Cómo activar Microsoft Defender Credential Guard y Exploit Guard

Proteger las credenciales en Windows y endurecer el sistema frente a exploits se ha vuelto casi obligatorio en cualquier entorno empresarial moderno. Ataques como Pass-the-Hash, Pass-the-Ticket o el abuso de vulnerabilidades de día cero aprovechan cualquier despiste en la configuración para moverse lateralmente por la red y tomar el control de servidores y estaciones de trabajo en cuestión de minutos.

En este contexto, Microsoft Defender Credential Guard y las tecnologías de Exploit Guard (junto con el motor antivirus de Microsoft Defender) son piezas clave de la estrategia de seguridad en Windows 10, Windows 11 y Windows Server. En las siguientes líneas verás, paso a paso y con todo lujo de detalles, cómo funcionan, qué requisitos tienen y cómo activarlos o desactivarlos correctamente con Intune, directiva de grupo, Registro, PowerShell y otras herramientas, evitando a la vez romper compatibilidades innecesariamente.

Qué es Microsoft Defender Credential Guard y por qué es tan importante

Windows Defender Credential Guard es una característica de seguridad introducida por Microsoft en Windows 10 Enterprise y Windows Server 2016 que se apoya en la seguridad basada en virtualización (VBS) para aislar los secretos de autenticación. En lugar de que la Autoridad de Seguridad Local (LSA) gestione las credenciales en memoria de forma directa, se utiliza un proceso LSA aislado (LSAIso.exe) ejecutado en un entorno protegido.

Gracias a este aislamiento, solo el software de sistema con los privilegios adecuados puede acceder a hashes NTLM, tickets Kerberos (TGT), credenciales usadas por Credential Manager, inicios de sesión locales y credenciales utilizadas en conexiones como Escritorio Remoto. Cualquier código malicioso que intente leer directamente la memoria del proceso LSA convencional se encuentra con que esos secretos ya no están ahí.

Este enfoque reduce drásticamente la eficacia de herramientas clásicas de post-explotación como Mimikatz para ataques de Pass-the-Hash o Pass-the-Ticket, ya que los hashes y tickets que antes eran fáciles de extraer ahora residen en un contenedor aislado en memoria que el malware no puede consultar tan alegremente, incluso aunque tenga privilegios de administrador en el sistema comprometido.

Conviene aclarar que Credential Guard no es lo mismo que Device Guard. Mientras Credential Guard protege credenciales y secretos, Device Guard (y las tecnologías relacionadas de control de aplicaciones) se centra en impedir que se ejecute código no autorizado en el equipo. Son complementarios, pero resuelven problemas diferentes.

Aun así, Credential Guard no es una bala de plata contra Mimikatz ni contra atacantes internos. Un atacante que ya controla un endpoint podría capturar las credenciales cuando el usuario las escribe (por ejemplo, con un keylogger o inyectando código en el proceso de autenticación). Tampoco impide que un empleado que tiene acceso legítimo a ciertos datos los copie o exfiltre; Credential Guard protege las credenciales en memoria, no el comportamiento del usuario.

Habilitación predeterminada de Credential Guard en Windows 11 y Windows Server

En versiones modernas de Windows, Credential Guard se activa automáticamente en muchos casos. A partir de Windows 11 22H2 y Windows Server 2025, los dispositivos que cumplen determinados requisitos de hardware, firmware y configuración reciben VBS y Credential Guard habilitados por defecto, sin que el administrador tenga que tocar nada.

En estos sistemas, la habilitación predeterminada se realiza sin bloqueo UEFI. Esto significa que, aunque Credential Guard viene encendido de serie, el administrador puede deshabilitarlo posteriormente de forma remota a través de directiva de grupo, Intune u otros métodos, porque no se ha activado la opción de bloqueo en firmware.

Cuando Credential Guard se activa, la seguridad basada en virtualización (VBS) se habilita también. VBS es el componente que crea el entorno protegido donde se aísla LSA y donde se almacenan los secretos, por lo que ambas características van de la mano en estas versiones.

Un matiz importante es que los valores configurados explícitamente por el administrador siempre prevalecen sobre la configuración predeterminada. Si se habilita o deshabilita Credential Guard mediante Intune, GPO o Registro, ese estado manual sobrescribe la habilitación por defecto después de reiniciar el equipo.

Además, si un dispositivo tenía Credential Guard explícitamente deshabilitado antes de actualizar a una versión de Windows que lo activa por defecto, el equipo respetará esa desactivación tras la actualización y no se encenderá automáticamente, a menos que se cambie de nuevo su configuración con alguna de las herramientas de administración.

Requisitos de sistema, hardware, firmware y licenciamiento

Para que Credential Guard pueda ofrecer protección real, el equipo debe cumplir ciertos requisitos de hardware, firmware y software. Cuanto mejores sean las capacidades de la plataforma, mayor será el nivel de seguridad alcanzable.

En primer lugar, es obligatorio contar con una CPU de 64 bits y compatibilidad con la seguridad basada en virtualización. Esto implica que el procesador y la placa base deben admitir las extensiones de virtualización adecuadas, así como la activación de estas características en la UEFI/BIOS.

Otro elemento crítico es el arranque seguro (Secure Boot), que garantiza que el sistema se inicia cargando únicamente firmware y software firmado de confianza. Secure Boot es usado por VBS y Credential Guard para evitar que un atacante modifique los componentes de arranque para desactivar o manipular la protección.

Aunque no es estrictamente obligatorio, se recomienda de forma encarecida contar con un Trusted Platform Module (TPM) versión 1.2 o 2.0, ya sea discreto o de firmware. El TPM permite vincular secretos y claves de cifrado al hardware, añadiendo una capa adicional que complica seriamente las cosas a quien pretenda portar o reutilizar esos secretos en otro equipo.

También es muy aconsejable habilitar el bloqueo UEFI para Credential Guard, que impide que alguien con acceso al sistema pueda desactivar la protección simplemente modificando una clave del Registro o una política. Con el bloqueo activo, deshabilitar Credential Guard requiere un procedimiento mucho más controlado y explícito.

En el ámbito de licencias, Credential Guard no está disponible en todas las ediciones de Windows. De forma general, se admite en ediciones de gama empresarial y educativa: Windows Enterprise y Windows Education cuentan con soporte, mientras que Windows Pro o Pro Education/SE no lo incluyen de serie.

Los derechos de uso de Credential Guard están ligados a ciertas licencias por suscripción, como Windows Enterprise E3 y E5, así como Windows Education A3 y A5. Las ediciones Pro, en términos de licenciamiento, no tienen derecho a esta funcionalidad avanzada, aunque ejecuten el mismo binario de sistema operativo.

Compatibilidad de aplicaciones y funcionalidades bloqueadas

Antes de desplegar Credential Guard de forma masiva, conviene revisar en profundidad las aplicaciones y servicios que dependen de determinados mecanismos de autenticación. No todo el software legado juega bien con estas protecciones, y ciertos protocolos quedan directamente bloqueados.

Cuando Credential Guard está habilitado, se deshabilitan funciones consideradas de riesgo, de forma que las aplicaciones que dependan de ellas dejan de funcionar correctamente. Es lo que se conoce como requisitos de las aplicaciones: condiciones que deben evitarse si se quiere seguir usando Credential Guard sin incidentes.

Entre las funcionalidades que se bloquean de manera directa destacan:

• Compatibilidad con cifrado DES de Kerberos.
• Delegación de Kerberos sin restricciones.
• Extracción de TGT de Kerberos desde LSA.
• Protocolo NTLMv1.

Además, hay características que, sin quedar del todo prohibidas, implican riesgos adicionales si se usan en combinación con Credential Guard. Son especialmente sensibles las aplicaciones que dependen de autenticación implícita, delegación de credenciales, MS-CHAPv2 o CredSSP, ya que pueden exponer credenciales de manera insegura si no se configuran con cuidado.

También se han observado problemas de rendimiento en aplicaciones que intentan enlazar o interactuar directamente con el proceso aislado LSAIso.exe. Como este proceso está protegido y aislado, cualquier intento reiterado de acceso puede añadir sobrecarga o provocar ralentizaciones en escenarios concretos.

Lo bueno es que los servicios y protocolos modernos que usan Kerberos de forma estándar, como el acceso a recursos compartidos SMB o el Escritorio Remoto bien configurado, siguen funcionando con normalidad y no se ven perjudicados por la activación de Credential Guard, siempre que no dependan de las funciones heredadas que se han mencionado.

Cómo habilitar Credential Guard: Intune, GPO y Registro

La forma ideal de activar Credential Guard depende del tamaño y la gestión de tu entorno. Para organizaciones con gestión moderna es muy cómodo usar Microsoft Intune (MDM), mientras que en dominios clásicos de Active Directory sigue siendo habitual apoyarse en directiva de grupo. Para ajustes más quirúrgicos o automatizaciones específicas, el Registro continúa siendo una opción.

Antes de nada, es crucial entender que Credential Guard debe habilitarse antes de unir el equipo al dominio o antes de que un usuario de dominio inicie sesión por primera vez. Si se activa a posteriori, es posible que los secretos de usuario y de la propia máquina ya se hayan visto comprometidos, reduciendo el beneficio real de la protección.

A grandes rasgos, puedes habilitar Credential Guard mediante:

• Microsoft Intune / gestión MDM.
• Directiva de grupo (GPO) en Active Directory o editor de directiva local.
• Modificación directa del Registro de Windows.

Al aplicar cualquiera de estas configuraciones, no olvides que es obligatorio reiniciar el dispositivo para que los cambios tengan efecto. Credential Guard, VBS y todos los componentes de aislamiento se inicializan en el arranque, por lo que el simple cambio de política no basta.

Activar Credential Guard con Microsoft Intune

Si administras tus dispositivos con Intune, tienes dos enfoques principales: usar las plantillas de seguridad de Endpoint Security o recurrir a una directiva personalizada que configure el CSP de DeviceGuard a través de OMA-URI.

En el portal de Intune, puedes ir a «Endpoint security > Account protection» y crear una nueva política de protección de cuentas. Selecciona la plataforma «Windows 10 y posteriores» y el perfil de tipo «Protección de cuenta» (en sus distintas variantes, según la versión disponible).

Al configurar los ajustes, establece la opción «Turn on Credential Guard» en «Enable with UEFI lock» si quieres que la protección no pueda deshabilitarse fácilmente de forma remota. De este modo, Credential Guard queda “anclado” en el firmware, elevando el nivel de seguridad físico y lógico del dispositivo.

Una vez definidos los parámetros, asigna la directiva a un grupo que contenga los dispositivos u objetos de usuario que quieras proteger. La política se aplicará cuando el equipo sincronice con Intune y, tras el correspondiente reinicio, Credential Guard quedará activado.

Si prefieres controlar el detalle fino, puedes usar una directiva personalizada basada en el CSP de DeviceGuard. Para ello es necesario crear entradas OMA-URI con los nombres y valores adecuados, por ejemplo:

Configuración
Nombre: habilitar seguridad basada en virtualización OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de datos: int Valor: 1
Nombre: configuración de Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de datos: int Valor: Habilitado con bloqueo UEFI: 1 Habilitado sin bloqueo: 2

Tras aplicar esta política personalizada y reiniciar, el dispositivo arrancará con VBS y Credential Guard activos, y las credenciales del sistema quedarán protegidas en el contenedor aislado.

Configurar Credential Guard mediante directiva de grupo

En entornos con Active Directory tradicional, la forma más natural de habilitar Credential Guard en masa es a través de GPO. Puedes hacerlo tanto desde el editor de directiva local en un único equipo como desde el Administrador de directivas de grupo a nivel de dominio.

Para configurar la directiva, abre el editor de GPO correspondiente y navega a la ruta Configuración del equipo > Plantillas administrativas > Sistema > Device Guard. En esa sección encontrarás la directiva «Activar la seguridad basada en virtualización».

Establece esta directiva en «Habilitado» y elige en la lista desplegable la configuración deseada de Credential Guard, pudiendo escoger entre «Habilitado con bloqueo UEFI» o «Habilitado sin bloqueo», según el nivel de protección física que quieras aplicar.

Una vez configurado el GPO, vincúlalo a la unidad organizativa o dominio donde residen los equipos objetivo. Puedes afinar su aplicación usando filtrado por grupos de seguridad o filtros WMI, de modo que solo se aplique a ciertos tipos de dispositivos (por ejemplo, solo a portátiles corporativos con hardware compatible).

Cuando las máquinas reciban la directiva y se reinicien, Credential Guard se activará según la configuración del GPO, aprovechando la infraestructura de dominio para desplegarlo de forma estandarizada.

Habilitar Credential Guard tocando el Registro de Windows

Si necesitas un control muy granular o automatizar el despliegue con scripts, puedes configurar Credential Guard directamente mediante claves del Registro. Este método exige precisión, porque un valor incorrecto puede dejar el sistema en un estado inesperado.

Para que la seguridad basada en virtualización y Credential Guard queden activos, debes crear o modificar varias entradas bajo determinadas rutas. Los puntos clave son:

Configuración
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nombre: EnableVirtualizationBasedSecurity Tipo: REG_DWORD Valor: 1 (habilita la seguridad basada en virtualización)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nombre: RequirePlatformSecurityFeatures Tipo: REG_DWORD Valor: 1 (uso de arranque seguro) 3 (arranque seguro + protección DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Nombre: LsaCfgFlags Tipo: REG_DWORD Valor: 1 (habilita Credential Guard con bloqueo UEFI) 2 (habilita Credential Guard sin bloqueo)

Tras aplicar estos valores, reinicia el equipo para que el hipervisor de Windows y el proceso LSA aislado entren en juego. Sin ese reinicio, los cambios de Registro no activarán realmente la protección en memoria.

Cómo comprobar si Credential Guard está habilitado y funcionando

Ver si el proceso LsaIso.exe aparece en el Administrador de tareas puede dar una pista, pero Microsoft no lo considera un método fiable para confirmar que Credential Guard está operativo. Existen procedimientos más robustos basados en herramientas del propio sistema.

Entre las opciones recomendadas para comprobar el estado de Credential Guard se encuentran Información del sistema, PowerShell y el Visor de eventos. Cada método ofrece una perspectiva diferente, así que conviene conocerlos todos.

El método más visual es el de Información del sistema (msinfo32.exe). Desde el menú Inicio, basta con ejecutar esta herramienta, seleccionar «Resumen del sistema» y revisar el apartado «Servicios de seguridad basados en virtualización en ejecución» para confirmar que «Credential Guard» aparece como servicio activo.

Si prefieres algo scriptable, PowerShell es tu aliado. Desde una consola con privilegios elevados puedes ejecutar el siguiente comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

La salida de este comando indica, mediante códigos numéricos, si Credential Guard se encuentra habilitado o no en esa máquina. Un valor 0 significa que Credential Guard está deshabilitado, mientras que 1 indica que está activado y en ejecución como parte de los servicios de seguridad basados en virtualización.

Por último, el Visor de eventos permite revisar de forma histórica el comportamiento de Credential Guard. Abriendo eventvwr.exe y navegando a «Registros de Windows > Sistema», puedes filtrar por el origen de eventos «WinInit» y localizar mensajes relacionados con la inicialización de servicios de Device Guard y Credential Guard, útil para auditorías periódicas.

Deshabilitar Credential Guard y gestionar el bloqueo UEFI

Aunque la recomendación general es mantener Credential Guard activado en todos los equipos que lo soporten, en algunos escenarios muy concretos puede ser necesario deshabilitarlo, ya sea para resolver incompatibilidades con aplicaciones heredadas o para realizar determinadas tareas de diagnóstico.

El procedimiento exacto para desactivar Credential Guard depende de cómo se haya configurado inicialmente. Si se habilitó sin bloqueo UEFI, basta con revertir las políticas de Intune, GPO o Registro y reiniciar. Sin embargo, si se activó con bloqueo UEFI, hay que realizar pasos adicionales, porque parte de la configuración queda almacenada en las variables EFI del firmware.

En el caso concreto de Credential Guard activado con bloqueo UEFI, primero hay que seguir el proceso estándar de deshabilitación (revirtiendo directivas o valores de Registro) y, a continuación, eliminar las variables EFI relacionadas mediante bcdedit y la utilidad SecConfig.efi con una secuencia de comandos avanzada.

El flujo típico implica montar una unidad EFI temporal, copiar SecConfig.efi, crear una nueva entrada de cargador con bcdedit, configurar sus opciones para deshabilitar LSA aislado y establecer una secuencia de arranque temporal a través del gestor de arranque de Windows, además de desmontar la unidad al final del proceso.

Tras reiniciar el equipo con esta configuración, antes de que arranque Windows aparecerá un mensaje avisando de un cambio en UEFI. Es obligatorio confirmar este mensaje para que las modificaciones sean persistentes y el bloqueo EFI de Credential Guard quede realmente desactivado en el firmware.

Si lo que necesitas es deshabilitar Credential Guard en una máquina virtual Hyper-V concreta, puedes hacerlo desde el host, sin tocar el invitado, usando PowerShell. Un comando típico sería:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Con ese ajuste, la máquina virtual deja de usar VBS y, por tanto, deja de ejecutar Credential Guard aunque el sistema operativo invitado soporte la característica, lo cual puede ser útil en entornos de laboratorio o de pruebas muy específicos.

Credential Guard en máquinas virtuales Hyper-V

Credential Guard no se limita a equipos físicos; también puede proteger credenciales dentro de máquinas virtuales que ejecutan Windows en entornos Hyper-V, proporcionando un nivel de aislamiento similar al disponible en hardware bare-metal.

En estas situaciones, Credential Guard protege los secretos frente a ataques realizados desde dentro de la propia máquina virtual. Es decir, si un atacante compromete procesos del sistema dentro de la VM, la protección VBS seguirá aislando LSA y reduciendo la exposición de hashes y tickets.

Sin embargo, es importante tener claro el límite: Credential Guard no puede defender la VM de ataques originados desde el host con privilegios elevados. El hipervisor y el sistema anfitrión tienen, en la práctica, control total sobre las máquinas virtuales, por lo que un administrador malicioso del host podría saltarse estas barreras.

Para que Credential Guard funcione correctamente en este tipo de despliegues, el host Hyper-V debe contar con una IOMMU (unidad de gestión de memoria de entrada/salida) que permita aislar el acceso a memoria y dispositivos, y las máquinas virtuales deben ser de generación 2, con firmware UEFI, lo que habilita Secure Boot y otras capacidades necesarias.

Con estos requisitos en su sitio, la experiencia de uso de Credential Guard en VMs es muy parecida a la de un equipo físico, incluyendo los mismos métodos de activación (Intune, GPO, Registro) y de comprobación (msinfo32, PowerShell, Visor de eventos).

Exploit Guard y Microsoft Defender: activar y gestionar la protección general

Junto a Credential Guard, el ecosistema de seguridad de Windows se apoya en Microsoft Defender Antivirus y en tecnologías como Exploit Guard, que incluyen reglas de reducción de superficie de ataque, protección de red, control de acceso a carpetas y otras funciones orientadas a frenar el malware y mitigar exploits.

En muchos equipos, el antivirus de Microsoft Defender viene preinstalado y activado por defecto en Windows 8, Windows 10 y Windows 11, pero es relativamente frecuente encontrarlo deshabilitado por políticas anteriores, por la instalación de soluciones de terceros o por cambios manuales en el Registro.

Para activar Microsoft Defender Antivirus mediante directiva de grupo local, puedes abrir el menú Inicio, buscar «directiva de grupo» y seleccionar «Editar directiva de grupo». Dentro de «Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender», verás la opción «Desactivar antivirus de Windows Defender».

Si esta directiva está configurada en «Habilitado», significa que el antivirus está forzosamente desactivado. Para restaurar su funcionamiento, establece la opción en «Deshabilitado» o «No configurado», aplica los cambios y cierra el editor. En la siguiente actualización de políticas, el servicio volverá a poder iniciarse.

Si en su momento se desactivó Defender de forma explícita desde el Registro, tendrás que revisar la ruta HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender y localizar el valor DisableAntiSpyware. Con el Editor del Registro, puedes abrirlo y poner su «Información del valor» a 0, aceptando el cambio para permitir que el antivirus vuelva a funcionar.

Después de estos ajustes, entra en «Inicio > Configuración > Actualización y seguridad > Windows Defender» (en versiones más recientes, «Seguridad de Windows») y comprueba que el interruptor de «Protección en tiempo real» aparece habilitado. Si aún está apagado, actívalo manualmente para asegurarte de que la defensa antivirus arranca con el sistema.

Para obtener la máxima protección, conviene habilitar tanto la protección en tiempo real como la protección que proporciona la nube. Desde la aplicación «Seguridad de Windows», entra en «Protección contra virus y amenazas > Configuración de protección contra virus y amenazas > Administrar configuración» y activa los conmutadores correspondientes.

Si estas opciones no aparecen visibles, es probable que una directiva de grupo esté ocultando la sección de protección antivirus en Seguridad de Windows. Revisa «Configuración del equipo > Plantillas administrativas > Componentes de Windows > Seguridad de Windows > Protección antivirus y contra amenazas» y asegúrate de que la directiva «Ocultar área de protección contra virus y amenazas» está en «Deshabilitado», aplicando los cambios.

Es igualmente importante mantener actualizadas las definiciones de virus para que Microsoft Defender pueda detectar amenazas recientes. Desde Seguridad de Windows, en «Protección contra virus y amenazas», dentro de «Actualizaciones de protección contra amenazas», haz clic en «Buscar actualizaciones» y deja que se descarguen las firmas más recientes.

Si prefieres la línea de comandos, también puedes iniciar el servicio de Microsoft Defender desde CMD. Presiona Windows + R, escribe cmd y, en el símbolo del sistema (mejor con privilegios elevados), ejecuta:

sc start WinDefend

Con este comando, el servicio principal del antivirus se pone en marcha siempre que no haya políticas o bloqueos adicionales que lo impidan, lo que te permite verificar rápidamente si el motor arranca sin errores.

Para saber si tu equipo utiliza Microsoft Defender, basta con ir a «Inicio > Configuración > Sistema» y luego abrir el «Panel de control». En la sección «Seguridad y mantenimiento», encontrarás el apartado «Seguridad y protección del sistema», donde verás un resumen del estado de protección antivirus y otras medidas activas en el equipo.

Al combinar Credential Guard para proteger credenciales en memoria con un Microsoft Defender bien configurado, Exploit Guard y reglas de endurecimiento adecuadas, se logra un nivel de seguridad muy superior frente a robo de credenciales, malware avanzado y movimientos laterales en el dominio. Aunque siempre hay un coste en compatibilidad con protocolos y aplicaciones heredados, la mejora global de seguridad compensa con creces en la mayoría de organizaciones.