Directiva de grupo de tarjeta inteligente y configuración de registros
En este artículo para profesionales de TI y desarrolladores de tarjetas inteligentes se describen la configuración de directiva de grupo, la configuración de clave del Registro, la configuración de directiva de seguridad local y la configuración de directivas de delegación de credenciales que están disponibles para configurar tarjetas inteligentes.
En las secciones y tablas siguientes se enumeran la configuración de directiva de grupo relacionada con la tarjeta inteligente y las claves del Registro que se pueden establecer por equipo. Si usa objetos de directiva de grupo de dominio (GPO), puede editar y aplicar directiva de grupo configuración a equipos locales o de dominio.
- Configuración de directiva de grupo principal para tarjetas inteligentes
- Permitir certificados sin atributo de certificado de uso de clave extendido
- Permitir que los certificados ECC se usen para el inicio de sesión y la autenticación
- Permitir que se muestre la pantalla de desbloqueo integrado en el momento del inicio de sesión
- Permitir claves de firma válidas para el inicio de sesión
- Permitir el tiempo de certificados no válidos
- Permitir sugerencia de nombre de usuario
- Configuración de la limpieza del certificado raíz
- Mostrar cadena cuando se bloquea la tarjeta inteligente
- Filtrar certificados de inicio de sesión duplicados
- Forzar la lectura de todos los certificados de la tarjeta inteligente
- Notificar al usuario de la instalación correcta del controlador de tarjeta inteligente
- Impedir que Credential Manager devuelva los PIN de texto no cifrado
- Invertir el nombre del firmante almacenado en un certificado al mostrarlo
- Activar la propagación de certificados desde una tarjeta inteligente
- Activar la propagación de certificados raíz desde la tarjeta inteligente
- Activar el servicio de Plug and Play de tarjeta inteligente
- Claves del Registro KSP de CSP base y tarjeta inteligente
- Comprobación de claves del Registro de CRL
- Configuración de directiva de grupo de tarjeta inteligente adicional y claves del Registro
Configuración de directiva de grupo principal para tarjetas inteligentes
La siguiente configuración de directiva de grupo de tarjeta inteligente se encuentra en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Tarjeta inteligente.
Las claves del Registro se encuentran en las siguientes ubicaciones:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
Nota
La información del Registro del lector de tarjetas inteligentes está en HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
La información del Registro de tarjetas inteligentes está en HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.
En la tabla siguiente se enumeran los valores predeterminados de esta configuración de GPO. Las variaciones se documentan en las descripciones de la directiva de este artículo.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
| Directiva de dominio predeterminada | No configurado |
| Directiva de controlador de dominio predeterminada | No configurado |
| configuración predeterminada del servidor de Stand-Alone | No configurado |
| Configuración predeterminada efectiva del controlador de dominio | Deshabilitado |
| Configuración predeterminada efectiva del servidor miembro | Deshabilitado |
| Configuración predeterminada efectiva del equipo cliente | Deshabilitado |
Permitir certificados sin atributo de certificado de uso de clave extendido
Puede usar esta configuración de directiva para permitir que los certificados sin un uso extendido de claves (EKU) se use para el inicio de sesión.
Nota
El atributo de certificado de uso de clave extendida también se conoce como uso extendido de claves.
En las versiones de Windows anteriores a Windows Vista, los certificados de tarjeta inteligente que se usan para iniciar sesión requieren una extensión EKU con un identificador de objeto de inicio de sesión de tarjeta inteligente. Esta configuración de directiva se puede usar para modificar esa restricción.
Cuando esta configuración de directiva está activada, también se pueden usar certificados con los siguientes atributos para iniciar sesión con una tarjeta inteligente:
- Certificados sin EKU
- Certificados con un EKU de uso general
- Certificados con un EKU de autenticación de cliente
Cuando esta configuración de directiva no está activada, solo se pueden usar certificados que contengan el identificador de objeto de inicio de sesión de tarjeta inteligente para iniciar sesión con una tarjeta inteligente.
| Elemento | Descripción |
|---|---|
| Clave del Registro | AllowCertificatesWithNoEKU |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Permitir que los certificados ECC se usen para el inicio de sesión y la autenticación
Puede usar esta configuración de directiva para controlar si se pueden usar certificados de criptografía de curva elíptica (ECC) en una tarjeta inteligente para iniciar sesión en un dominio.
Cuando esta configuración está activada, se pueden usar certificados ECC en una tarjeta inteligente para iniciar sesión en un dominio.
Cuando esta configuración no está activada, los certificados ECC de una tarjeta inteligente no se pueden usar para iniciar sesión en un dominio.
| Elemento | Descripción |
|---|---|
| Clave del Registro | EnumerateECCCerts |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Esta configuración de directiva solo afecta a la capacidad de un usuario para iniciar sesión en un dominio. Los certificados ECC en una tarjeta inteligente que se usan para otras aplicaciones, como la firma de documentos, no se ven afectados por esta configuración de directiva. Si usa una clave ECDSA para iniciar sesión, también debe tener una clave ECDH asociada para permitir el inicio de sesión cuando no esté conectado a la red. |
Permitir que se muestre la pantalla de desbloqueo integrado en el momento del inicio de sesión
Puede usar esta configuración de directiva para determinar si la característica de desbloqueo integrada está disponible en la interfaz de usuario (UI) de inicio de sesión. La característica se introdujo como una característica estándar en el proveedor de soporte técnico de seguridad de credenciales en Windows Vista.
Cuando esta configuración está activada, la característica de desbloqueo integrada está disponible.
Cuando esta configuración no está activada, la característica no está disponible.
| Elemento | Descripción |
|---|---|
| Clave del Registro | AllowIntegratedUnblock |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Para usar la característica de desbloqueo integrada, la tarjeta inteligente debe admitirla. Consulte con el fabricante del hardware para comprobar que la tarjeta inteligente admite esta característica. Puede crear un mensaje personalizado que el usuario ve cuando se bloquea la tarjeta inteligente configurando la configuración de directiva Cadena de visualización cuando se bloquea la tarjeta inteligente. |
Permitir claves de firma válidas para el inicio de sesión
Puede usar esta configuración de directiva para permitir que los certificados basados en clave de firma se enumeren y estén disponibles para el inicio de sesión.
Cuando esta configuración está activada, todos los certificados que están disponibles en la tarjeta inteligente con una clave de solo firma se muestran en la pantalla de inicio de sesión.
Cuando esta configuración no está activada, los certificados disponibles en la tarjeta inteligente con una clave de solo firma no aparecen en la pantalla de inicio de sesión.
| Elemento | Descripción |
|---|---|
| Clave del Registro | AllowSignatureOnlyKeys |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Permitir el tiempo de certificados no válidos
Puede usar esta configuración de directiva para permitir que se muestren certificados que hayan expirado o que aún no sean válidos para el inicio de sesión.
Nota
Antes de Windows Vista, los certificados tenían que contener un tiempo válido y no expirar. Para que se use un certificado, el controlador de dominio debe aceptarlo. Esta configuración de directiva solo controla qué certificados se muestran en el equipo cliente.
Cuando esta configuración está activada, los certificados se muestran en la pantalla de inicio de sesión, independientemente de si tienen una hora no válida o si su validez de tiempo ha expirado.
Cuando esta configuración de directiva no está activada, los certificados que han expirado o aún no son válidos no aparecen en la pantalla de inicio de sesión.
| Elemento | Descripción |
|---|---|
| Clave del Registro | AllowTimeInvalidCertificates |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Permitir sugerencia de nombre de usuario
Puede usar esta configuración de directiva para determinar si aparece un campo opcional durante el inicio de sesión y proporciona un proceso de elevación posterior en el que los usuarios pueden escribir su nombre de usuario o nombre de usuario y dominio, que asocia un certificado al usuario.
Cuando esta configuración de directiva está activada, los usuarios ven un campo opcional donde pueden escribir su nombre de usuario o nombre de usuario y dominio.
Cuando esta configuración de directiva no está activada, los usuarios no ven este campo opcional.
| Elemento | Descripción |
|---|---|
| Clave del Registro | X509HintsNeeded |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Configuración de la limpieza del certificado raíz
Puede usar esta configuración de directiva para administrar el comportamiento de limpieza de los certificados raíz. Los certificados se comprueban mediante una cadena de confianza y el delimitador de confianza para el certificado digital es la entidad de certificación raíz (CA). Una entidad de certificación puede emitir varios certificados con el certificado raíz como certificado superior de la estructura de árbol. Se usa una clave privada para firmar otros certificados. Esto crea una confiabilidad heredada para todos los certificados inmediatamente bajo el certificado raíz.
Cuando esta configuración de directiva está activada, puede establecer las siguientes opciones de limpieza:
- Sin limpieza. Cuando el usuario cierra la sesión o quita la tarjeta inteligente, los certificados raíz usados durante la sesión persisten en el equipo.
- Limpie los certificados en la eliminación de tarjetas inteligentes. Cuando se quita la tarjeta inteligente, se quitan los certificados raíz.
- Limpie los certificados al cerrar la sesión. Cuando el usuario cierra la sesión de Windows, se quitan los certificados raíz.
Cuando esta configuración de directiva no está activada, los certificados raíz se quitan automáticamente cuando el usuario cierra sesión en Windows.
| Elemento | Descripción |
|---|---|
| Clave del Registro | RootCertificateCleanupOption |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Mostrar cadena cuando se bloquea la tarjeta inteligente
Puede usar esta configuración de directiva para cambiar el mensaje predeterminado que un usuario ve si su tarjeta inteligente está bloqueada.
Cuando esta configuración de directiva está activada, puede crear y administrar el mensaje mostrado que el usuario ve cuando se bloquea una tarjeta inteligente.
Cuando esta configuración de directiva no está activada (y la característica de desbloqueo integrada también está habilitada), el usuario ve el mensaje predeterminado del sistema cuando se bloquea la tarjeta inteligente.
| Elemento | Descripción |
|---|---|
| Clave del Registro | IntegratedUnblockPromptString |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: esta configuración de directiva solo es efectiva cuando se habilita la pantalla Permitir desbloqueo integrado que se mostrará en el momento de la directiva de inicio de sesión . |
Filtrar certificados de inicio de sesión duplicados
Puede usar esta configuración de directiva para configurar qué certificados de inicio de sesión válidos se muestran.
Nota
Durante el período de renovación de certificados, la tarjeta inteligente de un usuario puede tener varios certificados de inicio de sesión válidos emitidos desde la misma plantilla de certificado, lo que puede causar confusión sobre qué certificado seleccionar. Este comportamiento puede producirse cuando se renueva un certificado y el certificado antiguo aún no ha expirado.
Si se emiten dos certificados desde la misma plantilla con la misma versión principal y son para el mismo usuario (esto viene determinado por su UPN), se determina que son los mismos.
Cuando esta configuración de directiva está activada, se produce el filtrado para que el usuario pueda seleccionar solo entre los certificados válidos más actuales.
Si esta configuración de directiva no está activada, todos los certificados se muestran al usuario.
Esta configuración de directiva se aplica al equipo después de aplicar la configuración de directiva Permitir tiempo no válido de certificados .
| Elemento | Descripción |
|---|---|
| Clave del Registro | FilterDuplicateCerts |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Si hay dos o más de los mismos certificados en una tarjeta inteligente y esta configuración de directiva está habilitada, se muestra el certificado con el tiempo de expiración más lejano. |
Forzar la lectura de todos los certificados de la tarjeta inteligente
Puede usar esta configuración de directiva para administrar cómo Windows lee todos los certificados de la tarjeta inteligente para el inicio de sesión. Durante el inicio de sesión, Windows lee solo el certificado predeterminado de la tarjeta inteligente a menos que admita la recuperación de todos los certificados en una sola llamada. Esta configuración de directiva obliga a Windows a leer todos los certificados de la tarjeta inteligente.
Cuando esta configuración de directiva está activada, Windows intenta leer todos los certificados de la tarjeta inteligente, independientemente del conjunto de características de CSP.
Cuando esta directiva no está activada, Windows intenta leer solo el certificado predeterminado de las tarjetas inteligentes que no admiten la recuperación de todos los certificados en una sola llamada. Los certificados distintos del valor predeterminado no están disponibles para el inicio de sesión.
| Elemento | Descripción |
|---|---|
| Clave del Registro | ForceReadingAllCertificates |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno Importante: Habilitar esta configuración de directiva puede afectar negativamente al rendimiento durante el proceso de inicio de sesión en determinadas situaciones. |
| Notas y recursos | Póngase en contacto con el proveedor de tarjetas inteligentes para determinar si la tarjeta inteligente y el CSP asociado admiten el comportamiento necesario. |
Notificar al usuario de la instalación correcta del controlador de tarjeta inteligente
Puede usar esta configuración de directiva para controlar si el usuario ve un mensaje de confirmación cuando se instala un controlador de dispositivo de tarjeta inteligente.
Cuando esta configuración de directiva está activada, el usuario ve un mensaje de confirmación cuando se instala un controlador de dispositivo de tarjeta inteligente.
Cuando esta configuración no está activada, el usuario no ve un mensaje de instalación del controlador de dispositivo de tarjeta inteligente.
| -- | -- |
|---|---|
| Clave del Registro | ScPnPNotification |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Esta configuración de directiva solo se aplica a los controladores de tarjeta inteligente que han pasado el proceso de prueba de Windows Hardware Quality Labs (WHQL). |
Impedir que Credential Manager devuelva los PIN de texto no cifrado
Puede usar esta configuración de directiva para evitar que Credential Manager devuelva PIN de texto no cifrado.
Nota
El administrador de credenciales lo controla el usuario en el equipo local y almacena las credenciales de exploradores y aplicaciones de Windows compatibles. Las credenciales se guardan en carpetas cifradas especiales en el equipo bajo el perfil del usuario.
Cuando esta configuración de directiva está activada, Credential Manager no devuelve un PIN de texto no cifrado.
Cuando esta configuración no está activada, el Administrador de credenciales puede devolver PIN de texto no cifrado.
| Elemento | Descripción |
|---|---|
| Clave del Registro | DisallowPlaintextPin |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Si esta configuración de directiva está habilitada, es posible que algunas tarjetas inteligentes no funcionen en equipos que ejecutan Windows. Consulte al fabricante de tarjetas inteligentes para determinar si se debe habilitar esta configuración de directiva. |
Invertir el nombre del firmante almacenado en un certificado al mostrarlo
Puede usar esta configuración de directiva para controlar la forma en que aparece el nombre del firmante durante el inicio de sesión.
Nota
Para ayudar a los usuarios a distinguir un certificado de otro, el nombre principal de usuario (UPN) y el nombre común se muestran de forma predeterminada. Por ejemplo, cuando esta configuración está habilitada, si el firmante del certificado es CN=User1, OU=Users, DN=example, DN=com y el UPN es user1@example.com, User1 se muestra con user1@example.com. Si el UPN no está presente, se muestra todo el nombre del firmante. Esta configuración controla la apariencia de ese nombre de firmante y es posible que tenga que ajustarse para su organización.
Cuando esta configuración de directiva está activada, el nombre del firmante durante el inicio de sesión aparece invertido de la forma en que se almacena en el certificado.
Cuando esta configuración de directiva no está activada, el nombre del firmante aparece igual que se almacena en el certificado.
| Elemento | Descripción |
|---|---|
| Clave del Registro | ReverseSubject |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Deshabilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
Activar la propagación de certificados desde una tarjeta inteligente
Puede usar esta configuración de directiva para administrar la propagación de certificados que se produce cuando se inserta una tarjeta inteligente.
Nota
El servicio de propagación de certificados se aplica cuando un usuario que ha iniciado sesión inserta una tarjeta inteligente en un lector que está conectado al equipo. Esta acción hace que el certificado se lea desde la tarjeta inteligente. A continuación, los certificados se agregan al almacén personal del usuario.
Cuando esta configuración de directiva está activada, la propagación de certificados se produce cuando el usuario inserta la tarjeta inteligente.
Cuando esta configuración de directiva está desactivada, no se produce la propagación de certificados y los certificados no están disponibles para las aplicaciones, como Outlook.
| Elemento | Descripción |
|---|---|
| Clave del Registro | CertPropEnabled |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Habilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: esta configuración de directiva debe estar habilitada para permitir que la opción Activar la propagación de certificados raíz desde la tarjeta inteligente funcione cuando esté habilitada. |
Activar la propagación de certificados raíz desde la tarjeta inteligente
Puede usar esta configuración de directiva para administrar la propagación del certificado raíz que se produce cuando se inserta una tarjeta inteligente.
Nota
El servicio de propagación de certificados se aplica cuando un usuario que ha iniciado sesión inserta una tarjeta inteligente en un lector que está conectado al equipo. Esta acción hace que el certificado se lea desde la tarjeta inteligente. A continuación, los certificados se agregan al almacén personal del usuario.
Cuando esta configuración de directiva está activada, la propagación del certificado raíz se produce cuando el usuario inserta la tarjeta inteligente.
Cuando esta configuración de directiva no está activada, la propagación del certificado raíz no se produce cuando el usuario inserta la tarjeta inteligente.
| Elemento | Descripción |
|---|---|
| Clave del Registro | EnableRootCertificate Propagation |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Habilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: para que esta configuración de directiva funcione, también debe habilitarse la opción Activar la propagación de certificados desde la tarjeta inteligente . |
| Notas y recursos |
Activar el servicio de Plug and Play de tarjeta inteligente
Puede usar esta configuración de directiva para controlar si la tarjeta inteligente Plug and Play está habilitada.
Nota
Los usuarios pueden usar tarjetas inteligentes de proveedores que han publicado sus controladores a través de Windows Update sin necesidad de middleware especial. Estos controladores se descargarán de la misma manera que los controladores para otros dispositivos en Windows. Si un controlador adecuado no está disponible en Windows Update, se usa un mini driver compatible con PIV que se incluye con cualquiera de las versiones compatibles de Windows para estas tarjetas.
Cuando esta configuración de directiva está activada, el sistema intenta instalar un controlador de dispositivo de tarjeta inteligente la primera vez que se inserta una tarjeta inteligente en un lector de tarjetas inteligentes.
Cuando esta configuración de directiva no está activada, no se instala un controlador de dispositivo cuando se inserta una tarjeta inteligente en un lector de tarjetas inteligentes.
| Elemento | Descripción |
|---|---|
| Clave del Registro | EnableScPnP |
| Valores predeterminados | No hay cambios por versiones del sistema operativo Habilitados y no configurados son equivalentes |
| Administración de directivas | Requisito de reinicio: Ninguno Requisito de cierre de sesión: Ninguno Conflictos de directivas: Ninguno |
| Notas y recursos | Esta configuración de directiva solo se aplica a los controladores de tarjeta inteligente que han pasado el proceso de prueba de Windows Hardware Quality Labs (WHQL). |
Claves del Registro KSP de CSP base y tarjeta inteligente
Las siguientes claves del Registro se pueden configurar para el proveedor de servicios de criptografía base (CSP) y el proveedor de almacenamiento de claves de tarjeta inteligente (KSP). En las tablas siguientes se enumeran las claves. Todas las claves usan el tipo DWORD.
Las claves del Registro para el CSP base están en el registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.
Las claves del Registro de la tarjeta inteligente KSP están en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.
Claves del Registro para el CSP base y KSP de tarjeta inteligente
| Clave del Registro | Descripción |
|---|---|
| AllowPrivateExchangeKeyImport | Un valor distinto de cero permite importar claves privadas de intercambio RSA (por ejemplo, cifrado) para su uso en escenarios de archivado de claves. Valor predeterminado: 00000000 |
| AllowPrivateSignatureKeyImport | Un valor distinto de cero permite importar claves privadas de firma RSA para su uso en escenarios de archivado de claves. Valor predeterminado: 00000000 |
| DefaultPrivateKeyLenBits | Define la longitud predeterminada de las claves privadas, si lo desea. Valor predeterminado: 00000400 Parámetro de generación de claves predeterminado: claves de 1024 bits |
| RequireOnCardPrivateKeyGen | Esta clave establece la marca que requiere la generación de claves privadas en tarjeta (valor predeterminado). Si se establece este valor, se puede importar una clave generada en un host en la tarjeta inteligente. Esto se usa para tarjetas inteligentes que no admiten la generación de claves en tarjeta o donde se requiere la custodia de claves. Valor predeterminado: 00000000 |
| TransactionTimeoutMilliseconds | Los valores de tiempo de espera predeterminados permiten especificar si se producirá un error en las transacciones que tardan demasiado tiempo. Valor predeterminado: 000005dc El tiempo de espera predeterminado para mantener transacciones en la tarjeta inteligente es de 1,5 segundos. |
Claves adicionales del Registro para la tarjeta inteligente KSP:
| Clave del Registro | Descripción |
|---|---|
| AllowPrivateECDHEKeyImport | Este valor permite importar claves privadas de curva elíptica efímera Diffie-Hellman (ECDHE) para su uso en escenarios de archivado de claves. Valor predeterminado: 00000000 |
| AllowPrivateECDSAKeyImport | Este valor permite importar claves privadas del algoritmo de firma digital de curva elíptica (ECDSA) para su uso en escenarios de archivado de claves. Valor predeterminado: 00000000 |
Comprobación de claves del Registro de CRL
En la tabla siguiente se enumeran las claves y los valores correspondientes para desactivar la comprobación de la lista de revocación de certificados (CRL) en el Centro de distribución de claves (KDC) o el cliente. Para administrar la comprobación de CRL, debe configurar los valores para el KDC y el cliente.
| Clave del Registro | Detalles |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Tipo = DWORD Valor = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Tipo = DWORD Valor = 1 |
Configuración de directiva de grupo de tarjeta inteligente adicional y claves del Registro
En una implementación de tarjeta inteligente, se pueden usar configuraciones de directiva de grupo adicionales para mejorar la facilidad de uso o la seguridad. Dos de estas opciones de configuración de directiva que pueden complementar una implementación de tarjeta inteligente son:
- Desactivar la delegación de equipos
- Inicio de sesión interactivo: no necesita CTRL+ALT+SUPR (no se recomienda)
La siguiente configuración de directiva de grupo relacionada con la tarjeta inteligente se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.
Configuración de directiva de seguridad local
| directiva de grupo configuración y clave del Registro | Predeterminado | Descripción |
|---|---|---|
| Inicio de sesión interactivo: requerir tarjeta inteligente scforceoption |
Deshabilitado | Esta configuración de directiva de seguridad requiere que los usuarios inicien sesión en un equipo mediante una tarjeta inteligente. Habilitado Los usuarios solo pueden iniciar sesión en el equipo mediante una tarjeta inteligente. Deshabilitado Los usuarios pueden iniciar sesión en el equipo mediante cualquier método. NOTA: la cuenta local administrada por Windows LAPS está exenta de esta directiva cuando está habilitada. |
| Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente scremoveoption |
Esta configuración de directiva no está definida, lo que significa que el sistema la trata como Sin acción. | Esta configuración determina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Las opciones son: Sin acción Bloquear estación de trabajo: la estación de trabajo está bloqueada cuando se quita la tarjeta inteligente, por lo que los usuarios pueden salir del área, tomar su tarjeta inteligente con ellos y seguir manteniendo una sesión protegida. Forzar cierre de sesión: el usuario cierra sesión automáticamente cuando se quita la tarjeta inteligente. Desconectar si una sesión de Servicios de Escritorio remoto: la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. El usuario puede volver a insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con un lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta configuración de directiva funciona de forma idéntica a la opción Bloquear estación de trabajo . |
Desde la Editor Directiva de seguridad local (secpol.msc), puede editar y aplicar directivas del sistema para administrar la delegación de credenciales para equipos locales o de dominio.
La siguiente configuración de directiva de grupo relacionada con la tarjeta inteligente se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Delegación de credenciales.
Las claves del Registro están en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.
Nota
En la tabla siguiente, las credenciales nuevas son aquellas que se le solicitan al ejecutar una aplicación.
Configuración de la directiva de delegación de credenciales
| directiva de grupo configuración y clave del Registro | Predeterminado | Descripción |
|---|---|---|
| Permitir delegación de credenciales nuevas AllowFreshCredentials |
No configurado | Esta configuración de directiva se aplica: Cuando se logró la autenticación del servidor a través de un certificado X509 de confianza o un protocolo Kerberos. A las aplicaciones que usan el componente CredSSP (por ejemplo, Servicios de Escritorio remoto). Habilitado: puede especificar los servidores donde se pueden delegar las credenciales nuevas del usuario. No configurado: después de la autenticación mutua adecuada, se permite la delegación de credenciales nuevas a servicios de Escritorio remoto que se ejecutan en cualquier equipo. Deshabilitado: no se permite la delegación de credenciales nuevas a ningún equipo. Nota: Esta configuración de directiva se puede establecer en uno o varios nombres de entidad de seguridad de servicio (SPN). El SPN representa el servidor de destino donde se pueden delegar las credenciales de usuario. Se permite un carácter comodín único al especificar el SPN, por ejemplo: Use *TERMSRV/** para el host de sesión de Escritorio remoto (host de sesión de Escritorio remoto) que se ejecuta en cualquier equipo. Use TERMSRV/host.humanresources.fabrikam.com para el host de sesión de Escritorio remoto que se ejecuta en el equipo host.humanresources.fabrikam.com. Use TERMSRV/*.humanresources.fabrikam.com para el host de sesión de Escritorio remoto que se ejecuta en todos los equipos de .humanresources.fabrikam.com |
| Permitir delegación de credenciales nuevas con autenticación de servidor solo NTLM AllowFreshCredentialsWhenNTLMOnly |
No configurado | Esta configuración de directiva se aplica: Cuando se logró la autenticación del servidor mediante NTLM. Para las aplicaciones que usan el componente CredSSP (por ejemplo, Escritorio remoto). Habilitado: puede especificar los servidores donde se pueden delegar las credenciales nuevas del usuario. No configurado: después de la autenticación mutua adecuada, se permite la delegación de credenciales nuevas al host de sesión de Escritorio remoto que se ejecuta en cualquier equipo (TERMSRV/*). Deshabilitado: no se permite la delegación de credenciales nuevas a ningún equipo. Nota: Esta configuración de directiva se puede establecer en uno o varios SPN. El SPN representa el servidor de destino donde se pueden delegar las credenciales de usuario. Se permite un solo carácter comodín (*) al especificar el SPN. Consulte la descripción de la configuración de directiva Permitir credenciales nuevas de delegación para obtener ejemplos. |
| Denegar la delegación de credenciales nuevas DenyFreshCredentials |
No configurado | Esta configuración de directiva se aplica a las aplicaciones que usan el componente CredSSP (por ejemplo, Escritorio remoto). Habilitado: puede especificar los servidores en los que no se pueden delegar las credenciales nuevas del usuario. Deshabilitado o no configurado: no se especifica un servidor. Nota: Esta configuración de directiva se puede establecer en uno o varios SPN. El SPN representa el servidor de destino donde no se pueden delegar las credenciales de usuario. Se permite un solo carácter comodín (*) al especificar el SPN. Para obtener ejemplos, consulte la configuración de directiva "Permitir la delegación de credenciales nuevas". |
Si usa Servicios de Escritorio remoto con inicio de sesión de tarjeta inteligente, no puede delegar las credenciales predeterminadas y guardadas. Las claves del Registro de la tabla siguiente, que se encuentran en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, y la configuración de directiva de grupo correspondiente se omiten.
| Clave del Registro | Configuración de directiva de grupo correspondiente |
|---|---|
| AllowDefaultCredentials | Permitir delegación de credenciales predeterminadas |
| AllowDefaultCredentialsWhenNTLMOnly | Permitir delegación de credenciales predeterminadas con autenticación de servidor solo NTLM |
| AllowSavedCredentials | Permitir delegación de credenciales guardadas |
| AllowSavedCredentialsWhenNTLMOnly | Permitir delegación de credenciales guardadas con autenticación de servidor solo NTLM |
Ver también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de