Requisitos de hardware do Microsoft Defender Credential Guard
O Microsoft Defender Credential Guard usa segurança baseada em virtualização para isolar e proteger segredos (por exemplo, hashes de senha NTLM e tíquetes de concessão de tíquete Kerberos) para bloquear ataques de passagem de hash ou passagem de tíquete (PtH). Quando o Microsoft Defender Credential Guard está habilitado, NTLMv1, MS-CHAPv2, Digest e CredSSP não podem usar as credenciais conectadas. Portanto, o logon único não funciona com esses protocolos. No entanto, os aplicativos podem solicitar credenciais ou usar credenciais armazenadas no Cofre do Windows que não são protegidas pelo Microsoft Defender Credential Guard com nenhum desses protocolos.
É altamente recomendável que credenciais valiosas, como as credenciais de entrada, não sejam usadas com nenhum desses protocolos. Se esses protocolos precisarem ser usados por usuários do domínio ou do Azure AD, será necessário provisionar credenciais secundárias para esses casos de uso.
Quando o Microsoft Defender Credential Guard está habilitado, o Kerberos não permite a delegação Kerberos irrestrita ou a criptografia DES, não só para credenciais conectadas, mas também para credenciais solicitadas ou salvas.
Observação: a partir do Windows 10 versão 1709 e do Windows Server versão 1709, quando o Intel TXT ou SGX são habilitados em uma plataforma por meio do BIOS, a HCVI (Integridade de Código Protegida por Hipervisor) e o Credential Guard não são afetados e funcionarão conforme o esperado. O HVCI e o Credential Guard não são suportados em versões anteriores do Windows quando o Intel TXT ou SGX estão habilitados em uma plataforma por meio do BIOS.
Para entender melhor o que é o Microsoft Defender Credential Guard e contra quais ataques ele protege, consulte Análise profunda do Credential Guard.
Profissionais de TI: para saber como implantar o Microsoft Defender Credential Guard em sua empresa, consulte Proteger credenciais de domínio derivadas com o Credential Guard.
Para que um dispositivo ofereça suporte ao Microsoft Defender Credential Guard, conforme especificado nos Requisitos de Compatibilidade de Hardware do Windows (WHCR), você, como OEM, deve fornecer os seguintes recursos de hardware, software ou firmware.
| Requisito | Detalhes |
|---|---|
| Inicialização Segura | A Inicialização Segura baseada em hardware deve ser compatível. Para saber mais, consulte Inicialização Segura. |
| Configuração e gerenciamento de Inicialização Segura |
|
| Processo de atualização de firmware seguro | Assim como o software UEFI, o firmware UEFI pode ter vulnerabilidades de segurança. É essencial ter a capacidade de corrigir imediatamente essas vulnerabilidades quando encontradas por meio de atualizações de firmware. O firmware UEFI deve oferecer suporte à atualização segura de firmware seguindo a Especificação de Compatibilidade de Hardware para Sistemas para Windows 10 em System.Fundamentals.Firmware.UEFISecureBoot. |
| UEFI (United Extensible Firmware Interface) | Para saber mais, consulte os requisitos de firmware da UEFI (United Extensible Firmware Interface). |
| Segurança baseada em virtualização (VBS) | A integridade do código protegido pelo hipervisor requer VBS. Você pode saber mais sobre a VBS lendo VBS (Segurança Baseada em Virtualização). |
Ferramenta de preparação de Credential Guard e integridade de código protegida pelo Hipervisor
Para determinar se um dispositivo é capaz de executar o HVCI e o Credential Guard, baixe a ferramenta de preparação de hardware HVCI e Credential Guard.