Información general de Credential Guard

Credential Guard evita ataques de robo de credenciales mediante la protección de hashes de contraseña NTLM, vales de concesión de vales de Kerberos (TGT) y credenciales almacenadas por las aplicaciones como credenciales de dominio.

Credential Guard usa la seguridad basada en virtualización (VBS) para aislar los secretos de modo que solo el software del sistema con privilegios pueda acceder a ellos. El acceso no autorizado a estos secretos puede provocar ataques de robo de credenciales, como pasar el hash y pasar el vale.

Cuando está habilitado, Credential Guard proporciona las siguientes ventajas:

  • Seguridad de hardware: NTLM, Kerberos y Credential Manager aprovechan las características de seguridad de la plataforma, incluido el arranque seguro y la virtualización, para proteger las credenciales.
  • Seguridad basada en virtualización: NTLM, credenciales derivadas de Kerberos y otros secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
  • Protección contra amenazas persistentes avanzadas: cuando las credenciales se protegen mediante VBS, se bloquean las técnicas y herramientas de ataque de robo de credenciales usadas en muchos ataques dirigidos. El malware que se ejecuta en el sistema operativo con privilegios administrativos no puede extraer secretos protegidos por VBS

Nota

Aunque Credential Guard es una mitigación eficaz, es probable que los ataques de amenazas persistentes se desplacen a nuevas técnicas de ataque y también debe incorporar otras estrategias y arquitecturas de seguridad.

Habilitación predeterminada

A partir de Windows 11, 22H2 y Windows Server 2025, VBS y Credential Guard están habilitados de forma predeterminada en dispositivos que cumplen los requisitos.

La habilitación predeterminada es sin bloqueo UEFI, lo que permite a los administradores deshabilitar Credential Guard de forma remota si es necesario.

Cuando Credential Guard está habilitado, VBS también se habilita automáticamente.

Nota

Si Credential Guard está deshabilitado explícitamente antes de que un dispositivo se actualice a Windows 11, versión 22H2 o Windows Server 2025 o posterior, la habilitación predeterminada no sobrescribe la configuración existente. Ese dispositivo seguirá teniendo Credential Guard deshabilitado incluso después de actualizar a una versión de Windows que habilita Credential Guard de forma predeterminada.

Habilitación predeterminada en Windows

Los dispositivos que ejecutan Windows 11, 22H2 o posterior tienen Credential Guard habilitado de forma predeterminada si:

Nota

Los dispositivos que ejecutan Windows 11 Pro/Pro Edu 22H2 o posterior pueden tener la seguridad basada en virtualización (VBS) o Credential Guard habilitadas automáticamente si cumplen los otros requisitos para la habilitación predeterminada y han ejecutado anteriormente Credential Guard. Por ejemplo, si Credential Guard se ha habilitado en un dispositivo Enterprise que más adelante se ha degradado a Pro.

Para determinar si el dispositivo Pro está en este estado, compruebe si existe la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. En este escenario, si desea deshabilitar VBS y Credential Guard, siga las instrucciones para deshabilitar la seguridad basada en virtualización. Si solo desea deshabilitar Credential Guard, sin deshabilitar VBS, use los procedimientos para deshabilitar Credential Guard.

Habilitación predeterminada en Windows Server

Los dispositivos que ejecutan Windows Server 2025 o versiones posteriores tienen Credential Guard habilitado de forma predeterminada si:

Importante

Para obtener información sobre problemas conocidos relacionados con la habilitación predeterminada, vea Credential Guard: problemas conocidos.

Requisitos del sistema

Para que Credential Guard proporcione protección, el dispositivo debe cumplir determinados requisitos de hardware, firmware y software.

Los dispositivos que superan las calificaciones mínimas de hardware y firmware reciben protecciones adicionales y están más protegidos contra ciertas amenazas.

Requisitos de hardware y software

Credential Guard requiere las características:

Aunque no es necesario, se recomiendan las siguientes características para proporcionar protecciones adicionales:

  • Módulo de plataforma segura (TPM), ya que proporciona enlace al hardware. Se admiten las versiones 1.2 y 2.0 de TPM, ya sea discretas o de firmware.
  • Bloqueo UEFI, ya que impide que los atacantes deshabilite Credential Guard con un cambio de clave del Registro

Para obtener información detallada sobre las protecciones para mejorar la seguridad asociadas a las opciones de hardware y firmware, consulte calificaciones de seguridad adicionales.

Credential Guard en máquinas virtuales

Credential Guard puede proteger los secretos en máquinas virtuales de Hyper-V, tal como lo haría en una máquina física. Cuando Credential Guard está habilitado en una máquina virtual, los secretos se protegen frente a ataques dentro de la máquina virtual. Credential Guard no proporciona protección contra ataques del sistema con privilegios originados desde el host.

Los requisitos para ejecutar Credential Guard en máquinas virtuales de Hyper-V son:

  • El host de Hyper-V debe tener una IOMMU
  • La máquina virtual de Hyper-V debe ser de generación 2

Nota

Credential Guard no se admite en máquinas virtuales de Hyper-V o azure de generación 1. Credential Guard solo está disponible en máquinas virtuales de generación 2.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

Los derechos de licencia de Credential Guard se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Requisitos de aplicaciones

Cuando Credential Guard está habilitado, se bloquean determinadas funcionalidades de autenticación. Las aplicaciones que requieren estas funcionalidades se interrumpen. Nos referimos a estos requisitos como requisitos de la aplicación.

Las aplicaciones deben probarse antes de la implementación para garantizar la compatibilidad con la funcionalidad reducida.

Advertencia

No se recomienda habilitar Credential Guard en controladores de dominio. Credential Guard no proporciona seguridad adicional a los controladores de dominio y puede provocar problemas de compatibilidad de aplicaciones en los controladores de dominio.

Nota

Credential Guard no proporciona protecciones para la base de datos de Active Directory ni para el Administrador de cuentas de seguridad (SAM). Las credenciales protegidas por Kerberos y NTLM cuando se habilita Credential Guard también están en la base de datos de Active Directory (en los controladores de dominio) y en SAM (para las cuentas locales).

Las aplicaciones se interrumpen si requieren:

  • Compatibilidad con el cifrado DES de Kerberos
  • Delegación de Kerberos sin restricciones
  • Extracción de TGT de Kerberos
  • NTLMv1

Las aplicaciones solicitan y exponen las credenciales a riesgos si requieren:

  • Autenticación implícita
  • Delegación de credenciales
  • MS-CHAPv2
  • CredSSP

Las aplicaciones pueden causar problemas de rendimiento cuando intentan enlazar el proceso LSAIso.exeaislado de Credential Guard .

Los servicios o protocolos que se basan en Kerberos, como recursos compartidos de archivos o escritorio remoto, siguen funcionando y no se ven afectados por Credential Guard.

Pasos siguientes