Configurar o Credential Guard

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Este artigo descreve como configurar o Credential Guard com Microsoft Intune, Política de Grupo ou o registo.

Ativação predefinida

A partir de Windows 11, 22H2 e Windows Server 2025, o Credential Guard está ativado por predefinição nos dispositivos que cumprem os requisitos.

Os administradores de sistema podem ativar ou desativar explicitamente o Credential Guard através de um dos métodos descritos neste artigo. Os valores explicitamente configurados substituem o estado de ativação predefinido após um reinício.

Se um dispositivo tiver o Credential Guard explicitamente desativado antes de atualizar para uma versão mais recente do Windows onde o Credential Guard está ativado por predefinição, este permanecerá desativado mesmo após a atualização.

Importante

Para obter informações sobre problemas conhecidos relacionados com a ativação predefinida, veja Credential Guard: known issues (Credential Guard: problemas conhecidos).

Habilitar o Credential Guard

O Credential Guard deve ser ativado antes de um dispositivo ser associado a um domínio ou antes de um utilizador de domínio iniciar sessão pela primeira vez. Se o Credential Guard estiver ativado após a associação a um domínio, os segredos do utilizador e do dispositivo poderão já estar comprometidos.

Para ativar o Credential Guard, pode utilizar:

• Microsoft Intune/MDM
• Política de grupo
• Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune/CSP

Configurar o Credential Guard com Intune

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Device Guard	Credential Guard	Selecione uma das opções:   - Ativado com bloqueio UEFI   - Ativado sem bloqueio

Importante

Se pretender desativar o Credential Guard remotamente, selecione a opção Ativado sem bloqueio.

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Dica

Também pode configurar o Credential Guard com um perfil de proteção de conta na segurança de pontos finais. Para obter mais informações, veja Definições de política de proteção de contas para segurança de pontos finais no Microsoft Intune.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Ativar a Segurança Baseada em Virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de dados: int Valor: 1
Nome da definição: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de dados: int Valor:   Ativado com o bloqueio UEFI: 1   Ativado sem bloqueio: 2

Assim que a política for aplicada, reinicie o dispositivo.

GPO

Configurar o Credential Guard com a política de grupo

Para configurar um dispositivo com a política de grupo, utilize o Política de Grupo Editor Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do Computador\Modelos Administrativos\Sistema\Device Guard	Ativar a Segurança Baseada em Virtualização	Ativado e selecione uma das opções listadas na lista pendente Configuração do Credential Guard :   - Ativado com bloqueio UEFI   - Ativado sem bloqueio

Importante

Se pretender desativar o Credential Guard remotamente, selecione a opção Ativado sem bloqueio.

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Assim que a política for aplicada, reinicie o dispositivo.

Registro

Configurar o Credential Guard com definições de registo

Para configurar dispositivos com o registo, utilize as seguintes definições:

Configuração
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome da chave: EnableVirtualizationBasedSecurity Tipo: REG_DWORD Valor: 1 (para ativar a Segurança Baseada em Virtualização)
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome da chave: RequirePlatformSecurityFeatures Tipo: REG_DWORD Valor:   1 (para utilizar o Arranque Seguro)   3 (para utilizar o Arranque Seguro e a proteção contra DMA)
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Nome da chave: LsaCfgFlags Tipo: REG_DWORD Valor:   1 (para ativar o Credential Guard com o bloqueio UEFI)   2 (para ativar o Credential Guard sem bloqueio)

Reinicie o dispositivo para aplicar a alteração.

Dica

Pode ativar o Credential Guard ao definir as entradas de registo na definição FirstLogonCommands unattend.

Verificar se o Credential Guard está ativado

Verificar o Gestor de Tarefas se LsaIso.exe está em execução não é um método recomendado para determinar se o Credential Guard está em execução. Em vez disso, utilize um dos seguintes métodos:

• Informações do sistema
• Windows PowerShell
• Visualizador de Eventos

Informações do sistema

Pode utilizar as Informações do Sistema para determinar se o Credential Guard está em execução num dispositivo.

1. Selecione Iniciar, escreva msinfo32.exee, em seguida, selecione Informações do Sistema
2. Selecionar Resumo do Sistema
3. Confirme que o Credential Guard é apresentado junto a Serviços de Segurança Baseados em Virtualização em Execução

Windows PowerShell

Pode utilizar o PowerShell para determinar se o Credential Guard está em execução num dispositivo. A partir de uma sessão elevada do PowerShell, utilize o seguinte comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

O comando gera o seguinte resultado:

• 0: O Credential Guard está desativado (não em execução)
• 1: O Credential Guard está ativado (em execução)

Visualizador de eventos

Efetue revisões regulares dos dispositivos que têm o Credential Guard ativado, utilizando políticas de auditoria de segurança ou consultas WMI.
Abra o Visualizador de Eventos (eventvwr.exe) e aceda a Windows Logs\System e filtre as origens de eventos do WinInit:

ID do evento

Descrição

13 (Informações)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informações)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**

• A primeira variável: 0x1 ou 0x2 significa que o Credential Guard está configurado para ser executado. 0x0 significa que não está configurado para ser executado.
• A segunda variável: 0 significa que está configurada para ser executada no modo de proteção. 1 significa que está configurado para ser executado no modo de teste. Esta variável deve ser sempre 0.

15 (Aviso)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Aviso)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

O evento seguinte indica se o TPM é utilizado para proteção de chaves. Caminho: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID do evento

Descrição

51 (Informações)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Se estiver a executar com um TPM, o valor da máscara de PCR do TPM é algo diferente de 0.

Desativar o Credential Guard

Existem diferentes opções para desativar o Credential Guard. A opção que escolher depende da forma como o Credential Guard está configurado:

• O Credential Guard em execução numa máquina virtual pode ser desativado pelo anfitrião
• Se o Credential Guard estiver ativado com o BLOQUEIO UEFI, siga o procedimento descrito em desativar o Credential Guard com o BLOQUEIO UEFI
• Se o Credential Guard estiver ativado sem o BLOQUEIO UEFI ou como parte da atualização de ativação predefinida, utilize uma das seguintes opções para desativá-lo:
  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune/CSP

Desativar o Credential Guard com Intune

Se o Credential Guard estiver ativado através de Intune e sem BLOQUEIO UEFI, desativar a mesma definição de política desativa o Credential Guard.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Device Guard	Credential Guard	Desabilitado

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de dados: int Valor: 0

Assim que a política for aplicada, reinicie o dispositivo.

GPO

Desativar o Credential Guard com a política de grupo

Se o Credential Guard estiver ativado através de Política de Grupo e sem BLOQUEIO UEFI, desativar a mesma definição de política de grupo desativa o Credential Guard.

Para configurar um dispositivo com a política de grupo, utilize o Política de Grupo Editor Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do Computador\Modelos Administrativos\Sistema\Device Guard	Ativar a Segurança Baseada em Virtualização	Desabilitado

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Assim que a política for aplicada, reinicie o dispositivo.

Registro

Desativar o Credential Guard com as definições de registo

Se o Credential Guard estiver ativado sem o BLOQUEIO UEFI e sem Política de Grupo, será suficiente editar as chaves de registo para desativar a mesma.

Configuração
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Nome da chave: LsaCfgFlags Tipo: REG_DWORD Valor: 0
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard Nome da chave: LsaCfgFlags Tipo: REG_DWORD Valor: 0

Observação

A eliminação destas definições de registo pode não desativar o Credential Guard. Têm de ser definidos para um valor de 0.

Reinicie o dispositivo para aplicar a alteração.

Para obter informações sobre como desativar a Segurança Baseada em Virtualização (VBS), veja Desativar a Segurança baseada em Virtualização.

Desativar o Credential Guard com o bloqueio UEFI

Se o Credential Guard estiver ativado com o bloqueio UEFI, siga este procedimento, uma vez que as definições são mantidas em variáveis de EFI (firmware).

Observação

Este cenário requer a presença física no computador para premir uma tecla de função para aceitar a alteração.

1. Siga os passos em Desativar o Credential Guard

2. Exclua as variáveis EFI do Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d
   

3. Reinicie o dispositivo. Antes de o SO arrancar, é apresentada uma mensagem a notificar que o UEFI foi modificado e a pedir confirmação. O pedido tem de ser confirmado para que as alterações persistam.

Desativar o Credential Guard para uma máquina virtual

No anfitrião, pode desativar o Credential Guard para uma máquina virtual com o seguinte comando:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Desativar a Segurança baseada em Virtualização

Se desativar a Segurança Baseada em Virtualização (VBS), desativará automaticamente o Credential Guard e outras funcionalidades que dependem do VBS.

Importante

Outras funcionalidades de segurança ao lado do Credential Guard dependem do VBS. Desativar o VBS pode ter efeitos colaterais não intencionais.

Utilize uma das seguintes opções para desativar o VBS:

• Microsoft Intune/MDM
• Política de grupo
• Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune/CSP

Desativar o VBS com Intune

Se o VBS estiver ativado através de Intune e sem o Bloqueio UEFI, desativar a mesma definição de política desativa o VBS.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Device Guard	Ativar a Segurança Baseada em Virtualização	Desabilitado

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Ativar a Segurança Baseada em Virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de dados: int Valor: 0

Assim que a política for aplicada, reinicie o dispositivo.

GPO

Desativar o VBS com a política de grupo

Configure a política utilizada para ativar o VBS para Desativado.

Para configurar um dispositivo com a política de grupo, utilize o Política de Grupo Editor Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do Computador\Modelos Administrativos\Sistema\Device Guard\Ativar a Segurança Baseada em Virtualização	Ativar a Segurança Baseada em Virtualização	Desabilitado

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Assim que a política for aplicada, reinicie o dispositivo

Registro

Desativar o VBS com as definições de registo

Elimine as seguintes chaves de registo:

Configuração
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome da chave: EnableVirtualizationBasedSecurity
Caminho da chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Nome da chave: RequirePlatformSecurityFeatures

Importante

Se remover manualmente as definições do registo, certifique-se de que as elimina todas, caso contrário, o dispositivo poderá entrar na recuperação do BitLocker.

Reinicie o dispositivo para aplicar a alteração.

Se o Credential Guard estiver ativado com o BLOQUEIO UEFI, as variáveis EFI armazenadas no firmware têm de ser limpas com o comando bcdedit.exe. Numa linha de comandos elevada, execute os seguintes comandos:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Próximas etapas

• Reveja os conselhos e o código de exemplo para tornar o seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
• Rever considerações e problemas conhecidos ao utilizar o Credential Guard