Proveedores de credenciales de terceros
Los proveedores de credenciales son puntos de extensibilidad en Windows que permiten que los componentes de autenticación se integren con el proceso de inicio de sesión de Windows. Specops Client implementa proveedores de credenciales para admitir escenarios de uReset, Specops Password Reset, MFA para Windows y Dynamic Feedback at Password Change.
En el marco de proveedores de credenciales de Microsoft, varios proveedores de credenciales pueden coexistir mediante un mecanismo de wrapping. Con wrapping, un proveedor de credenciales amplía a otro proveedor en lugar de reemplazarlo. El proveedor que hace el wrapping reenvía las llamadas al proveedor subyacente mientras agrega su propia funcionalidad encima. Microsoft no proporciona una arquitectura de propósito general en la que se pueda esperar que el wrapping funcione automáticamente en todos los casos. Por ello, es importante verificar estos escenarios antes de la implementación.
Specops Client admite coexistir con los proveedores de credenciales integrados de Microsoft Microsoft Password Credential Provider y Microsoft Windows Hello for Business PIN, y con algunos proveedores de credenciales de terceros que se envuelven automáticamente cuando se instalan junto con Specops Client. Consulte Proveedores de credenciales envueltos automáticamente.
Además, hay proveedores de credenciales de terceros que pueden requerir configuración adicional antes de poder envolverse. Consulte Configurar el wrapping manual de proveedores de credenciales.
Nota
Usar wrapping en sistemas donde haya instalados proveedores de credenciales distintos de los proveedores integrados de Microsoft y de los proveedores de credenciales de Specops introduce un riesgo adicional. Es importante validar estos escenarios en un entorno de pruebas antes de instalar, actualizar o cambiar Specops Client o el proveedor de credenciales de terceros.
Determinar si hay otros proveedores de credenciales instalados
Antes de instalar Specops Client, investigue si hay otros proveedores de credenciales instalados en las computadoras cliente de la organización. Normalmente, si se usan sistemas de MFA para Windows o sistemas de cifrado de disco distintos de los de Microsoft, puede haber proveedores de credenciales de terceros instalados.
Cómo determinar qué proveedores de credenciales están instalados:
- Pida a los administradores de la organización que conozcan el software implementado en las computadoras cliente que confirmen qué proveedores de credenciales están instalados.
- Revise Installed Programs en el panel de control de Windows para ver si hay proveedores de credenciales y/o soluciones de MFA instalados.
- Revise la pantalla de inicio de sesión de Windows en Windows para ver si el comportamiento está personalizado o indica que hay otros proveedores de credenciales instalados.
- Revise la pantalla de inicio de sesión de Windows para detectar comportamiento personalizado o indicios de que haya otros proveedores de credenciales instalados.
- Busque en el Registro de Windows bajo
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]para ver si alguna de las subclaves pertenece a proveedores de credenciales que no sean de Microsoft.
Póngase en contacto con el Soporte de Specops si necesita orientación.
Proveedores de credenciales envueltos automáticamente
Si los proveedores de credenciales de terceros enumerados en la tabla siguiente están instalados junto con Specops Client, se envuelven automáticamente.
Nota
NO configure wrapping para estos proveedores de credenciales; esto lo gestionan automáticamente los proveedores de credenciales de Specops.
Además, NO configure el registro de Windows ni la directiva ADMX Assign a default credential provider.
| Credential Provider | GUID |
|---|---|
| Microsoft | {60B78E88-EAD8-445C-9CFD-0B87F74EA6CD} |
| Microsoft WHfB PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| McAfee | {31348146-F794-4BEB-9D39-E411BFF979EE} |
| Imprivata | {11660363-781C-617B-0100-128274950001} |
| Ivanti Pulse OneX | {4B9CAC01-6732-40D0-8B8F-B5B340F9D44F} |
| Ivanti Pulse | {4EFD0F35-BFBA-44EB-8F25-2B3530203C1D} |
| RSA | {BBFC6CF6-6FB2-4912-B8E0-C47844D1003D} |
| Fortinet FAC Agent | {F98AC68D-AE8E-47D8-AB82-F19BCB6328AB} |
Configurar el wrapping manual de proveedores de credenciales
Si una organización quiere usar Specops Client junto con proveedores de credenciales de terceros que no se envuelven automáticamente, se requiere configuración adicional para permitir que Specops Client los envuelva, siempre que el proveedor de credenciales admita ser envuelto.
Antes de implementar Specops Client junto con un proveedor de credenciales envuelto manualmente, pruebe y verifique la configuración caso por caso.
Consulte la siguiente sección para ver cómo configurar el proveedor de credenciales de Duo Security.
Envolver el proveedor de credenciales de Duo Security
El Specops Client proporciona mejoras a la experiencia de inicio de sesión de Windows al envolver el proveedor de credenciales integrado de Windows. Esto incluye permitir a los usuarios restablecer sus contraseñas desde la pantalla de inicio de sesión, así como mejorar la retroalimentación que reciben al cambiar su contraseña mediante CTRL+ALT+DEL.
Duo Security Authentication for Windows Logon requiere configuración adicional para permitir el wrapping. Haga lo siguiente:
-
Establezca una clave del registro en el cliente de Duo Security para permitir el wrapping. En una máquina con el cliente de Duo Security instalado, cree o actualice la siguiente clave del registro:
- Ruta de la clave: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Nombre del valor: ProvidersWhitelist
- Tipo de valor: REG_MULTI_SZ
-
Datos del valor: escriba (o agregue) los dos GUID siguientes en líneas separadas; estos GUID identifican a Specops Client:
- {00002ba3-bcc4-4c7d-aec7-363f164fd178}
- {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
-
A continuación, use la plantilla ADMX de Specops Authentication para especificar que se debe envolver el proveedor de credenciales de Duo Security. En Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, configure GUID of credential provider to wrap con el GUID del cliente de Duo Security, incluidos los corchetes: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Specops Client, las plantillas ADMX y las instrucciones para instalar ambos se pueden encontrar aquí.
Una vez aplicada la directiva de grupo a las computadoras afectadas, la funcionalidad de inicio de sesión de Duo Security y la funcionalidad de Specops para el cambio y restablecimiento de contraseñas deberían funcionar juntas sin problemas. Para los clientes de Specops Authentication, esto significa que el vínculo Restablecer contraseña seguirá estando disponible en la pantalla de inicio de sesión, igual que en las estaciones de trabajo donde no está instalado el cliente de Duo Security.
Para Dynamic Feedback at Password Change, disponible para clientes de uReset y Password Policy con Specops Client, la retroalimentación dinámica se muestra como se espera. Duo Security solicitará MFA después de enviar el cambio de contraseña, como lo hace normalmente.
Duo Security y RdpOnly
De forma predeterminada, Duo Security MFA se invoca tanto para inicios de sesión en consola como para sesiones de escritorio remoto (RDP).
Es posible configurar el aviso del segundo factor de Duo Security para que solo se muestre en las sesiones RDP configurando "RdpOnly" en 1 según la documentación de Duo Security. Si se usa RdpOnly configurado en 1, es necesario configurar la directiva ADMX de Specops Wrapping in console login sessions y establecerla en Deshabilitado.
Aplicar autenticación a nivel de red
Network Level Authentication (NLA) ya está aplicada en la mayoría de las organizaciones. Permitir RDP sin NLA se considera inseguro y no debe utilizarse.
No se admite usar el proveedor de credenciales de Specops Authentication sin aplicar NLA.
Nota
En los casos en que los usuarios inician sesión o desbloquean con el parámetro User must change password at next logon configurado, el proveedor de credenciales de Duo Security no rellena previamente en la siguiente pantalla la contraseña introducida al iniciar sesión o desbloquear al realizar el cambio de contraseña. Esto significa que, cuando se muestre la Specops RulesUI, habrá que volver a introducir la current password.