Configurar o Credential Guard

Este artigo descreve como configurar o Credential Guard com Microsoft Intune, Política de Grupo ou o registo.

Ativação predefinida

A partir de Windows 11, 22H2 e Windows Server 2025, o Credential Guard está ativado por predefinição nos dispositivos que cumprem os requisitos.

Os administradores de sistema podem ativar ou desativar explicitamente o Credential Guard através de um dos métodos descritos neste artigo. Os valores explicitamente configurados substituem o estado de ativação predefinido após um reinício.

Se um dispositivo tiver o Credential Guard explicitamente desativado antes de atualizar para uma versão mais recente do Windows onde o Credential Guard está ativado por predefinição, este permanecerá desativado mesmo após a atualização.

Importante

Para obter informações sobre problemas conhecidos relacionados com a ativação predefinida, veja Credential Guard: known issues (Credential Guard: problemas conhecidos).

Habilitar o Credential Guard

O Credential Guard deve ser ativado antes de um dispositivo ser associado a um domínio ou antes de um utilizador de domínio iniciar sessão pela primeira vez. Se o Credential Guard estiver ativado após a associação a um domínio, os segredos do utilizador e do dispositivo poderão já estar comprometidos.

Para ativar o Credential Guard, pode utilizar:

  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Configurar o Credential Guard com Intune

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Device Guard Credential Guard Selecione uma das opções:
  - Ativado com bloqueio UEFI
  - Ativado sem bloqueio

Importante

Se pretender desativar o Credential Guard remotamente, selecione a opção Ativado sem bloqueio.

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Dica

Também pode configurar o Credential Guard com um perfil de proteção de conta na segurança de pontos finais. Para obter mais informações, veja Definições de política de proteção de contas para segurança de pontos finais no Microsoft Intune.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Ativar a Segurança Baseada em Virtualização
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de dados: int
Valor: 1
Nome da definição: Configuração do Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de dados: int
Valor:
Ativado com o bloqueio UEFI: 1
Ativado sem bloqueio: 2

Assim que a política for aplicada, reinicie o dispositivo.

Verificar se o Credential Guard está ativado

Verificar o Gestor de Tarefas se LsaIso.exe está em execução não é um método recomendado para determinar se o Credential Guard está em execução. Em vez disso, utilize um dos seguintes métodos:

  • Informações do sistema
  • Windows PowerShell
  • Visualizador de Eventos

Informações do sistema

Pode utilizar as Informações do Sistema para determinar se o Credential Guard está em execução num dispositivo.

  1. Selecione Iniciar, escreva msinfo32.exee, em seguida, selecione Informações do Sistema
  2. Selecionar Resumo do Sistema
  3. Confirme que o Credential Guard é apresentado junto a Serviços de Segurança Baseados em Virtualização em Execução

Windows PowerShell

Pode utilizar o PowerShell para determinar se o Credential Guard está em execução num dispositivo. A partir de uma sessão elevada do PowerShell, utilize o seguinte comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

O comando gera o seguinte resultado:

  • 0: O Credential Guard está desativado (não em execução)
  • 1: O Credential Guard está ativado (em execução)

Visualizador de eventos

Efetue revisões regulares dos dispositivos que têm o Credential Guard ativado, utilizando políticas de auditoria de segurança ou consultas WMI.
Abra o Visualizador de Eventos (eventvwr.exe) e aceda a Windows Logs\System e filtre as origens de eventos do WinInit:

ID do evento

Descrição

13 (Informações)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informações)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • A primeira variável: 0x1 ou 0x2 significa que o Credential Guard está configurado para ser executado. 0x0 significa que não está configurado para ser executado.
  • A segunda variável: 0 significa que está configurada para ser executada no modo de proteção. 1 significa que está configurado para ser executado no modo de teste. Esta variável deve ser sempre 0.

15 (Aviso)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Aviso)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

O evento seguinte indica se o TPM é utilizado para proteção de chaves. Caminho: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID do evento

Descrição

51 (Informações)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Se estiver a executar com um TPM, o valor da máscara de PCR do TPM é algo diferente de 0.

Desativar o Credential Guard

Existem diferentes opções para desativar o Credential Guard. A opção que escolher depende da forma como o Credential Guard está configurado:

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Desativar o Credential Guard com Intune

Se o Credential Guard estiver ativado através de Intune e sem BLOQUEIO UEFI, desativar a mesma definição de política desativa o Credential Guard.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Device Guard Credential Guard Desabilitado

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Configuração do Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo de dados: int
Valor: 0

Assim que a política for aplicada, reinicie o dispositivo.

Para obter informações sobre como desativar a Segurança Baseada em Virtualização (VBS), veja Desativar a Segurança baseada em Virtualização.

Desativar o Credential Guard com o bloqueio UEFI

Se o Credential Guard estiver ativado com o bloqueio UEFI, siga este procedimento, uma vez que as definições são mantidas em variáveis de EFI (firmware).

Observação

Este cenário requer a presença física no computador para premir uma tecla de função para aceitar a alteração.

  1. Siga os passos em Desativar o Credential Guard

  2. Exclua as variáveis EFI do Credential Guard usando bcdedit. Em um prompt de comando elevado, digite os seguintes comandos:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  3. Reinicie o dispositivo. Antes de o SO arrancar, é apresentada uma mensagem a notificar que o UEFI foi modificado e a pedir confirmação. O pedido tem de ser confirmado para que as alterações persistam.

Desativar o Credential Guard para uma máquina virtual

No anfitrião, pode desativar o Credential Guard para uma máquina virtual com o seguinte comando:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Desativar a Segurança baseada em Virtualização

Se desativar a Segurança Baseada em Virtualização (VBS), desativará automaticamente o Credential Guard e outras funcionalidades que dependem do VBS.

Importante

Outras funcionalidades de segurança ao lado do Credential Guard dependem do VBS. Desativar o VBS pode ter efeitos colaterais não intencionais.

Utilize uma das seguintes opções para desativar o VBS:

  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Desativar o VBS com Intune

Se o VBS estiver ativado através de Intune e sem o Bloqueio UEFI, desativar a mesma definição de política desativa o VBS.

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Device Guard Ativar a Segurança Baseada em Virtualização Desabilitado

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos através de uma política personalizada com o CSP da Política deviceGuard.

Configuração
Nome da definição: Ativar a Segurança Baseada em Virtualização
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo de dados: int
Valor: 0

Assim que a política for aplicada, reinicie o dispositivo.

Se o Credential Guard estiver ativado com o BLOQUEIO UEFI, as variáveis EFI armazenadas no firmware têm de ser limpas com o comando bcdedit.exe. Numa linha de comandos elevada, execute os seguintes comandos:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Próximas etapas