Partilhar via


Visão geral do Credential Guard

O Credential Guard impede ataques de roubo de credenciais ao proteger hashes de palavras-passe NTLM, Permissões de Concessão de Permissões Kerberos (TGTs) e credenciais armazenadas pelas aplicações como credenciais de domínio.

O Credential Guard utiliza a segurança baseada em Virtualização (VBS) para isolar segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos. O acesso não autorizado a estes segredos pode levar a ataques de roubo de credenciais, como passar o hash e passar a permissão.

Quando ativado, o Credential Guard fornece as seguintes vantagens:

  • Segurança de hardware: o NTLM, o Kerberos e o Gestor de Credenciais tiram partido das funcionalidades de segurança da plataforma, incluindo o Arranque Seguro e a virtualização, para proteger as credenciais
  • Segurança baseada na virtualização: NTLM, credenciais derivadas de Kerberos e outros segredos executados num ambiente protegido isolado do sistema operativo em execução
  • Proteção contra ameaças persistentes avançadas: quando as credenciais são protegidas através de VBS, as técnicas de ataque de roubo de credenciais e as ferramentas utilizadas em muitos ataques direcionados são bloqueadas. O software maligno em execução no sistema operativo com privilégios administrativos não consegue extrair segredos protegidos por VBS

Observação

Embora o Credential Guard seja uma mitigação poderosa, os ataques de ameaças persistentes irão provavelmente mudar para novas técnicas de ataque e também deve incorporar outras estratégias e arquiteturas de segurança.

Ativação predefinida

A partir de Windows 11, 22H2 e Windows Server 2025, o VBS e o Credential Guard estão ativados por predefinição nos dispositivos que cumprem os requisitos.

A ativação predefinida é sem BLOQUEIO UEFI, permitindo assim que os administradores desativem o Credential Guard remotamente, se necessário.

Quando o Credential Guard está ativado, o VBS também é ativado automaticamente.

Observação

Se o Credential Guard estiver explicitamente desativadoantes de um dispositivo ser atualizado para Windows 11, versão 22H2/Windows Server 2025 ou posterior, a ativação predefinida não substitui as definições existentes. Esse dispositivo continuará a ter o Credential Guard desativado mesmo depois de atualizar para uma versão do Windows que ativa o Credential Guard por predefinição.

Ativação predefinida no Windows

Os dispositivos com Windows 11, 22H2 ou posterior têm o Credential Guard ativado por predefinição se:

Observação

Os dispositivos com Windows 11 Pro/Pro Edu 22H2 ou posterior podem ter a Segurança Baseada em Virtualização (VBS) e/ou o Credential Guard ativados automaticamente se cumprirem os outros requisitos de ativação predefinida e tiverem anteriormente executado o Credential Guard. Por exemplo, se o Credential Guard tiver sido ativado num dispositivo Enterprise que posteriormente foi alterado para Pro.

Para determinar se o dispositivo Pro está neste estado, marcar se existe a seguinte chave de registo: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Neste cenário, se quiser desativar o VBS e o Credential Guard, siga as instruções para desativar a Segurança baseada em Virtualização. Se quiser desativar apenas o Credential Guard, sem desativar o VBS, utilize os procedimentos para desativar o Credential Guard.

Ativação predefinida no Windows Server

Os dispositivos com o Windows Server 2025 ou posterior têm o Credential Guard ativado por predefinição se:

Importante

Para obter informações sobre problemas conhecidos relacionados com a ativação predefinida, veja Credential Guard: known issues (Credential Guard: problemas conhecidos).

Requisitos de sistema

Para que o Credential Guard forneça proteção, o dispositivo tem de cumprir determinados requisitos de hardware, firmware e software.

Os dispositivos que excedam as qualificações mínimas de hardware e firmware recebem proteções adicionais e são mais protegidos contra determinadas ameaças.

Requisitos de hardware e software

O Credential Guard requer as funcionalidades:

Embora não seja necessário, as seguintes funcionalidades são recomendadas para fornecer proteções adicionais:

  • Trusted Platform Module (TPM), uma vez que fornece enlace ao hardware. As versões 1.2 e 2.0 do TPM são suportadas, discretas ou de firmware
  • Bloqueio UEFI, uma vez que impede os atacantes de desativar o Credential Guard com uma alteração da chave do registo

Para obter informações detalhadas sobre proteções para uma segurança melhorada associada às opções de hardware e firmware, veja qualificações de segurança adicionais.

Credential Guard em máquinas virtuais

O Credential Guard pode proteger segredos em máquinas virtuais Hyper-V, tal como numa máquina física. Quando o Credential Guard está ativado numa VM, os segredos são protegidos contra ataques dentro da VM. O Credential Guard não fornece proteção contra ataques de sistema privilegiados provenientes do anfitrião.

Os requisitos para executar o Credential Guard em máquinas virtuais Hyper-V são:

  • O anfitrião Hyper-V tem de ter uma IOMMU
  • A máquina virtual de Hyper-V tem de ser de geração 2

Observação

O Credential Guard não é suportado em VMs hyper-V ou de geração 1 do Azure. O Credential Guard está disponível apenas em VMs de geração 2.

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam o Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Educação do Windows
Não Sim Não Sim

Os direitos de licença do Credential Guard são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Educação A5
Não Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Requisitos de aplicativo

Quando o Credential Guard está ativado, determinadas capacidades de autenticação são bloqueadas. As aplicações que necessitam dessas capacidades são interrupdas. Referimo-nos a estes requisitos como requisitos da aplicação.

As aplicações devem ser testadas antes da implementação para garantir a compatibilidade com a funcionalidade reduzida.

Aviso

A ativação do Credential Guard em controladores de domínio não é recomendada. O Credential Guard não fornece segurança adicional aos controladores de domínio e pode causar problemas de compatibilidade de aplicações nos controladores de domínio.

Observação

O Credential Guard não fornece proteções para a base de dados do Active Directory nem para o Gestor de Contas de Segurança (SAM). As credenciais protegidas por Kerberos e NTLM quando o Credential Guard está habilitado também estão no banco de dados do Active Directory (em controladores de domínio) e no SAM (para contas locais).

As aplicações falham se precisarem:

  • Suporte a criptografia DES Kerberos
  • Delegação irrestrita de Kerberos
  • Extração de TGT kerberos
  • NTLMv1

As aplicações pedem e expõem credenciais em risco se precisarem:

  • Autenticação digest
  • Delegação de credenciais
  • MS-CHAPv2
  • CredSSP

As aplicações podem causar problemas de desempenho quando tentam ligar o processo LSAIso.exedo Credential Guard isolado.

Os serviços ou protocolos que dependem do Kerberos, como partilhas de ficheiros ou ambiente de trabalho remoto, continuam a funcionar e não são afetados pelo Credential Guard.

Próximas etapas