ACTUALIZACIONES DE WINDOWS 11 22H2 DESHABILITA PROTOCOLO DE AUTENTICACIÓN (PEAP-MSCHAPV2) UTILIZADO POR EL SERVICIO NPS (RADIUS)

Debido a los cambios que está realizando Microsoft nivel de seguridad en los sistemas operativos Windows 11 22H2 más específicamente en la habilitación de la funcionalidad de usar Credential Guard de Windows Defender de forma predeterminada, esta funcionalidad que se tiene desde W10, pero inactiva, deshabilita los protocolos de autenticación de inicio de sesión (PEAP-MSCHAPv2 -NTLMv1 -CredSSP) del servicio NPS (Radius) ocasionando que aquellos equipos clientes con dicha versión no puedan conectarse al servicio NPS utilizando el SSO (Inicio de sesión único).

La función principal de Credential Guard es proteger las contraseñas almacenadas en los equipos mediante un cifrado, agregando funciones de seguridad a los sistemas operativos Windows 10 -11 permitiendo que los usuarios que se autentiquen en una red dominio active directory  tendrán su contraseña almacenada en un contenedor virtual (VBS), de modo que solo el software del sistema con privilegios pueden acceder a ellas, previniendo así ataques de robo de credenciales y no en la LSA (Local Security Authority) tal como se realizaba en versiones de sistemas operativos con Windows 10. Cuando Credential Guard de Windows Defender está habilitado, Kerberos no permite la delegación de Kerberos sin restricciones ni el cifrado DES, no solo para las credenciales iniciadas, sino también para las credenciales solicitadas o guardadas. En la siguiente imagen se muestra de forma general de alto nivel sobre cómo se aísla el LSA mediante el uso de seguridad basada en virtualización:

Para evitar afectaciones futuras, es importante validar si el servicio NPS utiliza estos protocolos, en caso de ser así, Microsoft recomienda cambiar la autenticación de estos protocolos a una basada en certificados como lo son PEAP-TLS o EAP-TLS. En la siguiente imagen se muestra los diferentes protocolos de autenticación utilizado por los clientes o del servidor NPS.

Antes de realizar el cambio (teniendo en cuenta si a futuro migraran los equipos clientes a W11) es importante validar sus controladoras que gestionan los AP (Access Point) soporte la autenticación con los siguientes protocolos de autenticación EAP-TLS – TLS 1.3 Microsoft recomienda cambiar la autenticación a una basada en certificados PEAP-TLS o EAP-TLS es importante validar la configuración del servicio NPS se encuentre en el modo de autenticación basado en certificado tal como se muestra en la imagen, si se utiliza un certificado como método de autenticación, compruebe si el certificado es válido. En el servidor (NPS), puede confirmar qué certificado se está utilizando desde el menú de propiedades de EAP. En el complemento NPS, vaya a Políticas > Políticas de red. Seleccione y mantenga presionada (o haga clic con el botón derecho) en la política y luego seleccione Propiedades. En la ventana emergente, vaya a la pestaña Restricciones y luego seleccione la sección Métodos de autenticación.

Si requiere más información respecto a la implementación de este nuevo cambio en sus organizaciones nos puede contactar al siguiente email darias@grupoitsupport.com

Articulo consultado TechNet Microsoft

Consideraciones al usar Credential Guard de Windows Defender

https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-consideratios

Cómo funciona Credential Guard de Windows Defender

https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-how-it-works

Solución avanzada de problemas de autenticación 802.1X

https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking/802-1x-authentication-issues-troubleshooting#audit-policy

Troubleshooting information is available for the following 802.1x Authentication errors. Select an error that you receive:

https://vsa.services.microsoft.com/en-us/v1.0/?partnerId=7d74cf73-5217-4008-833f-87a1a278f2cb&flowId=DMC&initialQuery=31806441

https://www.microsoft.com/en-us/download/details.aspx?id=4865

Dairo Arias Morales

Ingeniero Especialista

es_COES