Você tem um PC compatível com Hyper-V, mas o Credential Guard falha ao ser ativado pelo Windows Defender Device Guard ou Política de Grupo. O cmdlet Enable-CredentialGuard do PowerShell retorna erros ou o recurso continua listado como Não Habilitado nas Informações do Sistema. Na maioria dos casos, não é um problema de hardware. A causa raiz geralmente é um conflito entre o Credential Guard e um recurso específico de virtualização do Windows, a ausência de um bloqueio de firmware UEFI ou uma configuração de Secure Boot que não atende aos requisitos da Microsoft. Este artigo explica os motivos técnicos exatos pelos quais o Credential Guard se recusa a ativar e fornece correções passo a passo.
Principais Conclusões: Por que o Credential Guard não ativa no Windows 11
- Pré-requisitos da Virtualization-Based Security (VBS): Secure Boot, TPM 2.0, firmware UEFI e 4 GB ou mais de RAM devem estar presentes e habilitados.
- Política de Grupo > Configuração do Computador > Modelos Administrativos > Sistema > Device Guard: Ativar a Segurança Baseada em Virtualização deve estar definido como Habilitado com o Credential Guard configurado como Habilitado com bloqueio UEFI.
- Comando PowerShell Enable-CredentialGuard: Requer um prompt elevado e uma reinicialização; erros indicam um pré-requisito ausente ou um conflito com contêineres de isolamento Hyper-V.
Por que o Credential Guard falha ao ativar em um PC compatível com Hyper-V
O Credential Guard usa a Virtualization-Based Security para isolar segredos dentro de uma máquina virtual segura. Isso requer os mesmos recursos de hardware do Hyper-V: SLAT, extensões de Modo Monitor de VM e Second Level Address Translation. Mesmo que um PC suporte Hyper-V, o Credential Guard ainda pode falhar por um dos seguintes motivos.
Bloqueio de Firmware UEFI Ausente
A Microsoft exige que o firmware UEFI bloqueie as chaves do Secure Boot e o processador de segurança da plataforma antes que o Credential Guard possa ser executado. Muitos PCs de consumo vêm com Secure Boot habilitado, mas sem o bloqueio de firmware. Sem o bloqueio, o sistema operacional não pode garantir que o ambiente seguro não foi adulterado. Para verificar, abra Informações do Sistema e procure por Segurança Baseada em Virtualização do Device Guard e Credential Guard. Se algum deles mostrar Não Habilitado, o bloqueio de firmware provavelmente está ausente.
Conflito com Contêineres de Isolamento Hyper-V
O Windows 11 inclui Contêineres Hyper-V, que usam uma pilha de virtualização separada. Quando o Hyper-V é instalado com o recurso de Contêineres, o Credential Guard pode se recusar a ativar porque ambos os recursos tentam reivindicar os mesmos recursos de virtualização de hardware. A mensagem de erro no log de eventos do Sistema é Event ID 6401 do Microsoft-Windows-Hyper-V-Kmcl. Esse conflito é o motivo mais comum para uma tentativa de ativação falhar em um PC que, de outra forma, é compatível.
Secure Boot Não Está no Modo UEFI
O Credential Guard exige que o Secure Boot esteja habilitado e configurado no modo UEFI, não no modo Legacy ou CSM. Mesmo que o Secure Boot pareça habilitado na BIOS, o sistema pode estar inicializando no modo Legacy. Verifique executando bcdedit /enum e confirmando que path está definido como \WINDOWS\system32\winload.efi. Se mostrar winload.exe, o sistema está no modo Legacy.
TPM 2.0 Desabilitado ou Não Funcional
O Credential Guard usa o TPM para selar o kernel seguro. Se o TPM estiver desabilitado no firmware, ou se for versão 1.2 em vez de 2.0, o processo de ativação falhará. Verifique o status do TPM executando tpm.msc. O status deve mostrar O TPM está pronto para uso e a versão da especificação deve ser 2.0.
Passos para Ativar o Credential Guard no Windows 11
Antes de começar, certifique-se de que o PC atende a todos os pré-requisitos. Em seguida, siga os passos abaixo para ativar o Credential Guard usando Política de Grupo ou PowerShell.
Ativar o Credential Guard Usando Política de Grupo
- Abra o Editor de Política de Grupo Local
Pressione Win + R, digite gpedit.msc e pressione Enter. Se o Editor de Política de Grupo não estiver disponível, você está usando o Windows 11 Home. Atualize para Pro ou Enterprise, ou use o método PowerShell abaixo. - Navegue até a política do Device Guard
Vá para Configuração do Computador > Modelos Administrativos > Sistema > Device Guard. Clique duas vezes em Ativar a Segurança Baseada em Virtualização. - Configure a política
Defina a política como Habilitado. No painel Opções, defina Configuração do Credential Guard como Habilitado com bloqueio UEFI. Isso garante que o Credential Guard permaneça ativo após uma reinicialização. Clique em OK. - Reinicie o PC
Reinicie o Windows 11. Após a reinicialização, abra Informações do Sistema e verifique se o Credential Guard mostra Em Execução. Se ainda mostrar Não Habilitado, prossiga para o próximo método.
Ativar o Credential Guard Usando PowerShell
- Abra o PowerShell como Administrador
Pressione Win + X e selecione Terminal do Windows (Admin). Se vir PowerShell, digite powershell e pressione Enter. - Instale o módulo Device Guard
Execute Install-Module -Name DeviceGuard -Force. Isso baixa o módulo PowerShell necessário da Galeria do PowerShell. - Ative o Credential Guard
Execute Enable-CredentialGuard -UEFILock. O comando não retorna uma mensagem de sucesso. Ele agenda a ativação para a próxima inicialização. - Reinicie o PC
Reinicie o Windows 11. Após a reinicialização, execute Get-CredentialGuard para confirmar o status. A saída deve mostrar Enabled.
Remover o Conflito de Contêineres Hyper-V
- Abra Recursos do Windows
Pressione Win + R, digite optionalfeatures e pressione Enter. - Desabilite Hyper-V e Contêineres
Desmarque Hyper-V e Contêineres do Windows. Clique em OK e reinicie. Após a reinicialização, repita as etapas de ativação acima. Depois que o Credential Guard estiver em execução, você pode reativar o Hyper-V, se necessário. O Credential Guard e o Hyper-V podem coexistir desde que os Contêineres não estejam instalados.
Se o Credential Guard Ainda Falhar Após a Correção Principal
Credential Guard Mostra Não Habilitado Após Reinicialização
Se o método de Política de Grupo ou PowerShell não funcionou, o bloqueio de firmware UEFI provavelmente está ausente. Para forçar a ativação sem o bloqueio, execute Enable-CredentialGuard sem o parâmetro -UEFILock. Isso permite que o recurso seja executado sem o bloqueio de firmware, mas o deixa vulnerável a ser desabilitado por um boot loader malicioso. Use isso apenas para testes.
Event ID 6401 no Log do Sistema
Este evento indica que o Hyper-V e o Credential Guard estão em conflito. Desinstale completamente o Hyper-V e os Contêineres do Windows, reinicie e ative o Credential Guard. Depois que estiver em execução, reinstale apenas o Hyper-V. Não instale os Contêineres do Windows.
Secure Boot Está Habilitado, mas o Sistema Está no Modo Legacy
Converta o disco de MBR para GPT usando a ferramenta MBR2GPT. Em seguida, altere o modo de inicialização da BIOS de Legacy para UEFI. Após a conversão, reinstale o Windows 11 para garantir que o boot loader use winload.efi. Em seguida, repita as etapas de ativação do Credential Guard.
TPM Não Detectado
Abra as configurações de firmware durante a inicialização e localize a configuração do TPM. Defina como Habilitado e Firmware TPM, se disponível. Certifique-se de que o TPM seja versão 2.0. Se o TPM estiver desabilitado na BIOS, o Windows não o detectará e o Credential Guard não será ativado.
| Item | Método de Política de Grupo | Método PowerShell |
|---|---|---|
| Requisito de edição | Windows 11 Pro, Enterprise ou Education | Windows 11 Pro, Enterprise ou Education |
| Suporte a bloqueio UEFI | Sim, quando Habilitado com bloqueio UEFI é selecionado | Sim, quando o parâmetro -UEFILock é usado |
| Reinicialização necessária | Sim | Sim |
| Método de reversão | Definir política como Não Configurado | Executar Disable-CredentialGuard |
| Conflito com Contêineres Hyper-V | Sim, o mesmo conflito se aplica | Sim, o mesmo conflito se aplica |
Após resolver o conflito e ativar o Credential Guard, verifique o status regularmente usando Get-CredentialGuard ou verificando as Informações do Sistema. Se precisar desabilitar o Credential Guard posteriormente, use o comando PowerShell Disable-CredentialGuard ou defina a Política de Grupo como Não Configurado. Mantenha o bloqueio de firmware ativado em ambientes de produção para evitar adulteração. Para solução de problemas avançada, revise o log de eventos Microsoft-Windows-DeviceGuard-Operational em Logs de Aplicativos e Serviços > Microsoft > Windows > DeviceGuard.