Configurar o Credential Guard
Este artigo descreve como configurar o Credential Guard usando Microsoft Intune, Política de Grupo ou o registro.
Habilitação padrão
A partir de Windows 11, versão 22H2, o Credential Guard é ativado por padrão em dispositivos que atendem aos requisitos. A habilitação padrão é sem o BLOQUEIO UEFI, o que permite que os administradores desabilitem o Credential Guard remotamente, se necessário.
Se o Credential Guard ou o VBS estiverem desabilitados antes que um dispositivo seja atualizado para Windows 11, versão 22H2 ou posterior, a habilitação padrão não substituirá as configurações existentes.
Embora o estado padrão do Credential Guard tenha sido alterado, os administradores do sistema podem habilitá-lo ou desabilitá-lo usando um dos métodos descritos neste artigo.
Importante
Para obter informações sobre problemas conhecidos relacionados à habilitação padrão, consulte Credential Guard: problemas conhecidos.
Observação
Dispositivos que executam Windows 11 Pro/Pro Edu 22H2 ou posterior podem ter a VBS (Virtualization Based Security) e/ou Credential Guard automaticamente habilitadas se atenderem aos outros requisitos de habilitação padrão e executarem anteriormente o Credential Guard. Por exemplo, se o Credential Guard foi habilitado em um dispositivo Enterprise que mais tarde foi rebaixado para o Pro.
Para determinar se o dispositivo Pro está nesse estado, marcar se a seguinte chave de registro existe: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret
. Nesse cenário, se você quiser desabilitar o VBS e o Credential Guard, siga as instruções para desabilitar a Segurança baseada em Virtualização. Se desejar desabilitar somente o Credential Guard, sem desabilitar o VBS, use os procedimentos para desabilitar o Credential Guard.
Habilitar o Credential Guard
O Credential Guard deve ser habilitado antes que um dispositivo seja ingressado em um domínio ou antes que um usuário de domínio entre pela primeira vez. Se o Credential Guard estiver habilitado após a junção do domínio, os segredos do usuário e do dispositivo já poderão ser comprometidos.
Para habilitar o Credential Guard, você pode usar:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.
Configurar o Credential Guard com Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
Device Guard | Credential Guard | Selecione uma das opções: - Habilitado com bloqueio UEFI - Habilitado sem bloqueio |
Importante
Se você quiser ser capaz de desativar o Credential Guard remotamente, escolha a opção Habilitada sem bloqueio.
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Dica
Você também pode configurar o Credential Guard usando um perfil de proteção de conta na segurança do ponto de extremidade. Para obter mais informações, consulte Configurações de política de proteção de conta para segurança de ponto de extremidade no Microsoft Intune.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.
Configuração |
---|
Nome da configuração: ativar segurança baseada em virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de dados: int Valor: 1 |
Nome da configuração: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de dados: int Valor: Habilitado com o bloqueio UEFI: 1 Habilitado sem bloqueio: 2 |
Depois que a política for aplicada, reinicie o dispositivo.
Verificar se o Credential Guard está habilitado
Verificar o Gerenciador de Tarefas se LsaIso.exe
estiver em execução não é um método recomendado para determinar se o Credential Guard está em execução. Em vez disso, use um dos seguintes métodos:
- Informações do sistema
- Windows PowerShell
- Visualizador de Eventos
Informações do sistema
Você pode usar informações do sistema para determinar se o Credential Guard está em execução em um dispositivo.
- Selecione Iniciar, digitar
msinfo32.exe
e selecione Informações do Sistema - Selecionar Resumo do Sistema
- Confirme se o Credential Guard é mostrado ao lado dos Serviços de Segurança baseados em Virtualização em Execução
Windows PowerShell
Você pode usar o PowerShell para determinar se o Credential Guard está em execução em um dispositivo. Em uma sessão do PowerShell elevada, use o seguinte comando:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
O comando gera a seguinte saída:
- 0: O Credential Guard está desabilitado (não está em execução)
- 1: O Credential Guard está habilitado (em execução)
Visualizador de eventos
Execute revisões regulares dos dispositivos que têm o Credential Guard habilitado, usando políticas de auditoria de segurança ou consultas WMI.
Abra o Visualizador de Eventos (eventvwr.exe
) e vá para Windows Logs\System
e filtre as fontes de evento do WinInit:
ID do evento
Descrição
13 (Informações)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14
(Informações)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- A primeira variável: 0x1 ou 0x2 significa que o Credential Guard está configurado para ser executado. 0x0 significa que ele não está configurado para ser executado.
- A segunda variável: 0 significa que ela está configurada para ser executada no modo de proteção. 1 significa que ele está configurado para ser executado no modo de teste. Essa variável deve ser sempre 0.
15
(Aviso)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16
(Aviso)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
O evento a seguir indica se o TPM é usado para proteção de chave. Caminho: Applications and Services logs > Microsoft > Windows > Kernel-Boot
ID do evento
Descrição
51 (Informações)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Se você estiver executando com um TPM, o valor da máscara do TPM PCR será algo diferente de 0.
Desabilitar o Credential Guard
Há opções diferentes para desabilitar o Credential Guard. A opção escolhida depende de como o Credential Guard está configurado:
- O Credential Guard em execução em uma máquina virtual pode ser desabilitado pelo host
- Se o Credential Guard estiver habilitado com o BLOQUEIO UEFI, siga o procedimento descrito em desabilitar o Credential Guard com o BLOQUEIO UEFI
- Se o Credential Guard estiver habilitado sem o BLOQUEIO UEFI ou como parte da habilitação automática no Windows 11, a versão 22H2 atualizar, use uma das seguintes opções para desabilitar:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.
Desabilitar o Credential Guard com Intune
Se o Credential Guard estiver habilitado por meio de Intune e sem bloqueio UEFI, desabilitar a mesma configuração de política desabilita o Credential Guard.
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
Device Guard | Credential Guard | Desabilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.
Configuração |
---|
Nome da configuração: Configuração do Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipo de dados: int Valor: 0 |
Depois que a política for aplicada, reinicie o dispositivo.
Para obter informações sobre como desabilitar o VBS (Virtualization-based Security), confira desabilitar a Segurança baseada em Virtualização.
Desabilitar o Credential Guard com o bloqueio UEFI
Se o Credential Guard estiver habilitado com o bloqueio UEFI, siga esse procedimento, pois as configurações serão persistentes em variáveis EFI (firmware).
Observação
Esse cenário requer presença física no computador para pressionar uma tecla de função para aceitar a alteração.
Siga as etapas em Desabilitar o Credential Guard
Exclua as variáveis EFI do Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
Reinicie o dispositivo. Antes das botas do sistema operacional, um prompt aparece notificando que a UEFI foi modificada e solicitando confirmação. O prompt deve ser confirmado para que as alterações persistam.
Desabilitar o Credential Guard para uma máquina virtual
No host, você pode desabilitar o Credential Guard para uma máquina virtual com o seguinte comando:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Desabilitar segurança baseada em virtualização
Se você desabilitar a VBS (Segurança Baseada em Virtualização), desabilitará automaticamente o Credential Guard e outros recursos que dependem de VBS.
Importante
Outros recursos de segurança ao lado do Credential Guard dependem do VBS. Desabilitar o VBS pode ter efeitos colaterais não intencionais.
Use uma das seguintes opções para desabilitar o VBS:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.
Desabilitar o VBS com Intune
Se o VBS estiver habilitado por meio de Intune e sem o BLOQUEIO UEFI, desabilitar a mesma configuração de política desabilita o VBS.
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
Device Guard | Habilitar segurança baseada em virtualização | Desabilitada |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.
Configuração |
---|
Nome da configuração: ativar segurança baseada em virtualização OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipo de dados: int Valor: 0 |
Depois que a política for aplicada, reinicie o dispositivo.
Se o Credential Guard estiver habilitado com o BLOQUEIO UEFI, as variáveis EFI armazenadas no firmware deverão ser limpas usando o comando bcdedit.exe
. Em um prompt de comando elevado, execute os seguintes comandos:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Próximas etapas
- Examine os conselhos e o código de exemplo para tornar seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Examinar considerações e problemas conhecidos ao usar o Credential Guard
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários