O Windows 10 introduziu vários novos recursos de segurança. Um novo recurso de segurança que foi adicionado é chamado de Credential Guard, que ajuda a proteger as credenciais de domínio derivadas.
Guarda de Credenciais no Windows 10
O Credential Guard é um dos principais recursos de segurança disponíveis no Windows 10. Ele permite proteção contra invasão de credenciais de domínio, evitando assim que hackers controlem as redes corporativas. Juntamente com recursos como o Device Guard e o Secure Boot, o Windows 10 é mais seguro do que qualquer sistema operacional Windows anterior.
O que é o recurso Credential Guard no Windows 10
Como o próprio nome indica, esse recurso no Windows 10 protege as credenciais em e em domínios de usuários em uma rede. Enquanto os sistemas operacionais anteriores da Microsoft costumavam armazenar ID e senha para contas de usuário na RAM local, o Credential Guard cria um contêiner virtual e armazena todos os segredos de domínio nesse contêiner virtual que o sistema operacional não pode acessar diretamente. Você não precisa de virtualização externa. O recurso faz uso do Hyper-V que você pode configurar no miniaplicativo Programas e Recursos no Painel de Controle.
Quando os hackers comprometiam um sistema operacional Windows anteriormente, eles podiam obter acesso ao hash usado para criptografar as credenciais do usuário, como seria armazenado na RAM local, sem muita proteção. Com o Credential Manager, as credenciais são armazenadas em um contêiner virtual para que, mesmo que hackers comprometam o sistema, não possam acessar o hash. Dessa forma, eles não podem penetrar em computadores na rede.
Em resumo, o recurso Credential Guard no Windows 10 aumenta a segurança de credenciais de domínio e hashes relacionados de modo que é quase impossível para hackers acessar o segredo e aplicá-lo a outros computadores. Assim, qualquer possibilidade de ataque é interrompida apenas na entrada. Não vou dizer que o Credential Guard é inquebrável, mas certamente aumenta o nível de segurança para que seu computador e a rede estejam seguros.
Contra as Guardas de Credenciais nas versões anteriores do Windows, a do Windows 10 não permite vários protocolos que permitam aos hackers alcançar o contêiner virtual onde as credenciais com hash estão armazenadas. No entanto, o recurso não está disponível para todos os computadores.
Ler: O Remote Credential Guard protege as credenciais da área de trabalho remota.
Requisitos do sistema de guarda de credencial
Existem algumas limitações - especialmente se você estiver em laptops de baixo custo. Mesmo Ultrabooks que não suportam Módulo de Plataforma Confiável (TPM) Não é possível executar o Credential Guard, embora o manual execute o Windows 10 Enterprise.
O Credential Guard é executado apenas na Enterprise Edition do Windows 10. Se você estiver usando o Pro ou o Education, não conseguirá usar esse recurso.
Sua máquina deve ser suportando inicialização segura e virtualização de 64 bits. Isso deixa todos os computadores de 32 bits fora do escopo deste recurso.
Isso não significa que você tenha que atualizar todos os seus computadores ao mesmo tempo. Você pode usar qualquer computador que atenda aos requisitos depois de criar um subdomínio e colocar computadores incompatíveis no subdomínio. Quando você configura os domínios superiores com o Credential Guard e os computadores incompatíveis estão em um subdomínio inferior, a segurança ainda será boa o suficiente para impedir tentativas de invasão de credenciais.
Limites da guarda de credencial
Embora existam alguns requisitos de hardware para o Credential Guard no Windows 10 Enterprise Edition, nem tudo deve ser protegido pelo recurso. Você não deve esperar o seguinte da Credential Guard:
- Proteção de contas locais e da Microsoft
- Proteção de credenciais gerenciadas por um software de terceiros
- Proteção contra key loggers.
O Credential Guard oferecerá proteção contra tentativas diretas de hackers e malware que buscam informações sobre credenciais. Se as informações de credenciais já tiverem sido roubadas antes de você poder implementar o Credential Guard, elas não impedirão que os hackers usem a chave de hash em outros computadores no mesmo domínio.
Para obter informações adicionais e scripts para gerenciar o recurso Credential Guard no Windows 10, visite o TechNet.
Amanhã vamos ver como ativar o Credential Guard usando a Política de Grupo.
