Requisitos de hardware de Microsoft Defender Credential Guard
Microsoft Defender Credential Guard usa la seguridad basada en virtualización para aislar y proteger los secretos (por ejemplo, hashes de contraseña NTLM y vales de concesión de vales de Kerberos) para bloquear los ataques pass-the-hash o pass-the-ticket (PtH). Cuando se habilita Credential Guard de Microsoft Defender, NTLMv1, MS-CHAPv2, Digest y CredSSP no pueden usar las credenciales de sesión iniciadas. Por lo tanto, el inicio de sesión único no funciona con estos protocolos. Sin embargo, las aplicaciones pueden solicitar credenciales o usar las del almacén de Windows, que no están protegidas por Credential Guard de Microsoft Defender con ninguno de estos protocolos.
Se recomienda encarecidamente que las credenciales importantes, como las de inicio de sesión, no se usen con ninguno de estos protocolos. Si los usuarios del dominio o de Azure AD deben usar estos protocolos, deben aprovisionarse credenciales secundarias para ellos.
Cuando se habilita Credential Guard de Microsoft Defender, Kerberos no permite la delegación Kerberos sin restricciones ni el cifrado DES para las credenciales de sesión iniciada ni para las credenciales solicitadas o guardadas.
Nota: A partir de Windows 10 versión 1709 y Windows Server versión 1709, cuando Intel TXT o SGX están habilitados en una plataforma a través del BIOS, la integridad de código protegida por hipervisor (HCVI) y Credential Guard no se ven afectadas y funcionarán según lo previsto. HVCI y Credential Guard no se admiten en versiones anteriores de Windows cuando Intel TXT o SGX están habilitados en una plataforma a través del BIOS.
Para comprender mejor qué es Credential Guard de Microsoft Defender y qué ataques protege de nuevo, consulte Profundización en Credential Guard.
Profesionales de TI: Para obtener información sobre cómo implementar Microsoft Defender Credential Guard en su empresa, consulte Protección de credenciales de dominio derivadas con Credential Guard.
Para que un dispositivo admita Credential Guard de Microsoft Defender tal como se especifica en los Requisitos de compatibilidad de hardware de Windows (WHCR), como OEM debe proporcionar las siguientes características de hardware, software o firmware.
| Requisito | Detalles |
|---|---|
| Arranque seguro | Se debe admitir el arranque seguro basado en hardware. Para obtener más información, vea Arranque seguro. |
| Configuración y administración de arranque seguro |
|
| Proceso de actualización de firmware seguro | Al igual que el software UEFI, el firmware UEFI puede tener vulnerabilidades de seguridad. Es esencial tener la capacidad de aplicar revisiones inmediatas a estas vulnerabilidades cuando se encuentran a través de actualizaciones de firmware. El firmware UEFI debe admitir la actualización de firmware segura siguiendo la especificación de compatibilidad de hardware para sistemas para Windows 10 en System.Fundamentals.Firmware.UEFISecureBoot. |
| United Extensible Firmware Interface (UEFI) | Para obtener más información, consulte los requisitos de firmware de United Extensible Firmware Interface (UEFI). |
| Seguridad basada en virtualización (VBS) | Para la integridad de código protegido por hipervisor se requiere VBS. Para más información sobre VBS, lea Seguridad basada en virtualización (VBS). |
Integridad de código protegido por hipervisor y herramienta de preparación de Credential Guard
Para determinar si un dispositivo puede ejecutar HVCI y Credential Guard, descargue la herramienta de preparación de hardware de HVCI y Credential Guard.