Configuración de Credential Guard

En este artículo se describe cómo configurar Credential Guard mediante Microsoft Intune, directiva de grupo o el Registro.

Habilitación predeterminada

A partir de Windows 11, versión 22H2, Credential Guard está activado de forma predeterminada en los dispositivos que cumplen los requisitos. La habilitación predeterminada es sin bloqueo UEFI, lo que permite a los administradores deshabilitar Credential Guard de forma remota, si es necesario.

Si Credential Guard o VBS están deshabilitados antes de que un dispositivo se actualice a Windows 11, versión 22H2 o posterior, la habilitación predeterminada no sobrescribe la configuración existente.

Mientras el estado predeterminado de Credential Guard cambió, los administradores del sistema pueden habilitarlo o deshabilitarlo mediante uno de los métodos descritos en este artículo.

Importante

Para obtener información sobre problemas conocidos relacionados con la habilitación predeterminada, vea Credential Guard: problemas conocidos.

Nota

Los dispositivos que ejecutan Windows 11 Pro/Pro Edu 22H2 o posterior pueden tener la seguridad basada en virtualización (VBS) o Credential Guard habilitadas automáticamente si cumplen los otros requisitos para la habilitación predeterminada y han ejecutado anteriormente Credential Guard. Por ejemplo, si Credential Guard se ha habilitado en un dispositivo Enterprise que más adelante se ha degradado a Pro.

Para determinar si el dispositivo Pro está en este estado, compruebe si existe la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. En este escenario, si desea deshabilitar VBS y Credential Guard, siga las instrucciones para deshabilitar la seguridad basada en virtualización. Si solo desea deshabilitar Credential Guard, sin deshabilitar VBS, use los procedimientos para deshabilitar Credential Guard.

Habilitar Credential Guard

Credential Guard debe estar habilitado antes de que un dispositivo se una a un dominio o antes de que un usuario de dominio inicie sesión por primera vez. Si Credential Guard está habilitado después de la unión a un dominio, es posible que los secretos de usuario y dispositivo ya estén en peligro.

Para habilitar Credential Guard, puede usar:

  • Microsoft Intune/MDM
  • Directiva de grupo
  • Registro

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Configuración de Credential Guard con Intune

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Device Guard Credential Guard Seleccione una de las opciones:
 - Habilitado con bloqueo UEFI
 - Habilitado sin bloqueo

Importante

Si desea poder desactivar Credential Guard de forma remota, elija la opción Habilitado sin bloqueo.

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Sugerencia

También puede configurar Credential Guard mediante un perfil de protección de cuenta en la seguridad del punto de conexión. Para obtener más información, consulte Configuración de directivas de protección de cuentas para la seguridad de los puntos de conexión en Microsoft Intune.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.

Configuración
Nombre de configuración: activar la seguridad basada en virtualización
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de datos: int
Valor: 1
Nombre de configuración: Configuración de Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de datos: int
Valor:
Habilitado con bloqueo UEFI: 1
Habilitado sin bloqueo: 2

Una vez aplicada la directiva, reinicie el dispositivo.

Comprobación de si Credential Guard está habilitado

Comprobar el Administrador de tareas si LsaIso.exe se está ejecutando no es un método recomendado para determinar si Credential Guard se está ejecutando. En su lugar, use uno de los métodos siguientes:

  • Información del sistema
  • PowerShell
  • Visor de eventos

Información del sistema

Puede usar Información del sistema para determinar si Credential Guard se ejecuta en un dispositivo.

  1. Seleccione Inicio, escriba msinfo32.exey, a continuación, seleccione Información del sistema.
  2. Seleccione Resumen del sistema.
  3. Confirme que Credential Guard se muestra junto a Servicios de seguridad basados en virtualización en ejecución

PowerShell

Puede usar PowerShell para determinar si Credential Guard se ejecuta en un dispositivo. Desde una sesión de PowerShell con privilegios elevados, use el siguiente comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

El comando genera la siguiente salida:

  • 0: Credential Guard está deshabilitado (no está en ejecución)
  • 1: Credential Guard está habilitado (en ejecución)

Visor de eventos

Realice revisiones periódicas de los dispositivos que tienen habilitado Credential Guard, mediante directivas de auditoría de seguridad o consultas WMI.
Abra el Visor de eventos (eventvwr.exe) y vaya a Windows Logs\System y filtre los orígenes de eventos para WinInit:

Id. de evento

Descripción

13 (Información)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Información)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • La primera variable: 0x1 o 0x2 significa que Credential Guard está configurado para ejecutarse. 0x0 significa que no está configurado para ejecutarse.
  • La segunda variable: 0 significa que está configurada para ejecutarse en modo de protección. 1 significa que está configurado para ejecutarse en modo de prueba. Esta variable siempre debe ser 0.

15 (Advertencia)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Advertencia)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

El siguiente evento indica si se usa TPM para la protección de claves. Camino: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Id. de evento

Descripción

51 (Información)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Si se ejecuta con un TPM, el valor de máscara de PCR de TPM es distinto de 0.

Deshabilitar Credential Guard

Hay diferentes opciones para deshabilitar Credential Guard. La opción que elija dependerá de cómo se configure Credential Guard:

  • El host puede deshabilitar Credential Guard que se ejecuta en una máquina virtual
  • Si Credential Guard está habilitado con bloqueo UEFI, siga el procedimiento descrito en Deshabilitar Credential Guard con bloqueo UEFI.
  • Si Credential Guard está habilitado sin bloqueo UEFI o como parte de la habilitación automática en la actualización de Windows 11, versión 22H2, use una de las siguientes opciones para deshabilitarlo:
    • Microsoft Intune/MDM
    • Directiva de grupo
    • Registro

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Deshabilitar Credential Guard con Intune

Si Credential Guard está habilitado a través de Intune y sin bloqueo UEFI, deshabilitar la misma configuración de directiva deshabilita Credential Guard.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Device Guard Credential Guard Deshabilitado

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.

Configuración
Nombre de configuración: Configuración de Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de datos: int
Valor: 0

Una vez aplicada la directiva, reinicie el dispositivo.

Para obtener información sobre cómo deshabilitar la seguridad basada en virtualización (VBS), vea deshabilitar la seguridad basada en virtualización.

Deshabilitación de Credential Guard con bloqueo UEFI

Si Credential Guard está habilitado con el bloqueo UEFI, siga este procedimiento, ya que la configuración se conserva en las variables EFI (firmware).

Nota

Este escenario requiere la presencia física en la máquina para presionar una tecla de función para aceptar el cambio.

  1. Siga los pasos descritos en Deshabilitar Credential Guard.

  2. Elimina las variables EFI de Credential Guard mediante bcdedit. En un símbolo del sistema con privilegios elevados, escribe los siguientes comandos:

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Reinicia el dispositivo. Antes de que se inicie el sistema operativo, aparece un mensaje que notifica que se modificó UEFI y solicita confirmación. El mensaje debe confirmarse para que los cambios persistan.

Deshabilitar Credential Guard para una máquina virtual

Desde el host, puede deshabilitar Credential Guard para una máquina virtual con el siguiente comando:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Deshabilitación de la seguridad basada en virtualización

Si deshabilita seguridad basada en virtualización (VBS), deshabilitará automáticamente Credential Guard y otras características que se basan en VBS.

Importante

Otras características de seguridad junto a Credential Guard se basan en VBS. Deshabilitar VBS puede tener efectos secundarios no deseados.

Use una de las siguientes opciones para deshabilitar VBS:

  • Microsoft Intune/MDM
  • Directiva de grupo
  • Registro

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Deshabilitar VBS con Intune

Si VBS está habilitado a través de Intune y sin bloqueo UEFI, deshabilitar la misma configuración de directiva deshabilita VBS.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Device Guard Habilitación de la seguridad basada en virtualización Deshabilitado

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva de DeviceGuard.

Configuración
Nombre de configuración: activar la seguridad basada en virtualización
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de datos: int
Valor: 0

Una vez aplicada la directiva, reinicie el dispositivo.

Si Credential Guard está habilitado con bloqueo UEFI, las variables EFI almacenadas en firmware deben borrarse mediante el comando bcdedit.exe. Desde un símbolo del sistema con privilegios elevados, ejecute los siguientes comandos:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Pasos siguientes