Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Windows almacena con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.
El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC.
El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC.
El inconveniente para activar en muchos escenarios la característica de Credential Guard es que necesita varios requisitos y algunos de ellos, están basados en tecnología de visualización, lo que quiere decir, que si queremos instalar Credential Guard en una Máquina Virtual, el equipo virtualizado tiene que cumplir todos los requisitos.
Requisitos Credential Guard:
Arquitectura x64.
Firmware UEFI versión 2.3.1
Trusted Platform Module, versión 1.2 o 2.0 TPM
Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education.
Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT.
Proceso de actualización segura de firmware.
Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update.
La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP.
Arquitectura x64.
Firmware UEFI versión 2.3.1
Trusted Platform Module, versión 1.2 o 2.0 TPM
Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education.
Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT.
Proceso de actualización segura de firmware.
Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update.
La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP.
Credential Guard se puede habilitar con directiva de grupo en la ruta:
Computer Configuration / Administrative Templates / System / Device Guard
Seleccionando:
- Enabled with UEFI lock
- Enabled without lock
para permitir apagar Credential Guard de forma remota o no.
Microsoft proporciona una herramienta en Windows PowerShell para verificar el hardware y activar Credential Guard en Windows 10 o Server 2016.
Seguridad a lo Jabalí para Todos!!