Segurança do Windows 10 Enterprise: Credential Guard e Device Guard

Summary: "Visão geral de dois novos recursos do Windows 10 Enterprise Ready Security: Credential Guard e Device Guard".

O que é Device Guard e Credential Guard?

Device Guard e Credential Guard são recursos de segurança baseada em virtualização (VBS). Eles têm funções de autoridade de segurança local (LSA) que usam drivers de integridade do código do hypervisor (HVCI) e um BIOS compatível com o sistema operacional Windows 10 Enterprise/Education Edition. Os recursos só estão disponíveis para computadores cobertos por um acordo de licença por volume (VLA) da Microsoft.

O Credential Guard usa a segurança baseada em virtualização para isolar chaves secretas (credenciais) para que apenas o software privilegiado do sistema possa acessá-las. O acesso não autorizado a essas chaves secretas pode resultar em ataques de roubo de credenciais. O Credential Guard impede esses ataques protegendo hashes de senha dos protocolos NT LAN Manager (NTLM) e Kerberos Ticket Granting Tickets. Ele usa a segurança baseada em virtualização para isolar chaves secretas para que apenas o software privilegiado do sistema possa acessá-las. O Credential Guard não depende do Device Guard.

O Device Guard é uma combinação de recursos de segurança de software e hardware relacionados à empresa. Quando eles são configurados juntos, eles bloqueiam um dispositivo para que ele só possa executar aplicativos confiáveis. Sendo assim, quando um aplicativo não for confiável, não será possível executá-lo. Você pode configurá-lo para bloquear um dispositivo. Assim, o dispositivo só pode executar aplicativos confiáveis definidos em suas políticas de integridade do código. O Device Guard depende da segurança baseada em virtualização (VBS).

Parte superior da página

Como eles funcionam?

Os recursos de segurança baseada em virtualização do Windows 10 Enterprise/Education utilizam vários elementos de segurança, como UEFI, Inicialização Segura e Trusted Platform Module (TPM) 2.0. A Dell verificou computadores Precision, Latitude e OptiPlex selecionados que devem ter drivers compatíveis com HVCI e BIOS atualizados.

Firmware da UEFI versão 2.3.1 ou posterior: A UEFI está bloqueada; portanto, não é possível alterar as configurações da UEFI para comprometer a segurança do Device Guard. (Ordem de inicialização, entradas de inicialização, Inicialização Segura, extensões de virtualização, IOMMU, Microsoft UEFI CA.)

Parte superior da página

Credential Guard.

• Segurança de hardware: O Credential Guard aumenta a segurança das credenciais de domínio derivadas utilizando recursos de segurança de plataforma, como Inicialização Segura e virtualização.
• Melhor proteção contra ameaças avançadas persistentes: Proteger as credenciais de domínio derivadas usando a segurança baseada em virtualização bloqueia as técnicas e as ferramentas de ataques de roubo de credenciais que são usadas em muitos ataques direcionados.
  • A segurança baseada em virtualização protege suas chaves secretas contra o malware em execução no sistema operacional com privilégios administrativos.
• Capacidade de gerenciamento: Você pode gerenciar o Credential Guard usando Políticas de grupo, a WMI, um prompt de comando e o Windows PowerShell.

Proteja as credenciais de domínio derivadas com o Credential Guard 

Parte superior da página

Device Guard.

• O uso de métodos tradicionais, como soluções antivírus, oferece uma defesa inadequada contra os novos ataques. (Detecção baseada em assinatura para combater malware.) Especialmente em virtude dos milhares de novos arquivos mal-intencionados criados todos os dias.
• O Device Guard no Windows 10 Enterprise descarta o modo antigo em que os aplicativos eram considerados confiáveis, a não ser que fossem bloqueados por um antivírus ou outra solução de segurança. Ele passa a adotar um modo em que o sistema operacional confia apenas em aplicativos autorizados definidos pela empresa. Você designa esses aplicativos confiáveis criando políticas de integridade do código.

Quatro maneiras de gerenciar o Device Guard

• Políticas de grupo: O Windows 10 oferece um modelo administrativo para configurar e implementar as políticas configuráveis de integridade do código para sua organização. Esse modelo também permite que você especifique quais recursos de segurança baseados em hardware você gostaria de ativar e implementar. Você pode gerenciar essas configurações junto com seus objetos de política de grupo (GPOs) existentes, o que simplifica a implementação dos recursos do Device Guard.
• Microsoft System Center Configuration Manager: Você pode usar o System Center Configuration Manager para simplificar a implementação e o gerenciamento de arquivos de catálogo. Além de incluir políticas de integridade do código e recursos de segurança baseados em hardware, ele também oferece controle de versão.
• Windows PowerShell
• Microsoft Intune

Parte superior da página

Perguntas frequentes.

O que é a SKU Windows 10 Enterprise?
A SKU Windows 10 Enterprise é uma versão diferente do SO Windows que só está disponível para clientes com licença por volume da Microsoft. Também está disponível para clientes que adquirem computadores com a licença do Windows 10 Professional e, em seguida, fazem upgrade para Windows 10 Enterprise para obter recursos incrementais. O Windows 10 Enterprise inclui dois recursos de segurança que não estão disponíveis nas SKUs Professional ou Home: Credential Guard e Device Guard. Detalhes da comparação de recursos entre SKUs do SO Windows.

O que é Device Guard e Credential Guard?
Device Guard e Credential Guard são os novos recursos de segurança que, no momento, estão disponíveis apenas no Windows 10 Enterprise. O Device Guard é uma combinação de recursos de segurança de software e hardware relacionados à empresa. Quando eles são configurados juntos, eles bloqueiam um dispositivo para que ele só possa executar aplicativos confiáveis. Sendo assim, quando um aplicativo não for confiável, não será possível executá-lo. O Credential Guard usa a segurança baseada em virtualização para isolar chaves secretas (credenciais) para que apenas o software privilegiado do sistema possa acessá-las. O acesso não autorizado a essas chaves secretas pode resultar em ataques de roubo de credenciais. O Credential Guard impede esses ataques protegendo hashes de senha NTLM e Kerberos Ticket Granting Tickets.

O que é segurança baseada em virtualização (VBS)?
É uma proteção que usa o hypervisor para ajudar a proteger o kernel e outras partes do SO. Com a VBS, a política padrão de integridade dos códigos do modo kernel ou a política de integridade dos códigos que você configura e implementa se torna mais sólida.

Como posso verificar se a proteção de integridade dos códigos baseada em virtualização está ativada?
O mecanismo mais simples é executar o aplicativo Informações do Sistema (msinfo32). Procure a seguinte linha: "Device Guard Security Services Running". Ela deve informar: "Hypervisor enforced Code Integrity". A Instrumentação de Gerenciamento do Windows (WMI) também conta com uma interface para análise usando ferramentas de gerenciamento.

Se um computador não estiver habilitado para o Win10 Enterprise, ainda será possível executar o Win10 Enterprise nele?
Sim, desde que o computador seja adquirido com o Win10 Pro. Os clientes com licença por volume podem sempre fazer upgrade desse computador para o Win10 Enterprise. Todos os recursos incrementais do Enterprise funcionam bem, EXCETO o Device Guard e o Credential Guard. Isso ocorre porque esses dois recursos de segurança exigem que os recursos do BIOS, do driver e do processador sejam compatíveis com os requisitos da Microsoft.

Quais são os requisitos para ativar o Device Guard e o Credential Guard em computadores Dell?
Os clientes que pretendem fazer upgrade dos computadores para ativar o Device Guard e o Credential Guard precisam atender aos três seguintes critérios:

1. Os dispositivos Latitude/OptiPlex/Precision/Venue devem estar habilitados para o Win10 Enterprise. Certifique-se de que o BIOS e os drivers estejam atualizados para uma versão compatível com o Enterprise. Consulte a lista de plataformas para obter detalhes sobre a prontidão dos drivers de BIOS/HVCI por plataforma.
2. A configuração deve usar processadores compatíveis com o DG/CG. Ser compatível com o DG/CG significa que eles oferecem suporte aos recursos Intel VT-x e VT-d. Esses recursos são requisitos obrigatórios para oferecer suporte ao Device Guard e ao Credential Guard no Windows 10. Para verificar se o processador oferece suporte a Intel VT-x e Vt-d, consulte este link para: Especificações de produtos Intel®
3. Os clientes devem ter uma licença por volume da Microsoft; o Win10 Enterprise não é uma SKU de OEM. Os clientes só podem obter bits do Win10 Enterprise diretamente da Microsoft.

Requisitos detalhados:

Mais requisitos para o Windows 10 1607

Você deve ter uma licença por volume da Microsoft para o Win10 Enterprise adquirida diretamente da Microsoft (inclusive os clientes que estão fazendo upgrade a partir de uma SKU Windows 10 Pro fornecida pela Dell). A Dell não oferece o Windows 10 Enterprise como uma SKU de OEM.

Caso você queira implementar o Device Guard, consulte: Guia de implementação do Windows Defender Device Guard Para implementar o Credential Guard, consulte: Requisitos e diretrizes de planejamento de implementação do Device Guard 

Quais são as configurações do BIOS que precisam ser definidas para o Device Guard e o Credential Guard?
Essas opções devem ser ativadas. Certifique-se de ter o BIOS mais recente listado na lista de BIOS compatíveis.

Como validar o Device Guard e o Credential Guard?
Você pode usar a ferramenta de validação do Device Guard e do Credential Guard

• Verifique se o computador pode executar o Device Guard ou o Credential Guard
• Desative e ative o Device Guard ou o Credential Guard

Antes de executar a ferramenta, certifique-se de ter ativado a política de execução correta no PowerShell. (Consulte a Figura 1 abaixo)

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Figura 1. — Política de execução no exemplo do PowerShell.

Para validar: DG_Readiness.ps1 –Capable -[DG/CG/HVCI] -AutoReboot

Para ativar: DG_Readiness.ps1 –Enable -[DG/CG] –AutoReboot

Para desativar: DG_Readiness.ps1 –Disable -[DG/CG] -AutoReboot

Meu computador está pré-configurado com o Device Guard ou o Credential Guard?
Não. A Dell está garantindo que os computadores sejam totalmente verificados de um ponto de vista de conformidade de drivers de HVCI e firmware do BIOS. Isso é tudo o que você precisa para ativar os computadores para o Device Guard ou o Credential Guard. Você teria que ativar os recursos usando o processo descrito anteriormente ou o procedimento passo a passo explicado no guia de implementação (consulte a seção de recursos).

O que é prontidão dos drivers de HVCI e como posso saber se tenho os drivers certos?
HVCI significa integridade do código do hypervisor. No Windows 10, o serviço de HVCI determina se o código em execução no modo kernel foi projetado com segurança e é confiável. Ele oferece recursos de proteção desde o dia zero e contra explorações de vulnerabilidades. Além disso, ele garante que todos os programas de software sejam executados no modo kernel, inclusive os drivers, aloquem a memória com segurança e operem conforme planejado.

Use a ferramenta DGReadiness:

Para validar: DG_Readiness.ps1 –Capable –HVCI -AutoReboot

NOTA: A Dell verificou a prontidão dos drivers compatíveis. Se você instalar outros drivers de terceiros no computador, precisará garantir que eles sejam compatíveis com HVCI. Compatibilidade de drivers com o Device Guard no Windows 10

Quais computadores Dell oferecem suporte a Device Guard e Credential Guard?
Para ativar o Device Guard e o Credential Guard, os computadores da geração Dell SkyLake e KabyLake exigem drivers compatíveis com BIOS e com integridade do código do hypervisor (HVCI).

Estes são todos os computadores em que a Dell oferece suporte a esse conjunto de recursos. A tabela abaixo lista as versões de drivers e do BIOS para cada plataforma.

Se um processador for vPro, isso significa que ele é habilitado para DG/CG?
Sim. Além disso, alguns processadores não vPro também são habilitados para DG/CG (VT-x/VT-d). Para verificar se o processador oferece suporte a Intel VT-x e Vt-d, consulte este link para: Especificações de produtos Intel®

Parte superior da página

Recursos

• Segurança do Windows 11 Enterprise: Credential Guard e Device Guard
• Guia de implementação do Device Guard
• Requisitos de hardware do Windows Defender Credential Guard
• Requisitos de hardware do Windows Defender Device Guard

Parte superior da página