Desde la llegada de Remote Credential Guard (RCG) muchas organizaciones se han encontrado con que el cliente de Conexión a Escritorio remoto (mstsc.exe) deja de ofrecer la casilla “Guardar credenciales”. Aunque el cambio está diseñado para endurecer la seguridad, puede resultar incómodo para administradores y usuarios que se conectan a menudo a varios servidores. En este artículo aprenderás por qué sucede, cómo revertirlo —total o parcialmente— y qué impacto tiene cada opción sobre la postura de seguridad de tu entorno Windows.
¿Qué es Windows Credential Guard y cómo se relaciona con Remote Credential Guard?
Windows Credential Guard (WCG) es una característica de seguridad basada en virtualización (VBS) introducida inicialmente en Windows 10 Enterprise. Aísla secretos de autenticación (hashes NTLM, tickets Kerberos, credenciales derivadas, etc.) dentro de un contenedor protegido por Hyper‑V, impidiendo que procesos comprometidos en el sistema operativo principal puedan leerlos en memoria.
Cuando habilitas Remote Credential Guard (un submódulo de WCG), el modelo de conexión RDP cambia. En lugar de enviar la contraseña o las credenciales almacenadas al servidor remoto, el cliente delega un ticket Kerberos cifrado. De esa forma, las credenciales nunca viajan por la red ni se escriben en el escritorio remoto, lo que frustra ataques de pass‑the‑hash y credential dumping en el servidor.
¿Por qué ya no puedo guardar credenciales en RDP?
El propio diseño de RCG prohíbe que se almacenen contraseñas en el Administrador de credenciales. Su filosofía es: «Si las credenciales no existen en disco, no pueden robarse». Por tanto, al activar la directiva que restringe la delegación (Restrict delegation of credentials to remote servers), Windows oculta la opción de guardar contraseñas y exige introducirlas cada vez —o bien iniciar sesión localmente con una cuenta que ya tenga un ticket Kerberos válido.
Diagnóstico rápido
- Abre gpedit.msc en el equipo cliente.
- Navega a Configuración del equipo → Plantillas administrativas → Sistema → Delegación de credenciales.
- Observa el estado de la directiva “Restringir delegación de credenciales a servidores remotos”. Si está en “Habilitada”, RCG está activo.
- Comprueba Sistema → Device Guard para confirmar si la virtualización basada en seguridad (VBS) también está habilitada.
- En el servidor, revisa el Visor de eventos (ID 106 y 1102 en Microsoft‑Windows‑TerminalServices‑ClientActiveXCore/Operational) para ver si el intento se hace mediante RCG.
Soluciones y alternativas
| Opción | Acciones concretas | Resultado | Impacto en la seguridad |
|---|---|---|---|
| Desactivar Remote Credential Guard (solo en el equipo cliente) | Abrir gpedit.msc. Ir a Configuración del equipo → Plantillas administrativas → Sistema → Delegación de credenciales. Editar “Restringir delegación de credenciales a servidores remotos” y poner “No configurada” o “Permitir delegación de credenciales”. Reiniciar el cliente. | El cuadro de diálogo de RDP vuelve a mostrar Guardar credenciales. Las contraseñas se almacenan en el Administrador de credenciales local. | Se pierde la protección que impide que las credenciales se envíen y/o almacenen en el servidor remoto. |
| Deshabilitar por completo Windows Defender Credential Guard | En el mismo editor, ir a Sistema → Device Guard. Deshabilitar “Activar la seguridad basada en virtualización” y “Activar Windows Defender Credential Guard”. O bien, modificar el Registro:HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\EnableVirtualizationBasedSecurity = 0HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags = 0 Reiniciar. | Todas las funciones de WCG y RCG se desactivan. Se vuelve al comportamiento clásico de Kerberos/NTLM con credenciales almacenadas localmente. | La superficie de ataque se amplía; las credenciales vuelven a residir en memoria y en disco sin protección VBS. |
| Mantener Remote Credential Guard y usar Kerberos sin guardar credenciales | No se cambia ninguna directiva. El usuario inicia sesión en el equipo cliente con una cuenta de dominio que disponga de permisos RDP en el servidor. | No es necesario introducir la contraseña en cada sesión si el ticket Kerberos ya existe. Se evita almacenar credenciales. | Se conserva la protección completa de Credential Guard. |
Evaluación de impacto
Desactivar RCG en el lado cliente (Opción 1) es un compromiso moderado: sólo ese equipo queda expuesto a posibles robos de contraseñas si algún malware con privilegios de sistema lee el Administrador de credenciales. Deshabilitar por completo WCG (Opción 2) incrementa mucho más el riesgo, porque los hashes NTLM y los tickets Kerberos permanecerán descifrables en la memoria LSASS. Mantener la opción 3 es la estrategia recomendada por Microsoft; el inconveniente es que los usuarios con cuentas locales o que trabajen fuera de dominio deberán introducir la contraseña cada vez.
Buenas prácticas y recomendaciones
- Menor privilegio. Limita la desactivación de RCG a estaciones que realmente lo necesiten (por ejemplo, consolas de operaciones NOC).
- MFA. Refuerza la autenticación habilitando Windows Hello para Empresas o tarjetas inteligentes. Aunque se guarden credenciales, un segundo factor mitiga el impacto.
- Protección de endpoints. Aumenta la supervisión de memoria LSASS usando Defender for Endpoint o soluciones EDR de terceros.
- Segmentación de red. Aísla los servidores de Alta Seguridad en VLANs donde obviar RCG esté prohibido.
- Registro de auditoría. Activa el canal Microsoft‑Windows‑CredentialGuard/Operational para detectar intentos de volcados de credenciales.
Preguntas frecuentes
¿RCG funciona con autenticación basada en certificados?
Sí. Mientras la autenticación use un mecanismo Kerberos (PKINIT) o sea validada por el controlador de dominio, el cliente delegará un ticket y no la clave privada.
¿Hay forma de “forzar” el guardado únicamente para determinadas direcciones IP?
No. La directiva “Permitir delegación” y la opción “Restringir delegación” son binarias. Puedes, sin embargo, aplicar GPO por unidades organizativas (OU) y ligar el comportamiento a la pertenencia del equipo.
Tras desactivar RCG, la casilla sigue sin aparecer. ¿Qué más debo revisar?
Comprueba que Solicitar siempre credenciales en la ficha Avanzadas de la conexión RDP esté desmarcada y que la directiva “No delegar contraseñas guardadas” esté en No configurada.
Procedimiento paso a paso: desactivar sólo Remote Credential Guard
A continuación se describe de forma más detallada el proceso de la Opción 1, útil en escenarios en los que sólo algunas estaciones de trabajo requieren volver al modelo clásico:
- Inicia sesión como administrador local.
- Abre Editor de directivas de grupo local (gpedit.msc).
- Navega a Equipo → Plantillas administrativas → Sistema → Delegación de credenciales.
- Haz doble clic en Restringir delegación de credenciales a servidores remotos.
- Selecciona Deshabilitada o No configurada.
(Deshabilitada quita la restricción explícitamente; No configurada hereda la configuración de dominio, si la hay). - Aplica los cambios y cierra la consola.
- Reinicia el equipo para que el proveedor de credenciales se recargue.
- Abre credwiz.exe o Administrador de credenciales y verifica que se pueden agregar nuevas entradas “Credenciales de Windows”.
Procedimiento avanzado: desactivar Windows Defender Credential Guard totalmente
Si tu entorno exige herramientas de monitorización que inyectan DLL en LSASS —p.ej., algunos módulos de Single Sign‑On antiguos— quizá necesites deshabilitar WCG. Aun así, valora primero la implementación de ISOLATED USER MODE o mitigar el riesgo con Code Integrity Guard.
- Abre gpedit.msc y navega a Sistema → Device Guard.
- Establece “Activar la seguridad basada en virtualización” en Deshabilitada.
- Establece “Activar Windows Defender Credential Guard” en Deshabilitada.
- O, si gestionas mediante Intune, crea una configuración de dispositivo con AgentConfig = 0 dentro de DeviceGuardPolicy.
- Después modifica los registros citados más arriba si fuera necesario.
- Reinicia dos veces (el primer reinicio descarga el driver LsaIso; el segundo reconfigura el entorno VBS).
- Confirma en msinfo32.exe, sección Resumen del sistema, que “Credential Guard” aparezca como No habilitado.
Comprobaciones posteriores a la desactivación
- Asegúrate de que
C:\Windows\System32\Drivers\LgInstall.logya no genera eventos CredGuard-enabled. - Ejecuta
wevtutil qe Security /q:"Event[System[(EventID=4624)]] /c:1 /f:textpara verificar que no se usa Authentication Package = Negotiate con Logon Type = 10 (RDP). - En herramientas de EDR, comprueba que los hashes de LSASS vuelvan a ser accesibles sólo si tu política lo permite.
Volver a activar Remote Credential Guard
La re‑activación es tan simple como invertir los pasos: marca la directiva en Habilitada y reinicia. Recuerda que, en muchos entornos, Intune o SCCM pueden sobreescribir los valores locales, así que confirma la prioridad de cada GPO.
Automatizar la configuración con PowerShell
Para entornos con centenares de estaciones de trabajo, el siguiente fragmento de PowerShell desactiva RCG sólo en el cliente:
$policyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation"
if (-not (Test-Path $policyPath)) { New-Item $policyPath -Force }
Set-ItemProperty -Path $policyPath -Name "AllowProtectedCreds" -Value 1 -Type DWord
gpupdate /force
Restart-Computer -Force
Puedes incorporarlo a un script de inicio de sesión o a una tarea de Intune Device Configuration.
Resumen
Remote Credential Guard eleva significativamente la seguridad al impedir que contraseñas y hashes viajen por la red o permanezcan en memoria sin aislar. Sin embargo, si la operativa diaria exige volver al modelo tradicional, dispones de tres caminos:
- Desactivar sólo RCG en el cliente: comodidad vs. leve pérdida de protección.
- Desactivar todo WCG: máxima compatibilidad vs. mayor riesgo.
- Mantener RCG y usar Kerberos con cuentas de dominio: mejor equilibrio entre seguridad y usabilidad.
Evalúa siempre el trade‑off entre seguridad y productividad, documenta cualquier excepción y complementa las estaciones menos protegidas con medidas adicionales como MFA y segmentación de red.