Como o Credential Guard funciona
O Kerberos, o NTLM e o Gestor de Credenciais isolam segredos através da segurança baseada em Virtualização (VBS). As versões anteriores do Windows armazenavam segredos na respetiva memória de processo, no processo lsass.exe
da Autoridade de Segurança Local (LSA).
Com o Credential Guard ativado, o processo LSA no sistema operativo comunica com um componente denominado processo LSA isolado que armazena e protege esses segredos, LSAIso.exe
. Os dados armazenados pelo processo LSA isolado estão protegidos através de VBS e não estão acessíveis para o resto do sistema operativo. A LSA usa chamadas de procedimento remoto para se comunicar com o processo isolado da LSA.
Por motivos de segurança, o processo isolado da LSA não hospeda nenhum driver de dispositivo. Em vez disso, ele só hospeda um pequeno subconjunto de binários do sistema operacional que são necessários à segurança e nada mais. Todos os binários são assinados com um certificado fidedigno da VBS e as assinaturas são validadas antes de iniciar o ficheiro no ambiente protegido.
Limites de proteção do Credential Guard
Algumas formas de armazenar credenciais não estão protegidas pelo Credential Guard, incluindo:
- Quando o Credential Guard está ativado, NTLMv1, MS-CHAPv2, Digest e CredSSP não podem utilizar as credenciais com sessão iniciada. Assim, o início de sessão único não funciona com estes protocolos. No entanto, as aplicações podem pedir credenciais ou utilizar credenciais armazenadas no Cofre do Windows, que não estão protegidas pelo Credential Guard com nenhum destes protocolos
Cuidado
Recomenda-se que as credenciais valiosas, como as credenciais de início de sessão, não sejam utilizadas com protocolos NTLMv1, MS-CHAPv2, Digest ou CredSSP.
- O software que gerencia credenciais fora da proteção de recursos do Windows
- Contas locais e contas da Microsoft
- O Credential Guard não protege a base de dados do Active Directory em execução nos controladores de domínio do Windows Server. Também não protege pipelines de entrada de credenciais, como o Windows Server a executar o Gateway de Ambiente de Trabalho Remoto. Se estiver a utilizar um SO Windows Server como um PC cliente, obterá a mesma proteção que obteria ao executar um SO cliente Windows
- Keyloggers
- Ataques físicos
- Não impede que um atacante com software maligno no PC utilize os privilégios associados a qualquer credencial. Recomendamos a utilização de PCs dedicados para contas de valor elevado, como Profissionais de TI e utilizadores com acesso a ativos de valor elevado na sua organização
- Pacotes de segurança não Microsoft
- As credenciais fornecidas para a autenticação NTLM não estão protegidas. Se um usuário é solicitado a fornecer e insere credenciais para autenticação NTLM, essas credenciais estarão vulneráveis a serem lidas a partir da memória LSASS. Estas mesmas credenciais também são vulneráveis a registos de chaves
- As permissões de serviço Kerberos não estão protegidas pelo Credential Guard, mas a Permissão de Concessão de Permissões Kerberos (TGT) está protegida
- Quando o Credential Guard está ativado, o Kerberos não permite a delegação kerberos não preparada ou a encriptação DES, não só para credenciais com sessão iniciada, mas também credenciais pedidas ou guardadas
- Quando o Credential Guard está ativado numa VM, protege segredos de ataques dentro da VM. No entanto, não fornece proteção contra ataques de sistema privilegiados provenientes do anfitrião
- Os verificadores de palavras-passe em cache de início de sessão do Windows (normalmente denominados credenciais em cache) não se qualificam como credenciais porque não podem ser apresentados a outro computador para autenticação e só podem ser utilizados localmente para verificar as credenciais. São armazenados no registo no computador local e fornecem validação para credenciais quando um computador associado a um domínio não consegue ligar ao AD DS durante o início de sessão do utilizador. Estes inícios de sessão em cache, ou mais especificamente, as informações da conta de domínio em cache, podem ser geridos com a definição de política de segurança Início de sessão interativo: Número de inícios de sessão anteriores a colocar em cache se um controlador de domínio não estiver disponível
Próximas etapas
- Saiba como configurar o Credential Guard
- Reveja os conselhos e o código de exemplo para tornar o seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Rever considerações e problemas conhecidos ao utilizar o Credential Guard