Re: Guardar Credenciales Escritorio Remoto Windows 10
Sibyla Tator
Credential Guard remoto ayuda a proteger las credenciales a travs de una conexin de Escritorio remoto (RDP) redirigiendo las solicitudes Kerberos al dispositivo que solicita la conexin. Si el dispositivo de destino est en peligro, las credenciales no se exponen porque los derivados de credenciales y credenciales nunca se pasan a travs de la red al dispositivo de destino. Credential Guard remoto tambin proporciona experiencias de inicio de sesin nico para sesiones de Escritorio remoto.
Para obtener informacin sobre los escenarios de conexin de Escritorio remoto que implican soporte tcnico del departamento de soporte tcnico, consulte Conexiones de Escritorio remoto y escenarios de soporte tcnico en este artculo.
Esta directiva es necesaria en los hosts remotos para admitir Credential Guard remoto y el modo de Administracin restringido. Permite al host remoto delegar credenciales no exportables en el dispositivo cliente.
Si deshabilita o no establece esta configuracin, no se admiten los modos Restricted Administracin y Remote Credential Guard. Los usuarios deben pasar sus credenciales al host y exponerlas al riesgo de robo de credenciales de atacantes en el host remoto.
Para configurar un dispositivo con directiva de grupo, use la directiva de grupo Editor Local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuracin:
Restringir la delegacin de credenciales: el cliente de Escritorio remoto debe usar Administracin restringido o Credential Guard remoto para conectarse a hosts remotos. En esta configuracin, se prefiere Remote Credential Guard, pero usa el modo de Administracin restringido (si se admite) cuando no se puede usar Remote Credential Guard.
Cuando se habilita Restrict Credential Delegation (Restringir delegacin de credenciales ), se omitir el /restrictedAdmin modificador. Windows aplica la configuracin de directiva en su lugar y usa Remote Credential Guard.
Una vez que un cliente recibe la directiva, puede conectarse al host remoto mediante Remote Credential Guard abriendo el cliente de Escritorio remoto (mstsc.exe). El usuario se autentica automticamente en el host remoto:
El usuario debe estar autorizado para conectarse al servidor remoto mediante el protocolo escritorio remoto, por ejemplo, siendo miembro del grupo local Usuarios de Escritorio remoto en el host remoto.
Para escenarios de soporte tcnico en los que el personal requiere acceso administrativo a travs de sesiones de Escritorio remoto, no se recomienda el uso de Remote Credential Guard. Si se inicia una sesin RDP en un cliente ya en peligro, el atacante podra usar ese canal abierto para crear sesiones en nombre del usuario. El atacante puede acceder a cualquiera de los recursos del usuario durante un tiempo limitado despus de que la sesin se desconecte.
En su lugar, se recomienda usar la opcin de modo de Administracin restringido. En escenarios de soporte tcnico del departamento de soporte tcnico, las conexiones RDP solo se deben iniciar mediante el /RestrictedAdmin conmutador. Esto ayuda a garantizar que las credenciales y otros recursos de usuario no se exponen a hosts remotos en peligro. Para obtener ms informacin, vea Mitigating Pass-the-Hash y Other Credential Theft v2.
Para reforzar an ms la seguridad, tambin se recomienda implementar la Solucin de contraseas de administrador local (LAPS) de Windows, que automatiza la administracin de contraseas de administrador local. LAPS mitiga el riesgo de escalacin lateral y otros ciberataques facilitados cuando los clientes usan la misma combinacin de cuenta local administrativa y contrasea en todos sus equipos.
O creamos el mismo usuario y contrasea en todas partes, cosa que es un agujero de seguridad inmenso. O bien, establecemos unas credenciales diferentes en cada sitio y las guardamos en nuestro almacn de credenciales. Por lo tanto, el almacn de credenciales permite guardar las diferentes credenciales de los diferentes recursos externos para que el sistema las utilice de forma transparente, sin pedrnoslas cada vez, cuando las necesitamos. A partir de Microsoft Windows 8 en este almacn de credenciales tambin se pueden guardar las de algunos tipos de pginas Web a las que se accede mediante Microsoft Edge o Internet Explorer. Como que no todas las webs lo permiten, depende de la programacin de cada sitio, mejor os recomiendo utilizar un gestor de contraseas tipo KeePass o 1Password.
Sobre todo cuando se trabaja con sistemas que bloquean las cuentas despus de una serie de intentos fallidos, como pueden ser los dominios empresariales de Active Directory. Si la contrasea se ha cambiado o ha caducado, sin haber modificado las credenciales del almacn, cuando el equipo intenta acceder al recurso por red, se valida con las credenciales guardadas en el almacn. Si estas ya no son vlidas, el sistema le deniega el acceso una y otra vez hasta que bloquea la cuenta para evitar ms intentos fallidos.
Dependiendo de la vista que tengamos por defecto podremos ver los iconos del panel de control. Si no los vemos, en la parte superior derecha, hacer clic en ver por y seleccionar Iconos pequeos. Hacer clic en Administrador de credenciales.
Es la parte donde se almacenan las credenciales externas que guardamos en nuestro sistema. Por ejemplo, cuando accedemos a un recurso externo de la red y indicamos que guarde el usuario y contrasea para no volverlo a pedir cada vez que se utiliza el recurso se guarda aqu dentro. Por lo tanto, es un punto importante a tener controlado, vemoslo con un ejemplo. Se intenta acceder a un equipo externo al ordenador en el que no me coincide el nombre de usuario y la contrasea. El sistema pide las credenciales para acceder a este recurso, dando la posibilidad de guardarlas. Introduzco las correctas y hago clic en el checkbox de guardar.
Es posible aadir las credenciales manualmente, sin tener que esperar a acceder al equipo en cuestin para marcar recordar, por ejemplo, para indicar las credenciales de acceso a todo un dominio de seguridad. Para hacerlo, slo hay que hacer clic en la opcin Aadir de cada apartado correspondiente de credenciales (de Windows, certificado o genrica), dependiendo de la necesidad.
El Control de Cuentas de Usuario puede llegar a ser un poco molesto al principio, pero te llegas a acostumbrar y os salva de estos pequeos detalles que pueden acabar con lamentaciones muy grandes.
El almacn de credenciales est cifrado, es decir, que de forma normal no se ve su contenido, pero eso no quiere decir que se pueda ver. De hecho, las aplicaciones y el sistema operativo necesitan poder acceder y verlas de forma clara. Existen aplicaciones externas al sistema como Network Password Recovery que son capaces de leer y ensear en claro las contraseas guardadas en el almacn. Y s, para acceder al almacn con esta aplicacin y el control de cuentas de usuario habilitado, antes pide permiso para hacerlo, dependiendo de nuestra respuesta tendr acceso o no. En la foto podis ver lo simple y rpido de ver las cuentas y contraseas con esta aplicacin, el recurso jarvis pertenece a un dominio y se accede con el usuario Usuariodecasa que tiene como contrasea 1234.
Para los recursos de redes internas, como que es necesario tener acceso fsico, fuera del acceso libre de Internet, s que podis utilizar este almacn siempre que lo hagis en equipos controlados por vosotros mismos. Tampoco se trata de ir esparciendo las contraseas por todos los equipos de la red.
Es interesante saber donde paran estos archivos, pero recordad que estn cifrados. No sirve demasiado copiar esta carpeta en otro ordenador para ver o recuperar su contenido.
Los archivos no se pueden copiar tal cual, pero si se puede hacer una copa de seguridad del almacn para recuperarlo en el mismo o en otro ordenador. De hecho, si se quieren conservar las cuentas con las contraseas de Windows es muy recomendable hacer esta copia de vez en cuando. Las credenciales de las Webs no entran dentro de esta copia de seguridad y por lo tanto, no se podrn recuperar.
Para hacer la copia de seguridad, desde el administrador de credenciales, en el apartado Credenciales de Windows. Hacer clic en Copia de seguridad de credenciales.
Hacer clic en el botn Examinar para indicar la ubicacin y el nombre del archivo que contendr la copia de seguridad de las credenciales de Windows. Hacer clic en el botn Siguiente para continuar.
Se advierte que para hacer la copia de seguridad, se tiene que hacer en un entorno seguro que requiere validarse. Pulsar la combinacin de teclas CONTROL ALT y SUPRIMIR a la vez.
Escribir una contrasea para el archivo de la copia de seguridad. Hay que repetirla para asegurar que se ha introducido correctamente. Hacer clic en el botn Siguiente para continuar.
De entrada no se ve ninguna modificacin, pero si hacemos clic sobre Credenciales de Windows para refrescar el listado aparecen las credenciales que se han recuperado de la copia de seguridad.
La recuperacin es total, es decir, se recuperan las credenciales tal como estaban en la copia de seguridad. Si en el almacn hay una credencial que no existe en la copia de seguridad, cuando esta se recupera se pierden.
No. No tienen que borrarse las credenciales, es ms, si tienes perfil mvil te deben de seguir donde vayas. No estars iniciando sesin con un perfil temporal o el administrador ha bloqueado dicha caracterstica. Cuntame un poco ms por favor.
d3342ee215