Credential Guard の概要
Credential Guard は、NTLM パスワード ハッシュ、Kerberos Ticket Granting Tickets (TGT)、およびアプリケーションによってドメイン資格情報として格納された資格情報を保護することで、資格情報の盗難攻撃を防ぎます。
Credential Guard では 、仮想化ベースのセキュリティ (VBS) を使用してシークレットを分離し、特権システム ソフトウェアのみがアクセスできるようにします。 これらのシークレットへの不正アクセスは、ハッシュを渡してチケットを渡すなどの資格情報の盗難攻撃につながる可能性があります。
有効にすると、Credential Guard には次の利点があります。
- ハードウェア セキュリティ: NTLM、Kerberos、Credential Manager は、セキュア ブートや仮想化などのプラットフォーム セキュリティ機能を利用して資格情報を保護します
- 仮想化ベースのセキュリティ: NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護された環境で実行されます
- 高度な永続的な脅威からの保護: VBS を使用して資格情報が保護されると、多くの標的型攻撃で使用される資格情報の盗難攻撃手法とツールがブロックされます。 管理特権を持つオペレーティング システムで実行されているマルウェアは、VBS によって保護されているシークレットを抽出できません
注
Credential Guard は強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性があり、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。
重要
Windows 11 バージョン 22H2 以降、VBS と Credential Guard は、システム要件を満たすすべてのデバイスで既定で有効になっています。
Credential Guard の既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。
システム要件
Credential Guard で保護を提供するには、デバイスが特定のハードウェア、ファームウェア、およびソフトウェアの要件を満たしている必要があります。
最小要件よりも多くのハードウェアとファームウェアの要件を満たし、追加の保護を受け、特定の脅威に対してより強化されたデバイス。
ハードウェアおよびソフトウェアの要件
Credential Guard には、次の機能が必要です。
- 仮想化ベースのセキュリティ (VBS)
注
VBS には、さまざまなハードウェア プラットフォームで有効にするためのさまざまな要件があります。 詳細については、「仮想化ベースのセキュリティ要件」を参照してください。
- セキュア ブート
必須ではありませんが、追加の保護を提供するには、次の機能をお勧めします。
- トラステッド プラットフォーム モジュール (TPM) は、ハードウェアへのバインドを提供するためです。 TPM バージョン 1.2 および 2.0 は、個別またはファームウェアのいずれかでサポートされています
- UEFI ロック:攻撃者がレジストリ キーの変更で Credential Guard を無効にできないようにするため
ハードウェアとファームウェアのオプションに関連付けられているセキュリティを強化するための保護の詳細については、 追加のセキュリティ要件に関するページを参照してください。
仮想マシンでの Credential Guard
Credential Guard は、物理マシンと同様に、Hyper-V 仮想マシンのシークレットを保護できます。 VM で Credential Guard が有効になっている場合、シークレットは VM 内 の攻撃から保護されます。 Credential Guard では、ホストから発生した特権システム攻撃からの保護は提供されません。
Hyper-V 仮想マシンで Credential Guard を実行する要件は次のとおりです。
- Hyper-V ホストには IOMMU が必要です
- Hyper-V 仮想マシンは第 2 世代である必要があります
注
Credential Guard は、Hyper-V または Azure 第 1 世代 VM ではサポートされていません。 Credential Guard は、第 2 世代の VM でのみ使用できます。
Windows エディションとライセンスに関する要件
次の表は、Credential Guard をサポートする Windows エディションの一覧です。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| なし | ○ | なし | ○ |
Credential Guard ライセンスエンタイトルメントは、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| なし | ○ | はい | はい | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
アプリケーションの要件
Credential Guard を有効にすると、特定の認証機能がブロックされます。 このような機能を必要とするアプリケーションは中断します。 これらの要件を アプリケーション要件と参照します。
アプリケーションは、低機能との互換性を確保するために、デプロイの前にテストする必要があります。
Warning
ドメイン コントローラーで Credential Guard を有効にすることはお勧めしません。 Credential Guard では、ドメイン コントローラーにセキュリティが追加されていないため、ドメイン コントローラーでアプリケーションの互換性の問題が発生する可能性があります。
注
Credential Guard では、Active Directory データベースまたはセキュリティ アカウント マネージャー (SAM) の保護は提供されません。 Credential Guard が有効化されているときに Kerberos と NTLM によって保護される資格情報は、Active Directory データベース (ドメイン コントローラー上) と SAM (ローカル アカウント用) にも存在します。
アプリケーションは、次の必要な場合に中断します。
- Kerberos DES 暗号化のサポート
- Kerberos の制約のない委任
- Kerberos TGT の抽出
- NTLMv1
アプリケーションは、次の情報が必要な場合に、資格情報を要求してリスクにさらします。
- ダイジェスト認証
- 資格情報の委任
- MS-CHAPv2
分離された Credential Guard プロセス LSAIso.exeをフックしようとすると、アプリケーションによってパフォーマンスの問題が発生する可能性があります。
ファイル共有やリモート デスクトップなど、Kerberos に依存するサービスまたはプロトコルは引き続き機能し、Credential Guard の影響を受けません。
次のステップ
- Credential Guard のしくみを確認する
- Credential Guard を構成する方法について説明します
- 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
- Credential Guard を使用する際の考慮事項と既知の問題を確認する
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示