Windows Credential Guard とは何ですか? また、使用する必要がありますか?

Windows Credential Guard は、認証資格情報を悪意のある攻撃から保護するセキュリティ機能です。ハッカーがシステム ツールを改ざんしたり、コンピューターで悪意のあるコードを実行したりするのを防ぎます。この機能は、Windows 10 および Windows 11 の Enterprise および Pro フレーバーで使用できます。Windows ドメインまたはワークグループで機密データをローカルまたはリモートで処理またはアクセスする場合は、Credential Guard を有効にすることを検討する必要があります。

Credential Guard とは正確には何ですか?

コンピューターを起動すると、Local Security Authority Server Service (LSASS) と呼ばれるプロセスがログイン資格情報を認証し、アクセスを許可します。LSASS は、アクティブなセッション中にこれらの資格情報 (暗号化されたパスワード、NT ハッシュ、LM ハッシュ、および Kerberos チケット) もメモリに保存するため、変更やファイルへのアクセスが必要になるたびにパスワードを再入力する必要はありません。

セッション中に資格情報をメモリに保存することは、別の方法 (すべてのステップでの手動による ID 認証) と比較して便利です。確かに、認証資格情報を時々入力すると、セキュリティが向上します。ただし、認証資格情報は、特にハッシュ形式では長くなります。すぐに変更しなければならない場合は特に不便で、間違えてパスワードを再入力しなければならない場合は特にイライラします。また、パスワードをどこかに書き留める必要がある場合は、セキュリティ リスクが高まる可能性があります。LSASS が認証を処理するため、デバイスを効率的に使用できます。

しかし、ご想像のとおり、貴重で機密性の高いデータを格納するものであれば、LSASS はハッカーにとって大当たりです。Mimikatz、Crackmapexec、Lsassy などのツールを使用して、資格情報を盗む攻撃によって LSASS を危険にさらす可能性があります。ハッカーはこれらのツールを使用して、実際のシステム ファイル (lsass.exe) を削除、置換、または変更します。

ハッカーが甚大な損害を与える前に資格情報の盗用を阻止する方法はいくつかあります。ただし、そもそも攻撃を防止することをお勧めします。Credential Guard は、認証データを安全に格納する分離された LSASS プロセス (LSAIso) を作成することにより、悪意のある攻撃から保護します。

PC で Credential Guard を有効にする理由

セキュリティ機能は、システムのメモリの残りの部分と、認証を処理するメイン プロセス (lsass.exe) からログイン資格情報を分離します。つまり、本質的にブラックボックスです。

ドメインまたはワークグループの一部である複数のコンピューターがある場合は、Credential Guard を使用する必要があります。なんで？管理者ログイン資格情報を使用してデバイスを侵害する攻撃者は、ネットワーク全体を侵害する可能性があります。この機能を有効にすると、攻撃者がシステムを侵害した場合に機密情報を完全に制御できなくなります。

システムは要件を満たす必要があります

Windows Credential Guard は、Windows 10 および 11 の Enterprise および Pro フレーバー専用です。最近のバージョンの Windows Server にもこのセキュリティ機能がありますが、デバイスはハードウェアおよびソフトウェアの厳格な要件を満たす必要があります。

まず、デバイスには 64 ビット CPU (仮想化ベースのセキュリティをサポートするため) とセキュア ブートが必要です。Microsoft は、Trusted Platform Module (TPM) バージョン 1.2 または 2.0 と UEFI ロックを使用することもお勧めします (攻撃者が regedit を使用してセキュリティ設定をバイパスするのを防ぐため)。保護するコンピューターまたはサーバーに基づいて、ベースライン要件を確認できます。

Windows で Credential Guard を有効にする方法

お使いのコンピューターまたはサーバーは、Microsoft のベースライン要件を満たしている場合、既定で Credential Guard が有効になっています。このセキュリティ機能が既に有効になっているかどうかを確認するには、[スタート]を押してから「msinfo32.exe」と入力します。[システム情報] > [システムの概要]を選択します。「Virtualization-based security Services Running」と「Credential Guard、Hypervisor enforce Code Integrity」が隣り合わせに表示されます。

コンピューターで Credential Guard が有効になっていない場合は、グループ ポリシー、Windows レジストリの編集、または Microsoft Intune の 3 つの主な方法で機能を有効にすることができます。パワー ユーザーの場合は、UEFI ロックで Credential Guard を有効にするオプションもあります。ほとんどの管理者は、グループ ポリシーを使用すると、この機能を簡単に有効にできます。

Windows で Credential Guard を無効にする方法

Credential Guard は、資格情報の盗用や Pass the Hash 攻撃を防ぐのに役立ちますが、一部のサービスやプロトコルが壊れる原因となります。たとえば、セキュリティ機能を有効にすると、Windows To Go、Kerberos の制約のない委任、および DES 暗号化を使用できなくなります。

また、サード パーティのセキュリティ サポート プロバイダー (SSP) は、資格情報を盗む攻撃に対して脆弱であるため、使用できません。MS-CHAPv2 に基づく Wi-Fi および VPN エンドポイントは同様に脆弱であり、Credentials Guard を有効にすると無効になります。

前述の機能の一部が必要な場合は、Credential Guard を必要なだけ無効にすることができます。ただし、再度有効にするためのリマインダーを必ず設定してください。

グループ ポリシー エディターで無効にする

最初のオプションは、グループ ポリシー設定を変更して Credential Guard を無効にすることです。

これを行うには、[スタート]を押して「gpedit」と入力し、[グループ ポリシーの編集] を選択します。[コンピューターの構成] > [管理用テンプレート] > [システム] > [Device Guard] > [仮想化ベースのセキュリティを有効にする] > [オプション] に移動します。[ Credential Guard Configuration ] を [無効] に設定し、[ OK ] をクリックして変更を保存し、コンピューターを再起動します。

Regedit で無効にする

このオプションは、UEFI ロックおよびグループ ポリシーとは異なる方法を使用して Defender Credential Guard を有効にしている場合に最適です。Regedit で Credential Guard を無効にするには、[スタート]を押して「regedit」と入力します。[レジストリ エディター]を選択します。まず、ファイル パス HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags に移動し、値を「0」に設定します。

次に、HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags に戻り、値を「0」に設定します。

UEFI ロックを使用して Credential Guard を無効にするか、仮想マシンのセキュリティ機能を無効にするための Microsoft の指示に従うこともできます。

Credential Guard の有効化は防止にすぎません

経験則として、特に家畜が自由に歩き回っている地域に住んでいる場合は、植える前に庭の周りにフェンスを設置することです. 敷地内にすでにヤギがいる場合、そのフェンスは役に立ちません。その場合、ヤギを追い出す必要があります。

機密性の高いログイン データの保護にも同じ原則が適用されます。Credential Guard を有効にすると、ハッカーがデータを盗むのを防ぎます。ただし、攻撃者がすでにネットワークに侵入しているか、デバイスを侵害している場合は効果がありません。そのため、新しい職場のコンピューターでこのセキュリティ機能を使用する場合は、コンピューターが Windows ドメインまたはワークグループに参加する前に、この機能が有効になっていることを確認してください。