Windows Defender Credential Guard の管理

既定の有効化

バージョン 22H2 およびバージョン 22H2の Windows 11 Education Windows 11 Enterprise以降、互換性のあるシステムでは、既定で Credential Guard Windows Defenderオンになっています。 この機能は、Windows の機能の既定の状態を変更しますが、システム管理者は引き続きこの有効化状態を変更できます。 Windows Defender Credential Guard は、以下に記載されている方法で手動で有効または無効にすることができます。

既定の有効化に起因する既知の問題については、「Credential Guard: 既知の問題Windows Defender」を参照してください。

自動有効化の要件

Windows Defender資格情報ガードは、PC が次の最小要件を満たしている場合、既定で有効になります。

コンポーネント 要件
オペレーティング システム Windows 11 Enterprise、バージョン 22H2 または Windows 11 Education バージョン 22H2
既存のWindows Defender資格情報ガードの要件 Credential Guard Windows Defender実行する既存のハードウェアとソフトウェアの要件を満たすデバイスのみが、既定で有効になります。
仮想化ベースのセキュリティ (VBS) の要件 Credential Guard を実行するには、VBS Windows Defender有効にする必要があります。 Windows 11 Enterprise 22H2 および Windows 11 Education 22H2 以降では、Credential Guard を実行するための要件Windows Defender満たすデバイスと、VBS を有効にする最小要件には、Credential Guard と VBS の両方Windows Defenderがありますは既定で有効になっています。

Credential Guard または VBS Windows Defenderが明示的に無効になっている場合、既定の有効化によってこの設定は上書きされません。

Windows 11 Pro 22H2 を実行しているデバイスは、上記の既定の有効化の他の要件を満たし、以前に Credential Guard Windows Defender実行している場合は、Virtualization-Based Security (VBS) や Windows Defender Credential Guard automaticaly が有効になっている可能性があります (たとえば、Windows Defender Credential Guard は、後で Pro にダウングレードされた Enterprise デバイスで実行されていました)。

Pro デバイスがこの状態であるかどうかを判断するには、レジストリ キー IsolatedCredentialsRootSecret が に Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0存在するかどうかを確認します。 このシナリオでは、VBS を無効にして Credential Guard をWindows Defenderする場合は、Virtualization-Basedセキュリティを無効にする手順に従います。 Virtualization-Basedセキュリティを無効にせずにWindows Defender Credential Guard のみを無効にする場合は、資格情報ガードWindows Defender無効にする手順を使用します。

Windows Defender Credential Guard を有効にする

Windows Defender Credential Guard は、グループ ポリシーレジストリ、またはハイパーバイザーで保護されたコード整合性 (HVCI) と credential Guard ハードウェア準備ツールWindows Defender使用して有効にすることができます。 Windows Defender Credential Guard は、物理マシンの場合と同様に、Hyper-V 仮想マシンで機密情報を保護できます。 物理マシンで Windows Defender Credential Guard を有効にする場合と同じ一連の手順が、仮想マシンにも適用されます。

Azure Gen 1 VM を使用する場合、Credential Guard と Device Guard はサポートされていません。 これらのオプションは、Gen 2 VM でのみ使用できます。

グループ ポリシーを使用して Windows Defender Credential Guard を有効にする

グループ ポリシーを使って Windows Defender Credential Guard を有効にすることができます。 有効にすると、必要に応じて仮想化ベースのセキュリティ機能が追加され、有効になります。

  1. グループ ポリシー管理コンソールから、[コンピューターの構成>] [管理用テンプレート>] [システム>デバイス ガード] の順に移動します。

  2. [ 仮想化ベースのセキュリティを有効にする] を選択し、[ 有効] オプションを選択します。

  3. [プラットフォームのセキュリティ レベルを選択する] ボックスで、[セキュア ブート] または [セキュア ブートと DMA 保護] を選びます。

  4. [ Credential Guard 構成 ] ボックスで、[ UEFI ロックで有効] を選択します。 Windows Defender Credential Guard をリモートでオフにできるようにする場合は、[ロックなしで有効化] を選択します。

  5. [ Secure Launch Configuration]\(セキュリティで保護された起動の構成\ ) ボックス で、[未構成]、[ 有効] 、または [無効] を選択します。 詳細については、「セキュア起動と SMM 保護System Guard」を参照してください。

    Credential Guard グループ ポリシー 設定をWindows Defenderします。

  6. [OK] を選択し、グループ ポリシー管理コンソールを閉じます。

グループ ポリシーの処理を実施するには、gpupdate /force を実行します。

Microsoft Intune Windows Defender使用して Credential Guard を有効にする

  1. エンドポイント マネージャー管理センターで、[デバイス] を選択します

  2. [ 構成プロファイル] を選択します

  3. [プロファイルの作成Windows 10以降>の [設定] カタログ>の [作成] を選択します。>

    1. 構成設定: 設定ピッカーで、カテゴリとして [Device Guard ] を選択し、必要な設定を追加します。

VBS とセキュア ブートを有効にし、UEFI ロックの有無にかかわらず実行できます。 Credential Guard をリモートで無効にする必要がある場合は、UEFI ロックなしで有効にします。

ヒント

エンドポイント セキュリティでアカウント保護プロファイルを使用して Credential Guard を構成することもできます。 詳細については、「Microsoft Intuneのエンドポイント セキュリティのアカウント保護ポリシー設定」を参照してください。

レジストリを使用して Windows Defender Credential Guard を有効化する

グループ ポリシーを使わない場合は、レジストリを使って Windows Defender Credential Guard を有効にすることができます。 Windows Defender Credential Guard では、一部のオペレーティング システムで最初に有効にする必要がある仮想化ベースのセキュリティ機能が使用されます。

仮想化ベースのセキュリティ機能の追加

Windows 10 バージョン 1607 およびWindows Server 2016以降、Windows 機能で仮想化ベースのセキュリティを使用できるようにする必要は不要であり、この手順はスキップできます。

Windows 10バージョン 1507 (RTM) またはバージョン 1511 Windows 10を使用している場合は、仮想化ベースのセキュリティを使用するために Windows 機能を有効にする必要があります。 有効にするには、コントロール パネルまたは展開イメージのサービスと管理ツール (DISM) を使用します。

グループ ポリシーを使って Windows Defender Credential Guard を有効にする場合、コントロール パネルまたは DISM を使って Windows の機能を有効にする手順は必要ありません。 グループ ポリシーによって、Windows の機能がインストールされます。

[プログラムと機能] を使って仮想化ベースのセキュリティ機能を追加する
  1. コントロール パネルの [プログラムと機能] を開きます。

  2. [ Windows 機能のオンとオフを切り替える] を選択します

  3. [Hyper-V Hyper-V>プラットフォーム] に移動し、[Hyper-V ハイパーバイザー] チェック ボックスをオンにします。

  4. 機能の選択肢のトップレベルにある [分離ユーザー モード] チェック ボックスをオンにします。

  5. [OK] を選択します。

DISM を使って仮想化ベースのセキュリティ機能をオフライン イメージに追加する
  1. 管理者特権でのコマンド プロンプトを開きます。

  2. 次のコマンドを実行して Hyper-V Hypervisor を追加します。

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. 次のコマンドを実行して分離ユーザー モード機能を追加します。

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Windows 10バージョン 1607 以降では、分離ユーザー モード機能がコア オペレーティング システムに統合されています。 そのため、上記の手順 3 でコマンドを実行する必要はありません。

ヒント

DISM または Configuration Manager を使用して、これらの機能をオンライン イメージに追加することもできます。

仮想化ベースのセキュリティと Windows Defender Credential Guard を有効にする

  1. レジストリ エディターを開きます。

  2. 仮想化ベースのセキュリティを有効にします。

    1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard に移動します。

    2. EnableVirtualizationBasedSecurity という名前の新しい DWORD 値を追加します。 仮想化ベースのセキュリティを有効にするには、このレジストリ設定の値を 1 に設定します。無効にするには、0 に設定します。

    3. RequirePlatformSecurityFeatures という名前の新しい DWORD 値を追加します。 [セキュア ブート] のみを使用するには、このレジストリ設定の値を 1 に設定します。[セキュア ブートと DMA 保護] を使用するには、3 に設定します。

  3. Windows Defender Credential Guard を有効にします。

    1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa に移動します。

    2. LsaCfgFlags という名前の新しい DWORD 値を追加します。 Windows Defender Credential Guard を UEFI ロックありで有効にするにはレジストリ設定の値を 1 に設定し、ロックなしで Windows Defender Credential Guard を有効にするには 2 に設定し、無効化するには 0 に設定します。

  4. レジストリ エディターを閉じます。

FirstLogonCommands 無人設定のレジストリ エントリを設定して Windows Defender Credential Guard を有効にすることもできます。

HVCI と Credential Guard ハードウェアの準備ツールを使用してWindows Defender Credential Guard Windows Defender有効にする

また、HVCI と Credential Guard ハードウェア準備ツールWindows Defender使用して、Windows Defender Credential Guard を有効にすることもできます。

DG_Readiness_Tool.ps1 -Enable -AutoReboot

重要

英語以外のオペレーティング システムで HVCI および Credential Guard ハードウェア準備ツールWindows Defenderを実行する場合、スクリプト内で、ツールが動作するように変更$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()します。

これは既知の問題です。

Windows Defender Credential Guard のパフォーマンスを確認する

Windows Defender Credential Guard が実行されているかどうか

システム情報を使って、Windows Defender Credential Guard が PC で実行されていることを確認できます。

  1. [ スタート] を選択 し、「msinfo32.exe」と入力し、[ システム情報] を選択します。

  2. [ システムの概要] を選択します

  3. [仮想化ベースのセキュリティ サービスの実行中] の横に Credential Guard が表示されていることを確認します。

また、WINDOWS DEFENDER Credential Guard が実行されていることを確認するには、HVCI と Credential Guard ハードウェア準備ツールWindows Defender使用します。

DG_Readiness_Tool_v3.6.ps1 -Ready

重要

英語以外のオペレーティング システムで HVCI および Credential Guard ハードウェア準備ツールWindows Defenderを実行する場合、スクリプト内で、ツールが動作するように変更*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()します。

これは既知の問題です。

Windows 10 1703 を実行しているクライアント コンピューターでは、他の機能のために仮想化ベースのセキュリティが有効になっていると、常に LsaIso.exe が実行されます。

  • デバイス がドメインに参加する前に、Windows Defender Credential Guard を有効にすることをお勧めします。 デバイスがドメインに参加した後、デバイスで Windows Defender Credential Guard を有効にした場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。 つまり、Credential Guard を有効にしても、既に侵害されているデバイスまたは ID をセキュリティで保護することはできません。 そのため、できるだけ早く Credential Guard をオンにすることをお勧めします。

  • Windows Defender Credential Guard が有効になっている PC についても通常のレビューを実行する必要があります。 セキュリティ監査ポリシーまたは WMI クエリを使用できます。 検索する WinInit イベント ID の一覧を次に示します。

    • イベント ID 13 Windows Defender Credential Guard (LsaIso.exe) が開始され、LSA 資格情報が保護されます。

    • イベント ID 14 Windows Defender Credential Guard (LsaIso.exe) 構成: [0x0 | 0x1 | 0x2], 0

      • 最初の変数 (0x1 または 0x2) は、Windows Defender Credential Guard が実行されるように構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。

      • 2 番目の変数: 0 は、保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 にする必要があります。

    • イベント ID 15 Windows Defender Credential Guard (LsaIso.exe) が構成されていますが、セキュリティで保護されたカーネルが実行されていません。Credential Guard をWindows Defenderせずに続行します。

    • イベント ID 16 Windows Defender Credential Guard (LsaIso.exe) の起動に失敗しました: [エラー コード]

    • イベント ID 17Credential Guard (LsaIso.exe) UEFI 構成Windows Defender読み取りエラー: [エラー コード]

  • また、[アプリケーションとサービス] ログの [イベント ID 51] を Windows > カーネル ブート イベント ログ>> Microsoftチェックすることで、キー保護に TPM が使用されていることを確認することもできます。 完全なイベント テキストは次のようになります。 VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. TPM を使用して実行している場合、TPM PCR マスク値は 0 以外になります。

  • Windows PowerShellを使用して、クライアント コンピューターで資格情報ガードが実行されているかどうかを判断できます。 問題のコンピューターで、管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行します。

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    このコマンドは、次の出力を生成します。

    • 0: Windows Defender Credential Guard が無効になっている (実行されていません)

    • 1: Credential Guard が有効になっているWindows Defender (実行中)

      タスク リストまたはタスク マネージャーを確認して、LSAISO.exeが実行されているかどうかを確認することは、Credential Guard が実行されているかどうかを判断Windows Defender推奨される方法ではありません。

Windows Defender Credential Guard を無効にする

Windows Defender Credential Guard は、機能の有効化方法に応じて、以下で説明するいくつかの方法を使用して無効にすることができます。 Windows Defender Credential Guard が 22H2 更新プログラムで自動的に有効になっていて、更新前に有効になっていないデバイスの場合は、グループ ポリシー経由で無効にするだけで十分です。

UEFI ロックWindows Defender Credential Guard が有効になっている場合は、「UEFI ロックによる資格情報ガードWindows Defender無効化」で説明されている手順に従う必要があります。 対象となる 22H2 デバイスの既定の有効化の変更では、UEFI ロックは使用 されません

Windows Defender Credential Guard が UEFI ロックなしでグループ ポリシーで有効になっている場合は、Windows Defender Credential Guard をグループ ポリシー経由で無効にする必要があります。

それ以外の場合は、Windows Defender Credential Guard を無効にするには、レジストリ キーを変更します

Windows Defender仮想マシンで実行されている Credential Guard は、ホストによって無効にすることができます。

Virtualization-Based セキュリティ (VBS) を無効にする方法については、「 Virtualization-Based セキュリティの無効化」を参照してください。

グループ ポリシーを使用Windows Defender Credential Guard を無効にする

Windows Defender Credential Guard が グループ ポリシー 経由で有効になっていて、UEFI ロックがない場合、同じグループ ポリシー設定を無効にすると、Credential Guard Windows Defender無効になります。

  1. Credential Guard を制御するグループ ポリシー設定Windows Defender無効にします。 [コンピューターの構成>] [管理用テンプレート] [システム>デバイス ガード>] [仮想化ベースの>セキュリティを有効にする] の順に移動します。 [Credential Guard の構成] セクションで、ドロップダウン値を "Disabled" に設定します。

    Windows Defender Credential Guard グループ ポリシーが [無効] に設定されています。

  2. マシンを再起動します。

レジストリ キーを使用したWindows Defender Credential Guard の無効化

Windows Defender Credential Guard が UEFI ロックなしで有効になっていて、グループ ポリシーが有効になっていない場合は、以下で説明するようにレジストリ キーを編集して、Windows Defender Credential Guard を無効にするだけで十分です。

  1. 次のレジストリ設定を 0 に変更します。

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

      これらのレジストリ設定を削除しても、Credential Guard Windows Defender無効にならない場合があります。 値は 0 に設定する必要があります。

  2. マシンを再起動します。

UEFI ロックWindows Defender資格情報ガードを無効にする

Windows Defender Credential Guard が UEFI ロックが有効になっている場合は、設定が EFI (ファームウェア) 変数に保持されるため、次の手順に従う必要があります。 このシナリオでは、変更を受け入れるためにファンクション キーを押すために、マシンに物理的なプレゼンスが必要になります。

  1. グループ ポリシーを使用して Credential Guard Windows Defender有効にした場合は、関連するグループ ポリシー設定を無効にします。 [コンピューターの構成>] [管理用テンプレート] [システム>デバイス ガード>] [仮想化ベースの>セキュリティを有効にする] の順に移動します。 [Credential Guard の構成] セクションで、ドロップダウン値を [無効] に設定します。

  2. 次のレジストリ設定を 0 に変更します。

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. bcdedit を使って Windows Defender Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  4. PC を再起動します。 OS が起動する前に、UEFI が変更されたことを通知し、確認を求めるプロンプトが表示されます。 変更を保持するには、このプロンプトを確認する必要があります。 この手順では、マシンへの物理的なアクセスが必要です。

仮想マシンの Windows Defender Credential Guard を無効にする

ホストからは、次のようにして仮想マシンの Windows Defender Credential Guard を無効にできます。

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Virtualization-Based セキュリティの無効化

Credential Guard をWindows Defenderするのではなく、Virtualization-Based セキュリティ (VBS) を完全に無効にする方法について、以下の手順を示します。 Virtualization-Basedセキュリティを無効にすると、Windows Defender Credential Guard やその他の VBS に依存する機能が自動的に無効になります。

重要

Windows Defender Credential Guard に加えて、その他のセキュリティ機能は、実行するために Virtualization-Based セキュリティに依存しています。 Virtualization-Basedセキュリティを無効にすると、意図しない副作用が発生する可能性があります。

  1. Virtualization-Basedセキュリティを有効にするためにグループ ポリシーが使用された場合は、有効にするために使用されたグループ ポリシー設定 (コンピューター構成>管理テンプレート>システム>デバイスガード>仮想化ベースのセキュリティを有効にする) を "無効" に設定します。

  2. 次のレジストリ キー設定を削除します。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      重要

      これらのレジストリ設定を手動で削除する場合は、すべての設定を削除してください。 すべての設定を削除しない場合、デバイスが BitLocker 回復に移行する可能性があります。

  3. Virtualization-Basedセキュリティを無効にしたときに資格情報ガードWindows Defender実行されていて、UEFI ロックでいずれかの機能が有効になっている場合は、bcdedit を使用して EFI (ファームウェア) 変数をクリアする必要があります。 管理者特権のコマンド プロンプトから、上記の手順 1 と 2 で説明したように、すべてのVirtualization-Basedセキュリティ グループ ポリシーとレジストリ設定をオフにした後、次の bcdedit コマンドを実行します。

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    
  4. PC を再起動します。