Visão geral do Credential Guard
O Credential Guard impede ataques de roubo de credenciais ao proteger hashes de palavras-passe NTLM, Permissões de Concessão de Permissões Kerberos (TGTs) e credenciais armazenadas pelas aplicações como credenciais de domínio.
O Credential Guard utiliza a segurança baseada em Virtualização (VBS) para isolar segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos. O acesso não autorizado a estes segredos pode levar a ataques de roubo de credenciais, como passar o hash e passar a permissão.
Quando ativado, o Credential Guard fornece as seguintes vantagens:
- Segurança de hardware: o NTLM, o Kerberos e o Gestor de Credenciais tiram partido das funcionalidades de segurança da plataforma, incluindo o Arranque Seguro e a virtualização, para proteger as credenciais
- Segurança baseada na virtualização: NTLM, credenciais derivadas de Kerberos e outros segredos executados num ambiente protegido isolado do sistema operativo em execução
- Proteção contra ameaças persistentes avançadas: quando as credenciais são protegidas através de VBS, as técnicas de ataque de roubo de credenciais e as ferramentas utilizadas em muitos ataques direcionados são bloqueadas. O software maligno em execução no sistema operativo com privilégios administrativos não consegue extrair segredos protegidos por VBS
Observação
Embora o Credential Guard seja uma mitigação poderosa, os ataques de ameaças persistentes irão provavelmente mudar para novas técnicas de ataque e também deve incorporar outras estratégias e arquiteturas de segurança.
Ativação predefinida
A partir de Windows 11, 22H2 e Windows Server 2025, o VBS e o Credential Guard estão ativados por predefinição nos dispositivos que cumprem os requisitos.
A ativação predefinida é sem BLOQUEIO UEFI, permitindo assim que os administradores desativem o Credential Guard remotamente, se necessário.
Quando o Credential Guard está ativado, o VBS também é ativado automaticamente.
Observação
Se o Credential Guard estiver explicitamente desativadoantes de um dispositivo ser atualizado para Windows 11, versão 22H2/Windows Server 2025 ou posterior, a ativação predefinida não substitui as definições existentes. Esse dispositivo continuará a ter o Credential Guard desativado mesmo depois de atualizar para uma versão do Windows que ativa o Credential Guard por predefinição.
Ativação predefinida no Windows
Os dispositivos com Windows 11, 22H2 ou posterior têm o Credential Guard ativado por predefinição se:
- Cumprir os requisitos de licença
- Cumprir os requisitos de hardware e software
- Não estão explicitamente configurados para desativar o Credential Guard
Observação
Os dispositivos com Windows 11 Pro/Pro Edu 22H2 ou posterior podem ter a Segurança Baseada em Virtualização (VBS) e/ou o Credential Guard ativados automaticamente se cumprirem os outros requisitos de ativação predefinida e tiverem anteriormente executado o Credential Guard. Por exemplo, se o Credential Guard tiver sido ativado num dispositivo Enterprise que posteriormente foi alterado para Pro.
Para determinar se o dispositivo Pro está neste estado, marcar se existe a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Neste cenário, se quiser desativar o VBS e o Credential Guard, siga as instruções para desativar a Segurança baseada em Virtualização. Se quiser desativar apenas o Credential Guard, sem desativar o VBS, utilize os procedimentos para desativar o Credential Guard.
Ativação predefinida no Windows Server
Os dispositivos com o Windows Server 2025 ou posterior têm o Credential Guard ativado por predefinição se:
- Cumprir os requisitos de licença
- Cumprir os requisitos de hardware e software
- Não estão explicitamente configurados para desativar o Credential Guard
- Estão associados a um domínio
- Não são controladores de domínio
Importante
Para obter informações sobre problemas conhecidos relacionados com a ativação predefinida, veja Credential Guard: known issues (Credential Guard: problemas conhecidos).
Requisitos de sistema
Para que o Credential Guard forneça proteção, o dispositivo tem de cumprir determinados requisitos de hardware, firmware e software.
Os dispositivos que excedam as qualificações mínimas de hardware e firmware recebem proteções adicionais e são mais protegidos contra determinadas ameaças.
Requisitos de hardware e software
O Credential Guard requer as funcionalidades:
- Segurança baseada em virtualização (VBS)
Observação
O VBS tem requisitos diferentes para o ativar em diferentes plataformas de hardware. Para obter mais informações, veja Requisitos de Segurança baseados em Virtualização
- Inicialização segura
Embora não seja necessário, as seguintes funcionalidades são recomendadas para fornecer proteções adicionais:
- Trusted Platform Module (TPM), uma vez que fornece enlace ao hardware. As versões 1.2 e 2.0 do TPM são suportadas, discretas ou de firmware
- Bloqueio UEFI, uma vez que impede os atacantes de desativar o Credential Guard com uma alteração da chave do registo
Para obter informações detalhadas sobre proteções para uma segurança melhorada associada às opções de hardware e firmware, veja qualificações de segurança adicionais.
Credential Guard em máquinas virtuais
O Credential Guard pode proteger segredos em máquinas virtuais Hyper-V, tal como numa máquina física. Quando o Credential Guard está ativado numa VM, os segredos são protegidos contra ataques dentro da VM. O Credential Guard não fornece proteção contra ataques de sistema privilegiados provenientes do anfitrião.
Os requisitos para executar o Credential Guard em máquinas virtuais Hyper-V são:
- O anfitrião Hyper-V tem de ter uma IOMMU
- A máquina virtual de Hyper-V tem de ser de geração 2
Observação
O Credential Guard não é suportado em VMs hyper-V ou de geração 1 do Azure. O Credential Guard está disponível apenas em VMs de geração 2.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Credential Guard:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
Os direitos de licença do Credential Guard são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Requisitos de aplicativo
Quando o Credential Guard está ativado, determinadas capacidades de autenticação são bloqueadas. As aplicações que necessitam dessas capacidades são interrupdas. Referimo-nos a estes requisitos como requisitos da aplicação.
As aplicações devem ser testadas antes da implementação para garantir a compatibilidade com a funcionalidade reduzida.
Aviso
A ativação do Credential Guard em controladores de domínio não é recomendada. O Credential Guard não fornece segurança adicional aos controladores de domínio e pode causar problemas de compatibilidade de aplicações nos controladores de domínio.
Observação
O Credential Guard não fornece proteções para a base de dados do Active Directory nem para o Gestor de Contas de Segurança (SAM). As credenciais protegidas por Kerberos e NTLM quando o Credential Guard está habilitado também estão no banco de dados do Active Directory (em controladores de domínio) e no SAM (para contas locais).
As aplicações falham se precisarem:
- Suporte a criptografia DES Kerberos
- Delegação irrestrita de Kerberos
- Extração de TGT kerberos
- NTLMv1
As aplicações pedem e expõem credenciais em risco se precisarem:
- Autenticação digest
- Delegação de credenciais
- MS-CHAPv2
- CredSSP
As aplicações podem causar problemas de desempenho quando tentam ligar o processo LSAIso.exedo Credential Guard isolado.
Os serviços ou protocolos que dependem do Kerberos, como partilhas de ficheiros ou ambiente de trabalho remoto, continuam a funcionar e não são afetados pelo Credential Guard.
Próximas etapas
- Saiba como funciona o Credential Guard
- Saiba como configurar o Credential Guard
- Reveja os conselhos e o código de exemplo para tornar o seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Rever considerações e problemas conhecidos ao utilizar o Credential Guard