Windows 11/10のCredential Guardとは

Windows 11/10には、いくつかの新しいセキュリティ機能が導入されました。追加された新しいセキュリティ機能の1つは、派生ドメイン資格情報を保護するCredential Guardと呼ばれます。

Windows 11/10のCredential Guard

Credential Guardは、Windows 11/10で利用できる主要なセキュリティ機能の1つです。ドメイン資格情報のハッキングから保護し、それによってハッカーが企業ネットワークを乗っ取ることを防ぎます。Device GuardやSecure Bootなどの機能に加え、Windows 11/10は以前のWindowsオペレーティングシステムよりも安全です。

Windows 11/10のCredential Guard機能とは

Credential Guardは、Device Guardの一部ではない特定の機能で、重要なシステムとユーザーの秘密を隔離して強化し、悪意のあるコードがローカルまたはネットワークベースのベクトルを介してすでに実行されている場合でも、パスワードハッシュ攻撃の影響と範囲を最小限に抑えることを目的としています。

名前が示すように、Windows 11/10のこの機能は、ネットワーク内のユーザーのドメインとその間の資格情報を保護します。Microsoftの以前のオペレーティングシステムでは、ユーザーアカウントのIDとパスワードをローカルRAMに保存していましたが、Credential Guardは仮想コンテナーを作成し、オペレーティングシステムが直接アクセスできないその仮想コンテナーにすべてのドメインの秘密を保存します。外部仮想化は必要ありません。この機能は、コントロールパネルの「プログラムと機能」アプレットで構成できるHyper-Vを利用します。

ハッカーが以前のWindowsオペレーティングシステムを侵害した場合、それほど保護されていないローカルRAMに保存されていたユーザー資格情報を暗号化するために使用されるハッシュにアクセスできました。Credential Managerを使用すると、資格情報は仮想コンテナーに保存されるため、ハッカーがシステムを侵害してもハッシュにアクセスすることはできません。その場合、ネットワーク上のコンピューターに侵入することはできません。

つまり、Windows 11/10のCredential Guard機能は、ドメイン資格情報と関連するハッシュのセキュリティを強化することで、ハッカーが秘密にアクセスして他のコンピューターに適用することがほぼ不可能になります。そのため、攻撃の可能性は入り口で阻止されます。Credential Guardは破れないとは言いませんが、コンピューターとネットワークが安全になるようにセキュリティレベルを確実に高めます。

以前のバージョンのWindowsのCredential Guardとは異なり、Windows 11/10のCredential Guardは、ハッシュ化された資格情報が保存されている仮想コンテナーにハッカーが到達することを可能にする可能性のあるプロトコルをいくつか許可しません。ただし、この機能はすべてのコンピューターで利用できるわけではありません。

詳細:リモートCredential Guardはリモートデスクトップの資格情報を保護します。

Credential Guardのシステム要件

特に低価格のノートパソコンを使用している場合、いくつかの制限があります。Trusted Platform Module（TPM）をサポートしていないUltrabookでさえ、そのノートパソコンでWindows 11/10 Enterpriseを実行することはできません。

Credential Guardは、Windows 11/10のEnterprise Editionでのみ実行されます。ProまたはEducationを使用している場合、この機能を使用することはできません。

お使いのマシンは、セキュアブートと64ビット仮想化をサポートしている必要があります。これにより、32ビットコンピューターはこの機能の対象外になります。

これは、すべてのコンピューターを同時にアップグレードする必要があるという意味ではありません。サブドメインを作成し、互換性のないコンピューターをサブドメインに入れることで、要件を満たすコンピューターを使用できます。Credential Guardを使用して上位ドメインを構成し、互換性のないコンピューターが下位サブドメインにある場合、セキュリティは資格情報ハッキングの試みを阻止するのに十分なレベルになります。

Credential Guardの制限

Windows 11/10 EnterpriseエディションのCredential Guardには一部のハードウェア要件がありますが、この機能によってすべてが保護されるわけではありません。Credential Guardには以下のことを期待しないでください。

1. ローカルアカウントとMicrosoftアカウントの保護
2. サードパーティのソフトウェアによって管理される資格情報の保護
3. キーロガーからの保護。

Credential Guardは、資格情報情報を求める直接ハッキングの試行とマルウェアから保護します。Credential Guardを実装する前に資格情報情報がすでに盗まれている場合、ハッカーが同じドメインの他のコンピューターでハッシュキーを使用することはできません。

Windows 11/10のCredential Guard機能を管理するためのスクリプトと追加情報については、TechNetを参照してください。

明日は、グループポリシーを使用してCredential Guardを有効にする方法を説明します。

Credential Guardを有効にする必要がありますか？

Credential Guardは、ドメインの秘密が侵害されないようにします。すでに侵害されている場合、Windows Defender Credential GuardはデバイスまたはIDを保護することができません。したがって、有効にすることが推奨されるだけでなく、デバイスがドメインに参加する前に有効にする必要があります。