Una de las mejoras que se han producido, respecto a versiones anteriores, es el protocolo "Kerberos" usado en la negociación a nivel de autenticación. Es conocido por todos que este modo de autenticación no era de lo mas seguro, ya que es fácilmente falsificable, lo que a llevado en Windows Server 2012 a mejorarlo, para evitar este tipo de problemáticas…
Otro de los puntos débiles, que se daban en versiones anteriores, era la posibilidad de sufrir ataques offline de diccionario contra inicios de sesión basados en contraseña. Y la convivencia con clientes que podían tener protocolos heredados menos seguros, con débiles claves criptográficas…
Windows Server 2012, hace uso de FAST (FAST es conocido como el blindaje de Kerberos), que esta definido en RFC 6113, y nos proporciona canales seguros, entre los clientes (miembros de un dominio) y los controladores de dominio. FAST hace que todo el proceso previo de autenticación de los usuarios, vaya siempre protegido y no tengamos problemas de spoofing en las comunicaciones.
Una vez que todos los clientes Kerberos y DCs, de un entorno, soporten FAST, el dominio se puede configurar para que use el blindaje de kerberos, o se use a petición. Para esto hay que asegurase de que todos o suficientes DCs estén ejecutándose sobre Windows Server 2012, y por supuesto, habilitar la directiva correspondiente.
Apunte y recopilación por Norman M. Pardell