Proteger las credenciales de dominio derivadas con Credential Guard de Windows Defender

• Se aplica a:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Windows Defender Credential Guard usa la seguridad basada en virtualización para aislar los secretos de modo que solo el software del sistema con privilegios pueda acceder a ellos. El acceso no autorizado a estos secretos puede derivar en ataques de robo de credenciales, como ataques pass-the-hash o pass-the-ticket. Credential Guard de Windows Defender impide estos ataques mediante la protección de los hash de contraseña NTLM, los vales de concesión de vales de Kerberos y las credenciales que almacenan las aplicaciones como credenciales de dominio.

Al habilitar Credential Guard de Windows Defender, se proporcionan las siguientes características y soluciones:

• Seguridad de hardware NTLM, Kerberos y el Administrador de credenciales usan las características de seguridad de plataforma, como el arranque seguro y la virtualización, para proteger las credenciales.
• Seguridad basada en la virtualización Windows NTLM, las credenciales derivadas de Kerberos y otros secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
• Mejor protección contra las amenazas persistentes avanzadas Cuando se protegen las credenciales de dominio del Administrador de credenciales, NTLM y las credenciales derivadas de Kerberos mediante seguridad basada en virtualización, las herramientas y técnicas de ataque de robo de credenciales que se usan en muchos ataques dirigidos se bloquean. Con la ejecución de malware en el sistema operativo con privilegios administrativos no se pueden extraer secretos que están protegidos con la seguridad basada en la virtualización. Aunque Windows Defender Credential Guard es una mitigación eficaz, es probable que los ataques de amenazas persistentes cambien a nuevas técnicas de ataque y también debe incorporar otras estrategias y arquitecturas de seguridad.

Nota

A partir de Windows 11, versión 22H2, Windows Defender Credential Guard se ha habilitado de forma predeterminada en todos los dispositivos que cumplen los requisitos mínimos especificados en la sección Habilitación predeterminada. Para obtener información sobre problemas conocidos relacionados con la habilitación predeterminada, vea Credential Guard: Problemas conocidos.

Temas relacionados

• Protección de contraseñas de red con Credential Guard de Windows Defender
• Habilitación de la validación KDC estricta en Windows Kerberos
• Novedades en la autenticación Kerberos para Windows Server 2012
• Comprobación del mecanismo de autenticación de AD DS en la Guía paso a paso de Windows Server 2008 R2
• Módulo de plataforma segura
• Mitigación del robo de credenciales mediante el modo de usuario aislado Windows 10
• Procesos y características del modo de usuario aislado en Windows 10 con Logan Gabriel
• Más información sobre procesos y características en Windows 10 modo de usuario aislado con Dave Probert
• Modo de usuario aislado en Windows 10 con Dave Probert
• Windows 10 modo seguro virtual con David Hepkin