Escenarios de inicio de sesión de Windows

Este tema de referencia para profesionales de TI resume los escenarios habituales de inicio de sesión de Windows.

Los sistemas operativos Windows requieren que todos los usuarios inicien sesión en el equipo con una cuenta válida para acceder a los recursos locales y de red. Los equipos basados en Windows protegen los recursos mediante la implementación del proceso de inicio de sesión, en el que se autentican los usuarios. Después de autenticar a un usuario, las tecnologías de autorización y control de acceso implementan la segunda fase de la protección de los recursos: determinar si el usuario autenticado está autorizado a acceder a un recurso.

El contenido de este tema se aplica a las versiones de Windows designadas en la lista Se aplica a que aparece al principio de este tema.

Además, las aplicaciones y los servicios pueden exigir a los usuarios que se registren para acceder a los recursos que ofrece la aplicación o el servicio. El proceso es similar al proceso de inicio de sesión, en que se requieren una cuenta válida y las credenciales correctas, pero la información de inicio de sesión se almacena en la base de datos del Administrador de cuentas de seguridad (SAM) en el equipo local y en Active Directory cuando corresponda. La aplicación o el servicio administran la información de la cuenta de inicio de sesión y, opcionalmente, se pueden almacenar localmente en Credential Locker.

Para comprender cómo funciona la autenticación, consulte Conceptos de Autenticación de Windows.

En este tema se describen los siguientes escenarios:

Precaución

Cuando un usuario realiza un inicio de sesión local, sus credenciales se verifican localmente con una copia en caché antes de autenticarse con un proveedor de identidad a través de la red. Si la verificación de la caché se realiza correctamente, el usuario obtiene acceso al escritorio aunque el dispositivo esté desconectado. Sin embargo, si el usuario cambia su contraseña en la nube, el verificador almacenado en caché no se actualiza, lo que significa que puede seguir accediendo a su equipo local utilizando su antigua contraseña.

Inicio de sesión interactivo

El proceso de inicio de sesión comienza cuando un usuario escribe sus credenciales en el cuadro de diálogo de introducción de credenciales, o cuando el usuario inserta una tarjeta inteligente en el lector de tarjetas inteligentes, o cuando el usuario interactúa con un dispositivo biométrico. Los usuarios pueden realizar un inicio de sesión interactivo usando una cuenta de usuario local o una cuenta de dominio para iniciar sesión en un equipo.

En el diagrama siguiente se muestran los elementos de inicio de sesión interactivos y el proceso de inicio de sesión.

Diagrama que muestra los elementos del inicio de sesión interactivo y el proceso de inicio de sesión

Windows Client Authentication Architecture

Inicio de sesión local y de dominio

Las credenciales que el usuario presenta para un inicio de sesión de dominio contienen todos los elementos necesarios para un inicio de sesión local, como el nombre de cuenta y la contraseña o el certificado, y la información de dominio de Active Directory. El proceso confirma la identificación del usuario en la base de datos de seguridad del equipo local del usuario o en un dominio de Active Directory. Este proceso de inicio de sesión obligatorio no se puede desactivar para los usuarios de un dominio.

Los usuarios pueden realizar un inicio de sesión interactivo en un equipo de dos maneras:

  • Localmente, cuando el usuario tiene acceso físico directo al equipo o cuando el equipo forma parte de una red de equipos.

    Un inicio de sesión local concede a un usuario permiso para acceder a los recursos de Windows en el equipo local. Un inicio de sesión local requiere que el usuario tenga una cuenta de usuario en el Administrador de cuentas de seguridad (SAM) en el equipo local. El SAM protege y administra la información de usuarios y grupos en forma de cuentas de seguridad almacenadas en el registro del equipo local. El equipo puede tener acceso a la red, pero no es necesario. La información de pertenencia a grupos y cuentas de usuario local se usa para administrar el acceso a los recursos locales.

    Un inicio de sesión de red concede a un usuario permiso para acceder a los recursos de Windows en el equipo local, además de los recursos de los equipos en red definidos por el token de acceso de la credencial. Tanto un inicio de sesión local como un inicio de sesión de red requieren que el usuario tenga una cuenta de usuario en el Administrador de cuentas de seguridad (SAM) en el equipo local. La información de pertenencia a grupos y cuentas de usuario local se usa para administrar el acceso a los recursos locales y el token de acceso para el usuario define a qué recursos se puede acceder en equipos en red.

    Un inicio de sesión local y un inicio de sesión en red no son suficientes para conceder al usuario y al equipo permiso para acceder a los recursos del dominio y usarlos.

  • De forma remota, a través de Terminal Services o Servicios de Escritorio remoto (RDS), en cuyo caso el inicio de sesión se califica como interactivo remoto.

Después de un inicio de sesión interactivo, Windows ejecuta aplicaciones en nombre del usuario y el usuario puede interactuar con esas aplicaciones.

Un inicio de sesión local concede a un usuario permiso para acceder a los recursos del equipo local o los recursos de los equipos en red. Si el equipo está unido a un dominio, la funcionalidad de Winlogon intenta iniciar sesión en ese dominio.

Un inicio de sesión de dominio concede a un usuario permiso para acceder a los recursos locales y de dominio. Un inicio de sesión de dominio requiere que el usuario tenga una cuenta de usuario en Active Directory. El equipo debe tener una cuenta en el dominio de Active Directory y estar físicamente conectado a la red. Los usuarios también deben tener los derechos de usuario para iniciar sesión en un equipo local o en un dominio. La información de la cuenta de usuario de dominio y la información de pertenencia a grupos se usan para administrar el acceso a los recursos locales y de dominio.

Inicio de sesión remoto

En Windows, el acceso a otro equipo a través del inicio de sesión remoto se basa en el Protocolo de escritorio remoto (RDP). Dado que el usuario ya debe haber iniciado sesión correctamente en el equipo cliente antes de intentar una conexión remota, los procesos interactivos de inicio de sesión han finalizado correctamente.

RDP administra las credenciales que el usuario escribe mediante el cliente de Escritorio remoto. Esas credenciales están pensadas para el equipo de destino y el usuario debe tener una cuenta en ese equipo de destino. Además, el equipo de destino debe estar configurado para aceptar una conexión remota. Las credenciales del equipo de destino se envían para intentar realizar el proceso de autenticación. Si la autenticación se realiza correctamente, el usuario se conecta a los recursos locales y de red a los que se puede acceder mediante las credenciales proporcionadas.

Inicio de sesión de red

Un inicio de sesión de red solo se puede usar después de que se haya realizado la autenticación de usuario, servicio o equipo. Durante el inicio de sesión de red, el proceso no usa los cuadros de diálogo de entrada de credenciales para recopilar datos. En su lugar, se usan credenciales establecidas previamente u otro método para recopilar credenciales. Este proceso confirma la identidad del usuario en cualquier servicio de red al que el usuario intenta acceder. Este proceso suele ser invisible para el usuario a menos que se tengan que proporcionar credenciales alternativas.

Para proporcionar este tipo de autenticación, el sistema de seguridad incluye estos mecanismos de autenticación:

  • Protocolo Kerberos versión 5

  • Certificados de clave pública

  • Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS)

  • Digest

  • NTLM, para compatibilidad con sistemas basados en Microsoft Windows NT 4.0

Para obtener información sobre los elementos y procesos, consulte el diagrama de inicio de sesión interactivo anterior.

Inicio de sesión con tarjeta inteligente

Las tarjetas inteligentes solo se pueden usar para iniciar sesión en cuentas de dominio, no en cuentas locales. La autenticación con tarjeta inteligente requiere el uso del protocolo de autenticación Kerberos. Introducido en Windows 2000 Server, en los sistemas operativos basados en Windows se implementa una extensión de clave pública en la solicitud de autenticación inicial del protocolo Kerberos. A diferencia de la criptografía de clave secreta compartida, la criptografía de clave pública es asimétrica, es decir, se necesitan dos claves diferentes: una para cifrar y otra para descifrar. Juntas, las claves necesarias para realizar ambas operaciones constituyen un par de claves privada/pública.

Para iniciar una sesión de inicio de sesión típica, un usuario debe demostrar su identidad proporcionando información conocida solo por él y por la infraestructura subyacente del protocolo de Kerberos. La información secreta es una clave compartida criptográfica derivada de la contraseña del usuario. Una clave secreta compartida es simétrica, lo que significa que se usa la misma clave para el cifrado y el descifrado.

En el diagrama siguiente se muestran los elementos y procesos necesarios para el inicio de sesión de tarjeta inteligente.

Diagrama que muestra los elementos y procesos necesarios para el inicio de sesión con tarjeta inteligente

Arquitectura del proveedor de credenciales de tarjetas inteligentes

Cuando se usa una tarjeta inteligente en lugar de una contraseña, un par de claves privada/pública almacenado en la tarjeta inteligente del usuario se sustituye por la clave secreta compartida, que se deriva de la contraseña del usuario. La clave privada solo se almacena en la tarjeta inteligente. La clave pública se puede poner a disposición de cualquier persona con la que el propietario quiera intercambiar información confidencial.

Para más información sobre el proceso de inicio de sesión con tarjeta inteligente en Windows, consulte Cómo funciona el inicio de sesión con tarjeta inteligente en Windows.

Inicio de sesión biométrico

Un dispositivo se usa para capturar y construir una característica digital de un artefacto, como una huella dactilar. Esta representación digital se compara después con una muestra del mismo artefacto, y cuando ambas se comparan correctamente, puede producirse la autentificación. Los equipos que ejecutan cualquiera de los sistemas operativos designados en la lista Se aplica a al principio de este tema se pueden configurar para aceptar esta forma de inicio de sesión. Sin embargo, si el inicio de sesión biométrico solo está configurado para el inicio de sesión local, el usuario deberá presentar las credenciales de dominio cuando acceda a un dominio de Active Directory.

Recursos adicionales

Para obtener información sobre cómo Windows administra las credenciales enviadas durante el proceso de inicio de sesión, consulte Administración de credenciales en Autenticación de Windows.

Información técnica sobre inicio de sesión y autenticación en Windows