Visão geral do Credential Guard

O Credential Guard evita ataques de roubo de credencial protegendo hashes de senha NTLM, TGTs (TGTs) e credenciais armazenadas por aplicativos como credenciais de domínio.

O Credential Guard usa a VBS (segurança baseada em virtualização) para isolar segredos para que apenas o software do sistema privilegiado possa acessá-los. O acesso não autorizado a esses segredos pode levar a ataques de roubo de credencial, como passar o hash e passar o tíquete.

Quando habilitado, o Credential Guard fornece os seguintes benefícios:

  • Segurança de hardware: NTLM, Kerberos e Credential Manager aproveitam os recursos de segurança da plataforma, incluindo Inicialização Segura e virtualização, para proteger credenciais
  • Segurança baseada em virtualização: NTLM, credenciais derivadas do Kerberos e outros segredos são executados em um ambiente protegido isolado do sistema operacional em execução
  • Proteção contra ameaças persistentes avançadas: quando as credenciais são protegidas usando o VBS, as técnicas de ataque de roubo de credencial e as ferramentas usadas em muitos ataques direcionados são bloqueadas. O malware em execução no sistema operacional com privilégios administrativos não pode extrair segredos protegidos pelo VBS

Observação

Embora a Credential Guard seja uma atenuação poderosa, os ataques de ameaças persistentes provavelmente mudarão para novas técnicas de ataque, e você também deve incorporar outras estratégias de segurança e arquiteturas.

Importante

A partir de Windows 11, as versões 22H2, VBS e Credential Guard são habilitadas por padrão em todos os dispositivos que atendem aos requisitos do sistema.
Para obter informações sobre problemas conhecidos relacionados à habilitação padrão do Credential Guard, consulte Credential Guard: Problemas conhecidos.

Requisitos de sistema

Para que o Credential Guard forneça proteção, os dispositivos devem atender a determinados requisitos de hardware, firmware e software.

Dispositivos que atendem a mais qualificações de hardware e firmware do que os requisitos mínimos, recebem proteções adicionais e são mais endurecidos contra determinadas ameaças.

Requisitos de hardware e software

O Credential Guard requer os recursos:

Embora não seja necessário, os seguintes recursos são recomendados para fornecer proteções adicionais:

  • TPM (Trusted Platform Module), pois fornece associação ao hardware. Há suporte para as versões 1.2 e 2.0 do TPM, discretas ou firmware
  • Bloqueio UEFI, pois impede que os invasores desabilitem o Credential Guard com uma alteração de chave do registro

Para obter informações detalhadas sobre proteções para melhorar a segurança associada a opções de hardware e firmware, consulte qualificações de segurança adicionais.

Credential Guard em máquinas virtuais

O Credential Guard pode proteger segredos em máquinas virtuais do Hyper-V, assim como faria em uma máquina física. Quando o Credential Guard está habilitado em uma VM, os segredos são protegidos contra ataques dentro da VM. O Credential Guard não fornece proteção contra ataques privilegiados do sistema originados do host.

Os requisitos para executar o Credential Guard em máquinas virtuais do Hyper-V são:

  • O host Hyper-V deve ter uma IOMMU
  • A máquina virtual Hyper-V deve ser a geração 2

Observação

Não há suporte para o Credential Guard em VMs da geração 1 do Hyper-V ou do Azure. O Credential Guard está disponível apenas em VMs de geração 2.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte ao Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Educação do Windows
Não Sim Não Sim

Os direitos de licença da Credential Guard são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Educação A5
Não Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Requisitos de aplicativo

Quando o Credential Guard está habilitado, determinadas funcionalidades de autenticação são bloqueadas. Aplicativos que exigem essas funcionalidades são interrompidos. Nos referimos a esses requisitos como requisitos de aplicativo.

Os aplicativos devem ser testados antes da implantação para garantir a compatibilidade com a funcionalidade reduzida.

Aviso

Não é recomendável habilitar o Credential Guard em controladores de domínio. O Credential Guard não fornece nenhuma segurança adicional aos controladores de domínio e pode causar problemas de compatibilidade do aplicativo em controladores de domínio.

Observação

O Credential Guard não fornece proteções para o banco de dados do Active Directory ou o SAM (Security Accounts Manager). As credenciais protegidas por Kerberos e NTLM quando o Credential Guard está habilitado também estão no banco de dados do Active Directory (em controladores de domínio) e no SAM (para contas locais).

Os aplicativos serão interrompidos se precisarem:

  • Suporte a criptografia DES Kerberos
  • Delegação irrestrita de Kerberos
  • Extração de TGT Kerberos
  • NTLMv1

Os aplicativos solicitam e expõem credenciais a riscos se precisarem:

  • Autenticação digest
  • Delegação de credenciais
  • MS-CHAPv2

Os aplicativos podem causar problemas de desempenho quando tentam enganchar o processo LSAIso.exeisolado do Credential Guard .

Serviços ou protocolos que dependem de Kerberos, como compartilhamentos de arquivos ou área de trabalho remota, continuam funcionando e não são afetados pelo Credential Guard.

Próximas etapas