Compartir a través de


Credential Guard remoto

Introducción

Credential Guard remoto ayuda a proteger las credenciales a través de una conexión de Escritorio remoto (RDP) redirigiendo las solicitudes Kerberos al dispositivo que solicita la conexión. Si el dispositivo de destino está en peligro, las credenciales no se exponen porque los derivados de credenciales y credenciales nunca se pasan a través de la red al dispositivo de destino. Credential Guard remoto también proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto.

En este artículo se describe cómo configurar y usar Remote Credential Guard.

Importante

Para obtener información sobre los escenarios de conexión de Escritorio remoto que implican soporte técnico del departamento de soporte técnico, consulte Conexiones de Escritorio remoto y escenarios de soporte técnico en este artículo.

Comparación de Credential Guard remoto con otras opciones de conexión

El uso de una sesión de Escritorio remoto sin Remote Credential Guard tiene las siguientes implicaciones de seguridad:

  • Las credenciales se envían y almacenan en el host remoto.
  • Las credenciales no están protegidas frente a atacantes en el host remoto
  • El atacante puede usar credenciales después de la desconexión.

Las ventajas de seguridad de Remote Credential Guard incluyen:

  • Las credenciales no se envían al host remoto
  • Durante la sesión remota, puede conectarse a otros sistemas mediante el inicio de sesión único.
  • Un atacante solo puede actuar en nombre del usuario cuando la sesión está en curso

Las ventajas de seguridad del modo de administrador restringido incluyen:

  • Las credenciales no se envían al host remoto
  • La sesión de Escritorio remoto se conecta a otros recursos como identidad del host remoto
  • Un atacante no puede actuar en nombre del usuario y cualquier ataque es local en el servidor.

Use la tabla siguiente para comparar diferentes opciones de seguridad de conexión de Escritorio remoto:

Característica Escritorio remoto Credential Guard remoto Modo de administrador restringido
Inicio de sesión único (SSO) en otros sistemas como usuario que ha iniciado sesión
RDP de varios saltos
Impedir el uso de la identidad del usuario durante la conexión
Impedir el uso de credenciales después de la desconexión
Impedir el paso del hash (PtH)
Autenticación admitida Cualquier protocolo negociable Solo Kerberos Cualquier protocolo negociable
Credenciales admitidas desde el dispositivo cliente de Escritorio remoto - Credenciales con sesión iniciada
- Credenciales proporcionadas
- Credenciales guardadas
- Credenciales con sesión iniciada
- Credenciales proporcionadas
- Credenciales con sesión iniciada
- Credenciales proporcionadas
- Credenciales guardadas
Acceso RDP concedido con Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto Pertenencia al grupo Usuarios de Escritorio remoto en un host remoto Pertenencia al grupo Administradores en un host remoto

Requisitos de Credential Guard remotos

Para usar Remote Credential Guard, el host remoto y el cliente deben cumplir los siguientes requisitos.

El host remoto:

  • Debe permitir que el usuario acceda a través de conexiones de Escritorio remoto
  • Debe permitir la delegación de credenciales no exportables al dispositivo cliente.

El dispositivo cliente:

  • Debe ejecutar la aplicación Windows de Escritorio remoto. La aplicación de la Plataforma universal de Windows (UWP) de Escritorio remoto no admite Remote Credential Guard
  • Debe usar la autenticación Kerberos para conectarse al host remoto. Si el cliente no puede conectarse a un controlador de dominio, RDP intenta volver a NTLM. Credential Guard remoto no permite la reserva NTLM porque expondría las credenciales a riesgos

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Remote Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia de Credential Guard remotos se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Habilitación de la delegación de credenciales no exportables en los hosts remotos

Esta directiva es necesaria en los hosts remotos para admitir remote Credential Guard y el modo de administrador restringido. Permite al host remoto delegar credenciales no exportables en el dispositivo cliente.
Si deshabilita o no establece esta configuración, no se admiten los modos Administrador restringido y Protección remota de credenciales. Los usuarios deben pasar sus credenciales al host y exponerlas al riesgo de robo de credenciales de atacantes en el host remoto.

Para habilitar la delegación de credenciales no exportables en los hosts remotos, puede usar:

  • Microsoft Intune/MDM
  • Directiva de grupo
  • Registro

En las instrucciones siguientes se proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Delegación de credenciales del sistema > de plantillas > administrativas El host remoto permite la delegación de credenciales no exportables Habilitado

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Ajuste
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
- Tipo de datos: cadena
- Valor:<enabled/>

Configuración de la delegación de credenciales en los clientes

Para habilitar Remote Credential Guard en los clientes, puede configurar una directiva que impida la delegación de credenciales a los hosts remotos.

Sugerencia

Si no desea configurar los clientes para aplicar Remote Credential Guard, puede usar el siguiente comando para usar Remote Credential Guard para una sesión de RDP específica:

mstsc.exe /remoteGuard

Si el servidor hospeda el rol host de RDS, el comando solo funciona si el usuario es administrador del host remoto.

La directiva puede tener valores diferentes, en función del nivel de seguridad que quiera aplicar:

  • Deshabilitado: el administrador restringido y el modo Credential Guard remoto no se aplican y el cliente de Escritorio remoto puede delegar credenciales en dispositivos remotos.

  • Requerir administrador restringido: el cliente de Escritorio remoto debe usar el administrador restringido para conectarse a hosts remotos

  • Requerir Remote Credential Guard: el cliente de Escritorio remoto debe usar Remote Credential Guard para conectarse a hosts remotos

  • Restringir la delegación de credenciales: el cliente de Escritorio remoto debe usar Restricted Admin o Remote Credential Guard para conectarse a hosts remotos. En esta configuración, se prefiere Remote Credential Guard, pero usa el modo de administrador restringido (si se admite) cuando no se puede usar Remote Credential Guard.

    Nota

    Cuando se habilita Restrict Credential Delegation (Restringir delegación de credenciales ), se omitirá el /restrictedAdmin modificador. Windows aplica la configuración de directiva en su lugar y usa Remote Credential Guard.

Para configurar los clientes, puede usar:

  • Microsoft Intune/MDM
  • Directiva de grupo

En las instrucciones siguientes se proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Delegación de credenciales del sistema > de plantillas > administrativas Restricción de la delegación de credenciales a servidores remotos Seleccione Habilitado y, en la lista desplegable, seleccione una de las opciones:
- Restricción de la delegación de credenciales
- Requerir Credential Guard remoto

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Ajuste
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Tipo de datos: cadena
- Valor:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

Los valores posibles para RestrictedRemoteAdministrationDrop son:
- 0:Deshabilitado
- 1: requerir administrador restringido
- 2: requerir Credential Guard remoto
- 3: restricción de la delegación de credenciales

Experiencia del usuario

Una vez que un cliente recibe la directiva, puede conectarse al host remoto mediante Remote Credential Guard abriendo el cliente de Escritorio remoto (mstsc.exe). El usuario se autentica automáticamente en el host remoto:

Nota

El usuario debe estar autorizado para conectarse al servidor remoto mediante el protocolo escritorio remoto, por ejemplo, siendo miembro del grupo local Usuarios de Escritorio remoto en el host remoto.

Escenarios de soporte técnico y conexiones de Escritorio remoto

Para escenarios de soporte técnico en los que el personal requiere acceso administrativo a través de sesiones de Escritorio remoto, no se recomienda el uso de Remote Credential Guard. Si se inicia una sesión RDP en un cliente ya en peligro, el atacante podría usar ese canal abierto para crear sesiones en nombre del usuario. El atacante puede acceder a cualquiera de los recursos del usuario durante un tiempo limitado después de que la sesión se desconecte.

En su lugar, se recomienda usar la opción modo administrador restringido. En escenarios de soporte técnico del departamento de soporte técnico, las conexiones RDP solo se deben iniciar mediante el /RestrictedAdmin conmutador. Esto ayuda a garantizar que las credenciales y otros recursos de usuario no se exponen a hosts remotos en peligro. Para obtener más información, vea Mitigating Pass-the-Hash y Other Credential Theft v2.

Para reforzar aún más la seguridad, también se recomienda implementar la Solución de contraseñas de administrador local (LAPS) de Windows, que automatiza la administración de contraseñas de administrador local. LAPS mitiga el riesgo de escalación lateral y otros ciberataques facilitados cuando los clientes usan la misma combinación de cuenta local administrativa y contraseña en todos sus equipos.

Para obtener más información sobre LAPS, consulte ¿Qué es Windows LAPS?

Consideraciones

Estas son algunas consideraciones para Remote Credential Guard:

  • Credential Guard remoto no admite la autenticación compuesta. Por ejemplo, si intenta acceder a un servidor de archivos desde un host remoto que requiere una notificación de dispositivo, se deniega el acceso.
  • Credential Guard remoto solo se puede usar cuando se conecta a un dispositivo que está unido a un dominio de Active Directory. No se puede usar al conectarse a dispositivos remotos unidos a Microsoft Entra ID
  • Credential Guard remoto se puede usar desde un cliente unido a Microsoft Entra para conectarse a un host remoto unido a Active Directory, siempre y cuando el cliente pueda autenticarse mediante Kerberos.
  • Credential Guard remoto solo funciona con el protocolo RDP
  • No se envían credenciales al dispositivo de destino, pero el dispositivo de destino sigue adquiriendo vales de servicio kerberos por sí mismo.
  • El servidor y el cliente deben autenticarse mediante Kerberos
  • Credential Guard remoto solo se admite para conexiones directas a las máquinas de destino. No es compatible con las conexiones a través del agente de conexión de Escritorio remoto y la puerta de enlace de Escritorio remoto