Descripción de Credential Guard de Windows Defender
Credential Guard de Windows Defender le ayuda a protegerse frente a ataques Pass-the-Hash de NTLM o ataques Pass-the-Ticket de Kerberos. Protege al restringir el acceso a los hashes de contraseña NTLM (Pass-the-Hash), los TGT de Kerberos (Pass-the-Ticket) y las credenciales de aplicación almacenadas como credenciales de dominio a procesos especiales y memoria que administran y almacenan esa autorización y los datos relacionados con la autenticación. Por tanto, solo los elementos específicos autorizados digitalmente del sistema operativo host (que comprueba esos elementos) pueden acceder a los procesos y la memoria especiales. Esto impide que las operaciones no autorizadas o el software no autorizado obtengan acceso a los procesos y la memoria protegidos y, posteriormente, limiten su acceso a los datos relacionados con la autorización y la autenticación. Credential Guard de Windows Defender también proporciona seguridad de hardware mediante el uso de características de seguridad de hardware como el arranque seguro y la virtualización para NTLM, Kerberos y Administrador de credenciales.
Funcionamiento de Credential Guard de Windows Defender
Credential Guard de Windows Defender protege las credenciales de usuario contra el riesgo mediante su dentro de un contenedor virtualizado protegido, independiente del resto del sistema operativo. Solo el software del sistema con privilegios puede acceder a las credenciales.
El sistema operativo del contenedor virtualizado se ejecuta en paralelo al sistema operativo host, pero de forma independiente. Este sistema operativo protege estos procesos frente a intentos de cualquier entidad externa que quiera leer la información que esos procesos almacenan y usan. Esto significa que las credenciales están más protegidas, incluso si el malware ha penetrado en el resto del sistema.
Requisitos de Credential Guard de Windows Defender
Solo puede implementar Credential Guard de Windows Defender en dispositivos que cumplan determinados requisitos de hardware. Credential Guard de Windows Defender se debe usar en cualquier equipo en el que el personal de TI utilice credenciales con privilegios, especialmente las estaciones de trabajo dedicadas al acceso con privilegios.
Para Credential Guard de Windows Defender se necesita lo siguiente:
- Windows 10 Enterprise o Windows Server 2016 o posterior
- Extensiones de virtualización de CPU de 64 bits más tablas de páginas extendidas (Intel VT-x o AMD-V)
- Módulo de plataforma segura (TPM) 1.2 o 2.0
- Firmware Unified Extensible Firmware Interface (UEFI), versión 2.3.1.c o posterior
- Arranque seguro UEFI
- Actualización de firmware seguro de UEFI
Credential Guard de Windows Defender puede proteger secretos en una Hyper-V de Microsoft virtual cuando:
- El host de Hyper-V tiene una unidad de administración de memoria de entrada/salida (IOMMU) y se ejecuta en Windows Server 2016 o posterior, o bien en Windows 10 Enterprise.
- La máquina virtual debe ser de generación 2, tener TPM virtual habilitado y ejecutar un sistema operativo que admita Credential Guard de Windows Defender.
Credential Guard de Windows Defender no admite lo siguiente:
- Delegación Kerberos sin restricciones
- NTLMv1
- MS-CHAPv2
- Autenticación implícita
- Delegación de credenciales (CredSSP)
- Cifrado DES (Estándar de cifrado de datos) de Kerberos
Credential Guard de Windows Defender no se admite en controladores de dominio. Tampoco proporciona protección para la base de datos de AD DS (Active Directory) o el Administrador de cuentas de seguridad (SAM).