Microsoft publica parche OOB de emergencia para controladores de dominio tras Patch Tuesday

Microsoft publicó una actualización fuera de banda (OOB) de emergencia para solucionar fallos críticos de autenticación en controladores de dominio de Active Directory introducidos por el Patch Tuesday de junio de 2022. Si administras infraestructura Windows Server, esto es lo que necesitas saber y hacer.

¿Qué falló con el Patch Tuesday de junio?

Las actualizaciones de seguridad de junio modificaron el proceso de mapeo de certificados en Active Directory. Este cambio, pensado para mejorar la seguridad, causó que los controladores de dominio dejaran de autenticar correctamente a usuarios y servicios. Las consecuencias incluyen: fallo en el inicio de sesión de usuarios de dominio, políticas de grupo que no se aplican, y servicios de red que dependen de AD (DNS, DHCP, impresoras compartidas) dejando de funcionar.

Qué hacer si tu organización está afectada

1. Instala la actualización OOB inmediatamente

⏱ 10-15 min  |  Nivel: Intermedio

1. La actualización está disponible en Windows Update y en el Catálogo de Microsoft Update.
2. Instálala en todos los controladores de dominio de tu organización.
3. Reinicia los servidores después de la instalación.

⚠️ Advertencia: No instales la OOB solo en un DC — deben actualizarse todos para evitar inconsistencias en la replicación de AD.

2. Solución temporal con clave de registro

⏱ 5 min  |  Nivel: Avanzado

Si no puedes instalar la OOB inmediatamente, Microsoft proporcionó una clave de registro temporal que desactiva el nuevo comportamiento de mapeo de certificados:

1. Abre el Editor del Registro en el controlador de dominio.
2. Navega a HKLM\SYSTEM\CurrentControlSet\Services\Kdc.
3. Crea un valor DWORD llamado StrongCertificateBindingEnforcement con valor 0.
4. Reinicia el servicio KDC o el servidor.

💡 Tip: Esta clave de registro es temporal. Microsoft recomienda migrar al nuevo comportamiento de certificados antes de octubre de 2022, cuando se aplicará de forma obligatoria.

Lecciones para administradores

• Siempre prueba las actualizaciones del Patch Tuesday en un entorno de staging antes de aplicarlas en controladores de dominio de producción.
• Suscríbete al blog de Windows IT Pro y a las alertas de Microsoft Health Dashboard para enterarte de problemas conocidos antes de instalar.
• Ten un plan de rollback documentado para tus DCs (snapshot de VM, backup de System State).

Preguntas frecuentes

¿Este problema afecta a Windows 10/11 de escritorio?

No directamente. El fallo está en los controladores de dominio (Windows Server). Sin embargo, los PCs de escritorio unidos al dominio sí se ven afectados porque no pueden autenticarse contra los DCs que fallaron.

¿Puedo desinstalar el Patch Tuesday en lugar de instalar la OOB?

Técnicamente sí, pero Microsoft lo desaconseja. El Patch Tuesday contiene correcciones de seguridad críticas para vulnerabilidades activamente explotadas. Instalar la OOB es la opción correcta: corrige el fallo sin eliminar las protecciones de seguridad.

Este incidente es un recordatorio de que incluso las actualizaciones de seguridad obligatorias pueden causar regresiones en entornos empresariales. La OOB resuelve el problema, pero la mejor protección a largo plazo es un proceso de pruebas pre-producción y snapshots de tus controladores de dominio antes de cada Patch Tuesday.

📚 Sigue leyendo: Protege tu infraestructura con nuestros 10 consejos de ciberseguridad esenciales y aprende a hacer backup del Registro de Windows antes de cualquier cambio.