Windows Credential Guard es una característica de seguridad que protege las credenciales de autenticación contra ataques malintencionados. Evita que los piratas informáticos manipulen las herramientas del sistema o ejecuten códigos maliciosos en su computadora. Esta función está disponible en versiones Enterprise y Pro de Windows 10 y Windows 11. Debería considerar habilitar Credential Guard si maneja o accede a datos confidenciales de forma local o remota en un dominio o grupo de trabajo de Windows.
¿Qué es Credential Guard exactamente?
Cuando enciende su computadora, un proceso llamado Servicio de servidor de autoridad de seguridad local (LSASS) autentica las credenciales de inicio de sesión y le otorga acceso. LSASS también almacena estas credenciales (contraseñas encriptadas, hashes NT, hashes LM y tickets de Kerberos) en la memoria durante las sesiones activas, para que no tenga que volver a ingresar su contraseña cada vez que necesite hacer cambios o acceder a archivos.
Guardar las credenciales en la memoria durante las sesiones es útil en comparación con la alternativa: autenticación de identidad manual en cada paso. Por supuesto, ingresar las credenciales de autenticación de vez en cuando mejora la seguridad. Pero las credenciales de autenticación son largas, especialmente en sus formas codificadas. Sería especialmente inconveniente si tuviera que hacer un cambio rápidamente y particularmente frustrante si cometiera un error y tuviera que volver a ingresar una contraseña. Y si tiene que escribir la contraseña en alguna parte, esto podría aumentar potencialmente su riesgo de seguridad. LSASS maneja las autenticaciones, por lo que el uso de su dispositivo es eficiente.
Pero como puede imaginar, con cualquier cosa que almacene datos valiosos y confidenciales, LSASS es un premio gordo para los piratas informáticos. Pueden comprometer LSASS a través de ataques de robo de credenciales utilizando herramientas como Mimikatz, Crackmapexec y Lsassy. Los piratas informáticos utilizan estas herramientas para eliminar, reemplazar o modificar el archivo del sistema real (lsass.exe).
Hay formas de detener el robo de credenciales antes de que un pirata informático cause un daño enorme, y es posible detener un ataque una vez que lo haya descubierto. Sin embargo, es mejor prevenir el ataque en primer lugar. Credential Guard protege contra ataques maliciosos mediante la creación de un proceso LSASS aislado (LSAIso) que almacena datos de autenticación de forma segura.
Por qué debería habilitar Credential Guard en su PC
La función de seguridad aísla las credenciales de inicio de sesión del resto de la memoria del sistema, así como del proceso principal (lsass.exe) que maneja la autenticación. Entonces, es esencialmente una caja negra.
Debe usar Credential Guard si tiene varias computadoras que forman parte de un dominio o grupo de trabajo. ¿Por qué? Un atacante que compromete un dispositivo con credenciales de inicio de sesión de administrador puede comprometer toda la red. Habilitar esta función evita que un atacante obtenga el control total de la información confidencial si compromete un sistema.
Su sistema debe cumplir con los requisitos
Windows Credential Guard es exclusivo de las versiones Enterprise y Pro de Windows 10 y 11. Las versiones recientes de los servidores de Windows también tienen esta función de seguridad, pero el dispositivo debe cumplir requisitos estrictos de hardware y software.
Para empezar, el dispositivo debe tener una CPU de 64 bits (para admitir la seguridad basada en virtualización) y un arranque seguro. Microsoft también recomienda tener Modulo de plataforma confiable (TPM) versiones 1.2 o 2.0 y bloqueo UEFI (para evitar que los atacantes eludan la configuración de seguridad con regedit). Puedes comprobar el requisitos básicos basado en la computadora o servidor que desea proteger.
Cómo habilitar Credential Guard en Windows
Su computadora o servidor tendrá Credential Guard habilitado de forma predeterminada si cumple con los requisitos básicos de Microsoft. Para verificar si esta característica de seguridad ya está habilitada, presione Comenzar luego escriba "msinfo32.exe". Seleccionar Información del sistema > Resumen del sistema. Debería ver "Servicios de seguridad basados en virtualización en ejecución" y "Credential Guard, integridad de código aplicada por hipervisor" uno al lado del otro.
Si Credential Guard no está habilitado en su computadora, puede habilitar la función de tres maneras principales: a través de la Política de grupo, editando el Registro de Windows o usando Microsoft Intune. También existe la opción de habilitar Credential Guard con bloqueo UEFI si es un usuario avanzado. La mayoría de los administradores encontrarán que habilitar esta característica es más fácil con la Política de grupo.
Cómo deshabilitar Credential Guard en Windows
A pesar de su utilidad para prevenir el robo de credenciales y los ataques Pass the Hash, Credential Guard provocará la ruptura de algunos servicios y protocolos. Por ejemplo, habilitar la función de seguridad le impide usar Windows To Go, la delegación sin restricciones de Kerberos y el cifrado DES.
Además, no puede usar proveedores de soporte de seguridad (SSP) de terceros porque son vulnerables a los ataques de robo de credenciales. Los puntos finales de Wi-Fi y VPN basados en MS-CHAPv2 son igualmente vulnerables y se deshabilitarán cuando habilite Credentials Guard.
Si necesita algunas de las funciones mencionadas anteriormente, puede desactivar Credential Guard durante el tiempo que necesite. Pero asegúrese de configurar un recordatorio para volver a habilitarlo.
Deshabilitar con el Editor de directivas de grupo
Su primera opción es deshabilitar Credential Guard cambiando la configuración de la Política de grupo.
Para hacer esto, presione Comenzar y escriba "gpedit", luego seleccione Editar política de grupo. Ir a Configuración del equipo > Plantillas administrativas > Sistema > Device Guard > Activar seguridad basada en virtualización > Opciones. Establezca "Configuración de Credential Guard" en Desactivado, haga clic DE ACUERDO para guardar el cambio y luego reinicie su computadora.
Deshabilitar con Regedit
Esta opción es excelente si ha habilitado Defender Credential Guard con un método diferente de UEFI Lock y Group Policy. Para deshabilitar Credential Guard con Regedit, presione Comenzar y escriba "regedit". Seleccionar Editor de registro. Primero, vaya a la ruta del archivo HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags y establezca el valor en "0".
A continuación, vuelva a HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags y establezca el valor en "0".
También puedes seguir instrucciones de microsoft para deshabilitar Credential Guard con bloqueo UEFI o deshabilitar la función de seguridad en una máquina virtual.
Habilitar Credential Guard es solo una prevención
La regla general es instalar una cerca alrededor de su jardín antes de plantar, especialmente si vive en un área con ganado deambulando libremente. Esa cerca sería inútil si ya tiene cabras en su propiedad, en cuyo caso, deberá echarlas.
El mismo principio se aplica a la protección de sus datos confidenciales de inicio de sesión. Cuando está habilitado, Credential Guard evita que los piratas informáticos roben sus datos. Sin embargo, sería ineficaz si el atacante ya se ha establecido en su red o ha comprometido el dispositivo. Por lo tanto, si decide utilizar esta función de seguridad en una nueva computadora de trabajo, asegúrese de que esté habilitada antes de que la computadora se una al dominio o grupo de trabajo de Windows.