Unir un Windows 7 sin parches desde 2014 a un dominio de Active Directory es técnicamente factible, pero implica riesgos de seguridad y compatibilidad. Si el cliente lo exige, hágalo en un entorno controlado, con segmentación, GPO mínimas y un plan de reversión probado.
Índice
Resumen de la pregunta
¿Se puede unir a un dominio de Active Directory un PC con Windows 7 Pro x64 que no recibe actualizaciones desde 2014 (equipo industrial, sin internet), y qué riesgos/acciones son necesarios para que funcione sin comprometer la estabilidad de la aplicación?
Respuesta corta
Posible, pero no recomendable por seguridad y compatibilidad. Un Windows 7 sin parches puede unirse al dominio, pero introducirá un riesgo elevado y es probable que choque con políticas modernas (firma LDAP/Channel Binding, endurecimiento de Netlogon, desuso de NTLMv1, TLS mínimos, SMB y GPO estrictas). Si no hay alternativa, ejecute un plan controlado con mitigaciones claras, pruebas en laboratorio y aceptación de riesgo firmada.
Lo que ha cambiado en un dominio “moderno”
- Autenticación reforzada: firmas LDAP y channel binding, secure channel de Netlogon más estricto, Kerberos con cifrados AES, bloqueo de NTLMv1.
- Cifrado por defecto más fuerte: TLS 1.2/1.3 preferido y suites modernas; TLS 1.0/1.1 a menudo deshabilitados.
- SMB endurecido: firma obligatoria y versiones mínimas de SMB; desuso de SMB1.
- GPO más intrusivas: plantillas de seguridad, hardening, WSUS, reglas de firewall, control de servicios y drivers.
Principales riesgos y puntos de fricción
- Vulnerabilidades críticas sin parchear: al unirse al dominio, el equipo queda expuesto a amenazas de red.
- Políticas de seguridad modernas: requisitos de firma LDAP/Channel Binding, Netlogon endurecido, deshabilitar NTLMv1, TLS mínimo < 1.2, SMB con firma obligatoria.
- Impacto operativo de GPO/WSUS: el equipo heredará GPO que pueden alterar firewall, servicios y controladores, activar WSUS o forzar reinicios; riesgo de romper la aplicación industrial.
- Conectividad intermitente: si pasa meses sin ver un DC, pueden surgir errores de confianza (“The trust relationship… failed”) por rotación de contraseña de la cuenta de equipo; Kerberos requiere hora sincronizada (≈ ±5 min).
Checklist de viabilidad (antes de tocar producción)
| Requisito | Por qué | Cómo comprobar/mitigar |
|---|---|---|
| Compatibilidad con firma LDAP/Netlogon | Dominios modernos la exigen | Probar en laboratorio; si no hay parches, valorar excepciones puntuales en DC solo para este equipo/OU |
| Soporte de TLS/LDAPS | LDAPS y APIs de apps pueden requerir TLS ≥ 1.2 | Habilitar TLS 1.2 por registro si está disponible; si no, coordinar excepciones o túneles |
| SMB y firma | Acceso a SYSVOL/NETLOGON y GPO | Validar acceso a \\dominio\SYSVOL con firma SMB; desactivar SMB1 solo si la app no lo necesita |
| GPO mínimas y sin WSUS | Evitar cambios inesperados/reinicios | OU dedicada con herencia bloqueada; GPO explícitas y revisadas |
| Sincronización horaria | Kerberos falla con skew de reloj | Configurar w32tm hacia DC/NTP autorizado |
| Conectividad controlada | Reducir superficie de ataque | VLAN/segmento aislado y firewall de lista blanca |
| Plan de reversión | Recuperación rápida | Imagen completa, puntos de restauración (si procede), procedimiento de salida del dominio |
Puertos mínimos hacia DC (lista blanca)
| Servicio | Puerto/Proto | Uso |
|---|---|---|
| DNS | 53/TCP, 53/UDP | Resolución de SRV/A para DC/Kerberos/LDAP |
| Kerberos | 88/TCP, 88/UDP | Autenticación |
| Kerberos (cambio de clave) | 464/TCP | Cambio de contraseña de cuenta de equipo |
| LDAP/LDAPS | 389/TCP, 389/UDP, 636/TCP | Consultas LDAP (firmadas/seguras) |
| SMB | 445/TCP | SYSVOL/NETLOGON, GPO |
| RPC Endpoint Mapper | 135/TCP | Negociación RPC |
| RPC dinámico | Rango TCP acordado | Operaciones AD; idealmente reduzca y documente el rango en DC/firewall |
| NTP | 123/UDP | Sincronización horaria |
Plan recomendado (paso a paso)
Laboratorio y copia
- Clone la imagen del PC de producción a hardware/VM equivalente. No use el original.
- Repita OU, GPO y versión de DC del cliente. Cree una cuenta de equipo pre-stage en la OU objetivo.
Segmentación y firewall de lista blanca
- Coloque el PC en una VLAN aislada o célula industrial. Prohíba salida a internet.
- Abra solo los puertos de la tabla anterior hacia DCs, y de ser posible, solo hacia DCs/DFS de su sitio.
OU dedicada con herencia bloqueada
- Cree una OU “Industrial” o similar y ubique este equipo ahí.
- Bloquee herencia y enlace GPO mínimas: firewall local explícito, credenciales en caché, desactivar WSUS, no reinicios automáticos, no cambios de drivers/servicios.
Parcheo mínimo y controlado (si el cliente lo permite)
- TLS 1.2 y cifrados modernos: habilite TLS 1.2 en SChannel y, si aplica, .NET strong crypto.
Windows Registry Editor Version 5.00 ; TLS 1.2 para cliente y servidor (SChannel) \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001 "DisabledByDefault"=dword:00000000 \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001 "DisabledByDefault"=dword:00000000 ; .NET Framework: usar cifrados fuertes \[HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001 \[HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Nota: algunos componentes requieren actualizaciones previas para aplicar estas claves; valide con la aplicación. - Kerberos AES: en la directiva local o GPO del equipo, configure “Network security: Configure encryption types allowed for Kerberos” y habilite AES128/AES256 (si la app lo tolera).
- Certificados raíz: importe manualmente los certificados raíz/emitentes necesarios para LDAPS o servicios internos (en “Entidades de certificación raíz de confianza”).
- SMB1: desactívelo solo si la aplicación no lo requiere.
Windows Registry Editor Version 5.00 ; Desactivar servidor SMB1 \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "SMB1"=dword:00000000 ; (Opcional) Desactivar cliente SMB1 \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Services\mrxsmb10] "Start"=dword:00000004
Si el cliente no acepta parches: necesitará excepciones en el dominio (p. ej., permitir clientes antiguos en Netlogon/LDAP solo para este equipo/OU). Documente el impacto, el alcance y la fecha de caducidad de estas excepciones.
Modelo de identidades y permisos
- Mapee grupos de dominio a grupos locales del equipo (p. ej., “UsuariosApp”, “Operadores”). Evite otorgar “Domain Admins”.
- Habilite credenciales en caché: “Interactive logon: Number of previous logons to cache” (p. ej., 10). Equivale a
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount.
Conectividad y confianza de la máquina
- Si el equipo estará desconectado durante meses, desactive o retrase la rotación de la contraseña de cuenta de equipo solo para este equipo:
Windows Registry Editor Version 5.00 ; Desactivar cambio de contraseña de la cuenta de equipo \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] "DisablePasswordChange"=dword:00000001 ; O aumentar la edad máxima (días) "MaximumPasswordAge"=dword:0000012c ; 300 díasTambién existe la directiva “Domain member: Disable machine account password changes”. - Configure hora contra el dominio o NTP autorizado:
w32tm /config /manualpeerlist:"<IPDCo_NTP>" /syncfromflags:manual /update w32tm /resync w32tm /query /status
Unión al dominio sin sorpresas
- Establezca el DNS del equipo apuntando solo a DCs del dominio.
- Precree la cuenta de equipo en la OU “Industrial”.
- Desde sesión de administrador local, ejecute:
netdom join %COMPUTERNAME% /domain:<DOMINIO> /OU:"OU=Industrial,DC=ejemplo,DC=local" /UserD:<usuario> /PasswordD:* shutdown /r /t 0 - Tras reiniciar: verifique conectividad y GPO:
gpupdate /force gpresult /r /scope computer nltest /sc_query:<DOMINIO> klist - Compruebe acceso a
\<dominio>\SYSVOLy eventos en Event Viewer:- Sistema (Netlogon, Kerberos, DNS Client)
- Aplicación (SChannel, certificados)
- Microsoft-Windows-GroupPolicy/Operational
GPO mínimas recomendadas en la OU “Industrial”
| Área | Configuración | Justificación |
|---|---|---|
| Windows Update/WSUS | Deshabilitar Windows Update; “Specify intranet Microsoft update service location” = No configurado; “No auto-restart…” = Habilitado | Evitar reinicios y cambios no controlados |
| Firewall | Reglas explícitas de entrada/salida solo hacia DCs (DNS, Kerberos, LDAP/LDAPS, SMB, RPC, NTP) | Reducir superficie de ataque |
| Seguridad local | Credenciales en caché; desactivar rotación de contraseña de equipo (si es necesario) | Operar desconectado y evitar ruptura de confianza |
| Servicios/Drivers | No aplicar cambios automáticos; deshabilitar instalaciones de controladores vía GPO | Proteger estabilidad de la aplicación |
| Scripts | Registrar fecha/hora de unión, estado de secure channel, sincronización horaria | Observabilidad básica |
Operación diaria (explotación estable)
- Monitoreo: registre eventos clave (Netlogon, Kerberos, SChannel, DNS, GroupPolicy).
- Backups: imagen del sistema y respaldo de claves/archivos de la aplicación antes de cada cambio.
- Conectividad periódica: si la rotación de contraseña de equipo está activa, asegure ventana de conexión con DC antes de la caducidad.
- Control de hora: al inicio de turno, fuerce
w32tm /resyncy verifiquew32tm /query /status.
Alternativas más seguras (a menudo preferibles)
- Workgroup + “jump host” unido al dominio (RDP/VDI): los usuarios autenticados en el jump host acceden por RDP al PC industrial en workgroup; el equipo crítico permanece fuera del dominio.
- RODC en la celda industrial: un controlador de dominio de solo lectura limita la exposición y replica credenciales con filtros; segmentar credenciales por sitio.
- Virtualización en host moderno: el host Windows 10/11 (unido a AD) expone la VM Windows 7 aislada; control de acceso y auditoría en el host.
- Autenticación contra AD sin unir el equipo: si la aplicación lo soporta, usar LDAP/LDAPS o SSO para validar usuarios de dominio y mantener el equipo en workgroup.
Matriz rápida de decisión
| Escenario | Recomendación | Notas |
|---|---|---|
| App no tolera cambios y el PC no puede parchearse | No unir | Use jump host o VM aislada |
| Se admite parcheo mínimo offline | Unir con mitigaciones | OU aislada, firewall, TLS1.2, Kerberos AES, plan de reversión |
| Exige cuentas de dominio pero no políticas | Autenticación AD sin unión | LDAP/LDAPS desde la app; PC permanece en workgroup |
Errores comunes y cómo resolverlos
| Mensaje/síntoma | Causa probable | Acción |
|---|---|---|
| The trust relationship… failed | Contraseña de cuenta de equipo desincronizada/caducada | Reestablecer canal seguro: nltest /sc_reset:<DOMINIO>; si vuelve a ocurrir, desactivar/ajustar rotación de contraseña del equipo |
| There are currently no logon servers available (0x51F) | DNS o firewall | DNS del equipo solo hacia DCs; abrir puertos; validar nltest /dsgetdc:<DOMINIO> |
| KRBAPERR_SKEW (skew de reloj) | Desincronización horaria | w32tm /resync; fijar NTP/DC correcto |
Fallo al acceder a \\dominio\SYSVOL | SMB firma/versión o credenciales | Revisar firma SMB, GPO, credenciales de equipo/usuario |
| Fallos LDAPS/TLS | TLS 1.2 deshabilitado o raíz no confiable | Habilitar TLS 1.2 en SChannel; importar raíces; validar con certmgr.msc |
Comandos útiles (diagnóstico)
ipconfig /all
ping <DC> / tracert <DC>
nslookup -type=SRV kerberos.tcp.<dominio>
nltest /dclist:<DOMINIO>
nltest /sc_query:<DOMINIO>
klist | klist purge
gpresult /r /scope computer
gpupdate /force
netdom verify %COMPUTERNAME%
w32tm /query /status
Plan de reversión y auditoría
- Imagen completa del sistema antes de unir (y tras validar la app).
- Documento de aceptación de riesgo firmado por el cliente: alcance, justificación, excepciones activadas, fecha de revisión/caducidad.
- Procedimiento de salida del dominio con pasos claros:
netdom remove %COMPUTERNAME% /domain:<DOMINIO> ; O desde propiedades del sistema > Cambiar > Workgroup - Bitácora: cambios de GPO, reglas firewall, claves de registro, cuentas/grupos locales.
Plantilla breve de aceptación de riesgo (ejemplo)
Título: Unión de Windows 7 sin parches a AD (equipo industrial)
Activos afectados: PC <HOSTNAME>, OU <OU>, VLAN <ID>
Excepciones de seguridad: [Netlogon Exception] [LDAP Signing] [TLS mínimo] [SMB1 = OFF/ON]
Controles compensatorios: Segmentación, lista blanca de puertos, GPO mínima, credenciales en caché, backups
Fecha de expiración de la excepción: <dd/mm/aaaa>
Responsables: Cliente <Nombre> (acepta riesgo), Integrador <Nombre> (implementa)
Plan de reversión: Imagen <ID>, procedimiento probado el <fecha>
Conclusión
Unir un Windows 7 sin parches a un dominio AD es posible pero arriesgado. Para minimizar impactos: aisle el equipo en red, use una OU dedicada con GPO mínimas y sin WSUS, habilite solo lo imprescindible (TLS 1.2, Kerberos AES, certificados), ajuste la rotación de la contraseña de la cuenta de equipo si habrá desconexiones prolongadas, y tenga una reversión probada. Si el objetivo es únicamente “usar cuentas de dominio”, considere primero alternativas como jump host, RODC o autenticación LDAP sin unir el equipo: suelen ofrecer menor riesgo y mayor estabilidad en entornos industriales.
Apéndice: ejemplo de reglas de firewall locales (PowerShell/CLI)
netsh advfirewall firewall add rule name="ADDNSTCP" dir=out action=allow protocol=TCP remoteport=53 remoteip=<IPs_DC>
netsh advfirewall firewall add rule name="ADDNSUDP" dir=out action=allow protocol=UDP remoteport=53 remoteip=<IPs_DC>
netsh advfirewall firewall add rule name="ADKerberosTCP" dir=out action=allow protocol=TCP remoteport=88,464 remoteip=<IPs_DC>
netsh advfirewall firewall add rule name="ADKerberosUDP" dir=out action=allow protocol=UDP remoteport=88 remoteip=<IPs_DC>
netsh advfirewall firewall add rule name="ADLDAPTCP" dir=out action=allow protocol=TCP remoteport=389,636 remoteip=<IPs_DC>
netsh advfirewall firewall add rule name="ADSMB" dir=out action=allow protocol=TCP remoteport=445 remoteip=<IPsDC>
netsh advfirewall firewall add rule name="ADRPC" dir=out action=allow protocol=TCP remoteport=135 remoteip=<IPsDC>
netsh advfirewall firewall add rule name="ADNTP" dir=out action=allow protocol=UDP remoteport=123 remoteip=<IPsDC>
Apéndice: comprobar acceso a SYSVOL/NETLOGON
dir \<dominio>\SYSVOL
dir \<dominio>\NETLOGON
Apéndice: políticas clave (rutas aproximadas)
- Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options:
- Interactive logon: Number of previous logons to cache
- Domain member: Disable machine account password changes
- Domain member: Maximum machine account password age
- Network security: LAN Manager authentication level (enviar solo NTLMv2)
- Network security: Configure encryption types allowed for Kerberos
- Computer Configuration > Administrative Templates > Windows Components > Windows Update:
- Configure Automatic Updates (Deshabilitado)
- Specify intranet Microsoft update service location (No configurado)
- No auto-restart with logged on users…
- Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security:
- Reglas de entrada/salida para DCs
Apéndice: validar Kerberos y hora
klist
klist purge
w32tm /query /status
Resumen ejecutivo: si el cliente insiste en unir el Windows 7 sin parches, hágalo únicamente tras validar en laboratorio, con segmentación estricta, OU dedicada y GPO mínimas, habilitando TLS/Kerberos si es viable, o documentando excepciones puntuales y su fecha de caducidad. Mantenga un plan de reversión listo.