Windows Defender Credential Guard によるドメインの派生資格情報の保護
Windows Defender Credential Guard では、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システム ソフトウェアのみがアクセスできるようにします。 これらのシークレットへの未承認のアクセスは、Pass-the-Hash や Pass-the-Ticket など、資格情報の盗難攻撃につながる可能性があります。 Windows Defender Credential Guard は、NTLM パスワード ハッシュ、Kerberos チケット保証チケット、およびアプリケーションによってドメイン資格情報として保存された資格情報を保護することで、これらの攻撃を防ぎます。
Windows Defender Credential Guard を有効にすると、以下の機能と解決策が提供されます。
- ハードウェア セキュリティ NTLM、Kerberos、および資格情報マネージャーは、セキュア ブートや仮想化を含む、プラットフォームのセキュリティ機能を活用して、資格情報を保護します。
- 仮想化ベースのセキュリティ: Windows NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護環境で実行されます。
- 高度な永続的脅威に対する保護の強化 資格情報マネージャーのドメイン資格情報、NTLM、および Kerberos 派生資格情報が仮想化ベースのセキュリティを使って保護されているとき、資格情報の盗難攻撃の手法および多くの標的型攻撃で使用されるツールはブロックされます。 管理者特権を持っているオペレーティング システムで実行されるマルウェアは、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。 Windows Defender Credential Guard は強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性があり、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。
注
Windows 11バージョン 22H2 の時点で、[既定の有効化] セクションで指定されている最小要件を満たすすべてのデバイスで、Windows Defender Credential Guard が既定で有効になっています。 既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。
関連トピック
- Windows Defender Credential Guard によるネットワーク パスワードの保護
- Windows Kerberos での KDC の厳密な検証の有効化に関するページ
- Windows Server 2012 の Kerberos 認証の新機能に関するページ
- Windows Server 2008 R2 手順ガイドの AD DS 用の認証メカニズム保証
- トラステッド プラットフォーム モジュール
- Windows 10分離ユーザー モードを使用した資格情報の盗難の軽減
- Logan Gabriel を使用したWindows 10での分離されたユーザー モードのプロセスと機能
- Dave Probert を使用した分離ユーザー モードWindows 10プロセスと機能の詳細
- Dave Probert を使用したWindows 10での分離ユーザー モード
- David Hepkin を使用した仮想セキュア モードのWindows 10