Como o Credential Guard funciona
Kerberos, NTLM e Credential Manager isolam segredos usando a VBS (segurança baseada em virtualização). Versões anteriores de segredos armazenados do Windows em sua memória de processo, no processo lsass.exeLSA (Autoridade de Segurança Local). Com o Credential Guard habilitado, o processo LSA no sistema operacional conversa com um componente chamado processo LSA isolado que armazena e protege esses segredos, LSAIso.exe. Os dados armazenados pelo processo LSA isolado são protegidos usando VBS e não são acessíveis ao restante do sistema operacional. A LSA usa chamadas de procedimento remoto para se comunicar com o processo isolado da LSA.
Por motivos de segurança, o processo isolado da LSA não hospeda nenhum driver de dispositivo. Em vez disso, ele só hospeda um pequeno subconjunto de binários do sistema operacional que são necessários à segurança e nada mais. Todos os binários são assinados com um certificado em que o VBS confia e as assinaturas são validadas antes de iniciar o arquivo no ambiente protegido.
Veja uma visão geral de alto nível sobre como o LSA é isolado usando a segurança baseada em virtualização:
Limites de proteção do Credential Guard
Algumas maneiras de armazenar credenciais não são protegidas pelo Credential Guard, incluindo:
- O software que gerencia credenciais fora da proteção de recursos do Windows
- Contas locais e contas da Microsoft
- O Credential Guard não protege o banco de dados do Active Directory em execução em controladores de domínio do Windows Server. Ele também não protege pipelines de entrada de credencial, como o Windows Server que executa o Gateway de Área de Trabalho Remota. Se você estiver usando um sistema operacional Windows Server como um computador cliente, ele receberá a mesma proteção que faria ao executar um sistema operacional cliente Windows
- Keyloggers
- Ataques físicos
- Não impede que um invasor com malware no computador use os privilégios associados a qualquer credencial. Recomendamos usar computadores dedicados para contas de alto valor, como profissionais de TI e usuários com acesso a ativos de alto valor em sua organização
- Pacotes de segurança que não são da Microsoft
- Quando o Credential Guard está habilitado, NTLMv1, MS-CHAPv2, Digest e CredSSP não podem usar as credenciais de entrada. Assim, o logon único não funciona com esses protocolos. No entanto, os aplicativos podem solicitar credenciais ou usar credenciais armazenadas no Windows Vault, que não são protegidas pelo Credential Guard com nenhum desses protocolos
Cuidado
É recomendável que credenciais valiosas, como as credenciais de entrada, não sejam usadas com protocolos NTLMv1, MS-CHAPv2, Digest ou CredSSP. Se esses protocolos precisarem ser usados por usuários de domínio ou Microsoft Entra, as credenciais secundárias devem ser provisionadas para esses casos de uso.
- As credenciais fornecidas para autenticação NTLM não são protegidas. Se um usuário é solicitado a fornecer e insere credenciais para autenticação NTLM, essas credenciais estarão vulneráveis a serem lidas a partir da memória LSASS. Essas mesmas credenciais também são vulneráveis aos principais madeireiros
- Os bilhetes de serviço kerberos não são protegidos pela Credential Guard, mas o TGT (Ticket Granting Ticket Kerberos) está protegido
- Quando o Credential Guard está habilitado, Kerberos não permite delegação kerberos não treinada ou criptografia DES, não apenas para credenciais inscritas, mas também credenciais solicitadas ou salvas
- Quando o Credential Guard está habilitado em uma VM, ele protege segredos contra ataques dentro da VM. No entanto, ele não fornece proteção contra ataques privilegiados do sistema originados do host
- Verificadores de senha com logon do Windows (comumente chamados de credenciais armazenadas em cache) não se qualificam como credenciais porque não podem ser apresentados a outro computador para autenticação e só podem ser usados localmente para verificar credenciais. Eles são armazenados no registro no computador local e fornecem validação para credenciais quando um computador ingressado no domínio não pode se conectar ao AD DS durante o logon do usuário. Esses logons armazenados em cache ou, mais especificamente, informações de conta de domínio armazenadas em cache, podem ser gerenciados usando a configuração de política de segurança Logon interativo: número de logons anteriores para armazenar em cache se um controlador de domínio não estiver disponível
Próximas etapas
- Saiba como configurar o Credential Guard
- Examine os conselhos e o código de exemplo para tornar seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Examinar considerações e problemas conhecidos ao usar o Credential Guard
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de