Configurar o Credential Guard
Este artigo descreve como configurar o Credential Guard com o Microsoft Intune, a Política de Grupo ou o registo.
Ativação predefinida
Importante
O Windows Server 2025 está em pré-visualização. Estas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
A partir do Windows 11, 22H2 e Windows Server 2025 (pré-visualização), o Credential Guard está ativado por predefinição nos dispositivos que cumprem os requisitos.
Os administradores de sistema podem ativar ou desativar explicitamente o Credential Guard através de um dos métodos descritos neste artigo. Os valores explicitamente configurados substituem o estado de ativação predefinido após um reinício.
Se um dispositivo tiver o Credential Guard explicitamente desativado antes de atualizar para uma versão mais recente do Windows onde o Credential Guard está ativado por predefinição, este permanecerá desativado mesmo após a atualização.
Importante
Para obter informações sobre problemas conhecidos relacionados com a ativação predefinida, veja Credential Guard: known issues (Credential Guard: problemas conhecidos).
Habilitar o Credential Guard
O Credential Guard deve ser ativado antes de um dispositivo ser associado a um domínio ou antes de um utilizador de domínio iniciar sessão pela primeira vez. Se o Credential Guard estiver ativado após a associação a um domínio, os segredos do utilizador e do dispositivo poderão já estar comprometidos.
Para ativar o Credential Guard, pode utilizar:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Intune/CSP
GPO
RegistroConfigurar o Credential Guard com o Intune
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Device Guard | Credential Guard | Selecione uma das opções: - Ativado com bloqueio UEFI - Ativado sem bloqueio |
Importante
Se pretender desativar o Credential Guard remotamente, selecione a opção Ativado sem bloqueio.
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Dica
Também pode configurar o Credential Guard com um perfil de proteção de conta na segurança de pontos finais. Para obter mais informações, veja Definições de política de proteção de contas para segurança de pontos finais no Microsoft Intune.
Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.
| Configuração |
|---|
|
Nome da definição: Ativar a Segurança Baseada em Virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo de dados: int Valor: 1 |
|
Nome da definição: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo de dados: int Valor: Ativado com o bloqueio UEFI: 1Ativado sem bloqueio: 2 |
Assim que a política for aplicada, reinicie o dispositivo.
Verificar se o Credential Guard está ativado
Verificar o Gestor de Tarefas se LsaIso.exe está em execução não é um método recomendado para determinar se o Credential Guard está em execução. Em vez disso, utilize um dos seguintes métodos:
- Informações do sistema
- Windows PowerShell
- Visualizador de Eventos
Informações do sistema
Pode utilizar as Informações do Sistema para determinar se o Credential Guard está em execução num dispositivo.
- Selecione Iniciar, escreva
msinfo32.exee, em seguida, selecione Informações do Sistema - Selecionar Resumo do Sistema
- Confirme que o Credential Guard é apresentado junto a Serviços de Segurança Baseados em Virtualização em Execução
Windows PowerShell
Pode utilizar o PowerShell para determinar se o Credential Guard está em execução num dispositivo. A partir de uma sessão elevada do PowerShell, utilize o seguinte comando:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
O comando gera o seguinte resultado:
- 0: O Credential Guard está desativado (não em execução)
- 1: O Credential Guard está ativado (em execução)
Visualizador de eventos
Efetue revisões regulares dos dispositivos que têm o Credential Guard ativado, utilizando políticas de auditoria de segurança ou consultas WMI.
Abra o Visualizador de Eventos (eventvwr.exe) e aceda a Windows Logs\System e filtre as origens de eventos do WinInit:
ID do evento
Descrição
13 (Informações)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Informações)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- A primeira variável: 0x1 ou 0x2 significa que o Credential Guard está configurado para ser executado. 0x0 significa que não está configurado para ser executado.
- A segunda variável: 0 significa que está configurada para ser executada no modo de proteção. 1 significa que está configurado para ser executado no modo de teste. Esta variável deve ser sempre 0.
15 (Aviso)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Aviso)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
O evento seguinte indica se o TPM é utilizado para proteção de chaves. Caminho: Applications and Services logs > Microsoft > Windows > Kernel-Boot
ID do evento
Descrição
51 (Informações)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Se estiver a executar com um TPM, o valor da máscara de PCR do TPM é algo diferente de 0.
Desativar o Credential Guard
Existem diferentes opções para desativar o Credential Guard. A opção que escolher depende da forma como o Credential Guard está configurado:
- O Credential Guard em execução numa máquina virtual pode ser desativado pelo anfitrião
- Se o Credential Guard estiver ativado com o BLOQUEIO UEFI, siga o procedimento descrito em desativar o Credential Guard com o BLOQUEIO UEFI
- Se o Credential Guard estiver ativado sem o BLOQUEIO UEFI ou como parte da atualização de ativação predefinida, utilize uma das seguintes opções para desativá-lo:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Desativar o Credential Guard com o Intune
Se o Credential Guard estiver ativado através do Intune e sem o BLOQUEIO UEFI, desativar a mesma definição de política desativa o Credential Guard.
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Device Guard | Credential Guard | Desabilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.
| Configuração |
|---|
|
Nome da definição: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo de dados: int Valor: 0 |
Assim que a política for aplicada, reinicie o dispositivo.
Para obter informações sobre como desativar a Segurança Baseada em Virtualização (VBS), veja Desativar a Segurança baseada em Virtualização.
Desativar o Credential Guard com o bloqueio UEFI
Se o Credential Guard estiver ativado com o bloqueio UEFI, siga este procedimento, uma vez que as definições são mantidas em variáveis de EFI (firmware).
Observação
Este cenário requer a presença física no computador para premir uma tecla de função para aceitar a alteração.
Siga os passos em Desativar o Credential Guard
Exclua as variáveis EFI do Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dReinicie o dispositivo. Antes de o SO arrancar, é apresentada uma mensagem a notificar que o UEFI foi modificado e a pedir confirmação. O pedido tem de ser confirmado para que as alterações persistam.
Desativar o Credential Guard para uma máquina virtual
No anfitrião, pode desativar o Credential Guard para uma máquina virtual com o seguinte comando:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Desativar a Segurança baseada em Virtualização
Se desativar a Segurança Baseada em Virtualização (VBS), desativará automaticamente o Credential Guard e outras funcionalidades que dependem do VBS.
Importante
Outras funcionalidades de segurança ao lado do Credential Guard dependem do VBS. Desativar o VBS pode ter efeitos colaterais não intencionais.
Utilize uma das seguintes opções para desativar o VBS:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Desativar o VBS com o Intune
Se o VBS estiver ativado através do Intune e sem o Bloqueio UEFI, desativar a mesma definição de política desativa o VBS.
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Device Guard | Ativar a Segurança Baseada em Virtualização | Desabilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.
| Configuração |
|---|
|
Nome da definição: Ativar a Segurança Baseada em Virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo de dados: int Valor: 0 |
Assim que a política for aplicada, reinicie o dispositivo.
Se o Credential Guard estiver ativado com o BLOQUEIO UEFI, as variáveis EFI armazenadas no firmware têm de ser limpas com o comando bcdedit.exe. Numa linha de comandos elevada, execute os seguintes comandos:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Próximas etapas
- Reveja os conselhos e o código de exemplo para tornar o seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Rever considerações e problemas conhecidos ao utilizar o Credential Guard