Como configurar o Credential Guard no Windows passo a passo

O Credential Guard tornou-se uma peça fundamental. para reforçar a segurança de credenciais em ambientes Windows Os sistemas modernos são particularmente importantes em organizações onde um ataque de roubo de credenciais poderia representar um problema sério. Em vez de deixar os segredos de autenticação expostos na memória do sistema, esse recurso os isola usando segurança baseada em virtualização, reduzindo significativamente a superfície de ataque.

Nas linhas seguintes, você verá como configurar o Credential Guard. Utilizando diferentes métodos (Intune/MDM, Política de Grupo e Registro), abordaremos os requisitos que seu dispositivo deve atender, as limitações que ele impõe, como verificar se está realmente ativo e como desativá-lo em cenários necessários, incluindo máquinas virtuais e dispositivos com bloqueio UEFI. Tudo é explicado em detalhes, mas em uma linguagem clara e acessível para que você possa aplicar facilmente.

O que é o Credential Guard e como ele protege as credenciais?

O Credential Guard é um recurso de segurança do Windows. que utiliza segurança baseada em virtualização (VBS) para isolar credenciais e outros segredos relacionados à autenticação. Em vez de tudo ser armazenado diretamente no processo de autoridade de segurança local (lsass.exe), os dados sensíveis são armazenados em um componente isolado chamado LSA isolado o LSA isolado.

Este LSA isolado é executado em um ambiente protegido., separado do sistema operacional principal por meio do hipervisor (modo de segurança virtual ou VSM). Apenas um conjunto muito pequeno de binários, assinados com certificados confiáveis, pode ser carregado nesse ambiente. A comunicação com o restante do sistema é feita via RPC, o que impede a malwares Qualquer programa que seja executado no sistema, por mais privilegiado que seja, pode ler diretamente os segredos protegidos.

O Credential Guard protege especificamente três tipos de credenciais.Os hashes de senha NTLM, os registros de concessão de tickets Kerberos (TGT) e as credenciais armazenadas por aplicativos como credenciais de domínio ficam comprometidos. Isso atenua ataques clássicos como... passe-o-hash o passar o bilhete, muito comum em movimentações laterais dentro de redes corporativas.

É importante entender que o Credential Guard não protege tudo.Não abrange, por exemplo, credenciais gerenciadas por softwares de terceiros fora dos mecanismos padrão do Windows, contas locais e da Microsoft, nem protege contra ataques físicos ou keyloggers. Mesmo assim, reduz significativamente o risco associado às credenciais de domínio.

O Credential Guard está ativado por padrão.

Desde Windows 11 22H2 e Windows Server 2025A segurança baseada em virtualização (VBS) e o Credential Guard são ativados por padrão em dispositivos que atendem aos requisitos de hardware, firmware e software definidos pela Microsoft. Isso significa que, em muitos computadores modernos, eles já vêm pré-configurados e ativos sem qualquer intervenção do administrador.

O modo de ativação padrão é “UEFI desbloqueado”.Em outras palavras, sem o bloqueio que impede a desativação remota. Essa abordagem facilita aos administradores a desativação do Credential Guard por meio de políticas ou configuração remota, caso um aplicativo crítico seja incompatível ou sejam detectados problemas de desempenho.

Quando o Credential Guard está ativado por padrãoO próprio VBS também é ativado automaticamente. Nenhuma configuração separada do VBS é necessária para que o Credential Guard funcione, embora existam parâmetros adicionais para reforçar o nível de proteção da plataforma (por exemplo, exigir proteção DMA além da padrão). Bota claro).

Há uma nuance importante nos equipamentos atualizados.Se um dispositivo teve o Credential Guard explicitamente desativado antes da atualização para uma versão do Windows em que ele está ativado por padrão, ele permanecerá desativado após a atualização. Em outras palavras, a configuração explícita do administrador tem precedência sobre o comportamento padrão.

Requisitos de sistema, hardware, firmware e licenciamento

Para que o Credential Guard ofereça proteção real.O dispositivo deve atender a uma série de requisitos mínimos de hardware, firmware e software. Dispositivos que excedem esses mínimos e possuem recursos adicionais, como IOMMU ou TPM 2.0, podem se beneficiar de níveis mais altos de segurança contra ataques DMA e ameaças avançadas.

Requisitos de hardware e firmware

Os principais requisitos de hardware para o Credential Guard Inclui uma CPU de 64 bits com extensões de virtualização (Intel VT-x ou AMD-V) e suporte para tradução de endereços de segundo nível (SLAT, também conhecida como Extended Page Tables). Sem esses recursos de virtualização, o VBS e o modo de segurança virtual não conseguirão isolar a memória adequadamente.

No nível do firmware, é obrigatório ter UEFI Versão 2.3.1 ou superior com suporte a Inicialização Segura (Secure Boot) e um processo de atualização de firmware seguro. Além disso, são recomendadas funcionalidades como Solicitação de Sobrescrita de Memória (MOR) implementada de forma segura, proteção da configuração de inicialização e capacidade de atualização de firmware via [ilegível - possivelmente "atualização de software" ou "software upgrade"]. Windows Update.

O uso de uma unidade de gerenciamento de memória de entrada/saída (IOMMU)É altamente recomendável o uso de uma máquina virtual como a Intel VT-d ou a AMD-Vi, pois ela permite habilitar a proteção DMA em conjunto com o VBS. Essa proteção impede que dispositivos maliciosos conectados ao barramento acessem diretamente a memória e extraiam informações confidenciais.

O Trusted Platform Module (TPM) é outro componente fundamental.de preferência na versão TPM 2.0Embora o TPM 1.2 também seja compatível, ele fornece uma âncora de segurança de hardware para proteger a chave mestra do VSM e garantir que os dados protegidos pelo Credential Guard só possam ser acessados ​​em um ambiente confiável.

Proteções VSM e o papel do TPM

Os segredos protegidos pelo Credential Guard ficam isolados na memória. através do modo seguro virtual (VSM). Em hardware recente com TPM 2.0, os dados persistentes no ambiente VSM são criptografados com um Chave mestra VSM protegido pelo próprio TPM e pelos mecanismos de inicialização segura do dispositivo.

Embora os TGTs NTLM e Kerberos sejam regenerados a cada login E como normalmente não são mantidas entre reinicializações, a existência da chave mestra VSM permite a proteção de dados que podem ser preservados. o tempoO TPM garante que a chave não possa ser extraída do dispositivo e que os segredos protegidos não possam ser acessados ​​fora de um ambiente validado.

Requisitos e licenças da edição Windows

O Credential Guard não está disponível em todas as edições do Windows.Nos sistemas do cliente, é suportado em Windows Enterprise e no Windows Education, mas não no Windows Pro ou Windows Pro Education/SE. Em outras palavras, um computador com Windows Pro precisaria de uma atualização para a versão Enterprise para usar essa funcionalidade.

Os direitos de uso do Credential Guard são concedidos. por meio de licenças como o Windows Enterprise E3 e E5 ou as licenças educacionais A3 e A5. Em ambientes corporativos, isso geralmente é obtido por meio de contratos de licenciamento por volume, enquanto os OEMs normalmente fornecem o Windows Pro e o cliente posteriormente atualiza para a versão Enterprise.

Credential Guard em máquinas virtuais Hyper-V

O Credential Guard também pode proteger segredos dentro de máquinas virtuais. Executado no Hyper-V, de forma semelhante a como funciona em máquinas físicas. Os principais requisitos são que o host Hyper-V tenha IOMMU e que as máquinas virtuais sejam de Geração 2.

É importante compreender o limite de proteção nesses cenários.O Credential Guard protege contra ataques originados na própria máquina virtual, mas não contra ameaças provenientes do host com privilégios elevados. Se o host for comprometido, ele ainda poderá acessar as máquinas virtuais convidadas.

Requisitos e compatibilidade da aplicação

A ativação do Credential Guard bloqueia determinadas funcionalidades de autenticação.Portanto, algumas aplicações podem parar de funcionar se dependerem de métodos desatualizados ou inseguros. Antes da implementação em massa, é recomendável testar as aplicações críticas para garantir que permaneçam operacionais.

Aplicações que exigem criptografia DES para KerberosA delegação irrestrita do Kerberos, a extração do TGT e o uso do NTLMv1 serão interrompidos, pois essas opções são desativadas diretamente quando o Credential Guard está ativo. Essa é uma medida de segurança rigorosa, porém necessária para evitar vulnerabilidades graves.

Outras funcionalidades, como a autenticação implícita.A delegação de credenciais, o MS-CHAPv2 ou o CredSSP expõem as credenciais a riscos adicionais, mesmo com o Credential Guard ativo. Aplicativos que insistem em usá-los podem continuar funcionando, mas tornam as credenciais mais vulneráveis; portanto, também é recomendável revisá-las.

Também pode haver impactos no desempenho. se determinadas aplicações tentarem interagir diretamente com o processo isolado LsaIso.exeEm geral, serviços que usam Kerberos de forma padronizada (por exemplo, compartilhamentos de arquivos ou Área de trabalho remota) continuam a funcionar normalmente sem notar quaisquer alterações.

Como ativar o Credential Guard corretamente

A recomendação geral da Microsoft é habilitar o Credential Guard. Isso deve ser feito antes que o dispositivo entre em um domínio ou antes que um usuário do domínio faça login pela primeira vez. Se ativado posteriormente, segredos do usuário ou do computador podem já estar expostos na memória desprotegida.

Existem três métodos principais para configurar essa funcionalidade.Isso pode ser feito através do Microsoft Intune/MDM, usando a Política de Grupo ou por meio do Registro do Windows. A escolha depende do tipo de ambiente, das ferramentas de gerenciamento disponíveis e do nível de automação desejado.

Habilite o Credential Guard usando o Microsoft Intune/MDM.

Em ambientes gerenciados com Intune ou outras soluções MDM.O Credential Guard pode ser ativado criando uma política de configuração de dispositivo que primeiro ativa a segurança baseada em virtualização e, em seguida, define o comportamento específico do Credential Guard.

É possível criar políticas personalizadas usando o CSP do DeviceGuard. com os seguintes parâmetros-chave do OMA-URI:

• Ativar VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritytipo de dados int, que vale a pena 1 para permitir a segurança baseada em virtualização.
• Configure o Credential Guard.: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagstipo int, que vale a pena 1 para habilitar com bloqueio UEFI ou 2 Para habilitar sem bloquear.

Após a criação da política, ela é atribuída ao dispositivo ou grupo de usuários. que você deseja proteger. Após aplicar a política, é necessário reiniciar o dispositivo para que o Credential Guard entre em vigor.

Configure o Credential Guard usando a Política de Grupo (GPO)

Em domínios do Active Directory, o método mais conveniente geralmente é o GPO (Política de Grupo).Você pode usar o Editor de Política de Grupo Local para um único computador ou criar um Objeto de Política de Grupo vinculado a domínios ou unidades organizacionais para abranger vários dispositivos.

O caminho específico da política do grupo éConfiguração do dispositivo → Modelos administrativos → Sistema → Device Guard. Nessa seção, há uma configuração chamada "Habilitar segurança baseada em virtualização".

Ao ativar esta política, você deve selecionar a opção Credential Guard. na lista suspensa "Configurações do Credential Guard":

• Ativado com bloqueio UEFI: impede a desativação remota do Credential Guard; essa configuração só pode ser alterada por meio de acesso físico ao firmware/BIOS.
• Ativado sem bloquearPermite desativar o Credential Guard posteriormente por meio de GPO ou configuração remota.

Os GPOs podem ser filtrados usando grupos de segurança ou filtros WMI.Isso permite aplicar essa proteção apenas a determinados tipos de dispositivos ou perfis de usuário. Após a aplicação da política, também é necessário reiniciar o dispositivo para que as alterações entrem em vigor.

Configure o Credential Guard usando o Registro do Windows.

Quando for necessário um controle mais detalhado ou escrita personalizadoO Credential Guard pode ser ativado diretamente pelo Registro do Windows. Esse método é normalmente usado em cenários avançados ou automações onde a Política de Grupo (GPO) ou o Gerenciamento de Dispositivos Móveis (MDM) não estão disponíveis.

Para ativar a segurança baseada em virtualização (VBS)As seguintes chaves devem ser configuradas:

• Caminho principal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nome: EnableVirtualizationBasedSecuritytipo REG_DWORD, que vale a pena 1.
• Caminho principal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nome: RequirePlatformSecurityFeaturestipo REG_DWORD, que vale a pena 1 para uma partida segura ou 3 Para inicialização segura com proteção DMA.

Para configurações específicas do Credential Guard A chave é utilizada:

• Caminho principal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  nome: LsaCfgFlagstipo REG_DWORDValores possíveis:
  0 Para desativar o Credential Guard,
  1 para habilitá-lo com bloqueio UEFI,
  2 para habilitá-lo sem bloquear.

Após ajustar essas chaves no RegistroVocê precisa reiniciar o computador para que o VBS e o Credential Guard sejam inicializados corretamente e comecem a proteger as credenciais.

Verifique se o Credential Guard está ativado.

Embora possa parecer tentador analisar se o processo LsaIso.exe Está em andamento do Administrador de tarefasA Microsoft não recomenda este método como uma verificação confiável. Em vez disso, são propostos três mecanismos principais: Informações do Sistema, PowerShell e o Visualizador de Eventos.

Verificação com informações do sistema (msinfo32)

A maneira mais simples para muitos administradores Isso envolve o uso da ferramenta "Informações do Sistema" do Windows:

1. Selecione Iniciar e digite msinfo32.exeEm seguida, abra o aplicativo "Informações do Sistema".
2. No painel esquerdo, vá para Visão geral do sistema.
3. No painel direito, procure a seção "Serviços de segurança baseados em virtualização em operação" e verifique se o "Credential Guard" aparece entre os serviços listados.

Se o Credential Guard estiver listado como um serviço em execução, Nesta seção, significa que está corretamente habilitado e ativo no computador.

Verificação usando o PowerShell

Em ambientes gerenciados, o uso do PowerShell é muito prático. Para realizar uma verificação em massa do status do Credential Guard, você pode executar o seguinte comando em um console do PowerShell com privilégios elevados:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Este comando retorna um conjunto de valores numéricos. que indicam quais serviços de segurança baseados em virtualização estão ativos. No caso específico do Credential Guard, eles são interpretados da seguinte forma:

• 0Credential Guard desativado (não está em execução).
• 1Credential Guard ativado (em execução).

Além desta pergunta geralA Microsoft oferece o script DG_Readiness_Tool (por exemplo, DG_Readiness_Tool_v2.0.ps1), que permite verificar se o sistema é capaz de executar o Credential Guard, habilitá-lo, desabilitá-lo e validar seu status usando opções como -Capable, -Enable, -Disable y -Ready.

Usando o Visualizador de Eventos

Outro método de verificação mais voltado para auditoria. É para usar o Visualizador de Eventos. De eventvwr.exe Você pode acessar "Logs do Windows" → "Sistema" e filtrar os eventos cuja origem é "WinInit".

Entre esses eventos, estão inscrições relacionadas à startup. de serviços de segurança baseados em virtualização, incluindo aqueles que indicam se o Credential Guard foi inicializado com sucesso durante o processo de inicialização.

Desative o Credential Guard e o gerenciamento de bloqueio UEFI.

Embora normalmente você queira manter o Credential Guard ativado.Existem cenários em que pode ser necessário desativá-lo: incompatibilidades de aplicativos, testes em laboratório, alterações na arquitetura de segurança, etc. O procedimento para desativá-lo dependerá de como foi ativado e se o bloqueio UEFI foi utilizado.

Em termos gerais, desativar o Credential Guard significa desativar o Credential Guard. Isso envolve reverter as configurações aplicadas via Intune/MDM, Política de Grupo ou Registro e, em seguida, reiniciar o computador. No entanto, quando o bloqueio UEFI está habilitado, há etapas adicionais, pois algumas das configurações são armazenadas em variáveis ​​EFI do firmware.

Desativando o Credential Guard com o bloqueio UEFI

Se o Credential Guard estivesse ativado com o bloqueio UEFINão basta alterar a GPO ou o Registro. Você também precisa remover as variáveis ​​EFI associadas à configuração LSA isolada. bcdedit e um pequeno processo especial de inicialização.

A partir de um simbolo do sistema com privilégios elevados uma sequência é executada comandos olhar:

1. Instale uma unidade EFI temporária com mountvol e copiar SecConfig.efi para o caminho de inicialização da Microsoft.
2. Crie uma entrada de carregador de sistema com bcdedit /create apontando para isso SecConfig.efi.
3. Configure o sequência de inicialização do gerenciador de inicialização para que ele inicialize uma vez com esse carregador especial.
4. Adicionar opção de carregamento DISABLE-LSA-ISO Desativar a configuração LSA isolada armazenada na UEFI.
5. Remova novamente a unidade EFI temporária.

Após a execução desses passos, o dispositivo reinicia.Antes do sistema operacional iniciar, uma mensagem aparecerá indicando que as configurações da UEFI foram modificadas e solicitará confirmação. É essencial aceitar esta mensagem para que as alterações de desativação entrem em vigor.

Desative o Credential Guard em máquinas virtuais.

No caso de máquinas virtuais conectadas a um host Hyper-VÉ possível impedir que a máquina virtual utilize VBS e Credential Guard, mesmo que o sistema operacional convidado esteja preparado para isso.

A partir do host, usando o PowerShell, você pode executar O comando a seguir excluirá uma máquina virtual da segurança baseada em virtualização:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Ao ativar esta opção de exclusãoA máquina virtual será executada sem as proteções do VBS e, por extensão, sem o Credential Guard, o que pode ser útil em ambientes de teste ou ao executar sistemas legados em máquinas virtuais.

Integração do Credential Guard ao AWS Nitro e outros cenários

O Credential Guard também está disponível em ambientes de nuvem. como o Amazon EC2, aproveitando a arquitetura segura do sistema AWS Nitro. Nesse contexto, o VBS e o Credential Guard dependem do Nitro para impedir que as credenciais de login do Windows sejam extraídas da memória do sistema operacional convidado.

Para usar o Credential Guard em uma instância do Windows no EC2Para iniciar uma instância compatível, você precisa selecionar um tipo de instância compatível e uma AMI do Windows pré-configurada que inclua suporte a TPM virtual e VBS. Isso pode ser feito no console do Amazon EC2 ou na AWS CLI. run-instances ou com o PowerShell usando New-EC2Instanceespecificando, por exemplo, uma imagem do estilo TPM-Windows_Server-2022-English-Full-Base.

Em alguns cenários, será necessário desativar a integridade da memória. (HVCI) antes de habilitar o Credential Guard, ajustando as políticas de grupo relacionadas à "Proteção da integridade do código baseada em virtualização". Após esses ajustes e a reinicialização da instância, o Credential Guard pode ser habilitado e validado, como em qualquer outra máquina Windows, com msinfo32.exe.

Limitações de proteção e aspectos que o Credential Guard não cobre.

Embora o Credential Guard represente um grande avanço na proteção de credenciais.Não é uma solução mágica que resolve todos os problemas. Existem casos específicos que estão fora do seu escopo, e é importante estar ciente deles para evitar uma falsa sensação de segurança.

Alguns exemplos do que não protege são::

• Software de terceiros que gerencia credenciais fora dos mecanismos padrão do Windows.
• Contas locais e contas da Microsoft configuradas no próprio computador.
• Banco de dados do Active Directory em controladores de domínio do Windows Server.
• Canais de entrada de credenciais tais como servidores de gateway de Área de Trabalho Remota.
• gravadores de teclas e ataques físicos diretos contra a equipe.

Isso também não impede que um invasor com malware no computador o utilize. Ele se aproveita de privilégios já concedidos a uma credencial ativa. Ou seja, se um usuário com permissões elevadas se conectar a um sistema comprometido, o atacante poderá explorar essas permissões durante a sessão, embora não consiga roubar o hash da memória protegida.

Em ambientes com usuários ou contas de alto valor. (Administradores de domínio, equipe de TI com acesso a recursos críticos, etc.), ainda é recomendável usar equipamentos dedicados e outras camadas adicionais de segurança, como autenticação multifator, segmentação de rede e medidas anti-keylogger.

Device Guard, VBS e relacionamento com o Credential Guard

Device Guard e Credential Guard são frequentemente mencionados juntos. Porque ambas aproveitam a segurança baseada em virtualização para fortalecer a proteção do sistema, embora resolvam problemas diferentes.

O Credential Guard concentra-se na proteção de credenciais. (NTLM, Kerberos, Gerenciador de Credenciais) isolando-os no LSA protegido. Não depende do Device Guard, embora ambos compartilhem o uso do hipervisor e recursos de hardware como TPM, inicialização segura e IOMMU.

O Device Guard, por sua vez, é um conjunto de recursos. As soluções de hardware e software permitem bloquear o dispositivo para que ele execute apenas aplicativos confiáveis, definidos em políticas de integridade de código. Isso altera o modelo tradicional (em que tudo funciona, a menos que seja bloqueado por um software antivírus) para um modelo em que apenas aplicativos explicitamente autorizados são executados.

Ambas as funcionalidades fazem parte do conjunto de recursos do Windows Enterprise. Para proteção contra ameaças avançadas, o Device Guard utiliza VBS e exige que os drivers sejam compatíveis com HVCI, enquanto o Credential Guard usa VBS para isolar segredos de autenticação. Juntos, eles oferecem uma combinação poderosa: código mais confiável e credenciais melhor protegidas.

Certifique-se de que o Credential Guard esteja configurado corretamente. Isso envolve proteger um dos aspectos mais sensíveis de qualquer ambiente Windows: as credenciais de usuário e computador. Compreender seus requisitos, saber como ativá-la com o Intune, GPO ou o Registro, conhecer suas limitações e ter procedimentos claros para verificar seu status e desativá-la em casos excepcionais permite que você aproveite ao máximo essa tecnologia sem surpresas desagradáveis ​​em produção.