![01_1-ironchip_logo_articulación horizontal_ppal.png]](https://docs.ironchip.com/hs-fs/hubfs/01_1-ironchip_logo_articulacio%CC%81n%20horizontal_ppal.png?height=40&name=01_1-ironchip_logo_articulacio%CC%81n%20horizontal_ppal.png){kind=logo}
¿Cómo se despliega el agente de Windows Logon en un parque amplio de equipos?
- GPO (recomendado): distribuir el MSI vía Group Policy a todos los equipos del dominio. Despliegue silencioso sin interacción del usuario.
- MDM (Intune, SCCM): para entornos con herramientas de gestión de dispositivos.
- Manual: para pilotos o grupos pequeños. No recomendado para despliegues masivos.
Instalador MSI oficial: https://github.com/Ironchip-Security/Ironchip-Windows-Logon/releases
¿Cómo configurar Windows Logon para que Ironchip sea el ÚNICO proveedor de credenciales?
En el instalador (configurable via GPO), activar la opción 'Exclude other providers':
- Ironchip se convierte en el único credential provider de Windows.
- El 2FA es obligatorio para cualquier inicio de sesión.
- Elimina el riesgo de bypass usando el credential provider nativo de Windows.
|
⚠ Activar 'Exclude other providers' sin pruebas exhaustivas previas puede dejar equipos sin acceso. Andoni recomienda probar siempre primero en el grupo piloto de IT. |
¿Cómo se actualiza el componente de Windows Logon?
Ironchip publica versiones en: https://github.com/Ironchip-Security/Ironchip-Windows-Logon/releases
Se distribuye el nuevo MSI via GPO/MDM. Antes de desplegar en producción, esperar el visto bueno del equipo de QA de Ironchip.
¿Windows Logon es compatible con software de gestión de credential providers?
Puede haber incompatibilidades. El caso Bullhost/Quiter (mayo 2026) documentó que la configuración de Quiter interfería con el credential provider de Ironchip, permitiendo bypass del 2FA. Ironchip reprodujo el bug en menos de 2 horas y publicó la v2.3.2 como corrección.
Si se detecta incompatibilidad con software de terceros, reportar a Andoni con capturas o vídeo del comportamiento.
¿Se puede usar Ironchip con RDP (Remote Desktop Protocol)?
- Windows Logon en el equipo destino: protege la sesión RDP directamente.
- RDP Gateway + RADIUS: Ironchip como segundo factor en el Gateway, protegiendo todas las conexiones RDP que pasan por él.
Casos documentados: Seftic (RDP directo), Gobierno de La Rioja (VPN Citrix + RDP).
¿Cómo funciona el despliegue del agente en Linux?
Para sistemas Linux, Ironchip se integra mediante Linux PAM (Pluggable Authentication Modules), añadiendo el segundo factor de Ironchip a cualquier servicio Linux que use PAM: SSH, sudo, su, inicio de sesión local, etc. Especialmente relevante para servidores de producción, bastiones y entornos de desarrollo.