Si actualizó algunas de sus PC a Windows 11 y activó la protección de credenciales (lo cual se recomienda), es posible que se haya dado cuenta de que el SSO de su red se rompió. Esto se debe a que Credential Guard está bloqueando MS-CHAPV2 debido a sus vulnerabilidades causadas mediante hash de contraseñas NTL que ocurre cuando el dispositivo se autentica en el servidor. En términos más humanos, su PC almacena en caché la contraseña del usuario en un hash y reutiliza ese hash; si un atacante consigue ese hash, puede hacerse pasar por el usuario, no solo en la red sino también en su dominio.
Para resolver esto, su primer instinto podría ser deshabilitar la protección de credenciales, pero eso te deja vulnerable (y créeme, a Microsoft le ENCANTA sus protocolos viejos, no bloquearían uno de ellos si no fuera realmente un problema). En lugar de eso, Microsoft recomienda pasar a EAP-TLS. EAP-TLS utiliza certificados de cliente para autenticar el dispositivo en la red . Si bien esto puede parecer complicado, con las nuevas herramientas en la nube se vuelve muy sencillo.
El primer problema que debemos superar al pasar de MS-CHAPV2 o cualquier método de autenticación de red basado en contraseña a EAP-TLS es cómo distribuir certificados SSL a las máquinas. Afortunadamente, la mayoría de las plataformas de administración de dispositivos móviles (MDM) (como Intune, JAMF PRO , ManageEngine, etc.) han descubierto una forma sencilla forma de distribuir certificados SSL utilizando SCEP. Esto le permite emitir automáticamente los certificados para todos los dispositivos que administra. Si también tiene dispositivos que no administra, puede usar una autoridad de certificación moderna como EZCA que le permite crear certificados de usuario de autoservicio utilizando los usuarios Entra ID Consejo: utilice este función para crear un certificado rápido al probar su implementación RADIUS, le ahorrará tiempo de esperar a que MDM emita el certificado.
La mayoría de los dispositivos de red no aceptan EAP-TLS o autenticación de certificado lista para usar, para eso debe usar un servicio RADIUS. es muy sencillo de configurar, usted configura la dirección IP del servicio RADIUS y un secreto compartido entre el dispositivo de red y el servicio RADIUS, y el resto de la magia ocurre detrás de escena. A continuación puede ver lo fácil que es configurar con Unifi, pero si está utilizando otro proveedor de red, asegúrese de consultar nuestro canal de youtube. Probablemente tengamos un vídeo. sobre cómo configurarlo.
Esta guía le brindó los puntos de partida sobre cómo pasar de MS-CHAPV2 a un protocolo más moderno y seguro (EAP-TLS). Entendemos que administrar PKI y certificados puede parecer abrumador, pero estamos aquí para ayudarlo. Desde nuestra lista de reproducción de YouTube Conceptos básicos de PKI, hasta incluso hablar con uno de nuestros expertos en identidad estamos aquí para guiarlo a través de esta transición.
