今日のこの投稿では、その方法について説明します。Credential Guard を有効またはオンにするWindows 11/10ではグループポリシーを使用します。 Credential Guard は、Windows 11/10 で利用できる主要なセキュリティ機能の 1 つです。これにより、ドメイン資格情報のハッキングに対する保護が可能になり、ハッカーによる企業ネットワークの乗っ取りを防ぐことができます。
Credential Guard は何をしますか?
クレデンシャル ガードこれは、Windows 11/10 で利用できる主要なセキュリティ機能の 1 つです。これにより、ドメイン資格情報のハッキングに対する保護が可能になり、ハッカーによる企業ネットワークの乗っ取りを防ぐことができます。のような機能を備えたデバイスガードそしてセキュアブート, Windows 11/10 は、以前のどの Windows オペレーティング システムよりも安全です。
Windows 11/10 で Credential Guard を有効または無効にする
クレデンシャル ガードでのみ利用可能ですWindows 11/10 エンタープライズ版。したがって、Pro または Education を使用している場合、お使いのバージョンの Windows ではこの機能は表示されません。さらに、マシンはセキュア ブートと 64 ビット仮想化をサポートしている必要があります。
Credential Guard を有効またはオンにするには、「Run」を開き、次のように入力します。gpedit.mscEnter キーを押して、グループ ポリシー エディターを開きます。
次の設定に移動します。
[コンピュータの構成] > [管理用テンプレート] > [システム] > [Device Guard]
ダブルクリックしてください仮想化ベースのセキュリティを有効にするを選択し、有効。
「オプション」で、選択しますプラットフォームのセキュリティレベルボックス、選択してくださいセキュアブートまたはセキュア ブートと DMA 保護。
下仮想ベースのコード整合性保護、「未設定」を選択します
でCredential Guard の構成ボックスをクリックしますUEFIロックで有効化そしてOK。 Credential Guard をリモートでオフにする場合は、次を選択します。ロックなしで有効化。
下安全な起動構成、「未設定」を選択します
下カーナルモードのハードウェア強制スタック保護、「未構成」を選択します
このポリシーは、仮想化ベースのセキュリティを有効にするかどうかを指定します。
仮想化ベースのセキュリティは、Windows ハイパーバイザーを使用してセキュリティ サービスのサポートを提供します。仮想化ベースのセキュリティにはセキュア ブートが必要で、オプションで DMA 保護を使用して有効にすることができます。 DMA 保護にはハードウェアのサポートが必要で、正しく構成されたデバイスでのみ有効になります。
仮想化ベースのコード整合性の保護
この設定により、仮想化ベースのカーネル モード コード整合性の保護が有効になります。これを有効にすると、カーネル モードのメモリ保護が適用され、コード整合性検証パスが仮想化ベースのセキュリティ機能によって保護されます。
「無効」オプションは、以前に「ロックなしで有効」オプションでオンになっていた場合、仮想化ベースのコード整合性保護をリモートでオフにします。
「UEFI ロックで有効にする」オプションを使用すると、仮想化ベースのコード整合性保護をリモートで無効にできなくなります。この機能を無効にするには、グループ ポリシーを「無効」に設定するだけでなく、物理的に存在するユーザーを含む各コンピューターからセキュリティ機能を削除して、UEFI に保持されている構成をクリアする必要があります。
「ロックなしで有効にする」オプションを使用すると、グループ ポリシーを使用して、コード整合性の仮想化ベースの保護をリモートで無効にすることができます。
「未構成」オプションでは、ポリシー設定が未定義のままになります。グループ ポリシーはポリシー設定をレジストリに書き込まないため、コンピュータやユーザーには影響を与えません。レジストリに現在の設定がある場合、その設定は変更されません。
「UEFI メモリ属性テーブルが必要」オプションは、メモリ属性テーブルの UEFI ファームウェア サポートを備えたデバイスでのみ、仮想化ベースのコード整合性保護を有効にします。 UEFI メモリ属性テーブルのないデバイスには、仮想化ベースのコード整合性保護と互換性のないファームウェアが搭載されている可能性があり、場合によってはクラッシュやデータ損失、または特定のプラグイン カードとの非互換性が発生する可能性があります。このオプションを設定しない場合は、ターゲットのデバイスをテストして互換性を確認する必要があります。
警告: システム上のすべてのドライバーがこの機能と互換性がある必要があります。互換性がない場合、システムがクラッシュする可能性があります。このポリシー設定は、互換性があることがわかっているコンピューターにのみ展開されるようにしてください。
クレデンシャル ガード
この設定により、ユーザーは仮想化ベースのセキュリティを備えた Credential Guard を有効にして、資格情報を保護できるようになります。
Credential Guard が以前に「ロックなしで有効」オプションで有効になっていた場合、「無効」オプションはリモートで無効になります。
「UEFI ロックで有効にする」オプションを使用すると、Credential Guard をリモートで無効にできなくなります。この機能を無効にするには、グループ ポリシーを「無効」に設定するだけでなく、物理的に存在するユーザーを含む各コンピューターからセキュリティ機能を削除して、UEFI に保持されている構成をクリアする必要があります。
「ロックなしで有効にする」オプションを使用すると、グループ ポリシーを使用して Credential Guard をリモートで無効にすることができます。この設定を使用するデバイスは、少なくとも Windows 10 (バージョン 1511) を実行している必要があります。
「未構成」オプションでは、ポリシー設定が未定義のままになります。グループ ポリシーはポリシー設定をレジストリに書き込まないため、コンピュータやユーザーには影響を与えません。レジストリに現在の設定がある場合、その設定は変更されません。
安全な起動
この設定は、ブート チェーンを保護するための Secure Launch の構成を設定します。
「未構成」設定がデフォルトであり、管理ユーザーによる機能の構成が可能です。
「有効」オプションは、サポートされているハードウェアで Secure Launch を有効にします。
「無効」オプションは、ハードウェアのサポートに関係なく、Secure Launch をオフにします。
「適用/OK」をクリックして終了します。
システムを再起動します。
レジストリを使用して Credential Guard を無効または有効にする
次のように、最初に仮想化ベースのセキュリティを有効にする必要があります。
レジストリ エディターを開き、次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.
新しい DWORD 値を追加します。名前を付けてください仮想化ベースのセキュリティを有効にするそしてその値を次のように設定します。
- 仮想化ベースのセキュリティを有効にするには、1 に設定します。
- 仮想化ベースのセキュリティを無効にするには、0 に設定します。
次に、という名前の新しい DWORD 値を追加します。必須プラットフォームセキュリティ機能。
このレジストリ設定の値を 1 に設定します。
- セキュア ブートを使用するには、その値を 1 に設定するだけです。
- セキュア ブートと DMA 保護を使用するには、その値を 3 に設定します。
ここで、Windows Defender Credential Guard を有効にするには、次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新しい DWORD 値を追加して名前を付けますLsaCfgFlags。
- Windows Defender Credential Guard を無効にするには、その値を 0 に設定します。
- UEFI ロックを使用して Windows Defender Credential Guard を有効にするには、1 に設定します。
- UEFI ロックなしで Windows Defender Credential Guard を有効にするには、2 に設定します。
レジストリ エディタを閉じて、コンピュータを再起動します。
Credential Guard は、直接的なハッキングの試みやマルウェアによる認証情報の探索に対する保護を提供することを覚えておく必要があります。 Credential Guard を実装する前に資格情報がすでに盗まれている場合、ハッカーが同じドメイン内の他のコンピューターでハッシュ キーを使用するのを防ぐことはできません。
Credential Guard が実行されているかどうかを確認するにはどうすればよいですか?
システム情報を表示して、Windows Defender Credential Guard がコンピューター上で実行されていることを確認できます。そのためには、実行してくださいmsinfo32.exeをクリックし、「システム情報」を選択します。次に、「システムの概要」を選択します。 「仮想化ベースのセキュリティ サービス」の横に Credential Guard が表示されている場合は、それが実行中であることを意味します。
ヒント: のリモート クレデンシャル ガードWindows 11/10 では、リモート デスクトップの資格情報が保護されます。
