Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Registro de cambios 

Cambio 1: 5 de abril de 2023: Se ha movido la fase "Obligatoriedad predeterminada" de la clave del Registro del 11 de abril de 2023 al 13 de junio de 2023 en la sección "Intervalos de actualizaciones para abordar CVE-2022-38023".

Cambio 2: 20 de abril de 2023: Se ha quitado la referencia inexacta al objeto de directiva de grupo (GPO) "Controlador de dominio: permitir conexiones de canal seguras de Netlogon vulnerables" en la sección "Configuración de la clave del registro".

Cambio 3: 19 de junio de 2023:

  • Se ha agregado una nota "Importante" a la sección "Configuración de clave del Registro".

  • Se ha agregado una "Nota" a la sección "Eventos de Windows relacionados con CVE-2022-38023".

  • Se han agregado dos preguntas y respuestas nuevas a la sección "Preguntas más frecuentes (P+F)".

En este artículo

Resumen

Las actualizaciones de Windows del 8 de noviembre de 2022 y posteriores solucionan los puntos débiles del protocolo Netlogon cuando se utiliza la firma RPC en lugar del sellado RPC. Puede encontrar más información en CVE-2022-38023 .

La interfaz de llamada a procedimiento remoto (RPC) del protocolo remoto Netlogon se usa principalmente para mantener la relación entre un dispositivo y su dominio y las relaciones entre los controladores de dominio (DCs) y los dominios.

Esta actualización protege los dispositivos Windows de CVE-2022-38023 de manera predeterminada.  Para los clientes de terceros y los controladores de dominio de terceros, la actualización está en modo de compatibilidad de forma predeterminada y permite conexiones vulnerables desde dichos clientes. Consulte la sección configuración de la clave del Registro para conocer los pasos para pasar al modo de cumplimiento.

Para ayudar a proteger su entorno, instale la actualización de Windows con fecha del 8 de noviembre de 2022 o una actualización posterior de Windows en todos los dispositivos, incluidos los controladores de dominio.

Importante A partir de junio de 2023, el modo de cumplimiento se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables de los dispositivos no compatibles.  En ese momento, no podrá deshabilitar la actualización, pero puede volver a la configuración del modo de compatibilidad. El modo de compatibilidad se quitará en julio de 2023, como se describe en la sección Calendario de actualizaciones para abordar la vulnerabilidad de Netlogon CVE-2022-38023

Calendario de actualizaciones para abordar CVE-2022-38023

Las actualizaciones se publicarán en varias fases: la fase inicial para las actualizaciones publicadas el 8 de noviembre de 2022 o después, y la fase de cumplimiento para las actualizaciones publicadas el 11 de julio de 2023 o después.

La fase de implementación inicial comienza con las actualizaciones publicadas el 8 de noviembre de 2022 y continúa con las actualizaciones posteriores de Windows hasta la fase de cumplimiento. Las actualizaciones de Windows a partir del 8 de noviembre de 2022 solucionan la vulnerabilidad de omisión de seguridad de dirección de CVE-20 22-38023 aplicando el sellado RPC en todos los clientes Windows.

De forma predeterminada, los dispositivos se establecerán en modo de compatibilidad. Los controladores de dominio de Windows requerirán que los clientes de Netlogon utilicen el sello RPC si están ejecutando Windows, o si están actuando como controladores de dominio o como cuentas de confianza.

Las actualizaciones de Windows publicadas a partir del 11 de abril de 2023 quitarán la capacidad de deshabilitar el sellado RPC estableciendo el valor 0 en la subclave del registro RequireSeal .

La subclave del registro RequireSeal se moverá al modo aplicado, a menos que los administradores configuren explícitamente que esté en modo de compatibilidad. Se denegará la autenticación a las conexiones vulnerables de todos los clientes, incluidos terceros. Vea Cambio 1.

Las actualizaciones de Windows publicadas el 11 de julio de 2023 quitarán la capacidad de establecer el valor 1 en la subclave del registro RequireSeal . Esto habilita la fase de cumplimiento de CVE-2022-38023.

Configuración de clave del Registro

Después de instalar las actualizaciones de Windows con fecha del 8 de noviembre de 2022 o posteriores, la siguiente subclave del registro está disponible para el protocolo Netlogon en los controladores de dominio de Windows.

IMPORTANTE Esta actualización, así como futuros cambios de aplicación, no agrega ni quita automáticamente la subclave del registro "RequireSeal". Esta subclave del registro se debe agregar manualmente para que se lea. Vea Cambio 3.

Subclave RequireSeal

Clave del registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor

RequireSeal

Tipo de datos

REG_DWORD

Datos

0 - Deshabilitado

1 - Modo de compatibilidad. Los controladores de dominio de Windows requerirán que los clientes de Netlogon utilicen el sello RPC si están ejecutando Windows, o si están actuando como controladores de dominio o cuentas de confianza.

2 - Modo de cumplimiento. Todos los clientes deben utilizar el sello RPC. Vea Cambio 2.

¿Es necesario reiniciar ?

No

Eventos de Windows relacionados con CVE-2022-38023

NOTA Los eventos siguientes tienen un búfer de 1 hora en el que se descartan los eventos duplicados que contienen la misma información durante ese búfer.

Registro de eventos

Sistema

Tipos de eventos

Error

Origen del evento

NETLOGON

Id. de evento 

5838

Texto del evento

El servicio Netlogon encontró un cliente que usaba la firma RPC en lugar del sellado RPC.

Si encuentra este mensaje de error en los registros de eventos, debe realizar las siguientes acciones para resolver el error del sistema:

Registro de eventos

Sistema

Tipos de eventos

Error

Origen del evento

NETLOGON

Id. de evento 

5839

Texto del evento

El servicio Netlogon encontró una confianza mediante la firma RPC en lugar del sellado RPC.

Registro de eventos

Sistema

Tipos de eventos

Advertencia

Origen del evento

NETLOGON

Id. de evento 

5840

Texto del evento

El servicio Netlogon creó un canal seguro con un cliente con RC4.

Si encuentra el evento 5840, se trata de un signo de que un cliente de su dominio usa criptografía débil.

Registro de eventos

Sistema

Tipos de eventos

Error

Origen del evento

NETLOGON

Id. de evento 

5841

Texto del evento

El servicio Netlogon denegó un cliente mediante RC4 debido a la configuración "RejectMd5Clients".

Si encuentra el evento 5841, se trata de un signo de que el valor RejectMD5Clients está establecido en VERDADERO .


La clave RejectMD5Clients es una clave preexistente en el servicio Netlogon. Para obtener más información, vea la descripción rejectMD5Clients del modelo de datos abstracto.

Preguntas más frecuentes (P+F)

Todas las cuentas de equipo unidas a un dominio se ven afectadas por este CVE. Los eventos mostrarán quiénes son los más afectados por este problema después de que se instalen las actualizaciones de Windows del 8 de noviembre de 2022 o posteriores, revise la sección de errores del registro de eventos para solucionar los problemas.

Para ayudar a detectar clientes más antiguos que no usan la criptografía más segura disponible, esta actualización presenta registros de eventos para los clientes que usan RC4.

La firma RPC es cuando el protocolo Netlogon usa RPC para firmar los mensajes que envía a través de la conexión. El sellado RPC se produce cuando el protocolo Netlogon firma y cifra los mensajes que envía a través de la conexión.

El controlador de dominio de Windows determina si un cliente de Netlogon ejecuta Windows consultando el atributo "OperatingSystem" de Active Directory para el cliente de Netlogon y comprobando las cadenas siguientes:

  • "Windows", "Servidor Hyper-V" y "Azure Stack HCI"

No recomendamos ni admitimos que los clientes o administradores de dominio de Netlogon cambien este atributo a un valor que no represente el sistema operativo (SO) que ejecuta el cliente de Netlogon. Debe tener en cuenta que podemos cambiar los criterios de búsqueda en cualquier momento. Vea Cambio 3.

La fase de aplicación no rechaza los clientes Netlogon en función del tipo de cifrado que usan los clientes. Solo rechazará los clientes Netlogon si realizan la firma RPC en lugar del sellado RPC. La denegación de clientes Netlogon RC4 se basa en la clave del registro "RejectMd5Clients" disponible para los controladores de dominio Windows de Windows Server 2008 R2 y posteriores. La fase de aplicación de esta actualización no cambia el valor "RejectMd5Clients". Recomendamos que los clientes habiliten el valor "RejectMd5Clients" para mayor seguridad en sus dominios. Vea Cambio 3.

Glosario

Estándar de cifrado avanzado (AES) es un cifrado de bloques que reemplaza al Estándar de cifrado de datos (DES). AES se puede usar para proteger los datos electrónicos. El algoritmo AES se puede usar para cifrar (cifrar) y descifrar (descifrar) la información. El cifrado convierte los datos en una forma ininteligible denominada texto cifrado; descifrar el texto cifrado convierte los datos en su forma original, denominada texto sin formato. AES se usa en criptografía de clave simétrica, lo que significa que se usa la misma clave para las operaciones de cifrado y descifrado. También es un cifrado de bloques, lo que significa que funciona en bloques de tamaño fijo de texto no cifrado y texto cifrado, y requiere que el tamaño del texto no cifrado, así como el texto cifrado sea un múltiplo exacto de este tamaño de bloque. AES también se conoce como el algoritmo de cifrado de clave secreta Rijndael[FIPS197].

En un entorno de seguridad de red compatible con el sistema operativo Windows NT, el componente responsable de las funciones de sincronización y mantenimiento entre un controlador de dominio principal (PDC) y controladores de dominio de copia de seguridad (BDC). Netlogon es un precursor del protocolo del servidor de replicación de directorios (DRS). La interfaz de llamada a procedimiento remoto (RPC) del protocolo remoto Netlogon se usa principalmente para mantener la relación entre un dispositivo y su dominio y las relaciones entre los controladores de dominio (DC) y los dominios. Para obtener más información, consulte el Protocolo remoto Netlogon.

RC4-HMAC (RC4) es un algoritmo de cifrado simétrico de longitud variable de clave. Para obtener más información, consulte la sección 17.1 [SCHNEIER].

Una conexión de llamada a procedimiento remoto (RPC) autenticada entre dos máquinas de un dominio con un contexto de seguridad establecido que se utiliza para firmar y cifrar los paquetes RPC.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×