Windows 11/10 には、いくつかの新しいセキュリティ機能が導入されました。追加された新しいセキュリティ機能の 1 つは Credential Guard と呼ばれ、派生ドメイン資格情報の保護に役立ちます。
Windows 11/10 の Credential Guard
Credential Guard は、Windows 11/10 で利用できる主要なセキュリティ機能の 1 つです。これにより、ドメイン資格情報のハッキングに対する保護が可能になり、ハッカーによる企業ネットワークの乗っ取りを防ぐことができます。などの機能に加えて、デバイスガードそしてセキュアブート, Windows 11/10 は、以前のどの Windows オペレーティング システムよりも安全です。
Windows 11/10のCredential Guard機能とは何ですか
Credential Guard は、Device Guard の一部ではない特定の機能であり、主要なシステムとユーザーの秘密を侵害から隔離して強化することを目的としており、悪意のあるコードがすでに実行されている場合に、Pass the Hash スタイルの攻撃の影響と範囲を最小限に抑えるのに役立ちます。ローカルまたはネットワークベースのベクトル経由。
その名前が示すように、Windows 11/10 のこの機能は、ネットワーク内のユーザー ドメイン内およびユーザー ドメイン間で資格情報を保護します。 Microsoft の以前のオペレーティング システムでは、ユーザー アカウントの ID とパスワードをローカル RAM に保存していましたが、Credential Guard は仮想コンテナそして、オペレーティング システムが直接アクセスできない仮想コンテナにすべてのドメイン シークレットを保存します。外部仮想化は必要ありません。この機能を利用するのは、Hyper-Vこれは、コントロール パネルの [プログラムと機能] アプレットで設定できます。
以前にハッカーが Windows オペレーティング システムに侵入した際、ユーザー資格情報の暗号化に使用されるハッシュは、ローカル RAM に保存されているため、十分な保護が施されていないため、そのハッシュにアクセスできる可能性がありました。と認証情報マネージャー、認証情報は仮想コンテナに保存されるため、ハッカーがシステムを侵害したとしてもハッシュにアクセスすることはできません。そうすれば、ネットワーク上のコンピュータに侵入できなくなります。
つまり、Windows 11/10 の Credential Guard 機能は、ドメイン認証情報と関連ハッシュのセキュリティを強化します。そのため、ハッカーが秘密にアクセスして他のコンピュータに適用することはほぼ不可能になります。したがって、攻撃の可能性は入り口でのみ阻止されます。 Credential Guard が破られないとは言いませんが、セキュリティ レベルが確実に向上し、コンピュータとネットワークが安全になります。
以前のバージョンの Windows の Credential Guard に対して、Windows 11/10 の Credential Guard は、ハッシュ化された資格情報が保存されている仮想コンテナーにハッカーがアクセスできる可能性のあるいくつかのプロトコルを禁止します。ただし、この機能はすべてのコンピュータで利用できるわけではありません。
読む:リモート クレデンシャル ガードリモート デスクトップの資格情報を保護します。
Credential Guard のシステム要件
特に低予算のラップトップを使用している場合は、いくつかの制限があります。平ウルトラブックサポートしないものトラステッド プラットフォーム モジュール (TPM)この本では Windows 11/10 Enterprise が実行されますが、Credential Guard は実行できません。
Credential Guard は、Windows 11/10 の Enterprise Edition でのみ実行されます。 Pro または Education を使用している場合、この機能は使用できません。
あなたのマシンはこうあるべきですセキュアブートと64ビット仮想化のサポート。そのため、すべての 32 ビット コンピューターはこの機能の範囲外になります。
これは、すべてのコンピュータを同時にアップグレードする必要があるという意味ではありません。サブドメインを作成し、互換性のないコンピュータをサブドメインに配置した後は、要件を満たす任意のコンピュータを使用できます。 Credential Guard を使用して上位ドメインを構成し、互換性のないコンピューターが下位のサブドメインにある場合でも、セキュリティは依然として十分であり、資格情報のハッキングの試みを阻止できます。
読む:Device Guard および Credential Guard ハードウェア準備ツール
Credential Guard の制限
Windows 11/10 Enterprise エディションの Credential Guard には一部のハードウェア要件が存在しますが、この機能によってすべてが保護されるわけではありません。 Credential Guard から次のことを期待しないでください。
- ローカルアカウントとMicrosoftアカウントの保護
- サードパーティ製ソフトウェアによって管理される資格情報の保護
- キーロガーに対する保護。
Credential Guard は、直接的なハッキングの試みや、認証情報を求めるマルウェアに対する保護を提供します。 Credential Guard を実装する前に資格情報がすでに盗まれている場合、ハッカーが同じドメイン内の他のコンピューターでハッシュ キーを使用するのを防ぐことはできません。
追加情報および Windows 11/10 の Credential Guard 機能を管理するスクリプトについては、次のサイトを参照してください。TechNet。
明日はその方法を見ていきますグループ ポリシーを使用して Credential Guard を有効にする。
Credential Guard を有効にする必要がありますか?
資格情報ガードにより、ドメインの秘密が侵害されないことが保証されます。すでに侵害されている場合、Windows Defender Credential Guard はデバイスまたは ID を保護できません。したがって、これを有効にすることが推奨されるだけでなく、デバイスがドメインに参加する前に実行する必要があります。
![ハイパーリンクをクリックすると Excel がクラッシュする [修正]](https://rele.work/tech/hayato/wp-content/uploads/2023/12/Excel-crashes-when-clicking-on-hyperlink.png)
