Windows Defender Credential Guard によるドメインの派生資格情報の保護

Windows Defender Credential Guard では、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システム ソフトウェアのみがアクセスできるようにします。 これらのシークレットへの未承認のアクセスは、Pass-the-Hash や Pass-the-Ticket など、資格情報の盗難攻撃につながる可能性があります。 Windows Defender Credential Guard は、NTLM パスワード ハッシュ、Kerberos チケット保証チケット、およびアプリケーションによってドメイン資格情報として保存された資格情報を保護することで、これらの攻撃を防ぎます。

Windows Defender Credential Guard を有効にすると、以下の機能と解決策が提供されます。

  • ハードウェア セキュリティ NTLM、Kerberos、および資格情報マネージャーは、セキュア ブートや仮想化を含む、プラットフォームのセキュリティ機能を活用して、資格情報を保護します。
  • 仮想化ベースのセキュリティ: Windows NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護環境で実行されます。
  • 高度な永続的脅威に対する保護の強化 資格情報マネージャーのドメイン資格情報、NTLM、および Kerberos 派生資格情報が仮想化ベースのセキュリティを使って保護されているとき、資格情報の盗難攻撃の手法および多くの標的型攻撃で使用されるツールはブロックされます。 管理者特権を持っているオペレーティング システムで実行されるマルウェアは、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。 Windows Defender Credential Guard は強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性があり、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。

Windows 11バージョン 22H2 の時点で、[既定の有効化] セクションで指定されている最小要件を満たすすべてのデバイスで、Windows Defender Credential Guard が既定で有効になっています。 既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。