O Windows Credential Guard é um recurso de segurança que protege as credenciais de autenticação contra ataques mal-intencionados. Ele impede que hackers adulterem as ferramentas do sistema ou executem códigos maliciosos em seu computador. Esse recurso está disponível nas versões Enterprise e Pro do Windows 10 e Windows 11. Você deve considerar habilitar o Credential Guard se manusear ou acessar dados confidenciais local ou remotamente em um domínio ou grupo de trabalho do Windows.
O que é o Credential Guard exatamente?
Quando você inicia o computador, um processo chamado LSASS (Local Security Authority Server Service) autentica as credenciais de login e concede acesso a você. O LSASS também armazena essas credenciais (senhas criptografadas, hashes NT, hashes LM e tíquetes Kerberos) na memória durante as sessões ativas, para que você não precise digitar novamente sua senha toda vez que precisar fazer alterações ou acessar arquivos.
Salvar as credenciais na memória durante as sessões é útil em comparação com a alternativa: autenticação de identidade manual a cada etapa. Concedido, inserir credenciais de autenticação de vez em quando melhora a segurança. Mas as credenciais de autenticação são demoradas, especialmente em suas formas hash. Seria especialmente inconveniente se você tivesse que fazer uma alteração rapidamente e particularmente frustrante se cometesse um erro e tivesse que digitar novamente uma senha. E se você tiver que anotar a senha em algum lugar, isso pode aumentar seu risco de segurança. O LSASS lida com autenticações, para que o uso do dispositivo seja eficiente.
Mas, como você pode imaginar, com qualquer coisa que armazene dados valiosos e confidenciais, o LSASS é um jackpot para os hackers. Eles podem comprometer o LSASS por meio de ataques de roubo de credenciais usando ferramentas como Mimikatz, Crackmapexec e Lsassy. Os hackers usam essas ferramentas para excluir, substituir ou alterar o arquivo real do sistema (lsass.exe).
Existem maneiras de impedir o roubo de credenciais antes que um hacker cause danos imensos, e é possível interromper um ataque assim que você o descobrir. No entanto, é melhor prevenir o ataque em primeiro lugar. O Credential Guard protege contra ataques mal-intencionados criando um processo LSASS isolado (LSAIso) que armazena os dados de autenticação com segurança.
Por que você deve habilitar o Credential Guard no seu PC
O recurso de segurança isola as credenciais de login do restante da memória do sistema, bem como do processo principal (lsass.exe) que lida com a autenticação. Então, é essencialmente uma caixa preta.
Você deve usar o Credential Guard se tiver vários computadores que fazem parte de um domínio ou grupo de trabalho. Por que? Um invasor que compromete um dispositivo com credenciais de login de administrador pode comprometer toda a rede. A habilitação desse recurso evita efetivamente que um invasor obtenha controle total de informações confidenciais se comprometer um sistema.
Seu sistema deve atender aos requisitos
O Windows Credential Guard é exclusivo para os tipos Enterprise e Pro do Windows 10 e 11. As versões recentes dos servidores Windows também possuem esse recurso de segurança, mas o dispositivo deve atender a requisitos rígidos de hardware e software.
Para iniciantes, o dispositivo deve ter uma CPU de 64 bits (para oferecer suporte à segurança baseada em virtualização) e inicialização segura. A Microsoft também recomenda ter Módulo de plataforma confiável (TPM) versões 1.2 ou 2.0 e bloqueio UEFI (para impedir que invasores ignorem a configuração de segurança com o regedit). Você pode verificar o requisitos básicos com base no computador ou servidor que você deseja proteger.
Como habilitar o Credential Guard no Windows
Seu computador ou servidor terá o Credential Guard ativado por padrão se atender aos requisitos básicos da Microsoft. Para verificar se esse recurso de segurança já está ativado, pressione Começar em seguida, digite "msinfo32.exe". Selecione Informações do sistema > Resumo do sistema. Você deve ver “Serviços de segurança baseados em virtualização em execução” e “Protetor de credenciais, integridade de código aplicada por hipervisor” próximos um do outro.
Se o Credential Guard não estiver ativado em seu computador, você poderá ativar o recurso de três maneiras principais: por meio da Política de Grupo, editando o Registro do Windows ou usando o Microsoft Intune. Há também a opção de habilitar o Credential Guard com bloqueio UEFI se você for um usuário avançado. A maioria dos administradores achará mais fácil habilitar esse recurso com a Diretiva de Grupo.
Como desativar o Credential Guard no Windows
Apesar de sua utilidade na prevenção de roubo de credenciais e ataques Pass the Hash, o Credential Guard fará com que alguns serviços e protocolos sejam interrompidos. Por exemplo, habilitar o recurso de segurança impede que você use Windows To Go, delegação irrestrita de Kerberos e criptografia DES.
Além disso, você não pode usar provedores de suporte de segurança (SSPs) terceirizados porque eles são vulneráveis a ataques de roubo de credenciais. Pontos de extremidade Wi-Fi e VPN baseados em MS-CHAPv2 são igualmente vulneráveis e serão desativados quando você ativar o Credentials Guard.
Se você precisar de alguns dos recursos mencionados acima, poderá desativar o Credential Guard pelo tempo que precisar. Mas certifique-se de definir um lembrete para reativá-lo.
Desativando com o Editor de Diretiva de Grupo
Sua primeira opção é desabilitar o Credential Guard alterando as configurações da Diretiva de Grupo.
Para fazer isso, pressione Começar e digite “gpedit” e selecione Editar política de grupo. Vá para Configuração do computador > Modelos administrativos > Sistema > Proteção de dispositivo > Ativar segurança baseada em virtualização > Opções. Defina "Configuração do Credential Guard" para Desabilitado, clique OK para salvar a alteração e reinicie o computador.
Desativando com o Regedit
Essa opção é ótima se você habilitou o Defender Credential Guard usando um método diferente do UEFI Lock e Group Policy. Para desabilitar o Credential Guard com o Regedit, pressione Começar e digite "regedit". Selecione Editor do Registro. Primeiro, navegue até o caminho do arquivo HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags e defina o valor como "0".
Em seguida, navegue de volta para HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags e defina o valor como "0".
Você também pode seguir instruções da Microsoft para desabilitar o Credential Guard com bloqueio UEFI ou desabilitar o recurso de segurança em uma máquina virtual.
Habilitar o Credential Guard é apenas uma prevenção
A regra geral é instalar uma cerca ao redor de seu jardim antes de plantar, especialmente se você mora em uma área com gado em liberdade. Essa cerca seria inútil se você já tivesse cabras em sua propriedade - nesse caso, você precisaria expulsá-las.
O mesmo princípio se aplica à proteção de seus dados de login confidenciais. Quando ativado, o Credential Guard impede que hackers roubem seus dados. No entanto, seria ineficaz se o invasor já tivesse se estabelecido em sua rede ou comprometido o dispositivo. Portanto, se você decidir usar esse recurso de segurança em um novo computador de trabalho, certifique-se de habilitá-lo antes que o computador ingresse no domínio ou grupo de trabalho do Windows.
