[KB7241] Resolver problemas de autenticación de single sign-on en la intranet con el filtrado TLS activado

• Los productos ESET para equipos con Windows que posean habilitado el filtrado TLS no logran conectarse a una intranet o sitio local que utiliza HTTPS
• Se le consulta por una contraseña de manera repetida, pero las credenciales son rechazadas 
• El single sign-on no funciona con el filtrado TLS habilitado en los productos ESET al acceder a sitios de la intranet que usan HTTPS
• Las credenciales deben ingresarse manualmente utilizando un formulario HTML.
• Crear una excepción en los equipos afectados para resolver el suceso.

Esta situación puede ocurrir si la autenticación se basa en protocolos como SPNEGO (WWW-Authenticate: Negotiate), Kerberos, NTLM y si se utilizan Channel Binding Tokens.

Este comportamiento se debe a una característica de seguridad del protocolo de autenticación subyacente:

• https://docs.microsoft.com/es-mx/dotnet/framework/wcf/feature-details/extended-protection-for-authentication-overview

Crear una excepción de los equipos afectados-  Solución preferente

1. Abra la ventana principal del producto ESET para Windows.
    
2. Presione la tecla F5 de si teclado para acceder a la Configuración avanzada.
    
3. Haga clic en Internet y correo electrónico, expanda el apartado SSL/TLS y dentro de la sección Lista de certificados conocidos haga clic en Editar.

Figura 1-1

4. Haga clic en Agregar.

Figura 1-2

5. Haga clic en URL y en el campo Dirección URL, ingrese el nombre del dominio del servidor y luego haga clic en Aceptar. Para importar el certificado manualmente, haga clic en Archivo.
   

   

   Figura 1-3

6. Junto a Acción de exploración, seleccione Ignorar y haga clic en Aceptar.

Figura 1-4

7. Haga clic en Aceptar → Aceptar para confirmar el cambio en la configuración.

Figura 1-5

Si administra productos ESET de manera remota mediante ESET Security Management Center (o ERA/ECA), aplique estos ajustes como una política these settings as a policy.

Deshabilitar la funcionalidad "Protección extendida para autenticación" en el servidor

Deshabilitar esta funcionalidad expondrá a su servidor a ataques del tipo Man in the Middle y no es recomendable. Sugerimos que aplique las soluciones detalladas más arriba.

Para obtener mayor información lea:

• https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/design/best-practices-for-secure-planning-and-deployment-of-ad-fs (sección "Utilize extended protection for authentication")
• https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-iwa#channel-binding-token