Credential Guard remoto
Introducción
Credential Guard remoto ayuda a proteger las credenciales a través de una conexión de Escritorio remoto (RDP) redirigiendo las solicitudes Kerberos al dispositivo que solicita la conexión. Si el dispositivo de destino está en peligro, las credenciales no se exponen porque los derivados de credenciales y credenciales nunca se pasan a través de la red al dispositivo de destino. Credential Guard remoto también proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto.
En este artículo se describe cómo configurar y usar Remote Credential Guard.
Importante
Para obtener información sobre los escenarios de conexión de Escritorio remoto que implican soporte técnico del departamento de soporte técnico, consulte Conexiones de Escritorio remoto y escenarios de soporte técnico en este artículo.
Comparación de Credential Guard remoto con otras opciones de conexión
El uso de una sesión de Escritorio remoto sin Remote Credential Guard tiene las siguientes implicaciones de seguridad:
- Las credenciales se envían y almacenan en el host remoto.
- Las credenciales no están protegidas frente a atacantes en el host remoto
- El atacante puede usar credenciales después de la desconexión.
Las ventajas de seguridad de Remote Credential Guard incluyen:
- Las credenciales no se envían al host remoto
- Durante la sesión remota, puede conectarse a otros sistemas mediante el inicio de sesión único.
- Un atacante solo puede actuar en nombre del usuario cuando la sesión está en curso
Las ventajas de seguridad del modo de Administración restringido incluyen:
- Las credenciales no se envían al host remoto
- La sesión de Escritorio remoto se conecta a otros recursos como identidad del host remoto
- Un atacante no puede actuar en nombre del usuario y cualquier ataque es local en el servidor.
Use la tabla siguiente para comparar diferentes opciones de seguridad de conexión de Escritorio remoto:
| Característica | Escritorio remoto | Credential Guard remoto | Modo de Administración restringido |
|---|---|---|---|
| Inicio de sesión único (SSO) en otros sistemas como usuario que ha iniciado sesión | ✅ | ✅ | ❌ |
| RDP de varios saltos | ✅ | ✅ | ❌ |
| Impedir el uso de la identidad del usuario durante la conexión | ❌ | ❌ | ✅ |
| Impedir el uso de credenciales después de la desconexión | ❌ | ✅ | ✅ |
| Impedir el paso del hash (PtH) | ❌ | ✅ | ✅ |
| Autenticación admitida | Cualquier protocolo negociable | Solo Kerberos | Cualquier protocolo negociable |
| Credenciales admitidas desde el dispositivo cliente de Escritorio remoto | - Credenciales con sesión iniciada - Credenciales proporcionadas - Credenciales guardadas |
- Credenciales con sesión iniciada - Credenciales proporcionadas |
- Credenciales con sesión iniciada - Credenciales proporcionadas - Credenciales guardadas |
| Acceso RDP concedido con | Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto | Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto | Pertenencia al grupo Administradores en un host remoto |
Requisitos de Credential Guard remotos
Para usar Remote Credential Guard, el host remoto y el cliente deben cumplir los siguientes requisitos.
El host remoto:
- Debe permitir que el usuario acceda a través de conexiones de Escritorio remoto
- Debe permitir la delegación de credenciales no exportables al dispositivo cliente.
El dispositivo cliente:
- Debe ejecutar la aplicación Windows de Escritorio remoto. La aplicación de Plataforma universal de Windows de Escritorio remoto (UWP) no admite Remote Credential Guard
- Debe usar la autenticación Kerberos para conectarse al host remoto. Si el cliente no puede conectarse a un controlador de dominio, RDP intenta volver a NTLM. Credential Guard remoto no permite la reserva NTLM porque expondría las credenciales a riesgos
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten Remote Credential Guard:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sí | Sí | Sí | Sí |
Los derechos de licencia de Credential Guard remotos se conceden mediante las siguientes licencias:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sí | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Habilitación de la delegación de credenciales no exportables en los hosts remotos
Esta directiva es necesaria en los hosts remotos para admitir Credential Guard remoto y el modo de Administración restringido. Permite al host remoto delegar credenciales no exportables en el dispositivo cliente.
Si deshabilita o no establece esta configuración, no se admiten los modos Restricted Administración y Remote Credential Guard. Los usuarios deben pasar sus credenciales al host y exponerlas al riesgo de robo de credenciales de atacantes en el host remoto.
Para habilitar la delegación de credenciales no exportables en los hosts remotos, puede usar:
- Microsoft Intune/MDM
- Directiva de grupo
- Registro
Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.
Intune/CSP
GPO
RegistroPara configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Delegación de credenciales del sistema > de plantillas > administrativas | El host remoto permite la delegación de credenciales no exportables | Habilitado |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.
| Configuración |
|---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials- Tipo de datos: cadena - Valor: <enabled/> |
Configuración de la delegación de credenciales en los clientes
Para habilitar Remote Credential Guard en los clientes, puede configurar una directiva que impida la delegación de credenciales a los hosts remotos.
Sugerencia
Si no desea configurar los clientes para aplicar Remote Credential Guard, puede usar el siguiente comando para usar Remote Credential Guard para una sesión de RDP específica:
mstsc.exe /remoteGuard
Si el servidor hospeda el rol host de RDS, el comando solo funciona si el usuario es administrador del host remoto.
La directiva puede tener valores diferentes, en función del nivel de seguridad que quiera aplicar:
Deshabilitado: no se aplican los Administración restringidos y el modo Credential Guard remoto y el cliente de Escritorio remoto puede delegar credenciales en dispositivos remotos.
Requerir Administración restringidas: el cliente de Escritorio remoto debe usar Administración restringido para conectarse a hosts remotos
Requerir Remote Credential Guard: el cliente de Escritorio remoto debe usar Remote Credential Guard para conectarse a hosts remotos
Restringir la delegación de credenciales: el cliente de Escritorio remoto debe usar Administración restringido o Credential Guard remoto para conectarse a hosts remotos. En esta configuración, se prefiere Remote Credential Guard, pero usa el modo de Administración restringido (si se admite) cuando no se puede usar Remote Credential Guard.
Nota
Cuando se habilita Restrict Credential Delegation (Restringir delegación de credenciales ), se omitirá el
/restrictedAdminmodificador. Windows aplica la configuración de directiva en su lugar y usa Remote Credential Guard.
Para configurar los clientes, puede usar:
- Microsoft Intune/MDM
- Directiva de grupo
Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Delegación de credenciales del sistema > de plantillas > administrativas | Restricción de la delegación de credenciales a servidores remotos | Seleccione Habilitado y, en la lista desplegable, seleccione una de las opciones: - Restricción de la delegación de credenciales - Requerir Credential Guard remoto |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.
| Configuración |
|---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration- Tipo de datos: cadena - Valor: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>Los valores posibles para RestrictedRemoteAdministrationDrop son:- 0:Deshabilitado- 1: requerir Administración restringidos- 2: requerir Credential Guard remoto- 3: restricción de la delegación de credenciales |
Experiencia del usuario
Una vez que un cliente recibe la directiva, puede conectarse al host remoto mediante Remote Credential Guard abriendo el cliente de Escritorio remoto (mstsc.exe). El usuario se autentica automáticamente en el host remoto:
Nota
El usuario debe estar autorizado para conectarse al servidor remoto mediante el protocolo escritorio remoto, por ejemplo, siendo miembro del grupo local Usuarios de Escritorio remoto en el host remoto.
Escenarios de soporte técnico y conexiones de Escritorio remoto
Para escenarios de soporte técnico en los que el personal requiere acceso administrativo a través de sesiones de Escritorio remoto, no se recomienda el uso de Remote Credential Guard. Si se inicia una sesión RDP en un cliente ya en peligro, el atacante podría usar ese canal abierto para crear sesiones en nombre del usuario. El atacante puede acceder a cualquiera de los recursos del usuario durante un tiempo limitado después de que la sesión se desconecte.
En su lugar, se recomienda usar la opción de modo de Administración restringido. En escenarios de soporte técnico del departamento de soporte técnico, las conexiones RDP solo se deben iniciar mediante el /RestrictedAdmin conmutador. Esto ayuda a garantizar que las credenciales y otros recursos de usuario no se exponen a hosts remotos en peligro. Para obtener más información, vea Mitigating Pass-the-Hash y Other Credential Theft v2.
Para reforzar aún más la seguridad, también se recomienda implementar la Solución de contraseñas de administrador local (LAPS) de Windows, que automatiza la administración de contraseñas de administrador local. LAPS mitiga el riesgo de escalación lateral y otros ciberataques facilitados cuando los clientes usan la misma combinación de cuenta local administrativa y contraseña en todos sus equipos.
Para obtener más información sobre LAPS, consulte ¿Qué es Windows LAPS?
Consideraciones
Estas son algunas consideraciones para Remote Credential Guard:
- Credential Guard remoto no admite la autenticación compuesta. Por ejemplo, si intenta acceder a un servidor de archivos desde un host remoto que requiere una notificación de dispositivo, se deniega el acceso.
- Credential Guard remoto solo se puede usar cuando se conecta a un dispositivo que está unido a un dominio de Active Directory. No se puede usar al conectarse a dispositivos remotos unidos a Microsoft Entra ID
- Credential Guard remoto se puede usar desde un cliente unido a Microsoft Entra para conectarse a un host remoto unido a Active Directory, siempre y cuando el cliente pueda autenticarse mediante Kerberos.
- Credential Guard remoto solo funciona con el protocolo RDP
- No se envían credenciales al dispositivo de destino, pero el dispositivo de destino sigue adquiriendo vales de servicio kerberos por sí mismo.
- El servidor y el cliente deben autenticarse mediante Kerberos
- Credential Guard remoto solo se admite para conexiones directas a las máquinas de destino. No es compatible con las conexiones a través del agente de conexión de Escritorio remoto y la puerta de enlace de Escritorio remoto
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de