Restricciones para registrar e instalar un paquete de seguridad
Artículo
La eliminación, reemplazo o ajuste de paquetes de seguridad de bandeja de entrada (por ejemplo, Kerberos o NTLM) no es una acción admitida en Windows y, a partir del 10 de enero de 2017, se impide. Se pueden agregar paquetes de seguridad de terceros (SSP/AP); Sin embargo, Windows no admite la eliminación de SSP/AP preconfigurados. En concreto, nunca se ha admitido la edición de la configuración del Registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages .
A partir de Windows 8.1, los clientes que quieran proporcionar funcionalidad adicional pueden agregar sus paquetes de seguridad mediante la configuración del Registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (registrar archivos DLL de SSP/AP) y la configuración del Registro asociada SecurityProviders (escribir e instalar un proveedor de soporte técnico de seguridad), si procede. Además, el propósito de los paquetes de seguridad es implementar nuevos protocolos de seguridad que pueden estar en forma de proveedor de soporte técnico de seguridad (SSP) o un paquete de autenticación (AP). El propósito de un SSP es proporcionar conexión autenticada, integridad de mensajes y servicios de cifrado de mensajes que aún no se admiten en el sistema, mientras que se usa una API para agregar una nueva lógica de autenticación que se usa para determinar si se permite que un usuario inicie sesión.
Microsoft está invertido en la seguridad del cliente y está intentando asegurarse de que los procesos críticos, como SSP y AP, no se pueden mover fácilmente desde el sistema. Por lo tanto, la configuración del Registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages se restringió a partir de Windows 8.1 para evitar cambios en él. Para facilitar paquetes de seguridad de terceros, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages se convirtió en la configuración designada para SSP/AP personalizados. Además, se recomienda quitar cualquier funcionalidad en SSP/AP personalizados que esté fuera del ámbito de los paquetes de seguridad definidos por Microsoft de dichos SSP/AP personalizados y que ningún producto quite los paquetes de seguridad de bandeja de entrada.
Proteja el entorno de Active Directory mediante la protección de las cuentas de usuario, incluidas aquellas con privilegios mínimos, y su inserción en el grupo Usuarios protegidos. Aprenda cómo limitar el ámbito de autenticación y corregir las cuentas potencialmente inseguras.