Windows Defender Credential Guard に関する既知の問題

• 適用対象:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Windows Defender Credential Guard には、特定のアプリケーション要件があります。 Windows Defender Credential Guard では、特定の認証機能がブロックされます。 そのため、このような機能を必要とするアプリケーションは、有効になっている場合は機能しません。 詳細については、「 アプリケーション要件」を参照してください。

既知の問題: Windows 11 バージョン 22H2 にアップグレードすると、ネットワーク サービスのシングル Sign-On (SSO) が切断される

問題の症状:

パスワードベースの認証で安全でないプロトコルに依存する 802.1x ワイヤレスまたは有線ネットワーク、RDP、または VPN 接続を使用するデバイスは、SSO を使用してログインできず、資格情報ガードが実行されているすべての新しい Windows セッションで手動で再認証Windows Defender強制されます。

影響を受けるデバイス:

Credential Guard Windows Defender有効にするデバイスでは、この問題が発生する可能性があります。 Windows 11バージョン 22H2 更新プログラムの一環として、Credential Guard が既定で有効にしていたWindows Defender、以前は明示的に無効にしていなかった適格なデバイス。 これは、 最小ハードウェア要件を満たしている限り、Enterprise (E3 および E5) および Education ライセンス上のすべてのデバイスと一部の Pro ライセンス*に影響を与えました。

* 以前に資格のあるライセンスWindows Defender Credential Guard を実行し、その後 Pro にダウングレードした後、ハードウェアの最小要件を満たすすべての Pro デバイスは、既定の有効化を受け取ります。

ヒント

バージョン 22H2 Windows 11にアップグレードしたときに Pro デバイスが既定の有効化を受け取るかどうかを判断するには、アップグレードする前に次の操作を行います。
レジストリ キー IsolatedCredentialsRootSecret が に Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0存在するかどうかを確認します。 存在する場合は、アップグレード後にデバイスWindows Defender Credential Guard が有効になります。 Windows Defender資格情報ガードは、アップグレード後に無効化の手順に従って無効にできます。

これが発生する理由:

アプリケーションとサービスは、パスワードベースの認証を使用する安全でないプロトコルに依存している場合、この問題の影響を受けます。 Windows Defender Credential Guard は、これらの安全でないプロトコルの使用を設計によってブロックします。 これらのプロトコルは、クライアントとサーバーでパスワードが漏洩する可能性があるため、セキュリティで保護されていないと見なされます。これは、Credential Guard Windows Defenderの目標とは直接矛盾しています。 影響を受けるプロコールは次のとおりです。

• Kerberos の制約のない委任 (SSO と指定された資格情報の両方がブロックされます)
• PKINIT がDiffie-Hellmanではなく RSA 暗号化を使用する場合の Kerberos (SSO と指定された資格情報の両方がブロックされます)
• MS-CHAP (SSO のみがブロックされています)
• WDigest (SSO のみがブロックされます)
• NTLM v1 (SSO のみがブロックされています)

MS-CHAP、WDigest、NTLM v1 では SSO のみがブロックされるため、これらのプロトコルは引き続きユーザーに資格情報の入力を求めることで使用できます。

注

MS-CHAP と NTLMv1 は、Windows 11 バージョン 22H2 更新後に発生した SSO の破損に特に関連します。 Credential Guard Windows Defenderがこれらのプロトコルのいずれかをブロックしているかどうかを確認するには、イベント ビューアーの NTLM イベント ログでApplication and Services Logs\Microsoft\Windows\NTLM\Operational、次の警告やエラーを確認します。

イベント ID 4013 (警告)

<string  
  id="NTLMv1BlockedByCredGuard"  
  value="Attempt to use NTLMv1 failed.
  Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID of client process: %4%nName of client process: %5%nLUID of client process: %6%nUser identity of client process: %7%nDomain name of user identity of client process: %8%nMechanism OID: %9%n%nThis device does not support NTLMv1. For more information, see https://go.microsoft.com/fwlink/?linkid=856826."  
/>  

イベント ID 4014 (エラー)

<string  
   id="NTLMGetCredentialKeyBlockedByCredGuard"  
   value="Attempt to get credential key by call package blocked by Credential Guard.%n%nCalling Process Name: %1%nService Host Tag: %2"  
/>  

問題を解決するためのオプション:

Microsoftでは、組織は、PEAP-MSCHAPv2や EAP-MSCHAPv2 などの MSCHAPv2 ベースの接続から PEAP-TLS や EAP-TLS などの証明書ベースの認証に移行することをお勧めします。 Windows Defender Credential Guard は証明書ベースの認証をブロックしません。

より迅速で安全性の低い修正を行う場合は、Credential Guard Windows Defender無効にします。 Windows Defender Credential Guard には、プロトコルごとまたはアプリケーションごとのポリシーがないため、完全にオンまたはオフにする必要があることに注意してください。 Credential Guard Windows Defender無効にすると、保存されているドメイン資格情報の一部が盗難に対して脆弱になります。 Windows Defender Credential Guard は、既に有効にした後で無効にすることも、バージョン 22H2 Windows 11に更新する前に明示的に無効にすることもできます。これにより、既定の有効化が実行されなくなります。

ヒント

既定の有効化を防ぐには、グループ ポリシーを使用して、バージョン 22H2 Windows 11に更新する前に、Windows Defender Credential Guard を明示的に無効にします。 GPO 値が構成されていない (既定の状態) 場合、デバイスは更新後に既定の有効化を受け取ります (該当する場合)。 GPO の値が "無効" に設定されている場合、更新後は有効になりません。 このプロセスは、デバイスが現在 MDM によって管理されている場合にグループ ポリシーするのではなく、モバイル デバイス管理 (MDM) ポリシーを使用して行うこともできます。

サード パーティ アプリケーションに関する既知の問題

次の問題は MSCHAPv2 に影響します。

• 資格情報ガードは MSCHAPv2 構成では機能しません。そのうち、Cisco ISE は非常に一般的なエンタープライズ実装です。

次の問題は Java GSS API に影響します。 次の Oracle バグ データベースの記事をご覧ください。

• JDK-8161921: Windows Defender Credential Guard で TGT と Java の共有が許可されない

Windows Defender Credential Guard が Windows で有効になっている場合、Java GSS API は認証されません。 これは、Windows Defender Credential Guard によって特定のアプリケーション認証機能がブロックされ、レジストリ キーの設定に関係なくアプリケーションに TGT セッション キーが提供されないため、予期される動作です。 詳細については、「 アプリケーション要件」を参照してください。

次の問題は、Cisco AnyConnect セキュア モビリティ クライアントに影響します。

• Cisco Anyconnect 4.3.04027 を使用Hypervisor-Protectedコード整合性とWindows Defender Credential Guard を実行している Windows コンピューターのブルー スクリーン

次の問題は、McAfee Application and Change Control (MACC) に影響します。

• KB88869 Windows マシンは、Windows Defender Credential Guard が有効になっている場合にインストールされた McAfee Application and Change Control (MACC) で CPU 使用率が高くなります^{。注 1}

次の問題は、Citrix アプリケーションに影響します。

• Windows マシンは、Credential Guard が有効になっているときにインストールされた Citrix アプリケーションWindows Defender CPU 使用率が高くなります。 ^{注 1}

注

注 1: 仮想化ベースのセキュリティ (VBS) で保護されたプロセスに接続する製品では、資格情報ガードが有効なWindows 10、Windows 11、Windows Server 2016、または Windows Server 2019 マシンWindows Defender CPU 使用率が高くなる可能性があります。 技術的およびトラブルシューティングの情報については、「 WINDOWS 上の LSAISO プロセスでの KB4032786 高 CPU 使用率」を参照してください。

LSAISO.exeの詳細については、「 分離ユーザー モード (IUM) プロセス」を参照してください。

ベンダー サポート

Secure Boot の Citrix サポートの詳細については、「セキュア ブートの Citrix サポート」を参照してください。

Windows Defender Credential Guard は、次の製品、製品バージョン、コンピューター システム、またはWindows 10バージョンではサポートされていません。

• McAfee 暗号化製品を使用した Windows でのHypervisor-Protectedコードの整合性とWindows Defender Credential Guard のサポート

• Microsoft Windows Defender Credential Guard および Hypervisor-Protected Code Integrity 機能に対するエンドポイント セキュリティ クライアントのサポートCheck Point

• Windows 10 ホスト上の VMware Workstation で "VMware Workstation と Device/Credential Guard に互換性がありません" エラー (2146361)

• Windows でのHypervisor-Protectedコードの整合性とWindows Defender Credential Guard の ThinkPad のサポートMicrosoft

• Windows Defender Credential Guard と Symantec Endpoint Protection 12.1 を使用する Windows デバイス

この一覧は包括的ではありません。 製品ベンダー、製品バージョン、またはコンピューター システムが、Windows または特定のバージョンの Windows を実行するシステムでWindows Defender Credential Guard をサポートしているかどうかを確認します。 特定のコンピューター システム モデルには、Windows Defender Credential Guard との互換性がない場合があります。

Microsoft では、このページに対するサード パーティ ベンダー様のご協力をお待ちしております。関連する製品サポート情報や、独自の製品サポート ステートメントへのリンクを追加してください。

修正された以前の既知の問題

2017 年 11 月の累積的なセキュリティ更新プログラムで、次の既知の問題が修正されました。

• Credential Guard が有効になっている場合、ドメイン ユーザーが保存した資格情報を使用したスケジュールされたタスクは実行できません。 タスクは失敗し、次のメッセージでイベント ID 104 が報告されます。

  Task Scheduler failed to log on '\Test'.
  Failure occurred in 'LogonUserExEx'.
  User Action: Ensure the credentials for the task are correctly specified.
  Additional Data: Error Value: 2147943726. 2147943726: ERROR\_LOGON\_FAILURE (The user name or password is incorrect).
  

• ドメイン コントローラーで NTLM 監査を有効にすると、暗号化できないユーザー名形式のイベント ID 8004 がログに記録されます。 また、ユーザー ログオン エラー イベント 4625 でも同様のユーザー名が表示され、コンピューター自体にエラー 0xC0000064が表示されます。 次に、例を示します。

  Log Name: Microsoft-Windows-NTLM/Operational
  Source: Microsoft-Windows-Security-Netlogon
  Event ID: 8004
  Task Category: Auditing NTLM
  Level: Information
  Description:
  Domain Controller Blocked Audit: Audit NTLM authentication to this domain controller.
  Secure Channel name: <Secure Channel Name>
  User name:
  @@CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAgDA2AQQAMEAwAANAgDA1AQLAIEADBQRAADAtAANAYEA1AwQA0CA5AAOAMEAyAQLAYDAxAwQAEDAEBwMAMEAwAgMAMDACBgRA0HA
  Domain name: NULL
  

  • このイベントは、 2017 年 11 月以降の累積的なセキュリティ更新プログラム を使用してローカル ユーザー コンテキストで実行されているスケジュールされたタスクに由来し、Credential Guard が有効になっているときに発生します。
  • ローカル アカウントは Credential Guard によって保護されていないため、ユーザー名は通常とは異なる形式で表示されます。 タスクの実行も失敗します。
  • 回避策として、ドメイン ユーザーまたはコンピューターの SYSTEM アカウントでスケジュールされたタスクを実行します。

次の既知の問題は、2017 年 4 月の累積的なセキュリティ更新プログラムで公開されたサービス リリースで修正されました。

• KB4015217 Windows Defender Credential Guard によって、Active Directory ドメインに参加している Windows マシンで二重の不正なパスワード数が生成される

  この問題は、予期しないアカウントのロックアウトを引き起こす可能性があります。 詳細については、次のサポート記事を参照してください。

  • KB4015219
  • KB4015221