Visão geral do Credential Guard
O Credential Guard evita ataques de roubo de credencial protegendo hashes de senha NTLM, TGTs (TGTs) e credenciais armazenadas por aplicativos como credenciais de domínio.
O Credential Guard usa a VBS (segurança baseada em virtualização) para isolar segredos para que apenas o software do sistema privilegiado possa acessá-los. O acesso não autorizado a esses segredos pode levar a ataques de roubo de credencial, como passar o hash e passar o tíquete.
Quando habilitado, o Credential Guard fornece os seguintes benefícios:
- Segurança de hardware: NTLM, Kerberos e Credential Manager aproveitam os recursos de segurança da plataforma, incluindo Inicialização Segura e virtualização, para proteger credenciais
- Segurança baseada em virtualização: NTLM, credenciais derivadas do Kerberos e outros segredos são executados em um ambiente protegido isolado do sistema operacional em execução
- Proteção contra ameaças persistentes avançadas: quando as credenciais são protegidas usando o VBS, as técnicas de ataque de roubo de credencial e as ferramentas usadas em muitos ataques direcionados são bloqueadas. O malware em execução no sistema operacional com privilégios administrativos não pode extrair segredos protegidos pelo VBS
Observação
Embora a Credential Guard seja uma atenuação poderosa, os ataques de ameaças persistentes provavelmente mudarão para novas técnicas de ataque, e você também deve incorporar outras estratégias de segurança e arquiteturas.
Importante
A partir de Windows 11, as versões 22H2, VBS e Credential Guard são habilitadas por padrão em todos os dispositivos que atendem aos requisitos do sistema.
Para obter informações sobre problemas conhecidos relacionados à habilitação padrão do Credential Guard, consulte Credential Guard: Problemas conhecidos.
Requisitos de sistema
Para que o Credential Guard forneça proteção, os dispositivos devem atender a determinados requisitos de hardware, firmware e software.
Dispositivos que atendem a mais qualificações de hardware e firmware do que os requisitos mínimos, recebem proteções adicionais e são mais endurecidos contra determinadas ameaças.
Requisitos de hardware e software
O Credential Guard requer os recursos:
- Segurança baseada em virtualização (VBS)
Observação
O VBS tem requisitos diferentes para habilitá-lo em diferentes plataformas de hardware. Para obter mais informações, confira Requisitos de segurança baseados em virtualização
- Inicialização segura
Embora não seja necessário, os seguintes recursos são recomendados para fornecer proteções adicionais:
- TPM (Trusted Platform Module), pois fornece associação ao hardware. Há suporte para as versões 1.2 e 2.0 do TPM, discretas ou firmware
- Bloqueio UEFI, pois impede que os invasores desabilitem o Credential Guard com uma alteração de chave do registro
Para obter informações detalhadas sobre proteções para melhorar a segurança associada a opções de hardware e firmware, consulte qualificações de segurança adicionais.
Credential Guard em máquinas virtuais
O Credential Guard pode proteger segredos em máquinas virtuais do Hyper-V, assim como faria em uma máquina física. Quando o Credential Guard está habilitado em uma VM, os segredos são protegidos contra ataques dentro da VM. O Credential Guard não fornece proteção contra ataques privilegiados do sistema originados do host.
Os requisitos para executar o Credential Guard em máquinas virtuais do Hyper-V são:
- O host Hyper-V deve ter uma IOMMU
- A máquina virtual Hyper-V deve ser a geração 2
Observação
Não há suporte para o Credential Guard em VMs da geração 1 do Hyper-V ou do Azure. O Credential Guard está disponível apenas em VMs de geração 2.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte ao Credential Guard:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
---|---|---|---|
Não | Sim | Não | Sim |
Os direitos de licença da Credential Guard são concedidos pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
---|---|---|---|---|
Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Requisitos de aplicativo
Quando o Credential Guard está habilitado, determinadas funcionalidades de autenticação são bloqueadas. Aplicativos que exigem essas funcionalidades são interrompidos. Nos referimos a esses requisitos como requisitos de aplicativo.
Os aplicativos devem ser testados antes da implantação para garantir a compatibilidade com a funcionalidade reduzida.
Aviso
Não é recomendável habilitar o Credential Guard em controladores de domínio. O Credential Guard não fornece nenhuma segurança adicional aos controladores de domínio e pode causar problemas de compatibilidade do aplicativo em controladores de domínio.
Observação
O Credential Guard não fornece proteções para o banco de dados do Active Directory ou o SAM (Security Accounts Manager). As credenciais protegidas por Kerberos e NTLM quando o Credential Guard está habilitado também estão no banco de dados do Active Directory (em controladores de domínio) e no SAM (para contas locais).
Os aplicativos serão interrompidos se precisarem:
- Suporte a criptografia DES Kerberos
- Delegação irrestrita de Kerberos
- Extração de TGT Kerberos
- NTLMv1
Os aplicativos solicitam e expõem credenciais a riscos se precisarem:
- Autenticação digest
- Delegação de credenciais
- MS-CHAPv2
Os aplicativos podem causar problemas de desempenho quando tentam enganchar o processo LSAIso.exe
isolado do Credential Guard .
Serviços ou protocolos que dependem de Kerberos, como compartilhamentos de arquivos ou área de trabalho remota, continuam funcionando e não são afetados pelo Credential Guard.
Próximas etapas
- Saiba como funciona o Credential Guard
- Saiba como configurar o Credential Guard
- Examine os conselhos e o código de exemplo para tornar seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
- Examinar considerações e problemas conhecidos ao usar o Credential Guard
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte:Enviar e exibir comentários de