionType
Tipo: REG_DWORD
Este valor indica el tipo de cifrado predeterminado para la autenticación previa. El valor predeterminado es 18 decimal para AES256
Posibles otros valores:
- 17 decimales para AES128
- 23 decimales para RC4 HMAC
Este valor indica el tipo de cifrado predeterminado para la autenticación previa.
Entrada: FarKdcTimeout
Tipo: REG_DWORD
Valor predeterminado: 10 (minutos)
Es el valor de tiempo de espera que se usa para invalidar un controlador de dominio de un sitio diferente en la memoria caché del controlador de dominio.
Entrada: NearKdcTimeout
Tipo: REG_DWORD
Valor predeterminado: 30 (minutos)
Es el valor de tiempo de espera que se usa para invalidar un controlador de dominio en el mismo sitio en la memoria caché del controlador de dominio.
Entrada: StronglyEncryptDatagram
Tipo: REG_BOOL
Valor predeterminado: FALSE
Este valor contiene una marca que indica si se debe usar el cifrado de 128 bits para los paquetes de datagramas.
Entrada: MaxReferralCount
Tipo: REG_DWORD
Valor predeterminado: 6
Este valor es el número de referencias de KDC que un cliente persigue antes de que el cliente se desasiga.
Entrada: MaxTokenSize
Tipo: REG_DWORD
Valor predeterminado: 12000 (Decimal). A partir de Windows Server 2012 y Windows 8, el valor predeterminado es 48000.
Este valor es el valor máximo del token kerberos. Microsoft recomienda establecer este valor en menos de 65535. Para obtener más información, consulte Problemas con la autenticación Kerberos cuando un usuario pertenece a muchos grupos.
Entrada: SpnCacheTimeout
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
El sistema usa este valor al purgar entradas de caché de nombres de entidad de seguridad de servicio (SPN). En los controladores de dominio, la caché de SPN está deshabilitada. Los clientes y los servidores miembros usan este valor para eliminar y purgar entradas de caché negativas (no se encuentra SPN). Las entradas de caché de SPN válidas (por ejemplo, no la caché negativa) no se eliminan después de 15 minutos de creación. Sin embargo, el valor de SPNCacheTimeout también se usa para reducir la memoria caché de SPN a un tamaño manejable: cuando la memoria caché de SPN alcanza 350 entradas, el sistema usará este valor en
scavenge / cleanupentradas antiguas y sin usar.
Entrada: S4UCacheTimeout
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
Este valor es la duración de las entradas de caché negativas de S4U que se usan para restringir el número de solicitudes de proxy S4U desde un equipo determinado.
Entrada: S4UTicketLifetime
Tipo: REG_DWORD
Valor predeterminado: 15 minutos
Este valor es la duración de los vales obtenidos por las solicitudes de proxy S4U.
Entrada: RetryPdc
Tipo: REG_DWORD
Valor predeterminado: 0 (false)
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si el cliente se pondrá en contacto con el controlador de dominio principal para las solicitudes de servicio de autenticación (AS_REQ) si el cliente recibe un error de expiración de contraseña.
Entrada: RequestOptions
Tipo: REG_DWORD
Valor predeterminado: cualquier valor RFC 1510
Este valor indica si hay más opciones que se deben enviar como opciones de KDC en solicitudes de servicio de concesión de vales (TGS_REQ).
Entrada: ClientIpAddresses
Tipo: REG_DWORD
Valor predeterminado: 0 (esta configuración es 0 debido al protocolo de configuración dinámica de host y a problemas de traducción de direcciones de red).
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si se agregará una dirección IP de cliente en AS_REQ para forzar que el
Caddrcampo contenga direcciones IP en todos los vales.En el caso de los dominios de terceros que requieren direcciones de cliente, puede habilitar de forma selectiva las direcciones:
Abra una ventana del símbolo del sistema con permisos elevados.
Ejecute el siguiente comando:
ksetup /setrealmflags <your Kerberos realm name> sendaddressPuede usar el
/servermodificador para permitir que ksetup realice los cambios en un equipo remoto.
Entrada: TgtRenewalTime
Tipo: REG_DWORD
Valor predeterminado: 600 segundos
Este valor es el tiempo que Kerberos espera antes de intentar renovar un vale de concesión de vales (TGT) antes de que expire el vale.
Entrada: AllowTgtSessionKey
Tipo: REG_DWORD
Valor predeterminado: 0
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si las claves de sesión se exportan con autenticación TGT inicial o entre dominios. El valor predeterminado es false por motivos de seguridad.
Nota:
Con Credential Guard activo en Windows 10 y versiones posteriores de Windows, ya no puedes habilitar el uso compartido de las claves de sesión de TGT con aplicaciones.
Entradas y valores del Registro en la clave Kdc
Las entradas del Registro que aparecen en esta sección deben agregarse a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Nota:
Si la clave Kdc no aparece en Servicios, debe crear la clave.
Entrada: KdcUseClientAddresses
Tipo: REG_DWORD
Valor predeterminado: 0
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si las direcciones IP se agregarán en la respuesta del servicio de concesión de vales (TGS_REP).
Entrada: KdcDontCheckAddresses
Tipo: REG_DWORD
Valor predeterminado: 1
Valores posibles: 0 (false) o cualquier valor distinto de cero (true)
Este valor indica si se comprobarán las direcciones IP del TGS_REQ y el campo TGT
Caddr.
Entrada: NewConnectionTimeout
Tipo: REG_DWORD
Valor predeterminado: 10 (segundos)
Este valor es el momento en que se mantendrá abierta una conexión de punto de conexión TCP inicial para recibir datos antes de que se desconecte.
Entrada: MaxDatagramReplySize
Tipo: REG_DWORD
Valor predeterminado: 1465 (decimal, bytes)
Este valor es el tamaño máximo de paquete UDP en TGS_REP y mensajes del servicio de autenticación (AS_REP). Si el tamaño del paquete supera este valor, el KDC devuelve un mensaje "KRB_ERR_RESPONSE_TOO_BIG" que solicita que el cliente cambie a TCP.
Nota:
Aumentar MaxDatagramReplySize puede aumentar la probabilidad de que se fragmentan los paquetes UDP de Kerberos.
Para obtener más información sobre este problema, consulte Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.
Entrada: KdcExtraLogLevel
Tipo: REG_DWORD
Valor predeterminado: 2
Valores posibles:
- 1 (decimal) o 0x1 (hexadecimal): audite errores de SPN desconocidos en el registro de eventos de seguridad. El identificador de evento 4769 se registra con una auditoría con error.
- 2 (decimal) o 0x2 (hexadecimal): registra errores PKINIT. Esto registra un identificador de evento de advertencia de KDC 21 (habilitado de forma predeterminada) en el registro de eventos del sistema. PKINIT es un borrador de Internet del Grupo de tareas de ingeniería de Internet (IETF) para la criptografía de clave pública para la autenticación inicial en Kerberos.
- 4 (decimal) o 0x4 (hexadecimal): registre todos los errores de KDC. Esto registra un identificador de evento KDC 24 (ejemplo de problemas necesarios de U2U) en el registro de eventos del sistema.
- 8 (decimal) o 0x8 (hexadecimal): registre un identificador de evento de advertencia de KDC 25 en el registro del sistema cuando el usuario que solicita el vale S4U2Self no tiene acceso suficiente al usuario de destino.
- 16 (decimal) o 0x10 (hexadecimal): registrar eventos de auditoría en el tipo de cifrado (ETYPE) y errores de opciones incorrectas. Este valor indica qué información escribirá el KDC en los registros de eventos y en las auditorías del registro de eventos de seguridad. El identificador de evento 4769 se registra con una auditoría con error.
Entrada: DefaultDomainSupportedEncTypes
Tipo: REG_DWORD
Valor predeterminado: 0x27
Valores posibles:
El valor predeterminado es 0x27 (DES, RC4, claves de sesión de AES). Se recomienda establecer el valor en 0x3C para aumentar la seguridad, ya que este valor permite los vales cifrados AES y las claves de sesión de AES. Si se mueve a un entorno de solo AES en el que RC4 no se usa para el protocolo Kerberos, se recomienda establecer el valor en 0x38.
Este valor establece AES como el tipo de cifrado predeterminado para las claves de sesión en las cuentas que no están marcadas con un tipo de cifrado predeterminado.
Para obtener más información, consulte KB5021131: Administración de los cambios del protocolo Kerberos relacionados con CVE-2022-37966.