Problema
- Los productos ESET para equipos con Windows que posean habilitado el filtrado TLS no logran conectarse a una intranet o sitio local que utiliza HTTPS
- Se le consulta por una contraseña de manera repetida, pero las credenciales son rechazadas
- El single sign-on no funciona con el filtrado TLS habilitado en los productos ESET al acceder a sitios de la intranet que usan HTTPS
- Las credenciales deben ingresarse manualmente utilizando un formulario HTML.
- Crear una excepción en los equipos afectados para resolver el suceso.
Detalles
Esta situación puede ocurrir si la autenticación se basa en protocolos como SPNEGO (WWW-Authenticate: Negotiate), Kerberos, NTLM y si se utilizan Channel Binding Tokens.
Este comportamiento se debe a una característica de seguridad del protocolo de autenticación subyacente:
Solución
Crear una excepción de los equipos afectados- Solución preferente
-
Abra la ventana principal del producto ESET para Windows.
-
Presione la tecla F5 de si teclado para acceder a la Configuración avanzada.
- Haga clic en Internet y correo electrónico, expanda el apartado SSL/TLS y dentro de la sección Lista de certificados conocidos haga clic en Editar.
Figura 1-1
- Haga clic en Agregar.
Figura 1-2
-
Haga clic en URL y en el campo Dirección URL, ingrese el nombre del dominio del servidor y luego haga clic en Aceptar. Para importar el certificado manualmente, haga clic en Archivo.
Figura 1-3
- Junto a Acción de exploración, seleccione Ignorar y haga clic en Aceptar.
Figura 1-4
- Haga clic en Aceptar → Aceptar para confirmar el cambio en la configuración.
Figura 1-5
Si administra productos ESET de manera remota mediante ESET Security Management Center (o ERA/ECA), aplique estos ajustes como una política these settings as a policy.
Deshabilitar la funcionalidad "Protección extendida para autenticación" en el servidor
Deshabilitar esta funcionalidad expondrá a su servidor a ataques del tipo Man in the Middle y no es recomendable. Sugerimos que aplique las soluciones detalladas más arriba.
Para obtener mayor información lea:
- https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/design/best-practices-for-secure-planning-and-deployment-of-ad-fs (sección "Utilize extended protection for authentication")
- https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-iwa#channel-binding-token