O que é o Credential Guard e como verificar se ele está ativado?

Proteger as credenciais no Windows tornou-se uma tarefa crítica para qualquer empresa que leve a cibersegurança a sério. Sempre que um usuário faz login, as credenciais são geradas e armazenadas. segredos de autenticação extremamente valiosos (hashes, tickets, tokens, etc.) que, se caírem nas mãos de um atacante, permitem que ele se movimente pela rede como se fosse um usuário legítimo. É exatamente aí que o Credential Guard entra em ação.

O Windows Defender Credential Guard é um recurso de segurança que utiliza a Segurança baseada em virtualização (VBS) Isolar esses segredos e impedir que o sistema operacional "normal" ou malware com privilégios elevados acessem-nos. Embora não seja uma solução infalível e não cubra todos os tipos de credenciais ou vetores de ataque, reduz drasticamente a eficácia de técnicas clássicas como... Pass-the-Hash e Passe o Bilhetebem como ferramentas como o Mimikatz em muitos cenários.

O que exatamente é o Windows Defender Credential Guard?

O Credential Guard é um recurso do Windows projetado para Proteja as credenciais de domínio e outros segredos de autenticação. Essa tecnologia protege contra ataques que tentam ler os dados diretamente da memória do sistema. Ela surgiu pela primeira vez no Windows 10 Enterprise e no Windows Server 2016, e ainda está presente em versões posteriores do Windows 11 e do Windows Server.

Em termos gerais, o Credential Guard depende do VBS para executar parte do processo de segurança em um ambiente isolado pelo hipervisor, separado do sistema operacional principal. Em vez dos segredos residirem diretamente na memória do processo tradicional de Autoridade de Segurança Local (LSA) (lsass.exe), são armazenados em um processo protegido e independente, geralmente gerenciado por LsaIso.exe, que só pode ser acessado pelo código mais privilegiado e confiável.

Essa separação visa impedir que malwares que obtiveram privilégios de administrador simplesmente... despejar a memória LSASS para extrair hashes NTLM, tickets Kerberos ou credenciais armazenadas no Gerenciador de Credenciais. A abordagem não consiste em alterar os protocolos de autenticação, mas sim em... para garantir onde e como as credenciais são armazenadas na memória..

Segredos e serviços protegidos pelo Credential Guard

O recurso protege vários tipos de credenciais que tradicionalmente têm sido alvos principais de ataques. Entre os segredos que o Credential Guard protege estão, principalmente, aqueles relacionados a:

• NTLMHashes de senha NTLM usados ​​para autenticação.
• CérberoEspecificamente, o Ticket de Concessão de Tickets (TGT), que permite solicitar outros tickets de serviço.
• Gerente de CredenciaisCredenciais de domínio armazenadas por aplicativos e serviços.
• Logins locais e remotos que dependem das credenciais de domínio.

Em versões anteriores do Windows, esses segredos residiam na memória do processo. LSASS de forma acessível Para um atacante com privilégios elevados. Com o Credential Guard ativado, um processo LSA isolado é executado, o qual não expõe diretamente esses segredos a ferramentas que tentam ler a memória padrão do sistema operacional.

Como funcionam a segurança baseada em virtualização (VBS) e o modo seguro virtual (VSM)

A chave do Credential Guard é o VBS, uma tecnologia que utiliza o hipervisor do Windows para criar ambientes de execução isolados dentro da mesma máquina física. Nesse ambiente, frequentemente chamado de Modo Virtual Seguro (VSM), são executados serviços de segurança que gerenciam segredos de autenticação.

Quando o Credential Guard está ativo, os segredos são armazenados na memória do VSM e não no... espaço de memória normal do sistema operacionalO hipervisor garante que apenas códigos altamente privilegiados e verificados possam acessá-los. Dessa forma, mesmo que um invasor consiga comprometer o sistema operacional com privilégios de administrador, suas chances de ler diretamente esses segredos são drasticamente reduzidas.

Em hardware moderno que inclui um TPM 2.0 compatível, os dados persistentes do VSM podem ser criptografados com um Chave mestra VSMEssa chave é armazenada e protegida pelo TPM e seus mecanismos de raiz de confiança no nível do firmware. Como resultado, mesmo que alguém tente adulterar o processo de inicialização ou clonar um disco, Você não poderá acessar segredos protegidos fora de um ambiente verificado..

É importante notar também que o Credential Guard normalmente não armazena dados como os seguintes em disco: Hash NTLM ou TGTEsses dados são regenerados a cada login e perdidos entre reinicializações, portanto, não dependem diretamente da chave mestra do VSM ou do TPM para permanecerem seguros após o desligamento.

Limitações e credenciais que o Credential Guard não protege.

Apesar de suas vantagens, o Credential Guard tem limitações claras que precisam ser compreendidas Para evitar excesso de confiança. Existem credenciais e fluxos de autenticação que estão fora do escopo de proteção ou que simplesmente não funcionam da mesma maneira quando o recurso está ativo.

Por um lado, quando o Credential Guard está ativado, certos protocolos legados, como NTLMv1, MS-CHAPv2, Digest e CredSSP Não é possível usar credenciais de uma sessão já autenticada. Isso significa que o logon único (SSO) com esses protocolos deixa de funcionar. Aplicativos que dependem deles podem ter que solicitar novamente o nome de usuário e a senha ou usar credenciais armazenadas no repositório do Windows. que, nesses casos, não são protegidos pelo Credential Guard..

Além disso, existem métodos de gerenciamento de credenciais que estão completamente fora do escopo desta função, tais como:

• Software de terceiros que armazena senhas ou tokens fora da infraestrutura padrão do Windows.
• Contas locais e contas da Microsoft, que não gozam do mesmo tipo de isolamento que as credenciais de domínio.
• Bancos de dados do Active Directory hospedado em controladores de domínio do Windows Server. O Credential Guard não protege diretamente o banco de dados do Active Directory nem os canais de entrada de credenciais em serviços como o Gateway de Área de Trabalho Remota.
• Keyloggers e outros dispositivos de captura de entrada: se o atacante gravar as teclas digitadas, ele poderá roubar a senha antes mesmo que ela seja armazenada no LSASS ou no sandbox.
• Ataques físicos ao equipamento (por exemplo, acesso a memória ativa ou leitura de disco usando técnicas avançadas).

Vale ressaltar também que o Credential Guard não impede que um invasor que já tenha malware na máquina obtenha acesso. Utilize os privilégios de credenciais válidas. que foram obtidas por meios alternativos. Por exemplo, se um administrador fizer login em uma máquina já comprometida, o invasor poderá aproveitar a sessão ativa para executar ações com as permissões do administrador, mesmo que não consiga extrair o hash NTLM do ambiente isolado (sandbox).

Por outro lado, o credenciais de login em cache Os logins do Windows (frequentemente chamados de "logins em cache") também não se enquadram na categoria de credenciais reutilizáveis ​​em outros computadores. Eles são armazenados no registro local e usados ​​apenas para validar logins quando o domínio está indisponível. Esses logins são gerenciados pela política de segurança "Logon interativo: Número de logins anteriores a serem armazenados em cache". Eles não são especificamente protegidos pelo Credential Guard..

Finalmente, o Vouchers de serviço Kerberos Eles não são protegidos pelo Credential Guard, embora o TGT seja. E quando o Credential Guard está ativo, o Kerberos não permite delegação irrestrita nem criptografia DES, nem para credenciais iniciadas, nem para credenciais solicitadas ou salvas.

Benefícios contra ataques de roubo de credenciais

O principal objetivo do Credential Guard é impedir ataques de "roubo e reutilização" de credenciais, em particular:

• Pass-the-HashReutilização de hashes NTLM roubados para autenticação em outros sistemas.
• Passe o Bilhete: uso indevido de tickets Kerberos (TGT ou de serviço) obtidos de uma máquina comprometida.

Ao isolar os segredos no VSM e limitar quem pode acessá-los, muitas das técnicas que utilizam ferramentas como o Mimikatz são bloqueadas. despejar a memória LSASSEm um ambiente sem Credential Guard, o Mimikatz consegue extrair hashes NTLM e tickets Kerberos com relativa facilidade, desde que o atacante tenha privilégios de administrador. Com o Credential Guard ativado, o processo LSA isolado impede que esses segredos fiquem disponíveis na memória acessível pelo sistema operacional padrão.

Mesmo assim, é importante entender que o Credential Guard não é invulnerável. O Mimikatz e ferramentas similares ainda podem, por exemplo, Capturar credenciais enquanto elas estão sendo digitadas.Se o sistema já estiver comprometido e o usuário com privilégios fizer login posteriormente, o autor do Mimikatz alertou que, mesmo que o invasor obtenha o controle do endpoint antes que o administrador insira suas credenciais, ainda existem maneiras de roubá-las. Além disso, o Credential Guard não protege contra o uso malicioso de credenciais por... usuários internos legítimosSe alguém tiver acesso autorizado a um recurso, essa tecnologia não impedirá que essa pessoa copie dados confidenciais.

Ativado por padrão no Windows 11 e no Windows Server.

Nas versões recentes do sistema, a Microsoft foi além e possibilitou a combinação de VBS e Credential Guard Em determinados dispositivos. A partir do Windows 11, versão 22H2, e do Windows Server 2025, os computadores que atendem aos requisitos mínimos têm esses recursos ativados automaticamente.

A configuração de fábrica é normalmente feita sem bloqueio UEFIIsso significa que os administradores podem desativar remotamente o Credential Guard se o considerarem essencial, por exemplo, devido a uma incompatibilidade crítica com um aplicativo legado. Quando o Credential Guard está ativado, o VBS também é ativado automaticamente.

É importante saber que, se uma equipe já possuía o Credential Guard, isso não seria possível. explicitamente desativado Antes de atualizar para uma versão do Windows onde o recurso está habilitado por padrão, o estado "desabilitado" é mantido após a atualização. A política explícita sempre prevalece sobre o comportamento padrão após uma reinicialização.

Requisitos de hardware, firmware e software

Para que o Credential Guard ofereça proteção eficaz, o dispositivo deve estar em conformidade. Requisitos mínimos de hardware, firmware e sistema operacionalQuanto mais moderno e completo for o hardware, maior será o nível de proteção alcançável.

Os principais requisitos incluem:

• CPU de 64 bits, com suporte à virtualização de hardware.
• Segurança baseada em virtualização ativado (VBS).
• Modo de segurança ativado e configurado.

Além disso, embora nem sempre seja obrigatório, é altamente recomendável ter:

• TPM (Trusted Platform Module) versão 1.2 ou 2.0, seja em dispositivo dedicado ou firmware, para vincular a proteção ao hardware e armazenar chaves mestras com segurança.
• Bloqueio UEFIo que impede que um invasor desative o Credential Guard simplesmente modificando entradas do Registro ou fazendo alterações de configuração de baixo nível.

Equipes que atendam a esses requisitos básicos podem ser elegíveis para classificações de segurança adicionais e níveis mais elevados de proteção contra ameaças que tentam explorar a cadeia de inicialização ou o acesso direto à memória.

Utilizando o Credential Guard em máquinas virtuais Hyper-V

O Credential Guard também pode proteger segredos em máquinas virtuais executadas no Hyper-V, da mesma forma que faz em hardware físico. Quando habilitado em uma máquina virtual, os segredos ficam isolados de ataques originados de... dentro dessa mesma máquina virtual.

No entanto, existem nuances importantes: o Credential Guard não oferece proteção contra ataques de privilégios elevados lançados a partir do hospedar que a máquina virtual está em execução. Ou seja, o administrador do host ou um invasor que controla o sistema físico subjacente ainda pode ter opções de manipulação.

Para que o Credential Guard funcione em uma máquina virtual Hyper-V, são necessários pelo menos os seguintes requisitos:

• Um host Hyper-V com IOMMU (unidade de gerenciamento de memória de entrada/saída) compatível.
• Uma máquina virtual de Geração 2, que oferece suporte à inicialização segura UEFI e às extensões necessárias.

A partir do host, é possível até mesmo desativar o Credential Guard para uma VM específica usando o PowerShell, com um comando semelhante a: Set-VMSecurity -VirtualizationBasedSecurityOptOut $true, apontando para o nome da máquina virtual.

Licenças e edições do Windows compatíveis

O Credential Guard não está disponível em todas as edições do Windows. A Microsoft o reservou para as versões voltadas para negócios e educação, deixando de fora algumas edições profissionais padrão.

Em relação à compatibilidade por edição do Windows, de forma geral, aplica-se o seguinte:

• Windows Enterprise- Compatível com o Credential Guard.
• Windows Education: compatível.
• Windows Pro e Windows Pro Education/SENão inclui suporte direto para o Credential Guard.

Em relação aos direitos de licenciamento, a funcionalidade está vinculada a assinaturas corporativas e educacionais. Entre as licenças que Sim, eles concedem direitos de uso. O Credential Guard inclui:

• Windows Enterprise E3
• Windows Enterprise E5
• Windows Education A3
• Windows Education A5

Outras licenças, como Windows Pro ou Pro Education Standard, não incluem esses direitos por padrão. Para obter informações mais detalhadas sobre o que cada licença inclui e quais cenários ela abrange, recomenda-se consultar a documentação oficial. Licenciamento do Windows.

Impacto em aplicações e protocolos de autenticação

A ativação do Credential Guard tem consequências diretas em alguns casos. protocolos de autenticação legados e certas funcionalidades de Kerberos e NTLM, que muitos aplicativos legados ainda utilizam. Antes de uma implantação em massa, é crucial identificar os requisitos e testar a compatibilidade.

Os aplicativos deixarão de funcionar corretamente se exigirem alguma das seguintes funcionalidades:

• Apoio para Criptografia DES em Kerberos.
• Delegação Kerberos sem restrições.
• Extração de Kerberos TGT do sistema.
• Uso de NTLMv1 como um protocolo de autenticação.

Outros cenários não necessariamente quebram o aplicativo, mas podem causar problemas. aumentar o risco de exposição das credenciais, caso ainda estejam sendo utilizadas:

• Autenticação implícita que captura ou reutiliza credenciais em texto simples.
• Delegação de credenciais sem as devidas salvaguardas.
• Protocolos como MS-CHAPv2 y CredSSPo que pode forçar o usuário a inserir credenciais que são armazenadas de forma menos segura.

Alguns serviços ou aplicativos que tentam vincular diretamente o processo isolado LSAIso.exe Eles podem causar problemas de desempenho ou mau funcionamento se não forem projetados para funcionar com esse novo modelo. Por outro lado, serviços que dependem do Kerberos por padrão, como compartilhamentos SMB ou conexões de Área de Trabalho Remota bem configuradas, Eles devem continuar a funcionar normalmente. Quando o Credential Guard estiver ativado.

Como habilitar o Credential Guard em ambientes corporativos

A recomendação de segurança é ativar o Credential Guard. antes de associar um dispositivo ao domínio ou antes que um usuário do domínio faça login pela primeira vez, para que os segredos nunca sejam armazenados sem proteção reforçada. Se ativada após a máquina estar em uso por algum tempo, algumas credenciais podem já ter sido comprometidas.

Existem vários métodos principais para habilitar o Credential Guard em uma frota de dispositivos Windows:

• Microsoft Intune / MDM.
• Ordem de Política de Grupo (GPO).
• Configuração direta do registro.

Configuração usando o Microsoft Intune e políticas MDM

Em um ambiente gerenciado pelo Intune, as configurações podem ser implementadas por meio de perfis de segurança ou políticas personalizadas. O fluxo de trabalho típico envolve a criação de uma política de proteção de conta ou equivalente e a definição dos parâmetros para Ative o VBS e defina a configuração do Credential Guard..

Ao usar um CSP (Provedor de Serviço de Configuração) como o DeviceGuard, as chaves relevantes incluem:

• Nome da configuração: “Habilitar segurança baseada em virtualização”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo de dados: inteiro. Valor: 1 para ativar.
• Nome da configuração: “Configuração do Credential Guard”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo de dados: inteiro. Valores típicos:
  • 1: ativado com bloqueio UEFI.
  • 2: ativado sem bloqueio.

Após a aplicação da política ao grupo desejado de dispositivos ou usuários, é necessário Reinicie o computador para que o hipervisor e o ambiente VSM sejam inicializados corretamente e o Credential Guard entre em operação.

Habilitando usando a Política de Grupo (GPO)

Em domínios baseados no Active Directory, a maneira clássica de configurar o Credential Guard é através do Editor de Políticas de GrupoEle pode ser configurado tanto no Editor de Políticas Locais de cada computador quanto em GPOs vinculados a UOs ou a todo o domínio.

O caminho de configuração padrão é:

Configuração do dispositivo → Modelos administrativos → Sistema → Device Guard

Nesse caminho, você precisa editar a política "Habilitar segurança baseada em virtualização" e definir seu status como HabilitadoNo menu suspenso “Configurações do Credential Guard”, você pode escolher entre “Ativado com bloqueio UEFI” ou “Ativado sem bloqueio”, dependendo do nível de restrição desejado. Após a atualização da política e a reinicialização, a proteção estará ativa.

Configuração avançada via Registro

Para cenários ou automações específicas, também é possível configurar o Credential Guard manipulando diretamente o arquivo. Registro do WindowsAs chaves mais relevantes são:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Chave: EnableVirtualizationBasedSecurity (REG_DWORD). Valor: 1 Para ativar o VBS.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Chave: RequirePlatformSecurityFeatures (REG_DWORD). Valores típicos:
  • 1 Para uso exclusivo em inicialização segura.
  • 3 Para usar a inicialização segura e a proteção DMA.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Chave: LsaCfgFlags (REG_DWORD). Valores:
  • 1Ative o Credential Guard com bloqueio UEFI.
  • 2Ative o Credential Guard sem bloquear.

Após aplicar essas alterações, você precisa Reinicie a máquina para que a nova configuração entre em vigor e o ambiente protegido seja iniciado.

Como verificar se o Credential Guard está realmente em execução

Um erro comum é focar-se apenas em saber se o processo LsaIso.exe Ele aparece no Gerenciador de Tarefas, sugerindo que o Credential Guard está ativo. A Microsoft não recomenda este método como uma verificação definitiva, pois pode... não refletem com precisão o estado real da proteção.

Em vez disso, existem três métodos mais confiáveis ​​para verificar o status do Credential Guard:

• Ferramenta Informações do sistema (msinfo32.exe).
• Comandos de PowerShell.
• Revisão dos eventos no Visualizador de Eventos.

Com as informações do sistema, basta executar msinfo32.exeSelecione “Resumo do Sistema” e verifique o campo “Serviços de Segurança Baseados em Virtualização em Execução”. Se “Credential Guard” estiver listado entre os serviços ativos, significa que A função está realmente funcionando..

Por meio do PowerShell, você pode executar o comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

O valor retornado indicará o status da execução:

• 0Credential Guard desativado (não está em execução).
• 1O Credential Guard está ativado e operacional.

Além disso, eventos relacionados podem ser visualizados no Visualizador de Eventos, filtrando por Windows Logs\System devido à origem dos eventos WinInitA análise periódica desses eventos, combinada com consultas WMI ou auditorias de segurança, ajuda a Confirmar a saúde e o estado da implementação. em toda a frota.

Opções para desativar o Credential Guard

Embora não seja o ideal do ponto de vista da segurança, às vezes é necessário. Desativar o Credential Guard devido a problemas de compatibilidade com aplicações críticas ou protocolos legados que não podem ser substituídos a curto prazo.

O procedimento para desativar o recurso varia dependendo de como ele foi ativado inicialmente. De modo geral, você deve:

• Reverter a configuração aplicada pelo Intune, GPO ou Registro, retornando os valores de VBS e LsaCfgFlags ao seu estado desativado.
• Reinicie o dispositivo para interromper o carregamento de componentes de segurança baseados em virtualização.

Se o Credential Guard foi configurado com Bloqueio UEFIA situação se complica um pouco porque parte do estado é armazenada em variáveis ​​EFI dentro do firmware. Nesse caso, além de desfazer a configuração no Windows, é necessário executar uma série de comandos com bcdedit a partir de um prompt de comando elevado para carregar uma ferramenta de configuração especial (SecConfig.efi) durante a inicialização.

O fluxo geralmente é algo assim:

• Monte uma partição EFI temporária usando mountvol e copie-o SecConfig.efi.
• Crie uma entrada de carregador de sistema com bcdedit /createapontando para SecConfig.efi.
• Configure uma sequência de inicialização temporária para executar essa entrada na próxima reinicialização e passe a opção. DESATIVAR-LSA-ISO.
• Reinicie a máquina e, quando a mensagem de pré-inicialização aparecer, Confirme a alteração na configuração UEFI. para que a desativação persista.

Sem essa confirmação, o firmware não registrará a alteração e o Credential Guard permanecerá bloqueado no nível da UEFI, mesmo que a configuração tenha sido modificada no sistema operacional.

Em máquinas virtuais, o host Hyper-V pode desativar o uso do VBS e do Credential Guard para uma VM específica usando o comando do PowerShell. Definir-VMSecurity com a opção de exclusão correspondente.

Em alguns ambientes, observou-se que, após certas atualizações do Windows, computadores que utilizavam autenticação de Área de Trabalho Remota com SSO ou métodos legados começam a exibir mensagens que As credenciais não são mais válidas.Em muitos desses casos, a solução temporária aplicada foi desativar o Credential Guard na política de grupo local (GPEDIT.msc), navegando até Configuração do Computador → Modelos Administrativos → Sistema → Device Guard → “Ativar segurança baseada em virtualização” e marcando a opção de configuração do Credential Guard como “Desativado”.

O Credential Guard se consolidou como um componente essencial das estratégias de proteção de identidade no Windows, especialmente em ambientes com Active Directory extenso e contas privilegiadas altamente sensíveis. Aproveitando essa capacidade, VBS, TPM e isolamento de memóriaEssa tecnologia torna a vida muito mais difícil para os atacantes que tentam se movimentar lateralmente roubando credenciais da memória de endpoints e servidores, desde que seja complementada por boas práticas, ferramentas de monitoramento e gerenciamento adequado de aplicativos e protocolos legados.