Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Important
Starting with the April Windows security update (KB5055523), Credential Guard protected machine accounts is temporarily disabled in Windows Server 2025 and Windows 11, version 24H2. Esta característica se ha deshabilitado debido a un problema con la rotación de contraseñas de la máquina mediante Kerberos. La característica permanece deshabilitada hasta que haya disponible una corrección permanente. Para obtener más información sobre el problema de rotación de contraseñas de máquina, consulte el artículo Problemas conocidos y notificaciones de Windows Server 2025 .
Las características recientes de Windows, como la extensión Kerberos de la tunelización segura de autenticación flexible (FAST), también conocida como protección kerberos, dependían cada vez más de las cuentas de máquina para mejorar la seguridad. La cuenta de equipo se usa para agregar entropía a la clave secreta del cliente y las cuentas de servicio gMSA y dMSA ahora dependen de las cuentas de equipo y les conceden acceso a las cuentas de servicio. Sin embargo, esta dependencia de las cuentas de máquina creó una vulnerabilidad en la seguridad de la cuenta de servicio, ya que las cuentas de máquina se pueden extraer fácilmente del Registro y usarse para acceder a cuentas de servicio altamente seguras.
Para reforzar la seguridad de las cuentas de servicio, la función de suscripción de las cuentas de máquina en Credential Guard ahora está disponible en dispositivos Windows Server 2025 con Credential Guard habilitado. Es fundamental tomar medidas para abordar este problema. Esta característica reubica el almacenamiento de credenciales de cuenta de máquina del Registro en Credential Guard, que proporciona un entorno de ejecución de confianza independiente para la contraseña de la cuenta de máquina. La seguridad se mejora asegurándose de que:
- Los usuarios, administradores o controladores sin privilegios no pueden acceder a la contraseña.
- La seguridad de las cuentas de máquina se mejora, lo que protege la seguridad general de las cuentas de servicio en Active Directory (AD).
Aislamiento de identidad de máquina
Habilitar el aislamiento de identidad de máquina permite la protección basada en virtualización de cuentas de máquina de AD. Cuando se habilita, las credenciales de la cuenta de máquina del dispositivo se reubicarán en Credential Guard. Como resultado, todas las autenticaciones futuras de la cuenta de máquina, como el inicio de sesión en un dispositivo unido a un dominio, se enrutarán a través de Credential Guard. Sin embargo, si Credential Guard no se inicia después de reiniciar el dispositivo, no se puede completar la autenticación de dominio, lo que puede requerir la intervención de una cuenta de administrador local para recuperarla.
Configuración de aislamiento de identidad de máquina
Para habilitar la configuración de aislamiento de identidad de máquina, abra la directiva de grupo, vaya a la siguiente ruta de acceso y seleccione Habilitado:
- Configuración del equipo\Plantillas administrativas\System\Device Guard\Activar la seguridad basada en virtualización
Las opciones disponibles para esta configuración específica son:
Disabled: Turns off Machine Identity Isolation. Si esta directiva se estableció anteriormente en Habilitado en modo auditoría, no se necesita ninguna acción adicional. Si esta directiva se estableció anteriormente en Habilitado en modo de cumplimiento, el dispositivo debe desvincularse y volver a vincularse al dominio, ya que de lo contrario no podrá autenticarse.
Note
Si el inicio de sesión almacenado en caché local está habilitado cuando esta configuración está deshabilitada, el inicio de sesión local seguirá funcionando mientras la caché está actualizada, pero se interrumpirá la autenticación de dominio.
Solo se puede usar la cuenta de administrador local para desvincular y volver a vincular la máquina.
Habilitado en modo auditoría: esta opción crea un nuevo secreto en Credential Guard y lo copia en la autoridad de seguridad local (LSA). A continuación, se elimina el secreto de LSA antiguo. Al auditar, los intentos de autenticar la identidad de la máquina primero intentarán usar la copia en Credential Guard. Si se produce un error, la autenticación vuelve al uso de la identidad de máquina original de LSA.
Note
Si la directiva se estableció anteriormente en modo de cumplimiento, el dispositivo debe desvincularse y volver a vincularse manualmente.
Habilitado en modo de cumplimiento: esta opción mueve el secreto de cuenta de la máquina a Credential Guard y lo elimina de LSA. Esto hace que la clave de la cuenta del equipo sea inaccesible, excepto cuando se utiliza Credential Guard para la autenticación del equipo.
Not Configured: Leaves the policy setting undefined. La directiva de grupo no escribe la configuración de directiva en el Registro y no afecta a los equipos ni a los usuarios. Si hay una configuración actual en el Registro, no se modificará.