Requisitos de hardware de Credential Guard de Microsoft Defender

  • Artículo

Microsoft Defender Credential Guard usa la seguridad basada en virtualización para aislar y proteger secretos (por ejemplo, hashes de contraseña NTLM y vales de concesión de vales de Kerberos) para bloquear ataques pass-the-hash o pass-the-ticket (PtH). Cuando se habilita Microsoft Defender Credential Guard, NTLMv1, MS-CHAPv2, Digest y CredSSP no pueden usar las credenciales de sesión iniciadas. Por lo tanto, el inicio de sesión único no funciona con estos protocolos. Sin embargo, las aplicaciones pueden solicitar credenciales o usar credenciales almacenadas en el almacén de Windows que no están protegidos por Microsoft Defender Credential Guard con cualquiera de estos protocolos.

Se recomienda encarecidamente que las credenciales valiosas, como las credenciales de inicio de sesión, no se usen con ninguno de estos protocolos. Si los usuarios del dominio o de Azure AD deben usar estos protocolos, deben aprovisionarse credenciales secundarias para ellos.

Cuando se habilita Microsoft Defender Credential Guard, Kerberos no permite la delegación Kerberos sin restricciones o el cifrado DES, no solo para las credenciales de sesión iniciadas, sino también para las credenciales solicitadas o guardadas.

Nota: A partir de Windows 10 versión 1709 y Windows Server versión 1709, cuando Intel TXT o SGX están habilitados en una plataforma a través del BIOS, Hypervisor-Protected integridad de código (HCVI) y Credential Guard no se ven afectados y funcionarán según lo previsto. HVCI y Credential Guard no se admiten en versiones anteriores de Windows cuando Intel TXT o SGX están habilitados en una plataforma a través del BIOS.

Para comprender mejor qué es Microsoft Defender Credential Guard y qué ataques protege de nuevo, consulte Profundización en Credential Guard.

Profesionales de TI: Para obtener información sobre cómo implementar Microsoft Defender Credential Guard en su empresa, consulte Protección de credenciales de dominio derivadas con Credential Guard.

Para que un dispositivo admita Microsoft Defender Credential Guard tal y como se especifica en los Requisitos de compatibilidad de hardware de Windows (WHCR), usted como OEM debe proporcionar las siguientes características de hardware, software o firmware.

Requisito Detalles
Arranque seguro Se debe admitir el arranque seguro basado en hardware. Para más información, consulte Arranque seguro.
Administración y configuración de arranque seguro
  • Debe poder agregar ISV, OEM o Certificado de empresa a la base de datos de arranque seguro en tiempo de fabricación.
  • La CA de UEFI de Microsoft debe quitarse de la base de datos de arranque seguro. Se permite la compatibilidad con módulos UEFI de terceros, pero debe aprovechar los certificados proporcionados por ISV o un certificado de OEM para el software específico de UEFI.
Proceso de actualización segura de firmware Al igual que el software UEFI, el firmware UEFI puede tener vulnerabilidades de seguridad. Es esencial tener la capacidad de aplicar revisiones inmediatas a estas vulnerabilidades cuando se encuentran a través de actualizaciones de firmware. El firmware UEFI debe admitir la actualización de firmware segura después de la especificación de compatibilidad de hardware para sistemas para Windows 10 en System.Fundamentals.Firmware.UEFISecureBoot.
Interfaz de firmware extensible de United (UEFI) Para más información, consulte Requisitos de firmware de United Extensible Firmware Interface (UEFI).
Seguridad basada en virtualización (VBS) Hypervisor-Protected integridad de código requiere VBS. Para más información sobre VBS, lea Seguridad basada en virtualización (VBS).

Hypervisor-Protected herramienta de preparación de Credential Guard e integridad de código

Para determinar si un dispositivo puede ejecutar HVCI y Credential Guard, descargue la herramienta de preparación de hardware de HVCI y Credential Guard.