Por que o Credential Guard se recusa a ativar em um PC compatível com Hyper-V no Windows 11
🔍 WiseChecker

Por que o Credential Guard se recusa a ativar em um PC compatível com Hyper-V no Windows 11

Você tem um PC compatível com Hyper-V, mas o Credential Guard falha ao ser ativado pelo Windows Defender Device Guard ou Política de Grupo. O cmdlet Enable-CredentialGuard do PowerShell retorna erros ou o recurso continua listado como Não Habilitado nas Informações do Sistema. Na maioria dos casos, não é um problema de hardware. A causa raiz geralmente é um conflito entre o Credential Guard e um recurso específico de virtualização do Windows, a ausência de um bloqueio de firmware UEFI ou uma configuração de Secure Boot que não atende aos requisitos da Microsoft. Este artigo explica os motivos técnicos exatos pelos quais o Credential Guard se recusa a ativar e fornece correções passo a passo.

Principais Conclusões: Por que o Credential Guard não ativa no Windows 11

  • Pré-requisitos da Virtualization-Based Security (VBS): Secure Boot, TPM 2.0, firmware UEFI e 4 GB ou mais de RAM devem estar presentes e habilitados.
  • Política de Grupo > Configuração do Computador > Modelos Administrativos > Sistema > Device Guard: Ativar a Segurança Baseada em Virtualização deve estar definido como Habilitado com o Credential Guard configurado como Habilitado com bloqueio UEFI.
  • Comando PowerShell Enable-CredentialGuard: Requer um prompt elevado e uma reinicialização; erros indicam um pré-requisito ausente ou um conflito com contêineres de isolamento Hyper-V.

ADVERTISEMENT

Por que o Credential Guard falha ao ativar em um PC compatível com Hyper-V

O Credential Guard usa a Virtualization-Based Security para isolar segredos dentro de uma máquina virtual segura. Isso requer os mesmos recursos de hardware do Hyper-V: SLAT, extensões de Modo Monitor de VM e Second Level Address Translation. Mesmo que um PC suporte Hyper-V, o Credential Guard ainda pode falhar por um dos seguintes motivos.

Bloqueio de Firmware UEFI Ausente

A Microsoft exige que o firmware UEFI bloqueie as chaves do Secure Boot e o processador de segurança da plataforma antes que o Credential Guard possa ser executado. Muitos PCs de consumo vêm com Secure Boot habilitado, mas sem o bloqueio de firmware. Sem o bloqueio, o sistema operacional não pode garantir que o ambiente seguro não foi adulterado. Para verificar, abra Informações do Sistema e procure por Segurança Baseada em Virtualização do Device Guard e Credential Guard. Se algum deles mostrar Não Habilitado, o bloqueio de firmware provavelmente está ausente.

Conflito com Contêineres de Isolamento Hyper-V

O Windows 11 inclui Contêineres Hyper-V, que usam uma pilha de virtualização separada. Quando o Hyper-V é instalado com o recurso de Contêineres, o Credential Guard pode se recusar a ativar porque ambos os recursos tentam reivindicar os mesmos recursos de virtualização de hardware. A mensagem de erro no log de eventos do Sistema é Event ID 6401 do Microsoft-Windows-Hyper-V-Kmcl. Esse conflito é o motivo mais comum para uma tentativa de ativação falhar em um PC que, de outra forma, é compatível.

Secure Boot Não Está no Modo UEFI

O Credential Guard exige que o Secure Boot esteja habilitado e configurado no modo UEFI, não no modo Legacy ou CSM. Mesmo que o Secure Boot pareça habilitado na BIOS, o sistema pode estar inicializando no modo Legacy. Verifique executando bcdedit /enum e confirmando que path está definido como \WINDOWS\system32\winload.efi. Se mostrar winload.exe, o sistema está no modo Legacy.

TPM 2.0 Desabilitado ou Não Funcional

O Credential Guard usa o TPM para selar o kernel seguro. Se o TPM estiver desabilitado no firmware, ou se for versão 1.2 em vez de 2.0, o processo de ativação falhará. Verifique o status do TPM executando tpm.msc. O status deve mostrar O TPM está pronto para uso e a versão da especificação deve ser 2.0.

Passos para Ativar o Credential Guard no Windows 11

Antes de começar, certifique-se de que o PC atende a todos os pré-requisitos. Em seguida, siga os passos abaixo para ativar o Credential Guard usando Política de Grupo ou PowerShell.

Ativar o Credential Guard Usando Política de Grupo

  1. Abra o Editor de Política de Grupo Local
    Pressione Win + R, digite gpedit.msc e pressione Enter. Se o Editor de Política de Grupo não estiver disponível, você está usando o Windows 11 Home. Atualize para Pro ou Enterprise, ou use o método PowerShell abaixo.
  2. Navegue até a política do Device Guard
    Vá para Configuração do Computador > Modelos Administrativos > Sistema > Device Guard. Clique duas vezes em Ativar a Segurança Baseada em Virtualização.
  3. Configure a política
    Defina a política como Habilitado. No painel Opções, defina Configuração do Credential Guard como Habilitado com bloqueio UEFI. Isso garante que o Credential Guard permaneça ativo após uma reinicialização. Clique em OK.
  4. Reinicie o PC
    Reinicie o Windows 11. Após a reinicialização, abra Informações do Sistema e verifique se o Credential Guard mostra Em Execução. Se ainda mostrar Não Habilitado, prossiga para o próximo método.

Ativar o Credential Guard Usando PowerShell

  1. Abra o PowerShell como Administrador
    Pressione Win + X e selecione Terminal do Windows (Admin). Se vir PowerShell, digite powershell e pressione Enter.
  2. Instale o módulo Device Guard
    Execute Install-Module -Name DeviceGuard -Force. Isso baixa o módulo PowerShell necessário da Galeria do PowerShell.
  3. Ative o Credential Guard
    Execute Enable-CredentialGuard -UEFILock. O comando não retorna uma mensagem de sucesso. Ele agenda a ativação para a próxima inicialização.
  4. Reinicie o PC
    Reinicie o Windows 11. Após a reinicialização, execute Get-CredentialGuard para confirmar o status. A saída deve mostrar Enabled.

Remover o Conflito de Contêineres Hyper-V

  1. Abra Recursos do Windows
    Pressione Win + R, digite optionalfeatures e pressione Enter.
  2. Desabilite Hyper-V e Contêineres
    Desmarque Hyper-V e Contêineres do Windows. Clique em OK e reinicie. Após a reinicialização, repita as etapas de ativação acima. Depois que o Credential Guard estiver em execução, você pode reativar o Hyper-V, se necessário. O Credential Guard e o Hyper-V podem coexistir desde que os Contêineres não estejam instalados.

ADVERTISEMENT

Se o Credential Guard Ainda Falhar Após a Correção Principal

Credential Guard Mostra Não Habilitado Após Reinicialização

Se o método de Política de Grupo ou PowerShell não funcionou, o bloqueio de firmware UEFI provavelmente está ausente. Para forçar a ativação sem o bloqueio, execute Enable-CredentialGuard sem o parâmetro -UEFILock. Isso permite que o recurso seja executado sem o bloqueio de firmware, mas o deixa vulnerável a ser desabilitado por um boot loader malicioso. Use isso apenas para testes.

Event ID 6401 no Log do Sistema

Este evento indica que o Hyper-V e o Credential Guard estão em conflito. Desinstale completamente o Hyper-V e os Contêineres do Windows, reinicie e ative o Credential Guard. Depois que estiver em execução, reinstale apenas o Hyper-V. Não instale os Contêineres do Windows.

Secure Boot Está Habilitado, mas o Sistema Está no Modo Legacy

Converta o disco de MBR para GPT usando a ferramenta MBR2GPT. Em seguida, altere o modo de inicialização da BIOS de Legacy para UEFI. Após a conversão, reinstale o Windows 11 para garantir que o boot loader use winload.efi. Em seguida, repita as etapas de ativação do Credential Guard.

TPM Não Detectado

Abra as configurações de firmware durante a inicialização e localize a configuração do TPM. Defina como Habilitado e Firmware TPM, se disponível. Certifique-se de que o TPM seja versão 2.0. Se o TPM estiver desabilitado na BIOS, o Windows não o detectará e o Credential Guard não será ativado.

Item Método de Política de Grupo Método PowerShell
Requisito de edição Windows 11 Pro, Enterprise ou Education Windows 11 Pro, Enterprise ou Education
Suporte a bloqueio UEFI Sim, quando Habilitado com bloqueio UEFI é selecionado Sim, quando o parâmetro -UEFILock é usado
Reinicialização necessária Sim Sim
Método de reversão Definir política como Não Configurado Executar Disable-CredentialGuard
Conflito com Contêineres Hyper-V Sim, o mesmo conflito se aplica Sim, o mesmo conflito se aplica

Após resolver o conflito e ativar o Credential Guard, verifique o status regularmente usando Get-CredentialGuard ou verificando as Informações do Sistema. Se precisar desabilitar o Credential Guard posteriormente, use o comando PowerShell Disable-CredentialGuard ou defina a Política de Grupo como Não Configurado. Mantenha o bloqueio de firmware ativado em ambientes de produção para evitar adulteração. Para solução de problemas avançada, revise o log de eventos Microsoft-Windows-DeviceGuard-Operational em Logs de Aplicativos e Serviços > Microsoft > Windows > DeviceGuard.

ADVERTISEMENT