Cómo funciona Credential Guard de Windows Defender

Se aplica a:

  • Windows10
  • WindowsServer2016

¿Prefieres el vídeo? Consulta Windows Defender Credential Guard Design (Diseño de Credential Guard de Windows Defender) en la serie de vídeos Deep Dive into Windows Defender Credential Guard.

Kerberos, NTLM y el Administrador de credenciales aíslan secretos mediante la seguridad basada en virtualización. Las versiones anteriores de Windows almacenaban secretos en la Autoridad de seguridad local (LSA). Antes de Windows 10, la LSA almacenaba los secretos que usaba el sistema operativo en la memoria del proceso. Con Credential Guard de Windows Defender habilitado, el proceso de LSA en el sistema operativo se comunica con un nuevo componente denominado proceso LSA aislado que almacena y protege estos secretos. Los datos almacenados mediante el proceso LSA aislado se protegen con la seguridad basada en la virtualización y no son accesibles para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el proceso LSA aislado.

Por motivos de seguridad, el proceso LSA aislado no hospeda ningún controlador de dispositivo. En su lugar, solo hospeda un pequeño subconjunto de binarios del sistema operativo que solo son necesarios para la seguridad. Todos estos binarios se firman con un certificado de confianza de la seguridad basada en la virtualización y estas firmas se validan antes de iniciar el archivo en el entorno protegido.

Cuando se habilita Credential Guard de Windows Defender, NTLMv1, MS-CHAPv2, Digest y CredSSP no pueden usar las credenciales de inicio de sesión. Por lo tanto, el inicio de sesión único no funciona con estos protocolos. Sin embargo, las aplicaciones pueden pedir credenciales o usar credenciales almacenadas en el almacén de credenciales de Windows que no estén protegidas con Credential Guard de Windows Defender con cualquiera de estos protocolos. Se recomienda encarecidamente que las credenciales importantes, como las de inicio de sesión, no se usen con ninguno de estos protocolos. Si los usuarios del dominio o Azure AD deben usar estos protocolos, se deben proporcionar credenciales secundarias para estos casos.

Cuando se habilita Credential Guard de Windows Defender, Kerberos no permite la delegación Kerberos sin restricciones ni el cifrado DES, no solo para las credenciales de inicio de sesión, sino también para las credenciales solicitadas o guardadas.

Aquí encontrarás una descripción general de cómo se aísla la LSA mediante la seguridad basada en virtualización:

Información general de Credential Guard de Windows Defender


Consulta también

Deep Dive into Windows Defender Credential Guard: vídeos relacionados

Robo de credenciales y cruce seguro lateral

Seguridad de virtualización

Credentials Protected by Windows Defender Credential Guard (Credenciales protegidas con Credential Guard de Windows Defender).