Nous utilisons des cookies pour garantir que nous vous offrons la meilleure expérience sur notre site Web.

Cómo deshabilitar Credential Guard de Windows Defender en Windows 10

En este artículo, explicamos cómo deshabilitar Credential Guard de Windows Defender en Windows 10. ¡Siga leyendo para saber más!

En Windows 10, Credential Guard es una de las principales funciones de seguridad disponibles. Facilita la protección contra la piratería de credenciales de dominio y, por lo tanto, protege a los piratas informáticos de la evaluación de las redes empresariales. Principalmente, Credential Guard utiliza seguridad basada en virtualización para separar secretos, de modo que sólo el software del sistema privilegiado pueda acceder a ellos. Se sabe que el acceso no autorizado a dichos secretos puede permitir ataques de robo de credenciales.

Estos ataques son Pass-the-Hash o Pass-The-Ticket. Además, Credential Guard evita estos ataques protegiendo los problemas de contraseñas NTLM y los tickets de concesión de tickets Kerberos.

¿Cuáles son las características de Credential Guard?

Seguridad basada en virtualización:

Los servicios de Windows que manejan credenciales de dominio derivadas y algunos otros secretos se ejecutan en un entorno protegido y aislado del sistema operativo.

Seguridad del hardware:

Credential Guard mejora la seguridad de las credenciales de dominio derivadas aprovechando al máximo las funciones de seguridad de la plataforma que incluyen virtualización y arranque seguro.

Protección mejorada contra las últimas amenazas persistentes:

La protección de las credenciales de dominio derivadas mediante el uso de la virtualización dependía de los fragmentos de seguridad, los métodos de ataque de robo de credenciales y las herramientas utilizadas en varios ataques dirigidos. El malware que se ejecuta en el sistema operativo con privilegios administrativos no puede acceder a los secretos protegidos por la virtualización debido a la seguridad. Por otro lado, Credential Guard es una mitigación eficaz, por lo que los ataques continuos de amenazas probablemente se trasladarán a nuevas técnicas de ataque. Debe incluir Device Guard y algunas otras tácticas y arquitecturas de seguridad.

¿Cuáles son las desventajas de Credential Guard?

Siempre que se configura Windows Defender Credential Guard en una máquina virtual, se observa que Windows Defender Credential Guard defiende los secretos de los ataques dentro de la máquina virtual. Pero no ofrece protección adicional contra ataques al sistema privilegiado resultantes del host. Además, no evita que un atacante con malware en la computadora acceda a los privilegios vinculados con cualquier credencial. Es recomendable utilizar PC dedicadas para cuentas de alto valor.

Una vez que habilite Credential Guard en Windows, no podrá utilizar la asignación sin restricciones de Kerberos ni el cifrado DES. La distribución sin complicaciones podría facilitar a los atacantes el uso de claves Kerberos del proceso LSA aislado. Como alternativa, los usuarios de Windows 10 pueden utilizar la delegación Kerberos controlada o basada en recursos.

Las dos consideraciones siguientes resaltan aún más el inconveniente de Credential Guard:

Consideraciones sobre proveedores de soporte de seguridad de terceros

Hay ciertos proveedores de soporte de seguridad de terceros (SSP y AP) que pueden no funcionar con Windows Defender Credential Guard. Esto se debe a que no permite que los SSP de terceros soliciten el hash de contraseña de LSA. Pero los AP y SSP seguirán siendo informados de la contraseña cada vez que un usuario inicie sesión o modifique su contraseña. También es fundamental tener en cuenta que no se admite el uso de API no documentadas en SSP y AP personalizados.

Es recomendable que las implementaciones personalizadas de SSP o AP se verifiquen con Credential Guard de Windows Defender. Aquellos AP y SSP que dependen de comportamientos indocumentados o no respaldados no tendrían éxito. Por ejemplo, la API KerbQuerySupplementalCredentialsMessage no es compatible.

Consideraciones de actualización

Cuando aumenta el alcance de la protección que ofrece Credential Guard, las versiones posteriores de Windows 10 con Credential Guard en ejecución pueden influir en escenarios que funcionaban anteriormente. Para entender esto, por ejemplo, Credential Guard podría obstaculizar el uso de un tipo específico de credencial o un componente específico para evitar que el malware se beneficie de las vulnerabilidades. Antes de actualizar a un dispositivo mediante Credential Guard, debe probar los escenarios necesarios para las operaciones en una organización.

¿Cómo deshabilitar Credential Guard de Windows Defender?

El siguiente conjunto de procedimientos es útil para desactivar Credential Guard de Windows Defender. En caso de que Credential Guard se habilite con UEFI Lock, debe utilizar el proceso que se menciona a continuación.

Esto se debe a que las configuraciones se guardan dentro de las variables EFI (firmware) y se necesitaría una presencia física en la máquina para presionar una tecla de función para admitir el cambio. En caso de que Credential Guard se habilite sin usar UEFI Lock, puede desactivarlo rápidamente mediante el uso de la Política de grupo. Siga los pasos a continuación para desactivar Credential Guard de Windows Defender:

En caso de que haya utilizado la Política de grupo, debe deshabilitar la configuración de Política de grupo que utilizó para activar Credential Guard de Windows Defender. En primer lugar, vaya a "Configuración de la computadora" y abra "Plantillas administrativas", desde allí abra "Sistema" y seleccione "Protección del dispositivo". Ahora, finalmente, "Active la seguridad basada en virtualización".

Ahora necesita eliminar la configuración de registro que se menciona a continuación:

  • HKEY_LOCAL_MACHINE>SystemCurrentControlSe>tControl>LSALsaCfgFlags
  • HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuardLsaCfgFlags

En caso de que desee deshabilitar la seguridad basada en virtualización, asegúrese de eliminar la siguiente configuración de registro:

  • HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuard>EnableVirtualizationBasedSecurity
  • HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuard>RequirePlatformSecurityFeatures

Debe eliminar las variables EFI de Credential Guard de Windows Defender con la ayuda de bcdedit. Desde el símbolo del sistema que se muestra, debe escribir los siguientes comandos:

mountvol X: /s

copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

Después de ingresar los comandos anteriores, reinicie la PC.

Ahora acepte el mensaje para desactivar Credential Guard de Windows Defender. Además, puede desactivar fácilmente las funciones de seguridad basadas en virtualización para desactivar Credential Guard de Windows Defender.

Lea también:Cómo permitir Google Chrome a través del Firewall de Windows Defender

Deshabilitar Credential Guard de Windows Defender mediante las funciones de Windows:

  • Paso 1: En primer lugar, abra Funciones de Windows. Ahora, en Windows 10 Enterprise/Education versión 1607 y la última versión, busque el 'Hypervisor Hyper-V' presente en 'Hyper-V'. Ahora, continúa, está bien. Alternativamente, en Hyper-V, puede marcar "Modo de usuario aislado" y luego hacer clic en Aceptar.
  • Paso 2: Ahora abra el Editor de políticas de grupo local.
  • Paso 3: Busque la clave ubicada debajo en el panel izquierdo del Editor de políticas de grupo local.
  • Paso 4: Ahora, en el panel del lado derecho de 'Device Guard' presente en el Editor de políticas de grupo local, debe hacer doble clic en la política 'Activar seguridad basada en virtualización' para editarla.
  • Paso 5: Después del paso anterior, ahora para desactivar Credential Device Guard, elija (punto) No configurado o Desactivado. Ahora haga clic en Aceptar.
  • Paso 6: cierre el Editor de políticas de grupo local.
  • Paso 7: Finalmente, reinicie su computadora para aplicar los cambios realizados.

Cómo deshabilitar Credential Guard de Windows Defender desde el Editor del Registro:

  • Paso 1: Inicialmente, presione la tecla Windows + R y escriba 'Regedit.'Ahora presione Enter para abrirEditor de registro.
  • Paso 2: Busque la siguiente clave de registro:
HKEY_LOCAL_MACHINE>SystemCurrentControlSet>ControlDeviceGuard
  • Paso 3: En este paso, haga clic derecho en 'DispositivoGuard'y elige 'Valor DWORD (32 bits)' de la opción NUEVO.
  • Paso 4: Debes ponerle un nombre a este DWORD generado recientemente. Nómbrelo como 'Habilitar seguridad basada en virtualización'y luego presione Entrar.
  • Paso 5: Ahora haga doble clic en EnableVirtualizationBasedSecurity DWORD y modifique su valor a 1 si desea habilitar la seguridad basada en virtualización; de lo contrario, cámbielo a 0 para deshabilitarla.
  • Paso 6: Debes volver a hacer clic derecho en DeviceGuard y elegir 'Valor DWORD (32 bits)' del NUEVO.El DWORD recién creado debe tener el título 'RequirePlatformSecurityFeatures' despuésya ha sido nombrado, presione Enter.
  • Paso 7: En este paso, haga doble clic en RequirePlatformSecurityFeatures DWORD y modifique su valor a 1 para usar solo el arranque seguro. Alternativamente, puede cambiar su valor a 3 si desea utilizar el arranque seguro y la protección DMA.
  • Paso 8: Busque la siguiente clave de registro:
HKEY_LOCAL_MACHINE>SystemCurrentControlSet>ControlLSA
  • Paso 9: Ahora haga clic derecho en LSA y elija 'Valor DWORD (32 bits)'de Nuevo. Ahora necesitas nombrar este DWORD comoLsaCfgFlagsy luego presione Entrar.
  • Paso 10: Asegúrese de hacer doble clic en LsaCfgFlags DWORD y modificar su valor a 0 para deshabilitar Credential Guard de Windows Defender.
  • Paso 11: Una vez que se deshabilite, cierre el Editor del Registro.

Conclusión:

Aunque Windows Defender Credential Guard viene con toneladas de funciones útiles, en ocasiones es necesario desactivarlo. La razón principal detrás de esto es la protección contra ataques del host, y varias otras razones discutidas anteriormente. Los métodos prácticos descritos anteriormente seguramente desactivarán Windows Defender Credential Guard sin ningún problema.

Más artículos:

  • Novedades de Windows 10 Build versión 1903 para empresas
  • Solución: la acción no se puede completar porque el archivo está abierto en Windows 10
  • Cómo resolver y arreglar la búsqueda de Windows 10 que no funciona
  • Cómo deshabilitar Edge en Windows 10 usando el Registro GPO
  • Administrar la protección de credenciales de Windows Defender

Lire aussi