Credential Guard remoto

Artículo
11/11/2024
Se aplica a:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Introducción

Credential Guard remoto ayuda a proteger las credenciales a través de una conexión de Escritorio remoto (RDP) redirigiendo las solicitudes Kerberos al dispositivo que solicita la conexión. Si el dispositivo de destino está en peligro, las credenciales no se exponen porque los derivados de credenciales y credenciales nunca se pasan a través de la red al dispositivo de destino. Credential Guard remoto también proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto.

En este artículo se describe cómo configurar y usar Remote Credential Guard.

Importante

Para obtener información sobre los escenarios de conexión de Escritorio remoto que implican soporte técnico del departamento de soporte técnico, consulte Conexiones de Escritorio remoto y escenarios de soporte técnico en este artículo.

Comparación de Credential Guard remoto con otras opciones de conexión

El uso de una sesión de Escritorio remoto sin Remote Credential Guard tiene las siguientes implicaciones de seguridad:

Las credenciales se envían y almacenan en el host remoto.
Las credenciales no están protegidas frente a atacantes en el host remoto
El atacante puede usar credenciales después de la desconexión.

Las ventajas de seguridad de Remote Credential Guard incluyen:

Las credenciales no se envían al host remoto
Durante la sesión remota, puede conectarse a otros sistemas mediante el inicio de sesión único.
Un atacante solo puede actuar en nombre del usuario cuando la sesión está en curso

Las ventajas de seguridad del modo de administrador restringido incluyen:

Las credenciales no se envían al host remoto
La sesión de Escritorio remoto se conecta a otros recursos como identidad del host remoto
Un atacante no puede actuar en nombre del usuario y cualquier ataque es local en el servidor.

Use la tabla siguiente para comparar diferentes opciones de seguridad de conexión de Escritorio remoto:

Característica	Escritorio remoto	Credential Guard remoto	Modo de administrador restringido
Inicio de sesión único (SSO) en otros sistemas como usuario que ha iniciado sesión	✅	✅	❌
RDP de varios saltos	✅	✅	❌
Impedir el uso de la identidad del usuario durante la conexión	❌	❌	✅
Impedir el uso de credenciales después de la desconexión	❌	✅	✅
Impedir el paso del hash (PtH)	❌	✅	✅
Autenticación admitida	Cualquier protocolo negociable	Solo Kerberos	Cualquier protocolo negociable
Credenciales admitidas desde el dispositivo cliente de Escritorio remoto	- Credenciales con sesión iniciada - Credenciales proporcionadas - Credenciales guardadas	- Credenciales con sesión iniciada - Credenciales proporcionadas	- Credenciales con sesión iniciada - Credenciales proporcionadas - Credenciales guardadas
Acceso RDP concedido con	Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto	Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto	Pertenencia al grupo Administradores en un host remoto

Requisitos de Credential Guard remotos

Para usar Remote Credential Guard, el host remoto y el cliente deben cumplir los siguientes requisitos.

El host remoto:

Debe permitir que el usuario acceda a través de conexiones de Escritorio remoto
Debe permitir la delegación de credenciales no exportables al dispositivo cliente.

El dispositivo cliente:

Debe ejecutar la aplicación Windows de Escritorio remoto. La aplicación de la Plataforma universal de Windows (UWP) de Escritorio remoto no admite Remote Credential Guard
Debe usar la autenticación Kerberos para conectarse al host remoto. Si el cliente no puede conectarse a un controlador de dominio, RDP intenta volver a NTLM. Credential Guard remoto no permite la reserva NTLM porque expondría las credenciales a riesgos

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Remote Credential Guard:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sí	Sí	Sí	Sí

Los derechos de licencia de Credential Guard remotos se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sí	Sí	Sí	Sí	Sí

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Habilitación de la delegación de credenciales no exportables en los hosts remotos

Esta directiva es necesaria en los hosts remotos para admitir remote Credential Guard y el modo de administrador restringido. Permite al host remoto delegar credenciales no exportables en el dispositivo cliente.
Si deshabilita o no establece esta configuración, no se admiten los modos Administrador restringido y Protección remota de credenciales. Los usuarios deben pasar sus credenciales al host y exponerlas al riesgo de robo de credenciales de atacantes en el host remoto.

Para habilitar la delegación de credenciales no exportables en los hosts remotos, puede usar:

Microsoft Intune/MDM
Directiva de grupo
Registro

En las instrucciones siguientes se proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría	Nombre del valor de configuración	Valor
Delegación de credenciales del sistema > de plantillas > administrativas	El host remoto permite la delegación de credenciales no exportables	Habilitado

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Ajuste
- OMA-URI:`./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials` - Tipo de datos: cadena - Valor:`<enabled/>`

Para configurar un dispositivo con directiva de grupo, use el Editor de directivas de grupo local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

Ruta de acceso de directiva de grupo	Configuración de directiva de grupo	Valor
Configuración del equipo\Plantillas administrativas\Sistema\Delegación de credenciales	El host remoto permite la delegación de credenciales no exportables	Habilitado

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Para configurar dispositivos mediante el Registro, use los valores siguientes:

Ajuste
- Ruta de acceso de clave:`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa` - Nombre de clave:`DisableRestrictedAdmin` - Tipo:`REG_DWORD` - Valor:`0`

Para agregarlo, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados:

Símbolo del sistema de Windows

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Configuración de la delegación de credenciales en los clientes

Para habilitar Remote Credential Guard en los clientes, puede configurar una directiva que impida la delegación de credenciales a los hosts remotos.

Sugerencia

Si no desea configurar los clientes para aplicar Remote Credential Guard, puede usar el siguiente comando para usar Remote Credential Guard para una sesión de RDP específica:

Símbolo del sistema de Windows

mstsc.exe /remoteGuard

Si el servidor hospeda el rol host de RDS, el comando solo funciona si el usuario es administrador del host remoto.

La directiva puede tener valores diferentes, en función del nivel de seguridad que quiera aplicar:

Deshabilitado: el administrador restringido y el modo Credential Guard remoto no se aplican y el cliente de Escritorio remoto puede delegar credenciales en dispositivos remotos.
Requerir administrador restringido: el cliente de Escritorio remoto debe usar el administrador restringido para conectarse a hosts remotos
Requerir Remote Credential Guard: el cliente de Escritorio remoto debe usar Remote Credential Guard para conectarse a hosts remotos
Restringir la delegación de credenciales: el cliente de Escritorio remoto debe usar Restricted Admin o Remote Credential Guard para conectarse a hosts remotos. En esta configuración, se prefiere Remote Credential Guard, pero usa el modo de administrador restringido (si se admite) cuando no se puede usar Remote Credential Guard.

Nota

Cuando se habilita Restrict Credential Delegation (Restringir delegación de credenciales ), se omitirá el /restrictedAdmin modificador. Windows aplica la configuración de directiva en su lugar y usa Remote Credential Guard.

Para configurar los clientes, puede usar:

Microsoft Intune/MDM
Directiva de grupo

En las instrucciones siguientes se proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría	Nombre del valor de configuración	Valor
Delegación de credenciales del sistema > de plantillas > administrativas	Restricción de la delegación de credenciales a servidores remotos	Seleccione Habilitado y, en la lista desplegable, seleccione una de las opciones: - Restricción de la delegación de credenciales - Requerir Credential Guard remoto

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Ajuste

Ajuste
- OMA-URI:`./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration` - Tipo de datos: cadena - Valor:`<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>` Los valores posibles para `RestrictedRemoteAdministrationDrop` son: - `0`:Deshabilitado - `1`: requerir administrador restringido - `2`: requerir Credential Guard remoto - `3`: restricción de la delegación de credenciales

- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Tipo de datos: cadena
- Valor:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

Los valores posibles para RestrictedRemoteAdministrationDrop son:
- 0:Deshabilitado
- 1: requerir administrador restringido
- 2: requerir Credential Guard remoto
- 3: restricción de la delegación de credenciales

Ruta de acceso de directiva de grupo	Configuración de directiva de grupo	Valor
Configuración del equipo\Plantillas administrativas\Sistema\Delegación de credenciales	Restricción de la delegación de credenciales a servidores remotos	Habilitado y en la lista desplegable, seleccione una de las opciones: - Restricción de la delegación de credenciales - Requerir Credential Guard remoto

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Experiencia del usuario

Una vez que un cliente recibe la directiva, puede conectarse al host remoto mediante Remote Credential Guard abriendo el cliente de Escritorio remoto (mstsc.exe). El usuario se autentica automáticamente en el host remoto:

Nota

El usuario debe estar autorizado para conectarse al servidor remoto mediante el protocolo escritorio remoto, por ejemplo, siendo miembro del grupo local Usuarios de Escritorio remoto en el host remoto.

Escenarios de soporte técnico y conexiones de Escritorio remoto

Para escenarios de soporte técnico en los que el personal requiere acceso administrativo a través de sesiones de Escritorio remoto, no se recomienda el uso de Remote Credential Guard. Si se inicia una sesión RDP en un cliente ya en peligro, el atacante podría usar ese canal abierto para crear sesiones en nombre del usuario. El atacante puede acceder a cualquiera de los recursos del usuario durante un tiempo limitado después de que la sesión se desconecte.

En su lugar, se recomienda usar la opción modo administrador restringido. En escenarios de soporte técnico del departamento de soporte técnico, las conexiones RDP solo se deben iniciar mediante el /RestrictedAdmin conmutador. Esto ayuda a garantizar que las credenciales y otros recursos de usuario no se exponen a hosts remotos en peligro. Para obtener más información, vea Mitigating Pass-the-Hash y Other Credential Theft v2.

Para reforzar aún más la seguridad, también se recomienda implementar la Solución de contraseñas de administrador local (LAPS) de Windows, que automatiza la administración de contraseñas de administrador local. LAPS mitiga el riesgo de escalación lateral y otros ciberataques facilitados cuando los clientes usan la misma combinación de cuenta local administrativa y contraseña en todos sus equipos.

Para obtener más información sobre LAPS, consulte ¿Qué es Windows LAPS?

Consideraciones

Estas son algunas consideraciones para Remote Credential Guard:

Credential Guard remoto no admite la autenticación compuesta. Por ejemplo, si intenta acceder a un servidor de archivos desde un host remoto que requiere una notificación de dispositivo, se deniega el acceso.
Credential Guard remoto solo se puede usar cuando se conecta a un dispositivo que está unido a un dominio de Active Directory. No se puede usar al conectarse a dispositivos remotos unidos a Microsoft Entra ID
Credential Guard remoto se puede usar desde un cliente unido a Microsoft Entra para conectarse a un host remoto unido a Active Directory, siempre y cuando el cliente pueda autenticarse mediante Kerberos.
Credential Guard remoto solo funciona con el protocolo RDP
No se envían credenciales al dispositivo de destino, pero el dispositivo de destino sigue adquiriendo vales de servicio kerberos por sí mismo.
El servidor y el cliente deben autenticarse mediante Kerberos
Credential Guard remoto solo se admite para conexiones directas a las máquinas de destino. No es compatible con las conexiones a través del agente de conexión de Escritorio remoto y la puerta de enlace de Escritorio remoto

Recursos adicionales

Documentación

Inicio de sesión en Escritorio remoto con Windows Hello para empresas

Obtenga información sobre cómo configurar el inicio de sesión de Escritorio remoto (RDP) con Windows Hello para empresas.
Información general de Credential Guard

Obtenga información sobre Credential Guard y cómo aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.
Consideraciones y problemas conocidos al usar Credential Guard

Consideraciones, recomendaciones y problemas conocidos al usar Credential Guard.
CredentialsDelegation Policy CSP

Obtenga más información sobre el área CredentialsDelegation en CSP de directiva.

Cursos

Módulo

Protección de cuentas de usuario de Windows Server - Training

Proteja el entorno de Active Directory mediante la protección de las cuentas de usuario, incluidas aquellas con privilegios mínimos, y su inserción en el grupo Usuarios protegidos. Aprenda cómo limitar el ámbito de autenticación y corregir las cuentas potencialmente inseguras.

Certificación

Microsoft Certified: Azure Virtual Desktop Specialty - Certifications

Planee, entregue, administre y supervise experiencias de escritorio virtual y aplicaciones remotas en Microsoft Azure para cualquier dispositivo.

AI Skills Fest

Compartir a través de