Configuración de Credential Guard
En este artículo se describe cómo configurar Credential Guard mediante Microsoft Intune, la directiva de grupo o el Registro.
Habilitación predeterminada
Importante
Windows Server 2025 está en versión preliminar. Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información proporcionada aquí.
A partir de Windows 11, 22H2 y Windows Server 2025 (versión preliminar), Credential Guard está habilitado de forma predeterminada en dispositivos que cumplen los requisitos.
Los administradores del sistema pueden habilitar o deshabilitar explícitamente Credential Guard mediante uno de los métodos descritos en este artículo. Los valores configurados explícitamente sobrescriben el estado de habilitación predeterminado después de un reinicio.
Si un dispositivo tiene Credential Guard desactivado explícitamente antes de actualizar a una versión más reciente de Windows donde Credential Guard está habilitado de forma predeterminada, permanecerá deshabilitado incluso después de la actualización.
Importante
Para obtener información sobre problemas conocidos relacionados con la habilitación predeterminada, vea Credential Guard: problemas conocidos.
Habilitar Credential Guard
Credential Guard debe estar habilitado antes de que un dispositivo se una a un dominio o antes de que un usuario de dominio inicie sesión por primera vez. Si Credential Guard está habilitado después de la unión a un dominio, es posible que los secretos de usuario y dispositivo ya estén en peligro.
Para habilitar Credential Guard, puede usar:
- Microsoft Intune/MDM
- Directiva de grupo
- Registro
En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.
Intune/CSP
GPO
RegistroConfiguración de Credential Guard con Intune
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Device Guard | Credential Guard | Seleccione una de las opciones: - Habilitado con bloqueo UEFI - Habilitado sin bloqueo |
Importante
Si desea poder desactivar Credential Guard de forma remota, elija la opción Habilitado sin bloqueo.
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Sugerencia
También puede configurar Credential Guard mediante un perfil de protección de cuenta en la seguridad del punto de conexión. Para obtener más información, consulte Configuración de directivas de protección de cuentas para la seguridad de los puntos de conexión en Microsoft Intune.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.
| Configuración |
|---|
| Nombre de configuración: activar la seguridad basada en virtualización OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo de datos: int Valor: 1 |
| Nombre de configuración: Configuración de Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo de datos: int Valor: Habilitado con bloqueo UEFI: 1Habilitado sin bloqueo: 2 |
Una vez aplicada la directiva, reinicie el dispositivo.
Comprobación de si Credential Guard está habilitado
Comprobar el Administrador de tareas si LsaIso.exe se está ejecutando no es un método recomendado para determinar si Credential Guard se está ejecutando. En su lugar, use uno de los métodos siguientes:
- Información del sistema
- PowerShell
- Visor de eventos
Información del sistema
Puede usar Información del sistema para determinar si Credential Guard se ejecuta en un dispositivo.
- Seleccione Inicio, escriba
msinfo32.exey, a continuación, seleccione Información del sistema. - Seleccione Resumen del sistema.
- Confirme que Credential Guard se muestra junto a Servicios de seguridad basados en virtualización en ejecución
PowerShell
Puede usar PowerShell para determinar si Credential Guard se ejecuta en un dispositivo. Desde una sesión de PowerShell con privilegios elevados, use el siguiente comando:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
El comando genera la siguiente salida:
- 0: Credential Guard está deshabilitado (no está en ejecución)
- 1: Credential Guard está habilitado (en ejecución)
Visor de eventos
Realice revisiones periódicas de los dispositivos que tienen habilitado Credential Guard, mediante directivas de auditoría de seguridad o consultas WMI.
Abra el Visor de eventos (eventvwr.exe) y vaya a Windows Logs\System y filtre los orígenes de eventos para WinInit:
Id. de evento
Descripción
13 (Información)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Información)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- La primera variable: 0x1 o 0x2 significa que Credential Guard está configurado para ejecutarse. 0x0 significa que no está configurado para ejecutarse.
- La segunda variable: 0 significa que está configurada para ejecutarse en modo de protección. 1 significa que está configurado para ejecutarse en modo de prueba. Esta variable siempre debe ser 0.
15 (Advertencia)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Advertencia)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
El siguiente evento indica si se usa TPM para la protección de claves. Camino: Applications and Services logs > Microsoft > Windows > Kernel-Boot
Id. de evento
Descripción
51 (Información)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Si se ejecuta con un TPM, el valor de máscara de PCR de TPM es distinto de 0.
Deshabilitar Credential Guard
Hay diferentes opciones para deshabilitar Credential Guard. La opción que elija dependerá de cómo se configure Credential Guard:
- El host puede deshabilitar Credential Guard que se ejecuta en una máquina virtual
- Si Credential Guard está habilitado con bloqueo UEFI, siga el procedimiento descrito en Deshabilitar Credential Guard con bloqueo UEFI.
- Si Credential Guard está habilitado sin bloqueo UEFI o como parte de la actualización de habilitación predeterminada, use una de las siguientes opciones para deshabilitarla:
- Microsoft Intune/MDM
- Directiva de grupo
- Registro
En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.
Deshabilitación de Credential Guard con Intune
Si Credential Guard está habilitado a través de Intune y sin bloqueo UEFI, deshabilitar la misma configuración de directiva deshabilita Credential Guard.
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Device Guard | Credential Guard | Deshabilitado |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.
| Configuración |
|---|
| Nombre de configuración: Configuración de Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo de datos: int Valor: 0 |
Una vez aplicada la directiva, reinicie el dispositivo.
Para obtener información sobre cómo deshabilitar la seguridad basada en virtualización (VBS), vea deshabilitar la seguridad basada en virtualización.
Deshabilitación de Credential Guard con bloqueo UEFI
Si Credential Guard está habilitado con el bloqueo UEFI, siga este procedimiento, ya que la configuración se conserva en las variables EFI (firmware).
Nota
Este escenario requiere la presencia física en la máquina para presionar una tecla de función para aceptar el cambio.
Siga los pasos descritos en Deshabilitar Credential Guard.
Elimina las variables EFI de Credential Guard mediante bcdedit. En un símbolo del sistema con privilegios elevados, escribe los siguientes comandos:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dReinicia el dispositivo. Antes de que se inicie el sistema operativo, aparece un mensaje que notifica que se modificó UEFI y solicita confirmación. El mensaje debe confirmarse para que los cambios persistan.
Deshabilitar Credential Guard para una máquina virtual
Desde el host, puede deshabilitar Credential Guard para una máquina virtual con el siguiente comando:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Deshabilitación de la seguridad basada en virtualización
Si deshabilita seguridad basada en virtualización (VBS), deshabilitará automáticamente Credential Guard y otras características que se basan en VBS.
Importante
Otras características de seguridad junto a Credential Guard se basan en VBS. Deshabilitar VBS puede tener efectos secundarios no deseados.
Use una de las siguientes opciones para deshabilitar VBS:
- Microsoft Intune/MDM
- Directiva de grupo
- Registro
En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.
Deshabilitación de VBS con Intune
Si VBS está habilitado a través de Intune y sin bloqueo UEFI, deshabilitar la misma configuración de directiva deshabilita VBS.
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Device Guard | Habilitación de la seguridad basada en virtualización | Deshabilitado |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.
| Configuración |
|---|
| Nombre de configuración: activar la seguridad basada en virtualización OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo de datos: int Valor: 0 |
Una vez aplicada la directiva, reinicie el dispositivo.
Si Credential Guard está habilitado con bloqueo UEFI, las variables EFI almacenadas en firmware deben borrarse mediante el comando bcdedit.exe. Desde un símbolo del sistema con privilegios elevados, ejecute los siguientes comandos:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Pasos siguientes
- Revise el consejo y el código de ejemplo para hacer que su entorno sea más seguro y sólido con Credential Guard en el artículo Mitigaciones adicionales .
- Revisar consideraciones y problemas conocidos al usar Credential Guard
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de