Como ativar o Microsoft Defender Credential Guard e o Exploit Guard

Protegendo credenciais no Windows e reforçando a segurança do sistema contra explorações. Tornou-se praticamente obrigatório em qualquer ambiente empresarial moderno. Ataques como Pass-the-Hash, Pass-the-Ticket ou o abuso de vulnerabilidades de dia zero exploram qualquer falha na configuração para se movimentarem lateralmente pela rede e assumirem o controle de servidores e estações de trabalho em questão de minutos.

Neste contexto, Tecnologias Microsoft Defender Credential Guard e Exploit Guard (Juntamente com o mecanismo antivírus do Microsoft Defender) são componentes essenciais da estratégia de segurança no Windows 10, Windows 11 e Windows Server. Nas linhas seguintes, você verá, passo a passo e em detalhes, como eles funcionam, seus requisitos e como ativá-los ou desativá-los corretamente usando o Intune, a Política de Grupo, o Registro, o PowerShell e outras ferramentas, evitando quebrar a compatibilidade desnecessariamente.

O que é o Microsoft Defender Credential Guard e por que ele é tão importante?

O Windows Defender Credential Guard é um recurso de segurança. Introduzido pela Microsoft no Windows 10 Enterprise e no Windows Server 2016, esse recurso utiliza segurança baseada em virtualização (VBS) para isolar os segredos de autenticação. Em vez da Autoridade de Segurança Local (LSA) gerenciar diretamente as credenciais na memória, um processo LSA isolado é utilizado.LSAIso.exe) executado em um ambiente protegido.

Graças a esse isolamento, Somente o software do sistema com os privilégios apropriados pode acessar hashes NTLM e tickets Kerberos (TGT).As credenciais usadas pelo Gerenciador de Credenciais, logins locais e credenciais usadas em conexões como a Área de Trabalho Remota não estão mais disponíveis. Qualquer código malicioso que tente ler diretamente a memória de um processo LSA convencional descobrirá que esses segredos desapareceram.

Essa abordagem reduz drasticamente a eficácia das ferramentas clássicas de pós-exploração, como... Mimikatz para ataques Pass-the-Hash ou Pass-the-TicketIsso ocorre porque os hashes e tickets que antes eram fáceis de extrair agora residem em um contêiner isolado na memória, que o malware não consegue consultar tão facilmente, mesmo que tenha privilégios de administrador no sistema comprometido.

Vale esclarecer que O Credential Guard não é o mesmo que o Device Guard.Enquanto o Credential Guard protege credenciais e segredos, o Device Guard (e tecnologias de controle de aplicativos relacionadas) concentra-se em impedir a execução de código não autorizado no computador. Eles são complementares, mas resolvem problemas diferentes.

Ainda assim, O Credential Guard não é uma solução milagrosa contra o Mimikatz ou contra ataques internos.Um atacante que já controla um endpoint pode capturar as credenciais enquanto o usuário as digita (por exemplo, com um keylogger ou injetando código no processo de autenticação). Além disso, o Credential Guard não impede que um funcionário com acesso legítimo a determinados dados os copie ou exfiltre; ele protege as credenciais na memória, não o comportamento do usuário.

O Credential Guard está ativado por padrão no Windows 11 e no Windows Server.

Nas versões modernas do Windows, o Credential Guard é ativado automaticamente em muitos casos.A partir do Windows 11 22H2 e do Windows Server 2025, os dispositivos que atendem a determinados requisitos de hardware, firmware e configuração recebem o VBS e o Credential Guard ativados por padrão, sem que o administrador precise fazer nada.

Nestes sistemas, A ativação padrão é realizada sem bloqueio UEFI.Isso significa que, embora o Credential Guard esteja ativado por padrão, o administrador pode desativá-lo remotamente posteriormente por meio de política de grupo, Intune ou outros métodos, porque a opção de bloqueio não foi ativada no firmware.

Quando O Credential Guard está ativado e a segurança baseada em virtualização (VBS) também está habilitada.O VBS é o componente que cria o ambiente protegido onde os LSAs são isolados e onde os segredos são armazenados, portanto, ambos os recursos funcionam em conjunto nessas versões.

Uma nuance importante é que Os valores explicitamente configurados pelo administrador sempre prevalecem. sobre as configurações padrão. Se o Credential Guard estiver ativado ou desativado via Intune, GPO ou Registro, essa configuração manual substituirá a ativação padrão após a reinicialização do computador.

Além disso, se Um dos dispositivos teve o Credential Guard explicitamente desativado antes da atualização para uma versão do Windows que o ativa por padrão.O dispositivo respeitará essa desativação após a atualização e não será ligado automaticamente, a menos que sua configuração seja alterada novamente usando uma das ferramentas de gerenciamento.

Requisitos de sistema, hardware, firmware e licenciamento

Para que o Credential Guard possa oferecer proteção real.O equipamento deve atender a determinados requisitos de hardware, firmware e software. Quanto melhores forem os recursos da plataforma, maior será o nível de segurança alcançável.

Em primeiro lugar, É obrigatório um processador de 64 bits. e compatibilidade com segurança baseada em virtualização. Isso significa que o processador e a placa-mãe devem suportar as extensões de virtualização apropriadas, bem como a ativação desses recursos na UEFI/BIOS.

Outro elemento crítico é o inicialização segura (inicialização segura)A Inicialização Segura garante que o sistema inicie carregando apenas firmware e software confiáveis ​​e assinados. A Inicialização Segura é usada pelo VBS e pelo Credential Guard para impedir que um invasor modifique os componentes de inicialização para desativar ou manipular a proteção.

Embora não seja estritamente obrigatório, ter um é altamente recomendável. Trusted Platform Module (TPM) versão 1.2 ou 2.0Seja discreto ou baseado em firmware, o TPM permite que segredos e chaves de criptografia sejam vinculados ao hardware, adicionando uma camada extra que complica seriamente as coisas para qualquer pessoa que tente transportar ou reutilizar esses segredos em outro dispositivo.

É também altamente recomendável ativar o Bloqueio UEFI para Credential GuardIsso impede que qualquer pessoa com acesso ao sistema desative a proteção simplesmente modificando uma chave de registro ou uma política. Com o bloqueio ativo, desativar o Credential Guard exige um procedimento muito mais controlado e explícito.

Na área de licenciamento, O Credential Guard não está disponível em todas as edições do Windows.Em geral, é compatível com as edições corporativas e educacionais: o Windows Enterprise e o Windows Education oferecem suporte, enquanto o Windows Pro e o Pro Education/SE não o incluem por padrão.

Os Os direitos de utilização do Credential Guard estão vinculados a determinadas licenças de assinatura., como o Windows Enterprise E3 e E5, bem como o Windows Education A3 e A5. As edições Pro, em termos de licenciamento, não têm direito a essa funcionalidade avançada, embora executem o mesmo binário do sistema operacional.

Compatibilidade de aplicativos e recursos bloqueados

Antes de implantar o Credential Guard em massaÉ recomendável analisar cuidadosamente os aplicativos e serviços que dependem de mecanismos de autenticação específicos. Nem todos os softwares legados funcionam bem com essas proteções, e alguns protocolos são bloqueados diretamente.

Quando o Credential Guard está ativado, os recursos considerados de risco são desativados, de modo que Os aplicativos que dependem deles param de funcionar corretamente.Esses são conhecidos como requisitos de aplicação: condições que devem ser evitadas para que você possa continuar usando o Credential Guard sem incidentes.

Entre as características que Eles estão bloqueados diretamente incluem:

• Compatibilidade com criptografia Kerberos DES.
• Delegação do Kerberos sem restrições.
• Extração de TGT do Kerberos a partir do LSA.
• Protocolo NTLMv1.

Além disso, Existem características que, embora não sejam totalmente proibidas, envolvem riscos adicionais. Se usado em conjunto com o Credential Guard, o aplicativo torna-se especialmente sensível a aplicações que dependem de autenticação implícita, delegação de credenciais, MS-CHAPv2 ou CredSSP, pois estas podem expor credenciais de forma insegura se não forem configuradas com cuidado.

Eles também foram observados problemas de desempenho em aplicações que tentam se vincular ou interagir diretamente com o processo isolado LSAIso.exeComo esse processo é protegido e isolado, tentativas repetidas de acesso podem gerar sobrecarga ou causar lentidão em cenários específicos.

O bom é que serviços e protocolos modernos que usam Kerberos como padrãoFunções como o acesso a recursos compartilhados SMB ou uma Área de Trabalho Remota devidamente configurada continuam a funcionar normalmente e não são afetadas pela ativação do Credential Guard, desde que não dependam das funções legadas mencionadas acima.

Como habilitar o Credential Guard: Intune, GPO e Registro

A forma ideal de ativar o Credential Guard depende do tamanho e da gestão do seu ambiente.Para organizações com sistemas de gerenciamento modernos, o Microsoft Intune (MDM) é muito conveniente, enquanto em domínios tradicionais do Active Directory, a Política de Grupo ainda é comumente utilizada. Para ajustes mais precisos ou automações específicas, o Registro continua sendo uma opção.

Em primeiro lugar, é crucial entender que O Credential Guard deve ser ativado antes de ingressar o computador no domínio. ou antes que um usuário do domínio faça login pela primeira vez. Se ativada posteriormente, as informações confidenciais do usuário e da máquina já podem estar comprometidas, reduzindo o benefício real da proteção.

Em termos gerais, você pode ativar o Credential Guard da seguinte forma:

• Gerenciamento do Microsoft Intune / MDM.
• Política de Grupo (GPO) no Active Directory ou editor de políticas local.
• Modificação direta do Registro do Windows.

Ao aplicar qualquer uma dessas configurações, Não se esqueça que reiniciar o dispositivo é obrigatório. Para que as alterações entrem em vigor, o Credential Guard, o VBS e todos os componentes de isolamento são inicializados na inicialização do sistema, portanto, simplesmente alterar a política não é suficiente.

Ative o Credential Guard com o Microsoft Intune.

Se você gerencia seus dispositivos com o Intune, você tem duas abordagens. Opções principais: usar modelos do Endpoint Security ou usar uma política personalizada que configure o CSP do DeviceGuard via OMA-URI.

No portal do Intune, Você pode acessar “Segurança do endpoint > Proteção da conta”. e crie uma nova política de proteção de conta. Selecione a plataforma "Windows 10 e posterior" e o tipo de perfil "Proteção de conta" (em suas diferentes variantes, dependendo da versão disponível).

Ao configurar as definições, Defina a opção "Ativar Credential Guard" como "Habilitar com bloqueio UEFI". Se você deseja impedir que a proteção seja desativada remotamente com facilidade, o Credential Guard é "ancorado" no firmware, aumentando o nível de segurança física e lógica do dispositivo.

Uma vez definidos os parâmetros, Atribua a política a um grupo que contenha os dispositivos ou objetos de usuário que você deseja proteger.A política será aplicada quando o dispositivo sincronizar com o Intune e, após a reinicialização correspondente, o Credential Guard será ativado.

Se você preferir controlar os detalhes minuciosos, Você pode usar uma política personalizada com base no CSP do DeviceGuard.Para isso, é necessário criar entradas OMA-URI com os nomes e valores apropriados, por exemplo:

configuração
NomeHabilitar segurança baseada em virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de dados: int Valor: 1
NomeConfiguração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de dados: int Valor: Ativado com bloqueio UEFI: 1 Ativado sem bloquear: 2

Após aplicar essa política personalizada e reiniciar, O dispositivo será iniciado com VBS e Credential Guard ativos.E as credenciais do sistema serão protegidas no contêiner isolado.

Configure o Credential Guard usando a política de grupo.

Em ambientes com Active Directory tradicionalA maneira mais natural de habilitar o Credential Guard em massa é por meio de Objetos de Política de Grupo (GPOs). Você pode fazer isso no editor de políticas local em um único computador ou no Gerenciador de Políticas de Grupo no nível do domínio.

Para configurar a política, abra o editor de GPO correspondente e navegue até o caminho. Configuração do computador > Modelos administrativos > Sistema > Proteção de dispositivoNessa seção, você encontrará a política "Habilitar segurança baseada em virtualização".

Esta diretiva estabelece em Selecione "Ativado" e escolha as configurações desejadas do Credential Guard na lista suspensa.Você pode escolher entre "Ativado com bloqueio UEFI" ou "Ativado sem bloqueio", dependendo do nível de proteção física que deseja aplicar.

Após a configuração da GPO, vincule-o à unidade organizacional ou domínio onde os computadores de destino estão localizados.Você pode ajustar sua aplicação usando filtragem de grupos de segurança ou filtros WMI, para que ela se aplique apenas a determinados tipos de dispositivos (por exemplo, apenas a laptops corporativos com hardware compatível).

Quando as máquinas receberem a diretiva e reiniciarem, O Credential Guard será ativado de acordo com a configuração da GPO., aproveitando a infraestrutura do domínio para implantá-lo de forma padronizada.

Habilite o Credential Guard modificando o Registro do Windows.

Se você precisa de controle muito granular ou de automatizar a implantação com scriptsVocê pode configurar o Credential Guard diretamente usando chaves do Registro. Esse método exige precisão, pois um valor incorreto pode deixar o sistema em um estado inesperado.

Para que a segurança baseada em virtualização e o Credential Guard entrem em ação, Você deve criar ou modificar várias entradas em caminhos específicos.Os pontos principais são:

configuração
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome: EnableVirtualizationBasedSecurity Tipo: REG_DWORD Valor: 1 (permite segurança baseada em virtualização)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome: RequirePlatformSecurityFeatures Tipo: REG_DWORD Valor: 1 (usando inicialização segura) 3 (inicialização segura + proteção DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Nome: LsaCfgFlags Tipo: REG_DWORD Valor: 1 (Ativa o Credential Guard com bloqueio UEFI) 2 (Ativa o Credential Guard sem bloqueio)

Após aplicar esses valores, Reinicie o computador para que o hipervisor do Windows e o processo LSA isolado entrem em ação.Sem essa redefinição, as alterações no Registro não ativarão a proteção de memória.

Como verificar se o Credential Guard está ativado e funcionando

Veja se o processo LsaIso.exe Ele aparece no Gerenciador de Tarefas. Pode fornecer uma pista, mas a Microsoft não considera esse um método confiável para confirmar se o Credential Guard está operacional. Existem procedimentos mais robustos, baseados em ferramentas integradas do sistema.

Entre as opções recomendadas para Verifique o status do Credential Guard Essas ferramentas incluem as Informações do Sistema, o PowerShell e o Visualizador de Eventos. Cada método oferece uma perspectiva diferente, por isso vale a pena familiarizar-se com todos eles.

O método mais visual é aquele que Informações do sistema (msinfo32.exe)No menu Iniciar, basta executar esta ferramenta, selecionar "Resumo do Sistema" e verificar a seção "Serviços de segurança baseados em virtualização em execução" para confirmar se o "Credential Guard" aparece como um serviço ativo.

Se você preferir algo que possa ser programado, O PowerShell é seu aliadoA partir de um console com privilégios elevados, você pode executar o seguinte comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

O resultado deste comando indica, usando códigos numéricos, se O Credential Guard está ativado ou não nessa máquina?Um valor 0 significa que o Credential Guard está desativado.Enquanto 1 indica que está ativado e em funcionamento. como parte dos serviços de segurança baseados em virtualização.

Finalmente, o O Visualizador de Eventos permite que você revise o comportamento histórico do Credential Guard.Abertura eventvwr.exe Ao navegar até "Logs do Windows > Sistema", você pode filtrar pela origem do evento "WinInit" e localizar mensagens relacionadas à inicialização dos serviços Device Guard e Credential Guard, o que é útil para auditorias periódicas.

Desative o Credential Guard e gerencie o bloqueio UEFI.

Embora a recomendação geral seja manter o Credential Guard ativado Em todos os sistemas que o suportam, em alguns cenários muito específicos pode ser necessário desativá-lo, seja para resolver incompatibilidades com aplicativos legados ou para executar determinadas tarefas de diagnóstico.

O procedimento exato para Desativar o Credential Guard depende de como ele foi configurado inicialmente.Se a funcionalidade foi ativada sem o bloqueio UEFI, basta reverter as políticas do Intune, GPO ou Registro e reiniciar. No entanto, se foi ativada com o bloqueio UEFI, etapas adicionais são necessárias, pois parte da configuração é armazenada nas variáveis ​​EFI do firmware.

No caso específico de Credential Guard ativado com bloqueio UEFIPrimeiro, você deve seguir o processo padrão de desativação (revertendo diretivas ou valores do Registro) e, em seguida, remover as variáveis ​​EFI relacionadas usando o seguinte comando: bcdedit e a utilidade SecConfig.efi com um script avançado.

O fluxo típico envolve Monte uma unidade EFI temporária, copie SecConfig.efi, crie uma nova entrada de carregador com bcdeditConfigure suas opções para desativar o LSA isolado e definir uma sequência de inicialização temporária por meio do gerenciador de inicialização do Windows, além de desmontar a unidade ao final do processo.

Após reiniciar o computador com essa configuração, Antes do Windows iniciar, uma mensagem aparecerá avisando sobre uma alteração na UEFI.A confirmação desta mensagem é obrigatória para que as alterações sejam permanentes e para que o bloqueio Credential Guard EFI seja realmente desativado no firmware.

Se o que você precisa é Desative o Credential Guard em uma máquina virtual Hyper-V específica.Você pode fazer isso a partir do host, sem acessar o convidado, usando o PowerShell. Um comando típico seria:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Com esse ajuste, a máquina virtual Ele para de usar o VBS e, portanto, para de executar o Credential Guard. embora o sistema operacional convidado suporte o recurso, ele pode ser útil em ambientes de laboratório ou de teste muito específicos.

Credential Guard em máquinas virtuais Hyper-V

O Credential Guard não se limita a equipamentos físicos.Ele também pode proteger credenciais dentro de máquinas virtuais que executam o Windows em ambientes Hyper-V, fornecendo um nível de isolamento semelhante ao disponível em hardware físico.

Nessas situações, O Credential Guard protege os segredos contra ataques originados da própria máquina virtual.Em outras palavras, se um invasor comprometer os processos do sistema dentro da VM, a proteção VBS continuará isolando os LSAs e reduzindo a exposição de hashes e tickets.

No entanto, é importante deixar claro qual é o limite: O Credential Guard não consegue proteger a VM contra ataques originados do host. Com privilégios elevados. O hipervisor e o sistema host têm efetivamente controle total sobre as máquinas virtuais, portanto, um administrador de host malicioso poderia contornar essas barreiras.

Para que o Credential Guard funcione corretamente nesses tipos de implantações, O host Hyper-V deve ter um IOMMU. (unidade de gerenciamento de memória de entrada/saída) que permite isolar o acesso à memória e aos dispositivos, e as máquinas virtuais devem ser de Geração 2, com firmware UEFI, que permite a inicialização segura e outras funcionalidades necessárias.

Com esses requisitos em vigor, A experiência de usar o Credential Guard em máquinas virtuais é muito semelhante à de uma máquina física.incluindo os mesmos métodos de ativação (Intune, GPO, Registro) e métodos de verificação (msinfo32, PowerShell, Visualizador de Eventos).

Exploit Guard e Microsoft Defender: Ative e gerencie a proteção geral.

Além do Credential Guard, o ecossistema de segurança do Windows depende do Microsoft Defender Antivirus. e em tecnologias como o Exploit Guard, que incluem regras de redução da superfície de ataque, proteção de rede, controle de acesso a pastas e outros recursos destinados a desacelerar o malware e mitigar explorações.

Em muitas equipes, O antivírus Microsoft Defender vem pré-instalado e ativado por padrão. No Windows 8, Windows 10 e Windows 11, essa opção está disponível, mas é relativamente comum encontrá-la desativada devido a políticas anteriores, à instalação de soluções de terceiros ou a alterações manuais no Registro.

Pára Ativar o antivírus Microsoft Defender usando a política de grupo localVocê pode abrir o menu Iniciar, pesquisar por "Política de Grupo" e selecionar "Editar Política de Grupo". Em "Configuração do Computador > Modelos Administrativos > Componentes do Windows > Antivírus do Windows Defender", você verá a opção "Desativar o Antivírus do Windows Defender".

Se esta política estiver definida como "Ativada", significa que o antivírus está desativado à força. Para restaurar sua funcionalidade, defina a opção como "Desativado" ou "Não configurado".Aplique as alterações e feche o editor. O serviço poderá ser iniciado novamente após a próxima atualização da política.

Se na hora O Defender foi explicitamente desativado no Registro.Você terá que verificar a rota. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender e localize o valor DisableAntiSpywareUsando o Editor do Registro, você pode abri-lo e definir seu "Dados do valor" para 0Aceitar a alteração para permitir que o antivírus volte a funcionar.

Após esses ajustes, acesse "Iniciar > Configurações > Atualização e Segurança > Windows Defender" (em versões mais recentes, "Segurança do Windows") e Verifique se a opção "Proteção em tempo real" está ativada.Se ainda estiver desligado, ligue-o manualmente para garantir que a defesa antivírus seja iniciada com o sistema.

Para máxima proteção, é aconselhável Habilite a proteção em tempo real e a proteção baseada em nuvem.No aplicativo "Segurança do Windows", acesse "Proteção contra vírus e ameaças > Configurações de proteção contra vírus e ameaças > Gerenciar configurações" e ative as opções correspondentes.

Se essas opções não estiverem visíveis, é provável que Uma política de grupo está ocultando a seção de proteção antivírus. Nas configurações de Segurança do Windows, verifique "Configuração do Computador > Modelos Administrativos > Componentes do Windows > Segurança do Windows > Proteção contra vírus e ameaças" e certifique-se de que a política "Ocultar área de proteção contra vírus e ameaças" esteja definida como "Desativada", aplicando as alterações.

É igualmente importante Mantenha as definições de vírus atualizadas. Isso permite que o Microsoft Defender detecte ameaças recentes. Em Segurança do Windows, em "Proteção contra vírus e ameaças", dentro de "Atualizações de proteção contra ameaças", clique em "Verificar se há atualizações" e permita o download das assinaturas mais recentes.

Se preferir a linha de comando, essa também é uma opção. Você pode iniciar o serviço do Microsoft Defender a partir do CMD.. Pressione Windows + R, digite cmd Em seguida, no prompt de comando (de preferência com privilégios elevados), execute:

sc start WinDefend

Com este comando, O serviço antivírus principal é iniciado. desde que não haja políticas ou bloqueios adicionais que o impeçam, permitindo que você verifique rapidamente se o motor inicia sem erros.

Para descobrir se o seu computador utiliza o Microsoft Defender, basta ir em "Iniciar > Configurações > Sistema" e abrir o "Painel de Controle". Na seção "Segurança e Manutenção", você encontrará a opção "Segurança e proteção do sistema", onde Você verá um resumo do status da proteção antivírus e de outras medidas ativas. a equipe.

combinando O Credential Guard protege as credenciais na memória. Com o Microsoft Defender e o Exploit Guard devidamente configurados, além de regras de segurança apropriadas, um nível de proteção significativamente maior é alcançado contra roubo de credenciais, malware avançado e movimentação lateral dentro do domínio. Embora sempre haja um custo associado à compatibilidade com protocolos e aplicativos legados, a melhoria geral na segurança compensa amplamente esse custo na maioria das organizações.