Gerenciar o Windows Defender Credential Guard

Habilitação Padrão

A partir de Windows 11 Enterprise, as versões 22H2 e Windows 11 Education, versão 22H2, sistemas compatíveis têm Windows Defender Credential Guard ativado por padrão. Esse recurso altera o estado padrão do recurso no Windows, embora os administradores do sistema ainda possam modificar esse estado de habilitação. Windows Defender o Credential Guard ainda pode ser habilitado manualmente ou desabilitado por meio dos métodos documentados abaixo.

Requisitos para habilitação automática

Windows Defender Credential Guard será habilitado por padrão quando um computador atender aos seguintes requisitos mínimos:

Componente Requisito
Sistema operacional Windows 11 Enterprise, versão 22H2 ou Windows 11 Education, versão 22H2
Requisitos existentes Windows Defender Credential Guard Somente os dispositivos que atendem aos requisitos de hardware e software existentes para executar Windows Defender Credential Guard o habilitarão por padrão.
Requisitos de VBS (segurança baseada em virtualização) O VBS deve estar habilitado para executar Windows Defender Credential Guard. Começando com Windows 11 Enterprise 22H2 e Windows 11 Education 22H2, os dispositivos que atendem aos requisitos para executar Windows Defender Credential Guard, bem como os requisitos mínimos para habilitar o VBS terão Windows Defender Credential Guard e VBS habilitado por padrão.

Observação

Se Windows Defender Credential Guard ou VBS tiverem sido desabilitados explicitamente, a habilitação padrão não substituirá essa configuração.

Observação

Os dispositivos que executam Windows 11 Pro 22H2 podem ter Virtualization-Based Security (VBS) e/ou Windows Defender Credential Guard automaticamente habilitados se atenderem aos outros requisitos de habilitação padrão listados acima e executarem anteriormente Windows Defender Credential Guard (por exemplo, se Windows Defender O Credential Guard estava em execução em um dispositivo Enterprise que mais tarde foi rebaixado para o Pro).

Para determinar se o dispositivo Pro está nesse estado, verifique se a chave IsolatedCredentialsRootSecret do registro está presente em Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. Nesse cenário, se você quiser desabilitar o VBS e Windows Defender Credential Guard, siga as instruções para desabilitar Virtualization-Based Segurança. Se desejar desabilitar apenas Windows Defender Credential Guard sem desabilitar Virtualization-Based Segurança, use os procedimentos para desabilitar Windows Defender Credential Guard.

Habilitar o Windows Defender Credential Guard

Windows Defender o Credential Guard pode ser habilitado usando Política de Grupo, o registro ou a ferramenta de preparação de hardware do Hypervisor-Protected Code Integrity (HVCI) e Windows Defender Credential Guard. O Windows Defender Credential Guard pode proteger segredos em uma máquina virtual do Hyper-V, assim como faria em um computador físico. O mesmo conjunto de procedimentos usado para habilitar o Windows Defender Credential Guard em computadores físicos se aplica também a máquinas virtuais.

Observação

Não há suporte para o Proteção de Credenciais e o Device Guard ao usar VMs do Azure Gen 1. Essas opções estão disponíveis apenas com VMs gen 2.

Habilitar o Windows Defender Credential Guard usando a Política de grupo.

Você pode usar Política de Grupo e habilitar o Windows Defender Credential Guard. Quando habilitado, ele adicionará e habilitará os recursos de segurança baseados em virtualização para você, se necessário.

  1. No Console de Gerenciamento de Política de Grupo, acesse Guarda deDispositivos doSistema > de Modelos administrativos > de Configuração > do Computador.

  2. Selecione Ativar Segurança Baseada em Virtualização e selecione a opção Habilitada .

  3. Na caixa Selecione o Nível de Segurança da Plataforma, escolha Inicialização Segura ou Inicialização Segura e Proteção de DMA.

  4. Na caixa Configuração do Credential Guard , selecione Habilitado com bloqueio UEFI. Se você quiser ter a possibilidade de desativar o Windows Defender Credential Guard remotamente, escolha Enabled without lock.

  5. Na caixa Configuração de Inicialização Segura, escolha Não Configurado, Habilitado ou Desabilitado.**** Para obter mais informações, consulte System Guard Proteção contra Inicialização Segura e SMM.

    Windows Defender configuração Política de Grupo do Credential Guard.

  6. Selecione OK e feche o Console de Gerenciamento de Política de Grupo.

Para impor o processamento da política de grupo, você pode executar gpupdate /force.

Habilitar Windows Defender Credential Guard usando Microsoft Intune

  1. No centro de administração do Endpoint Manager, selecione Dispositivos.

  2. Selecione Perfis de Configuração.

  3. Selecione Criar Perfil > Windows 10 e configurações posteriores > catálogo > Criar.

    1. Configurações: no seletor de configurações, selecione Proteção de Dispositivo como categoria e adicione as configurações necessárias.

Observação

Habilite vbs e inicialização segura e você pode fazê-lo com ou sem bloqueio UEFI. Se você precisar desabilitar o Credential Guard remotamente, habilite-o sem bloqueio UEFI.

Dica

Você também pode configurar o Credential Guard usando um perfil de proteção de conta na segurança do ponto de extremidade. Para obter mais informações, consulte Configurações de política de proteção de conta para segurança de ponto de extremidade no Microsoft Intune.

Habilitar o Windows Defender Credential Guard usando o registro

Se você não usa a Política de Grupo, poderá habilitar o Windows Defender Credential Guard usando o Registro. Windows Defender Credential Guard usa recursos de segurança baseados em virtualização que precisam ser habilitados primeiro em alguns sistemas operacionais.

Adicionar os recursos de segurança baseados em virtualização

Começando com Windows 10, versão 1607 e Windows Server 2016, não é necessário permitir que recursos do Windows usem segurança baseada em virtualização e essa etapa pode ser ignorada.

Se você estiver usando Windows 10, versão 1507 (RTM) ou Windows 10, versão 1511, os recursos do Windows devem ser habilitados para usar a segurança baseada em virtualização. Para habilitar, use o Painel de Controle ou a ferramenta DISM (Serviço de Imagem de Implantação e Gerenciamento).

Observação

Se você habilitar o Windows Defender Credential Guard usando a Política de Grupo, as etapas para habilitar recursos do Windows por meio do Painel de Controle ou DISM não são necessárias. A Política de Grupo instalará os recursos do Windows para você.

Adicionar os recursos de segurança baseada em virtualização usando Programas e Recursos
  1. Abra Programas e Recursos no Painel de Controle.

  2. Selecione Ativar ou desativar o recurso do Windows.

  3. Acesse a plataforma Hyper-V > Hyper-V e selecione a caixa de seleção Hyper-V Hypervisor .

  4. Marque a caixa de seleção Modo de Usuário Isolado no nível superior da seleção de recursos.

  5. Clique em OK.

Adicionar os recursos de segurança baseada em virtualização a uma imagem offline usando o DISM
  1. Abra um prompt de comando com privilégios elevados.

  2. Adicione o Hipervisor do Hyper-V executando o seguinte comando:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Adicione o recurso Modo de Usuário Isolado executando o seguinte comando:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Observação

    Em Windows 10, versão 1607 e posterior, o recurso Modo de Usuário Isolado foi integrado ao sistema operacional principal. A execução do comando na etapa 3 acima, portanto, não é mais necessária.

Dica

Você também pode adicionar esses recursos a uma imagem online usando o DISM ou o Configuration Manager.

Habilitar a segurança baseada em virtualização e o Windows Defender Credential Guard

  1. Abra o Editor do Registro.

  2. Habilite a segurança baseada em virtualização:

    1. Acesse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

    2. Adicione um novo valor DWORD denominado EnableVirtualizationBasedSecurity. Defina o valor de configuração do Registro como 1 para habilitar a segurança baseada em virtualização e defina-o como 0 para desabilitá-la.

    3. Adicione um novo valor DWORD denominado RequirePlatformSecurityFeatures. Defina o valor da configuração do Registro como 1 para usar a Inicialização Segura somente ou defina-o como 3 para usar a Inicialização Segura e a proteção de DMA.

  3. Habilitar o Windows Defender Credential Guard:

    1. Acesse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Adicione um novo valor DWORD denominado LsaCfgFlags. Configure o valor dessa configuração do Registro como 1 para habilitar o Windows Defender Credential Guard com o bloqueio UEFI, como 2 para habilitar o Windows Defender Credential Guard sem bloqueio e como 0 para desabilitá-lo.

  4. Feche o Editor do Registro.

Observação

Você também pode ativar o Windows Defender Credential Guard definindo as entradas do Registro na configuração autônoma FirstLogonCommands.

Habilitar Windows Defender Credential Guard usando a ferramenta de preparação de hardware do HVCI e do Windows Defender Credential Guard

Você também pode habilitar Windows Defender Credential Guard usando a ferramenta de preparação de hardware do HVCI e do Windows Defender Credential Guard.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Importante

Ao executar a ferramenta de preparação de hardware do HVCI e Windows Defender Credential Guard em um sistema operacional não inglês, dentro do script, altere $OSArch = $(gwmi win32_operatingsystem).OSArchitecture para ser$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower(), em vez disso, para que a ferramenta funcione.

Esse é um problema conhecido.

Analisar o desempenho do Windows Defender Credential Guard

O Windows Defender Credential Guard estará em execução?

Você pode usar Informações do Sistema para verificar se o Windows Defender Credential Guard está em execução em um computador.

  1. Selecione Iniciar, digite msinfo32.exee selecione Informações do Sistema.

  2. Selecione Resumo do Sistema.

  3. Confirme se o Credential Guard é mostrado ao lado dos serviços de segurança baseados em virtualização em execução.

    A entrada 'Virtualization-based security Services Running' lista o Credential Guard in System Information (msinfo32.exe).

Você também pode verificar se Windows Defender o Credential Guard está em execução usando a ferramenta de preparação de hardware do HVCI e Windows Defender Credential Guard.

DG_Readiness_Tool_v3.6.ps1 -Ready

Importante

Ao executar a ferramenta de preparação de hardware do HVCI e Windows Defender Credential Guard em um sistema operacional não inglês, dentro do script, altere *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture para ser$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower(), em vez disso, para que a ferramenta funcione.

Esse é um problema conhecido.

Observação

Para computadores de cliente que executam o Windows 10 1703, o LsaIso.exe será executado sempre que a segurança com base de virtualização estiver habilitada para outros recursos.

  • Recomendamos habilitar o Windows Defender Credential Guard antes que um dispositivo ingresse em um domínio. Se o Windows Defender Credential Guard for habilitado após um ingresso no domínio, os segredos do usuário e do dispositivo já poderão estar comprometidos. Em outras palavras, habilitar o Credential Guard não ajudará a proteger um dispositivo ou identidade que já foi comprometido. Portanto, recomendamos ativar a Credential Guard o mais cedo possível.

  • Você deve executar análises regulares dos computadores que têm o Windows Defender Credential Guard habilitado. Você pode usar políticas de auditoria de segurança ou consultas WMI. Aqui está uma lista de IDs de eventos WinInit a serem procuradas:

    • ID de evento 13 O Windows Defender Credential Guard (LsaIso.exe) foi iniciado e protegerá as credenciais da LSA.

    • Configuração da ID do Evento 14 Windows Defender Credential Guard (LsaIso.exe): [0x0 | 0x1 | 0x2], 0

      • A primeira variável: 0x1 ou 0x2 significa que Windows Defender Credential Guard está configurado para ser executado. 0x0 significa que ele não está configurado para ser executado.

      • A segunda variável: 0 significa que ela está configurada para ser executada no modo de proteção. 1 significa que ele está configurado para ser executado no modo de teste. Essa variável deve ser sempre 0.

    • A ID do evento 15 Windows Defender Credential Guard (LsaIso.exe) está configurada, mas o kernel seguro não está em execução; continuando sem Windows Defender Credential Guard.

    • ID de evento 16 O Windows Defender Credential Guard (LsaIso.exe) falhou ao iniciar: [código de erro]

    • ID do evento 17 Leitura de erro Windows Defender configuração uefi do Credential Guard (LsaIso.exe): [código de erro]

  • Você também pode verificar se o TPM está sendo usado para proteção de chaves verificando a ID do Evento 51 nos logs de Aplicativos e Serviços > Microsoft > log de eventos kernel-boot do Windows > . O texto completo do evento será lido assim: VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. se você estiver executando com um TPM, o valor da máscara TPM PCR será algo diferente de 0.

  • Você pode usar Windows PowerShell para determinar se o guarda de credencial está em execução em um computador cliente. No computador em questão, abra uma janela do PowerShell elevada e execute o seguinte comando:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Este comando gera a seguinte saída:

    • 0: Windows Defender o Credential Guard está desabilitado (não está em execução)

    • 1: Windows Defender o Credential Guard está habilitado (em execução)

      Observação

      Verificar a lista de tarefas ou o Gerenciador de Tarefas para ver se LSAISO.exe está em execução não é um método recomendado para determinar se Windows Defender Credential Guard está em execução.

Habilitar o Windows Defender Credential Guard:

Windows Defender Credential Guard pode ser desabilitado por meio de vários métodos explicados abaixo, dependendo de como o recurso foi habilitado. Para dispositivos que tinham Windows Defender Credential Guard habilitado automaticamente na atualização 22H2 e não o tinham habilitado antes da atualização, é suficiente para desabilitar por meio de Política de Grupo.

Se Windows Defender Credential Guard estiver habilitado com o BLOQUEIO UEFI, o procedimento descrito em Desabilitar Windows Defender Credential Guard com BLOQUEIO UEFI deverá ser seguido. A alteração de habilitação padrão em dispositivos qualificados de 22H2 não usa um bloqueio UEFI.

Se Windows Defender Credential Guard estiver habilitado por meio de Política de Grupo sem bloqueio UEFI, Windows Defender Credential Guard deverá ser desabilitado por meio de Política de Grupo.

Caso contrário, Windows Defender Credential Guard pode ser desabilitado alterando as chaves do registro.

Windows Defender o Credential Guard em execução em uma máquina virtual pode ser desabilitado pelo host.

Para obter informações sobre como desabilitar a segurança de Virtualization-Based (VBS), consulte Desabilitando Virtualization-Based Segurança.

Desabilitar Windows Defender Credential Guard usando Política de Grupo

Se Windows Defender Credential Guard estiver habilitado por meio de Política de Grupo e sem bloqueio UEFI, desabilitar a mesma configuração de Política de Grupo desabilitará Windows Defender Credential Guard.

  1. Desabilite a configuração Política de Grupo que rege Windows Defender Credential Guard. Navegue atéModelos administrativos > de configuração > do computadorO System > Device Guard > ativa a segurança baseada em virtualização. Na seção "Configuração do Credential Guard", defina o valor suspenso como "Desabilitado":

    Windows Defender Política de Grupo do Credential Guard definido como Desabilitado.

  2. Reinicie o computador.

Desabilitar Windows Defender Credential Guard usando chaves de registro

Se Windows Defender Credential Guard estiver habilitado sem o BLOQUEIO UEFI e sem Política de Grupo, será suficiente editar as chaves do registro, conforme descrito abaixo, para desabilitar Windows Defender Credential Guard.

  1. Altere as seguintes configurações de registro para 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

      Observação

      Excluir essas configurações de registro pode não desabilitar Windows Defender Credential Guard. Eles devem ser definidos como um valor de 0.

  2. Reinicie o computador.

Desabilitar Windows Defender Credential Guard com o bloqueio UEFI

Se Windows Defender Credential Guard estiver habilitado com o BLOQUEIO UEFI habilitado, o procedimento a seguir deverá ser seguido, pois as configurações são persistentes em variáveis EFI (firmware). Esse cenário exigirá presença física no computador para pressionar uma tecla de função para aceitar a alteração.

  1. Se Política de Grupo foi usado para habilitar Windows Defender Credential Guard, desabilite a configuração de Política de Grupo relevante. Navegue atéModelos administrativos > de configuração > do computadorO System > Device Guard > ativa a segurança baseada em virtualização. Na seção "Configuração do Credential Guard", defina o valor suspenso como "Desabilitado".

  2. Altere as seguintes configurações de registro para 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. Exclua as variáveis EFI do Windows Defender Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  4. Reinicie o computador. Antes das botas do sistema operacional, um prompt aparecerá notificando que a UEFI foi modificada e solicitando confirmação. Esse prompt deve ser confirmado para que as alterações persistam. Essa etapa requer acesso físico ao computador.

Desabilitar o Windows Defender Credential Guard para uma máquina virtual

No host, você pode desabilitar o Windows Defender Credential Guard para uma máquina virtual:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Desabilitando a segurança de Virtualization-Based

Instruções são dadas abaixo sobre como desabilitar totalmente Virtualization-Based Segurança (VBS), em vez de apenas Windows Defender Credential Guard. Desabilitar Virtualization-Based Security desabilitará automaticamente Windows Defender Credential Guard e outros recursos que dependem do VBS.

Importante

Outros recursos de segurança, além de Windows Defender Credential Guard, dependem do Virtualization-Based Security para serem executados. Desabilitar Virtualization-Based Segurança pode ter efeitos colaterais não intencionais.

  1. Se Política de Grupo foi usado para habilitar o Virtualization-Based Security, defina a configuração Política de Grupo usada para habilitá-la (System Configuration > Administrative Templates****System > Device Guard > Turn on Virtualization Based Security) como "Desabilitada > ".

  2. Exclua as configurações de registro a seguir:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Importante

      Se você remover manualmente essas configurações de registro, certifique-se de excluir todas elas. Se você não remover todas, o dispositivo pode entrar em recuperação do BitLocker.

  3. Se Windows Defender Credential Guard estiver em execução ao desabilitar o Virtualization-Based Security e qualquer um dos recursos estiver habilitado com o BLOQUEIO UEFI, as variáveis EFI (firmware) deverão ser limpas usando bcdedit. Em um prompt de comando elevado, execute os seguintes comandos bcdedit depois de desativar todas as configurações Virtualization-Based Política de Grupo de segurança e registro, conforme descrito nas etapas 1 e 2 acima:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    
  4. Reinicie o computador.