Home Cómo deshabilitar (habilitar) Credential Guard en Windows 11

Cómo deshabilitar (habilitar) Credential Guard en Windows 11

ElGuardia de credencialesLa función de seguridad de las últimas versiones de Windows protege las cuentas contra robo y uso no autorizado, incluidos los ataques Pass-the-Hash y Pass-the-Ticket. Credential Guard utiliza seguridad basada en virtualización (VBS) para aislar credenciales confidenciales, como hashes de contraseñas NTLM, tickets de Kerberos, otras credenciales y secretos en un entorno virtual seguro (contenedor). Las funciones de hardware como el arranque seguro y el módulo de plataforma segura (TPM) se utilizan para proteger las credenciales. Solo se puede acceder a estas credenciales mediante software del sistema privilegiado, lo que evita que el malware o los atacantes las roben, incluso si obtienen privilegios de administrador local.

Windows Defender Credential Guard se habilita automáticamente en dispositivos compatibles que cumplen con los siguientes requisitos:

  • Windows 11 22H2 (o posterior) con las ediciones Enterprise o Education (algunos componentes de Credential Guard y Virtualization-Based Security también están disponibles en la edición Pro) o Windows Server 2025.
  • Módulo TPM 1.2 o 2.0
  • Bloqueo UEFI
  • El arranque seguro está habilitado
  • El dispositivo admite seguridad basada en virtualización y tiene una CPU de 64 bits compatible con virtualización avanzada y SLAT (traducción de direcciones de segundo nivel).
  • La plataforma de virtualización Hyper-V (HypervisorPlatform) está habilitada en las funciones de Windows:Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform

Credential Guard habilitado puede causar problemas en los siguientes casos:

  • Credential Guard evita que se guarden contraseñas para conexiones RDP si se utiliza la autenticación NTLM.
  • Los usuarios no pueden ejecutar máquinas virtuales VMware Workstation (Player) o VirtualBox con un error:
    VMware Workstation and Device/Credential Guard are not compatible. 
VMware Workstation can be run after disabling Device/Credential Guard.

  • No se recomienda utilizar Credential Guard en controladores de dominio. Esto no aumentará la seguridad y puede causar problemas de compatibilidad con aplicaciones de terceros.
  • Las aplicaciones que utilizan métodos de autenticación inseguros como NTLMv1 o la delegación Kerberos sin restricciones no funcionarán.
  • La autenticación de inicio de sesión único (SSO) no funciona en el host de Servicios de Escritorio remoto (RDS) cuando Credential Guard está habilitado
  • Los usuarios no pueden autenticarse en puntos de acceso Wi-Fi o servidores VPN que utilicen protocolos de autenticación MSCHAPv2 (incluidos PEAP-MSCHAPv2 y EAP-MSCHAPv2).

Ejecute el siguiente comando de PowerShell para verificar si Credential Guard está habilitado en Windows:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning

  • 1– Guardia de credenciales habilitada
  • 0- desactivado

Para deshabilitar Credential Guard en una computadora, se deben configurar una serie de configuraciones:

  1. Abra el editor de GPO local (gpedit.msc) y vaya a Configuración del equipo -> Plantillas administrativas -> Sistema -> Protección del dispositivo. Establecer elActivar la seguridad basada en virtualizaciónparámetro aDesactivado.
  2. Cree dos parámetros de registro. Establezca el valor en0para ambos:
    reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
    reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
    Esto deshabilita Credential Guard cuando el bloqueo UEFI no se usa para proteger contra cambios en la configuración del firmware UEFI.
  3. Si el bloqueo UEFI está habilitado, ejecute los siguientes comandos. Para aplicar la configuración, deberá acceder a la consola de la computadora. Abra un símbolo del sistema como administrador, monte la partición del sistema EFI y cree una nueva entrada temporal en la Configuración del cargador de arranque de Windows (BCD) para ejecutar el cargador de arranque EFI en un modo con Credential Guard y Seguridad basada en virtualización deshabilitados:
    mountvol X: /s
    copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
  4. Reinicie la computadora. Se le pedirá que desactive Credential Guard durante el inicio de la computadora:
    Credential Guard Opt-out Tool
Do you want to disable Credential Guard?
Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

  5. PrensaF3dentro de unos segundos para confirmar la desactivación de Credential Guard (de lo contrario, se cancelarán los cambios en el gestor de arranque).

Verifique que Credential Guard ahora esté deshabilitado:

También puede utilizar el script oficial de PowerShell (Herramienta de preparación de hardware Device Guard y Credential Guard), para habilitar o deshabilitar Credential Guard y Device Guard en dispositivos compatibleshttps://www.microsoft.com/en-my/download/details.aspx?id=53337)

Descargardgreadiness_v3.6.zipy extráigalo a un directorio local:

cd C:PSdgreadiness_v3.6

Si la configuración de ejecución de scripts de PowerShell impide la ejecución de archivos PS1 de terceros, habilite la ejecución de scripts en las sesiones actuales:

Set-ExecutionPolicy -Scope Process RemoteSigned

Compruebe cuáles de las funciones de seguridad de Defender están habilitadas.

RELACIONADO:Cómo habilitar o deshabilitar Credential Guard en Windows 11 usando la política de grupo

DG_Readiness_Tool_v3.6.ps1 -Ready

Para desactivar Credential Guard, ejecute:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Reinicie la computadora y presioneF3para confirmar la desactivación de Credential Guard.

Related Posts

Cómo mostrar múltiples relojes de zona horaria en la barra de tareas de Windows 11

Cómo mostrar múltiples relojes de zona horaria en la barra de tareas de Windows 11

2025-04-02
Cómo evitar la eliminación de archivos accidentales en Windows 11

Cómo evitar la eliminación de archivos accidentales en Windows 11

2025-03-27
Cómo cambiar la dirección IP en Mac: elija el mejor método para usted

Cómo cambiar la dirección IP en Mac: elija el mejor método para usted

2024-03-27
10 mejores alternativas de Streameast para transmisión deportiva segura y de alta calidad

10 mejores alternativas de Streameast para transmisión deportiva segura y de alta calidad

2025-09-11
Eliminar contraseñas de red almacenadas en Windows 7, Vista y XP

Eliminar contraseñas de red almacenadas en Windows 7, Vista y XP

2025-05-09
Cómo desbloquear la computadora portátil HP Pavilion G7 después de olvidar la contraseña de Windows 8

Cómo desbloquear la computadora portátil HP Pavilion G7 después de olvidar la contraseña de Windows 8

2025-05-09
Cómo cambiar entre GPU dedicada y gráficos integrados

Cómo cambiar entre GPU dedicada y gráficos integrados

2021-05-06
Los 10 mejores juegos de terror multijugador para Android e iOS (2024)

Los 10 mejores juegos de terror multijugador para Android e iOS (2024)

2023-11-25
Cómo instalar y optimizar la obsidiana en Linux

Cómo instalar y optimizar la obsidiana en Linux

2025-04-07
Encuesta de mybkexperience.com gratis Whopper en línea en 2025

Encuesta de mybkexperience.com gratis Whopper en línea en 2025

2025-01-03
Comprobador de tasa de sondeo del ratón

Comprobador de tasa de sondeo del ratón

2024-12-21
Prueba de velocidad de Internet

Prueba de velocidad de Internet

2025-02-26
Inteligencia artificial

Inteligencia artificial

2025-01-22
Cómo instalar y configurar WSUS en Windows Server 2019

Cómo instalar y configurar WSUS en Windows Server 2019

2023-12-09
Noticias tecnológicas

Noticias tecnológicas

2024-11-24