Configurar o Credential Guard

Este artigo descreve como configurar o Credential Guard usando Microsoft Intune, Política de Grupo ou o registro.

Habilitação padrão

A partir de Windows 11, versão 22H2, o Credential Guard é ativado por padrão em dispositivos que atendem aos requisitos. A habilitação padrão é sem o BLOQUEIO UEFI, o que permite que os administradores desabilitem o Credential Guard remotamente, se necessário.

Se o Credential Guard ou o VBS estiverem desabilitados antes que um dispositivo seja atualizado para Windows 11, versão 22H2 ou posterior, a habilitação padrão não substituirá as configurações existentes.

Embora o estado padrão do Credential Guard tenha sido alterado, os administradores do sistema podem habilitá-lo ou desabilitá-lo usando um dos métodos descritos neste artigo.

Importante

Para obter informações sobre problemas conhecidos relacionados à habilitação padrão, consulte Credential Guard: problemas conhecidos.

Observação

Dispositivos que executam Windows 11 Pro/Pro Edu 22H2 ou posterior podem ter a VBS (Virtualization Based Security) e/ou Credential Guard automaticamente habilitadas se atenderem aos outros requisitos de habilitação padrão e executarem anteriormente o Credential Guard. Por exemplo, se o Credential Guard foi habilitado em um dispositivo Enterprise que mais tarde foi rebaixado para o Pro.

Para determinar se o dispositivo Pro está nesse estado, marcar se a seguinte chave de registro existe: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Nesse cenário, se você quiser desabilitar o VBS e o Credential Guard, siga as instruções para desabilitar a Segurança baseada em Virtualização. Se desejar desabilitar somente o Credential Guard, sem desabilitar o VBS, use os procedimentos para desabilitar o Credential Guard.

Habilitar o Credential Guard

O Credential Guard deve ser habilitado antes que um dispositivo seja ingressado em um domínio ou antes que um usuário de domínio entre pela primeira vez. Se o Credential Guard estiver habilitado após a junção do domínio, os segredos do usuário e do dispositivo já poderão ser comprometidos.

Para habilitar o Credential Guard, você pode usar:

  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Configurar o Credential Guard com Intune

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria Nome da configuração Valor
Device Guard Credential Guard Selecione uma das opções:
 - Habilitado com bloqueio UEFI
 - Habilitado sem bloqueio

Importante

Se você quiser ser capaz de desativar o Credential Guard remotamente, escolha a opção Habilitada sem bloqueio.

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Dica

Você também pode configurar o Credential Guard usando um perfil de proteção de conta na segurança do ponto de extremidade. Para obter mais informações, consulte Configurações de política de proteção de conta para segurança de ponto de extremidade no Microsoft Intune.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.

Configuração
Nome da configuração: ativar segurança baseada em virtualização
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de dados: int
Valor: 1
Nome da configuração: Configuração do Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de dados: int
Valor:
Habilitado com o bloqueio UEFI: 1
Habilitado sem bloqueio: 2

Depois que a política for aplicada, reinicie o dispositivo.

Verificar se o Credential Guard está habilitado

Verificar o Gerenciador de Tarefas se LsaIso.exe estiver em execução não é um método recomendado para determinar se o Credential Guard está em execução. Em vez disso, use um dos seguintes métodos:

  • Informações do sistema
  • Windows PowerShell
  • Visualizador de Eventos

Informações do sistema

Você pode usar informações do sistema para determinar se o Credential Guard está em execução em um dispositivo.

  1. Selecione Iniciar, digitar msinfo32.exee selecione Informações do Sistema
  2. Selecionar Resumo do Sistema
  3. Confirme se o Credential Guard é mostrado ao lado dos Serviços de Segurança baseados em Virtualização em Execução

Windows PowerShell

Você pode usar o PowerShell para determinar se o Credential Guard está em execução em um dispositivo. Em uma sessão do PowerShell elevada, use o seguinte comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

O comando gera a seguinte saída:

  • 0: O Credential Guard está desabilitado (não está em execução)
  • 1: O Credential Guard está habilitado (em execução)

Visualizador de eventos

Execute revisões regulares dos dispositivos que têm o Credential Guard habilitado, usando políticas de auditoria de segurança ou consultas WMI.
Abra o Visualizador de Eventos (eventvwr.exe) e vá para Windows Logs\System e filtre as fontes de evento do WinInit:

ID do evento

Descrição

13 (Informações)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informações)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • A primeira variável: 0x1 ou 0x2 significa que o Credential Guard está configurado para ser executado. 0x0 significa que ele não está configurado para ser executado.
  • A segunda variável: 0 significa que ela está configurada para ser executada no modo de proteção. 1 significa que ele está configurado para ser executado no modo de teste. Essa variável deve ser sempre 0.

15 (Aviso)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Aviso)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

O evento a seguir indica se o TPM é usado para proteção de chave. Caminho: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID do evento

Descrição

51 (Informações)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Se você estiver executando com um TPM, o valor da máscara do TPM PCR será algo diferente de 0.

Desabilitar o Credential Guard

Há opções diferentes para desabilitar o Credential Guard. A opção escolhida depende de como o Credential Guard está configurado:

  • O Credential Guard em execução em uma máquina virtual pode ser desabilitado pelo host
  • Se o Credential Guard estiver habilitado com o BLOQUEIO UEFI, siga o procedimento descrito em desabilitar o Credential Guard com o BLOQUEIO UEFI
  • Se o Credential Guard estiver habilitado sem o BLOQUEIO UEFI ou como parte da habilitação automática no Windows 11, a versão 22H2 atualizar, use uma das seguintes opções para desabilitar:
    • Microsoft Intune/MDM
    • Política de grupo
    • Registro

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Desabilitar o Credential Guard com Intune

Se o Credential Guard estiver habilitado por meio de Intune e sem bloqueio UEFI, desabilitar a mesma configuração de política desabilita o Credential Guard.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria Nome da configuração Valor
Device Guard Credential Guard Desabilitado

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.

Configuração
Nome da configuração: Configuração do Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de dados: int
Valor: 0

Depois que a política for aplicada, reinicie o dispositivo.

Para obter informações sobre como desabilitar o VBS (Virtualization-based Security), confira desabilitar a Segurança baseada em Virtualização.

Desabilitar o Credential Guard com o bloqueio UEFI

Se o Credential Guard estiver habilitado com o bloqueio UEFI, siga esse procedimento, pois as configurações serão persistentes em variáveis EFI (firmware).

Observação

Esse cenário requer presença física no computador para pressionar uma tecla de função para aceitar a alteração.

  1. Siga as etapas em Desabilitar o Credential Guard

  2. Exclua as variáveis EFI do Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Reinicie o dispositivo. Antes das botas do sistema operacional, um prompt aparece notificando que a UEFI foi modificada e solicitando confirmação. O prompt deve ser confirmado para que as alterações persistam.

Desabilitar o Credential Guard para uma máquina virtual

No host, você pode desabilitar o Credential Guard para uma máquina virtual com o seguinte comando:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Desabilitar segurança baseada em virtualização

Se você desabilitar a VBS (Segurança Baseada em Virtualização), desabilitará automaticamente o Credential Guard e outros recursos que dependem de VBS.

Importante

Outros recursos de segurança ao lado do Credential Guard dependem do VBS. Desabilitar o VBS pode ter efeitos colaterais não intencionais.

Use uma das seguintes opções para desabilitar o VBS:

  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Desabilitar o VBS com Intune

Se o VBS estiver habilitado por meio de Intune e sem o BLOQUEIO UEFI, desabilitar a mesma configuração de política desabilita o VBS.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria Nome da configuração Valor
Device Guard Habilitar segurança baseada em virtualização Desabilitada

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política do DeviceGuard.

Configuração
Nome da configuração: ativar segurança baseada em virtualização
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de dados: int
Valor: 0

Depois que a política for aplicada, reinicie o dispositivo.

Se o Credential Guard estiver habilitado com o BLOQUEIO UEFI, as variáveis EFI armazenadas no firmware deverão ser limpas usando o comando bcdedit.exe. Em um prompt de comando elevado, execute os seguintes comandos:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Próximas etapas