MENU
  1. Inicio
  2. Windows
  3. Windows11
  4. LogonWebHost (ms‑lwh) en Windows 11: qué es, si se necesita y cómo quitarla

LogonWebHost (ms‑lwh) en Windows 11: qué es, si se necesita y cómo quitarla

Windows11

¿Te apareció “LogonWebHost (ms‑lwh)” como aplicación predeterminada tras actualizar a Windows 11? Tranquilo: no es un software extraño ni un adware. En este artículo te explico qué es, cuándo se usa, cómo verificar que sea legítimo y por qué no conviene eliminarlo, con pasos claros y comandos listos para copiar.

Índice

Qué es LogonWebHost y el protocolo ms‑lwh: en Windows 11

LogonWebHost es un componente nativo de Windows 11, no una app de terceros. Forma parte del paquete del sistema MicrosoftWindows.Client.CBS y su ejecutable principal está en:

C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe

Su función es registrar y manejar el protocolo personalizado ms‑lwh: (Microsoft Logon Web Host). Este protocolo se utiliza para dar soporte al mecanismo de inicio de sesión web (Web sign‑in) en escenarios administrados: dispositivos unidos o registrados en Azure AD / Microsoft Entra ID, o administrados vía Intune/políticas.

Por eso, al abrir Configuración → Aplicaciones → Aplicaciones predeterminadas y filtrar por protocolos, verás un elemento llamado LogonWebHost asociado a ms‑lwh. No es una aplicación convencional; es un manejador de URI del propio sistema.

Cuándo se utiliza realmente

El componente entra en juego cuando la experiencia de inicio de sesión necesita invocar flujos web (por ejemplo, páginas de autenticación federada, desafíos adicionales o recuperación durante el logon). Esto es típico en:

  • Equipos unidos a Azure AD / Entra ID en empresas o centros educativos.
  • Dispositivos administrados con Intune o con directivas locales que habilitan Web sign‑in.
  • Escenarios de autenticación moderna con proveedores empresariales.

En equipos personales que no están unidos a Azure AD, lo normal es que LogonWebHost permanezca inactivo y no afecte nada al uso diario: no añade servicios en segundo plano ni consume recursos apreciables.

Resumen rápido: ¿lo necesito?

Escenario¿Se necesita LogonWebHost?Motivo
PC personal no unido a Azure AD / EntraNo imprescindible (queda inactivo)El inicio de sesión usa credenciales locales/Microsoft sin flujos web de organización.
PC unido o registrado en Azure AD / Entra IDWeb sign‑in y autenticación moderna pueden requerir el protocolo ms‑lwh.
Dispositivo administrado (Intune / GPO) con Web sign‑in habilitadoSe esperan flujos web durante logon/desafíos de seguridad.

Por qué aparece en “Aplicaciones predeterminadas”

Desde Windows 10/11, la página de “Aplicaciones predeterminadas” también muestra manejadores de protocolo (URI). Igual que mailto: se asigna a tu cliente de correo, ms‑lwh: se asocia a LogonWebHost. Verlo ahí no significa que se haya instalado una app nueva; solo implica que el sistema sabe qué componente atenderá ese tipo de vínculo cuando sea necesario.

¿Se puede desinstalar o quitar?

No se recomienda eliminarlo ni “romper” su asociación. Estas son las razones:

  • Pertenece al paquete del sistema MicrosoftWindows.Client.CBS; forma parte del shell y la experiencia de inicio de sesión.
  • Eliminar o manipular el paquete o sus asociaciones puede causar fallos de logon, errores en la pantalla de bloqueo o problemas colaterales con el shell.
  • La interfaz de “Aplicaciones predeterminadas” solo muestra el manejador; no hay opción segura para desinstalarlo desde ahí.
  • Incluso si lo “desvinculas” a la fuerza, las actualizaciones acumulativas de Windows podrían restaurarlo, y entre tanto puedes quedar sin soporte para Web sign‑in.

Conclusión: déjalo tal cual, especialmente si tu PC pertenece a un dominio Entra o está gestionado por TI.

Cómo verificar que todo es legítimo

Si quieres quedarte tranquilo, puedes realizar estas comprobaciones. No necesitas desinstalar nada; solo confirmar que el registro y los binarios están donde deben y firmados por Microsoft.

Comprobar el registro del protocolo

Abre Símbolo del sistema (CMD) y ejecuta:

reg query HKCR\MS-LWH /s

Deberías ver claves que identifican el protocolo como URL. Los nombres de los esquemas URI no distinguen mayúsculas/minúsculas, por eso la clave puede aparecer como MS-LWH aunque el esquema se escriba ms-lwh.

Ver qué paquete lo maneja

Este comando busca la asociación dentro del repositorio de AppModel del usuario:

reg query "HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository" /f ms-lwh /s

La asociación debería aparecer bajo una ruta de MicrosoftWindows.Client.CBS ... \LogonWebHost\Capabilities\URLAssociations.

Confirmar archivo y firma digital

Verifica la ruta del ejecutable y su firma de Microsoft:

  • Ruta esperada: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe

En PowerShell (puede ser sin elevar):

Get-Item "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" | Get-AuthenticodeSignature

El resultado debe indicar que el archivo está firmado por Microsoft. Si además quieres un análisis antimalware, puedes forzar un escaneo con Windows Defender desde el menú contextual o con MpCmdRun.

Saber si tu equipo usa Web sign‑in o está en Azure AD / Entra ID

Comprueba en la interfaz o con comando:

  • Ruta gráfica: Configuración → Cuentas → Acceso laboral o educativo (verás si está unido o registrado).
  • Consola (CMD o PowerShell):
dsregcmd /status

Busca campos como AzureAdJoined : YES o WorkplaceJoined : YES. Si ambos son NO, es probable que no uses Web sign‑in y LogonWebHost permanezca inactivo.

Comprobaciones adicionales opcionales

Calcular hash del binario (integridad)

Puedes obtener el hash para comparar con otra máquina confiable (mismo canal y build):

Get-FileHash "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" -Algorithm SHA256

Escaneo puntual con Windows Defender

Desde PowerShell con derechos administrativos puedes invocar el motor antimalware para un análisis bajo demanda del archivo:

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe"

Buenas prácticas y señales de alerta

  • Ruta exacta: debe estar en C:\Windows\SystemApps\.... Si lo ves en AppData, Temp o una carpeta de usuario, sospecha.
  • Propiedades del archivo: editor Microsoft; firma válida.
  • Consumo de recursos: en equipos no AAD, lo habitual es consumo nulo salvo tareas del sistema. Un uso elevado y persistente amerita investigar.
  • No borres claves del registro para “ocultar” protocolos. Las asociaciones de URI forman parte del modelo de apps y romperlas puede causar efectos imprevistos.

Si aún quieres “ocultarlo” (no recomendado)

No existe un método seguro y soportado para eliminar el handler sin tocar el sistema. Algunas consideraciones si de todos modos te preocupa:

  • No lo desinstales: quitar el paquete MicrosoftWindows.Client.CBS o borrar asociaciones puede dejarte sin inicio de sesión web y romper partes del shell.
  • Limítate a verificar firma, ruta y análisis con Defender. Si todo está correcto, déjalo estar.
  • En entornos administrados, si TI decide no usar Web sign‑in, debe deshabilitarlo por política (Intune/GPO), no a base de borrar componentes del sistema.

Solución de problemas si el archivo falta o aparece dañado

En el raro caso de que LogonWebHostProduct.exe no exista o la firma no sea válida y sospeches corrupción del sistema, recurre a herramientas soportadas:

  1. Comprobador de archivos del sistema (SFC):
sfc /scannow
  1. Restauración de imagen con DISM (requiere conexión y derechos de administrador):
DISM /Online /Cleanup-Image /RestoreHealth

Al finalizar, reinicia y vuelve a verificar la firma del binario. Si el problema persiste, instala la última actualización acumulativa de Windows 11 correspondiente a tu canal (estable, preview, LCU del mes, etc.).

Preguntas frecuentes

¿Es un virus?
No. Si está en la ruta de SystemApps y firmado por Microsoft, es parte de Windows. Si lo encuentras en otra ubicación o sin firma válida, trátalo como sospechoso y analiza el equipo.

¿Por qué apareció justo después de actualizar?
Las actualizaciones de Windows pueden reindexar manejadores de protocolo y mostrar nuevos elementos en “Aplicaciones predeterminadas”. No implica que se haya instalado una app externa.

¿Ocupa recursos?
En equipos personales que no usan Azure AD, su impacto es prácticamente nulo. En equipos corporativos, solo participa cuando el flujo de autenticación lo requiere.

¿Se actualiza aparte?
No como una app independiente. Se actualiza como parte de las LCU (actualizaciones acumulativas) y componentes del sistema.

¿Puedo cambiar el manejador de ms‑lwh a otra cosa?
No tiene sentido funcionalmente. Es un esquema reservado para el propio Windows; reasignarlo rompería el inicio de sesión web.

Guía paso a paso para validar en 2 minutos

  1. Abrir CMD y ejecutar: reg query HKCR\MS-LWH /s
  2. Comprobar la asociación del paquete: reg query "HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository" /f ms-lwh /s
  3. Verificar la firma en PowerShell: Get-Item "C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\LogonWebHostProduct.exe" | Get-AuthenticodeSignature
  4. Comprobar estado de unión a Azure AD: dsregcmd /status

Notas para administradores

  • Si la organización no utiliza Web sign‑in, deshabilítalo mediante política (Intune/GPO) en lugar de eliminar componentes del sistema. Así evitas inconsistencias tras actualizaciones.
  • Para auditoría, supervisa el cumplimiento de directivas de inicio de sesión y el estado de unión a Entra ID (dsregcmd), y mantén los equipos en la última LCU estable.
  • Documenta cualquier endurecimiento adicional (protección de credenciales, Windows Hello for Business, MFA) sin tocar SystemApps.

Glosario breve

  • URI / Protocolo personalizado: cadena de la forma esquema:recurso (p. ej., mailto:, ms‑lwh:) que el sistema redirige a un manejador.
  • SystemApps: carpeta con componentes del sistema UWP y experiencias del shell.
  • Web sign‑in: mecanismo de logon que usa flujos web (páginas de autenticación) en entornos administrados.
  • Azure AD / Microsoft Entra ID: servicio de identidad empresarial de Microsoft; Entra ID es el nombre actual.

Recomendación final

Deja LogonWebHost tal como está. Es parte de Windows 11 y no representa un riesgo si resides en la ruta de SystemApps con firma válida de Microsoft. En equipos corporativos, es necesario para la autenticación moderna; en equipos personales, permanece inactivo y no cambia tu experiencia. Si quieres tranquilidad, realiza las verificaciones de firma y ruta, y mantén Windows actualizado. Evita editar el registro o suprimir paquetes del sistema.

Resumen accionable

  • Seguro dejarlo: es un componente nativo de Windows 11.
  • No desinstalar ni romper asociaciones del registro.
  • Verifica ruta, firma y análisis con Defender si te preocupa la seguridad.
  • Si tu PC no usa Azure AD / Entra, el componente no consume recursos apreciables ni modifica el inicio de sesión.
Windows11
PowerShell Windows 11 Azure AD Microsoft Entra ms-lwh LogonWebHost Web sign-in SystemApps
Índice