Compartilhar via


Considerações e problemas conhecidos ao utilizar o Credential Guard

A Microsoft recomenda que, além de implementar o Credential Guard, as organizações se afastem das palavras-passe para outros métodos de autenticação, como o Windows Hello para Empresas, chaves de segurança FIDO 2 ou smart cards.

Considerações sobre a atualização

Importante

O Windows Server 2025 está em pré-visualização. Estas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

À medida que o Credential Guard evolui e melhora as respetivas funcionalidades de segurança, as versões mais recentes do Windows com o Credential Guard podem afetar cenários anteriormente funcionais. Por exemplo, o Credential Guard pode restringir a utilização de determinadas credenciais ou componentes para impedir que o software maligno explore vulnerabilidades.

É aconselhável testar cuidadosamente cenários operacionais numa organização antes de atualizar os dispositivos que utilizam o Credential Guard.

As atualizações para o Windows 11, versão 22H2 e Windows Server 2025 (pré-visualização) têm o Credential Guard ativado por predefinição , a menos que seja explicitamente desativado.

Considerações sobre Wi-Fi e VPN

Quando o Credential Guard está ativado, já não pode utilizar a autenticação clássica NTLM (NTLMv1) para o início de sessão único (SSO). Será forçado a introduzir as suas credenciais para utilizar estes protocolos e não poderá guardar as credenciais para utilização futura.

Se estiver a utilizar pontos finais de Wi-Fi e VPN baseados no MS-CHAPv2, estes estão sujeitos a ataques semelhantes aos do NTLMv1.

Para ligações Wi-Fi e VPN, é recomendado passar de ligações baseadas em MSCHAPv2 (como PEAP-MSCHAPv2 e EAP-MSCHAPv2) para a autenticação baseada em certificados (como PEAP-TLS ou EAP-TLS).

Considerações de delegação

Quando o Credential Guard está ativado, determinados tipos de delegação de identidade são inutilizáveis, uma vez que os respetivos esquemas de autenticação subjacentes são incompatíveis com o Credential Guard ou requerem credenciais fornecidas.

Quando o Credential Guard está ativado, o Fornecedor de Suporte de Segurança de Credenciais ("CredSSP") já não consegue utilizar credenciais guardadas ou SSO, embora ainda possam ser fornecidas credenciais de texto não encriptado. A Delegação baseada em CredSSP requer que as credenciais de texto não encriptado sejam fornecidas no computador de destino e não funciona com o SSO assim que o Credential Guard estiver ativado e bloquear a divulgação de credenciais de texto não encriptado. A utilização do CredSSP para delegação e, em geral, não é recomendada devido ao risco de roubo de credenciais.

A delegação não constreinada kerberos e o DES são bloqueados pelo Credential Guard. A delegação sem restrições não é uma prática recomendada.

Em vez disso, o Kerberos ou o SSP de Negociação são recomendados para autenticação geral e, para delegação, recomenda-se a Delegação Restrita de Kerberos e a Delegação Restrita de Kerberos Baseada em Recursos . Estes métodos fornecem maior segurança de credenciais em geral e também são compatíveis com o Credential Guard.

Considerações sobre Fornecedores de Suporte de Segurança Não Microsoft

Alguns Fornecedores de Suporte de Segurança (SSPs e APs) que não sejam da Microsoft podem não ser compatíveis com o Credential Guard porque não permite que os SSPs que não sejam da Microsoft peçam hashes de palavras-passe à LSA. No entanto, SSPs e PAs ainda são notificados sobre a senha quando um usuário faz logon e/ou altera sua senha. Qualquer utilização de APIs não documentadas em SSPs e APs personalizados não é suportada.

Recomenda-se que as implementações personalizadas de SSPs/APs sejam testadas com o Credential Guard. SSPs e PAS que dependem de qualquer falha de comportamento não documentado ou sem suporte. Por exemplo, a utilização da API KerbQuerySupplementalCredentialsMessage não é suportada. Substituir os SSPs NTLM ou Kerberos por SSPs e PAs personalizados.

Para obter mais informações, veja Restrições relativas ao Registo e Instalação de um Pacote de Segurança.

Considerações sobre credenciais guardadas do Windows

O Gestor de Credenciais permite-lhe armazenar três tipos de credenciais:

  • Credenciais do Windows
  • Credenciais baseadas em certificados
  • Credenciais genéricas

As credenciais de domínio armazenadas no Gestor de Credenciais estão protegidas com o Credential Guard.

As credenciais genéricas, como nomes de utilizador e palavras-passe que utiliza para iniciar sessão em sites, não estão protegidas, uma vez que as aplicações requerem a sua palavra-passe de texto não encriptado. Se a aplicação não precisar de uma cópia da palavra-passe, pode guardar credenciais de domínio como credenciais do Windows que estão protegidas. Credenciais do Windows são usadas para se conectar a outros computadores em uma rede.

As considerações a seguir se aplicam às proteções do Credential Guard para o Gerenciador de Credenciais:

  • As credenciais do Windows guardadas pelo cliente de Ambiente de Trabalho Remoto não podem ser enviadas para um anfitrião remoto. As tentativas de utilização de credenciais do Windows guardadas falham, apresentando a mensagem de erro A tentativa de início de sessão falhou
  • As aplicações que extraem credenciais do Windows falham
  • Quando é efetuada uma cópia de segurança das credenciais a partir de um PC com o Credential Guard ativado, as credenciais do Windows não podem ser restauradas. Se precisar de fazer uma cópia de segurança das suas credenciais, tem de o fazer antes de ativar o Credential Guard

Considerações de limpeza do TPM

A Segurança baseada em virtualização (VBS) usa o TPM para proteger sua chave. Quando o TPM é limpo, a chave protegida por TPM utilizada para encriptar segredos do VBS é perdida.

Aviso

A limpeza dos resultados de TPM resulta em perda de dados protegidos de todos os recursos que usam a VBS para proteger dados.

Quando um TPM é limpo, todas as funcionalidades que utilizam o VBS para proteger dados já não podem desencriptar os respetivos dados protegidos.

Como resultado, o Credential Guard já não pode desencriptar dados protegidos. O VBS cria uma nova chave TPM protegida para o Credential Guard. O Credential Guard usa a nova chave para proteger dados novos. No entanto, os dados protegidos anteriormente serão perdidos para sempre.

Observação

O Credential Guard obtém a chave durante a inicialização. A perda de dados só afetará os dados persistentes e ocorrerá após o próximo arranque do sistema.

Credenciais do Windows salvas no Gerenciador de Credenciais

Uma vez que o Gestor de Credenciais não consegue desencriptar as Credenciais do Windows guardadas, estas são eliminadas. Os aplicativos devem solicitar credenciais salvas anteriormente. Quando são salvas novamente, as credenciais do Windows são protegidas pelo Credential Guard.

Chave pública aprovisionada automaticamente do dispositivo associado a um domínio

Os dispositivos associados a um domínio do Active Directory aprovisionam automaticamente uma chave pública vinculada. Para obter mais informações sobre o aprovisionamento automático de chaves públicas, veja Autenticação de Chave Pública de Dispositivo associada a um domínio.

Uma vez que o Credential Guard não consegue desencriptar a chave privada protegida, o Windows utiliza a palavra-passe do computador associado ao domínio para autenticação no domínio. A menos que sejam implementadas outras políticas, não deve haver perda de funcionalidade. Se um dispositivo estiver configurado para utilizar apenas a chave pública, não poderá autenticar com palavra-passe até que essa política seja desativada. Para obter mais informações sobre como Configurar dispositivos para usar somente a chave pública, consulte Autenticação de chave pública de dispositivo ingressado em domínio.

Além disso, se quaisquer verificações de controlo de acesso, incluindo políticas de autenticação, exigirem que os dispositivos tenham siDs KEY TRUST IDENTITY (S-1-18-4) ou FRESH PUBLIC KEY IDENTITY (S-1-18-3) SIDs conhecidos, essas verificações de acesso falham. Para saber mais sobre as políticas de autenticação, consulte Políticas de autenticação e silos da política de autenticação. Para saber mais sobre SIDs conhecidos, consulte [MS-DTYP] Seção 2.4.2.4 Estruturas de SID conhecidas.

Quebra de DPAPI em dispositivos ingressados em domínio

Em dispositivos ingressados em domínio, o DPAPI pode recuperar chaves do usuário usando um controlador de domínio do domínio do usuário. Se um dispositivo associado a um domínio não tiver conectividade a um controlador de domínio, a recuperação não é possível.

Importante

A prática recomendada ao limpar um TPM em um dispositivo ingressado no domínio é estar em uma rede conectada aos controladores de domínio. Isso garante que as funções de DPAPI e do usuário não apresentem comportamento estranho.

Configuração de VPN automática protegida com o usuário DPAPI. O utilizador poderá não conseguir utilizar a VPN para ligar a controladores de domínio, uma vez que as configurações de VPN são perdidas. Se você deve apagar o TPM em um dispositivo ingressado no domínio sem conectividade com controladores de domínio, você deve considerar o seguinte.

Início de sessão do utilizador de domínio num dispositivo associado a um domínio depois de limpar um TPM enquanto não existir conectividade a um controlador de domínio:

Tipo de credencial Comportamento
Certificado (cartão inteligente ou Windows Hello para Empresas) Todos os dados protegidos com o DPAPI do utilizador são inutilizáveis e o DPAPI do utilizador não funciona.
Senha Se o utilizador iniciou sessão com um certificado ou palavra-passe antes de limpar o TPM, pode iniciar sessão com a palavra-passe e o DPAPI do utilizador não é afetado.

Depois que o dispositivo estiver conectado aos controladores de domínio, o DPAPI recupera a chave do usuário e os dados protegidos antes de limpar o TPM podem ser descriptografados.

Impacto de falhas de DPAPI na Proteção de Informações do Windows

Quando os dados protegidos com o DPAPI do usuário são inutilizáveis, o usuário perde o acesso a todos os dados de trabalho protegida pela Proteção de Informações do Windows. O impacto inclui: o Outlook não consegue iniciar e os documentos protegidos pelo trabalho não podem ser abertos. Se o DPAPI estiver funcionando, os dados de trabalho recém criados são protegidos e podem ser acessados.

Solução: os usuários podem resolver o problema conectando seus dispositivos ao domínio e reinicializando ou usando o certificado do Agente de recuperação dados do sistema de arquivos de criptografia. Para obter mais informações sobre o certificado de Criptografia do agente de recuperação dados do sistema de arquivos, consulte Criar e verificar um certificado de Agente de recuperação de dados (DRA) do Sistema de arquivos de criptografia (EFS).

Problemas conhecidos

O Credential Guard bloqueia determinadas capacidades de autenticação. As aplicações que necessitam dessas capacidades não funcionarão quando o Credential Guard estiver ativado.

Este artigo descreve problemas conhecidos quando o Credential Guard está ativado.

Migração em direto com quebras de Hyper-V ao atualizar para o Windows Server 2025 (pré-visualização)

Importante

O Windows Server 2025 está em pré-visualização. Estas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Os dispositivos que utilizam a Delegação baseada em CredSSP poderão deixar de poder utilizar a Migração em Direto com o Hyper-V após a atualização para o Windows Server 2025 (pré-visualização). As aplicações e serviços que dependem da migração em direto (como o SCVMM) também podem ser afetados. A delegação baseada em CredSSP é a predefinição para o Windows Server 2022 e anterior para a migração em direto.

Descrição
Dispositivos afetados Qualquer servidor com o Credential Guard ativado pode encontrar este problema. A partir do Windows Server 2025 (pré-visualização), o Credential Guard está ativado por predefinição em todos os servidores associados a um domínio que não sejam controladores de domínio. A ativação predefinida do Credential Guard pode ser bloqueada preventivamente antes da atualização.
Causa do problema A Migração em Direto com o Hyper-V e as aplicações e serviços que dependem dele são afetados pelo problema se uma ou ambas as extremidades de uma determinada ligação tentarem utilizar o CredSSP com o Credential Guard ativado. Com o Credential Guard ativado, o CredSSP só pode utilizar credenciais fornecidas, não guardadas ou credenciais de SSO.

Se o computador de origem de uma Migração em Direto utilizar CredSSP para delegação com o Credential Guard ativado, a Migração em Direto falhará. Na maioria dos casos, o estado de ativação do Credential Guard no computador de destino não afetará a Migração em Direto. A Migração em Direto também falha em cenários de cluster (por exemplo, SCVMM), uma vez que qualquer dispositivo pode funcionar como um computador de origem.
Resolução Em vez da Delegação credSSP, recomenda-se a Delegação Restrita de Kerberos e Resource-Based Delegação Restrita de Kerberos . Estas formas de delegação fornecem maiores proteções de credenciais, além de serem compatíveis com o Credential Guard. Os administradores do Hyper-V podem configurar estes tipos de delegação manualmente ou com a ajuda de scripts automatizados.

O início de sessão único para serviços de rede é interrompida após a atualização para o Windows 11, versão 22H2 ou Windows Server 2025 (pré-visualização)

Os dispositivos que utilizam ligações de rede sem fios ou com fios 802.1x, RDP ou VPN que dependem de protocolos inseguros com autenticação baseada em palavra-passe não conseguem utilizar o SSO para iniciar sessão e são forçados a reautenenciar manualmente em todas as novas sessões do Windows quando o Credential Guard está em execução.

Descrição
Dispositivos afetados Qualquer dispositivo com o Credential Guard ativado pode encontrar o problema. A partir do Windows 11, versão 22H2 e Windows Server 2025 (pré-visualização), os dispositivos elegíveis que não desativaram o Credential Guard, têm-no ativado por predefinição. Isto afeta todos os dispositivos nas licenças Enterprise (E3 e E5) e Educação e algumas licenças Pro, desde que cumpram os requisitos mínimos de hardware.

Todos os dispositivos Windows Pro que anteriormente executavam o Credential Guard numa licença elegível e posteriormente mudaram para Pro e que ainda cumprem os requisitos mínimos de hardware, recebem a ativação predefinida.
Causa do problema As aplicações e os serviços são afetados pelo problema quando dependem de protocolos inseguros que utilizam a autenticação baseada em palavra-passe. Estes protocolos são considerados inseguros porque podem levar à divulgação de palavras-passe no cliente ou no servidor e o Credential Guard bloqueia-os. Os protocolos afetados incluem:

- Delegação sem restrições kerberos (tanto o SSO como as credenciais fornecidas estão bloqueados)
- Kerberos quando o PKINIT utiliza a encriptação RSA em vez de Diffie-Hellman (tanto o SSO como as credenciais fornecidas estão bloqueados)
- MS-CHAP (apenas o SSO está bloqueado)
- WDigest (apenas o SSO está bloqueado)
- NTLM v1 (apenas o SSO está bloqueado)

Nota: uma vez que apenas o SSO está bloqueado para MS-CHAP, WDigest e NTLM v1, estes protocolos ainda podem ser utilizados ao pedir ao utilizador para fornecer credenciais.
Resolução A Microsoft recomenda que se afaste das ligações baseadas em MSCHAPv2 (por exemplo, PEAP-MSCHAPv2 e EAP-MSCHAPv2) para a autenticação baseada em certificados (por exemplo, PEAP-TLS ou EAP-TLS). O Credential Guard não bloqueia a autenticação baseada em certificados.

Para uma correção mais imediata, mas menos segura, desative o Credential Guard. O Credential Guard não tem políticas por protocolo ou por aplicação e pode ser ativado ou desativado. Se desativar o Credential Guard, deixará as credenciais de domínio armazenadas vulneráveis a roubos.

Dica

Para impedir a ativação predefinida, configure os seus dispositivos para desativar o Credential Guard antes de atualizar para uma versão que recebeu a ativação predefinida. Se a definição não estiver configurada (que é o estado predefinido) e se o dispositivo for elegível, o dispositivo ativa automaticamente o Credential Guard após a atualização.

Se o Credential Guard estiver explicitamente desativado, o dispositivo não ativa automaticamente o Credential Guard após a atualização.

Observação

Para determinar se um dispositivo Windows Pro recebe a ativação predefinida quando atualizado para o Windows 11, versão 22H2 ou Windows Server 2025 (pré-visualização), verifique se a chave IsolatedCredentialsRootSecret de registo está presente no Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. Se estiver presente, o dispositivo ativa o Credential Guard após a atualização.

O Credential Guard pode ser desativado após a atualização ao seguir as instruções de desativação.

Como confirmar o problema

MS-CHAP e NTLMv1 são relevantes para a interrupção do SSO após a atualização do Windows 11, versão 22H2. Para confirmar se o Credential Guard está a bloquear MS-CHAP ou NTLMv1, abra o Visualizador de Eventos (eventvwr.exe) e aceda a Application and Services Logs\Microsoft\Windows\NTLM\Operational. Verifique os seguintes registos:

ID do Evento (tipo)

Descrição

4013 (Aviso)

<string
id="NTLMv1BlockedByCredGuard"
value="Attempt to use NTLMv1 failed.
Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID
of client process: %4%nName
of client process: %5%nLUID
of client process: %6%nUser identity
of client process: %7%nDomain name
of user identity of client process: %8%nMechanism OID: 9%n%n
This device doesn't support NTLMv1.
/>

4014 (Erro)

<string
id="NTLMGetCredentialKeyBlockedByCredGuard"
value="Attempt to get credential key by call package blocked by Credential Guard.%n%n
Calling Process Name: %1%nService Host Tag: %2"
/>

Problemas com aplicações que não sejam da Microsoft

O seguinte problema afeta MSCHAPv2:

Este problema a seguir afeta a API Java GSS. Veja o artigo do banco de dados de bugs da Oracle:

Quando o Credential Guard está ativado no Windows, a API GSS de Java não é autenticada. O Credential Guard bloqueia capacidades de autenticação de aplicações específicas e não fornece a chave de sessão TGT às aplicações, independentemente das definições da chave de registo. Para obter mais informações, veja Requisitos da aplicação.

Suporte ao fornecedor

Os seguintes produtos e serviços não suportam o Credential Guard:

Importante

Esta lista não é abrangente. Verifique se o fornecedor do produto, a versão do produto ou o sistema informático suportam o Credential Guard em sistemas que executam uma versão específica do Windows. Os modelos de sistema informático específicos podem ser incompatíveis com o Credential Guard.