Información general de Credential Guard

Credential Guard evita ataques de robo de credenciales mediante la protección de hashes de contraseña NTLM, vales de concesión de vales de Kerberos (TGT) y credenciales almacenadas por las aplicaciones como credenciales de dominio.

Credential Guard usa la seguridad basada en virtualización (VBS) para aislar los secretos de modo que solo el software del sistema con privilegios pueda acceder a ellos. El acceso no autorizado a estos secretos puede provocar ataques de robo de credenciales, como pasar el hash y pasar el vale.

Cuando está habilitado, Credential Guard proporciona las siguientes ventajas:

  • Seguridad de hardware: NTLM, Kerberos y Credential Manager aprovechan las características de seguridad de la plataforma, incluido el arranque seguro y la virtualización, para proteger las credenciales.
  • Seguridad basada en virtualización: NTLM, credenciales derivadas de Kerberos y otros secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
  • Protección contra amenazas persistentes avanzadas: cuando las credenciales se protegen mediante VBS, se bloquean las técnicas y herramientas de ataque de robo de credenciales usadas en muchos ataques dirigidos. El malware que se ejecuta en el sistema operativo con privilegios administrativos no puede extraer secretos protegidos por VBS

Nota

Aunque Credential Guard es una mitigación eficaz, es probable que los ataques de amenazas persistentes se desplacen a nuevas técnicas de ataque y también debe incorporar otras estrategias y arquitecturas de seguridad.

Importante

A partir de Windows 11, la versión 22H2, VBS y Credential Guard están habilitadas de forma predeterminada en todos los dispositivos que cumplen los requisitos del sistema.
Para obtener información sobre problemas conocidos relacionados con la habilitación predeterminada de Credential Guard, vea Credential Guard: Problemas conocidos.

Requisitos del sistema

Para que Credential Guard proporcione protección, los dispositivos deben cumplir ciertos requisitos de hardware, firmware y software.

Los dispositivos que cumplen más requisitos de hardware y firmware que los requisitos mínimos, reciben protecciones adicionales y están más protegidos contra ciertas amenazas.

Requisitos de hardware y software

Credential Guard requiere las características:

Aunque no es necesario, se recomiendan las siguientes características para proporcionar protecciones adicionales:

  • Módulo de plataforma segura (TPM), ya que proporciona enlace al hardware. Se admiten las versiones 1.2 y 2.0 de TPM, ya sea discretas o de firmware.
  • Bloqueo UEFI, ya que impide que los atacantes deshabilite Credential Guard con un cambio de clave del Registro

Para obtener información detallada sobre las protecciones para mejorar la seguridad asociadas a las opciones de hardware y firmware, consulte calificaciones de seguridad adicionales.

Credential Guard en máquinas virtuales

Credential Guard puede proteger los secretos en máquinas virtuales de Hyper-V, tal como lo haría en una máquina física. Cuando Credential Guard está habilitado en una máquina virtual, los secretos se protegen frente a ataques dentro de la máquina virtual. Credential Guard no proporciona protección contra ataques del sistema con privilegios originados desde el host.

Los requisitos para ejecutar Credential Guard en máquinas virtuales de Hyper-V son:

  • El host de Hyper-V debe tener una IOMMU
  • La máquina virtual de Hyper-V debe ser de generación 2

Nota

Credential Guard no se admite en máquinas virtuales de Hyper-V o azure de generación 1. Credential Guard solo está disponible en máquinas virtuales de generación 2.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

Los derechos de licencia de Credential Guard se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Requisitos de aplicaciones

Cuando Credential Guard está habilitado, se bloquean determinadas funcionalidades de autenticación. Las aplicaciones que requieren estas funcionalidades se interrumpen. Nos referimos a estos requisitos como requisitos de la aplicación.

Las aplicaciones deben probarse antes de la implementación para garantizar la compatibilidad con la funcionalidad reducida.

Advertencia

No se recomienda habilitar Credential Guard en controladores de dominio. Credential Guard no proporciona seguridad adicional a los controladores de dominio y puede provocar problemas de compatibilidad de aplicaciones en los controladores de dominio.

Nota

Credential Guard no proporciona protecciones para la base de datos de Active Directory ni para el Administrador de cuentas de seguridad (SAM). Las credenciales protegidas por Kerberos y NTLM cuando se habilita Credential Guard también están en la base de datos de Active Directory (en los controladores de dominio) y en SAM (para las cuentas locales).

Las aplicaciones se interrumpen si requieren:

  • Compatibilidad con el cifrado DES de Kerberos
  • Delegación de Kerberos sin restricciones
  • Extraer TGT de Kerberos
  • NTLMv1

Las aplicaciones solicitan y exponen las credenciales a riesgos si requieren:

  • Autenticación implícita
  • Delegación de credenciales
  • MS-CHAPv2

Las aplicaciones pueden causar problemas de rendimiento cuando intentan enlazar el proceso LSAIso.exeaislado de Credential Guard .

Los servicios o protocolos que se basan en Kerberos, como recursos compartidos de archivos o escritorio remoto, siguen funcionando y no se ven afectados por Credential Guard.

Pasos siguientes