Windows Defender Credential Guard によるドメインの派生資格情報の保護

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019

Windows 10 Enterprise および Windows Server 2016 で導入された Windows Defender Credential Guard では、仮想化ベースのセキュリティを使って、特権を持つシステム ソフトウェアのみがアクセスできるようにシークレットを分離します。 これらのシークレットへの未承認のアクセスは、Pass-the-Hash や Pass-the-Ticket など、資格情報の盗難攻撃につながる可能性があります。 Windows Defender Credential Guard は、NTLM パスワード ハッシュ、Kerberos チケット保証チケット、およびアプリケーションによってドメイン資格情報として保存された資格情報を保護することで、これらの攻撃を防ぎます。

Windows Defender Credential Guard を有効にすると、以下の機能と解決策が提供されます。

  • ハードウェア セキュリティ NTLM、Kerberos、および資格情報マネージャーは、セキュア ブートや仮想化を含む、プラットフォームのセキュリティ機能を活用して、資格情報を保護します。
  • 仮想化ベースのセキュリティ: Windows NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護環境で実行されます。
  • 高度な永続的脅威に対する保護の強化 資格情報マネージャーのドメイン資格情報、NTLM、および Kerberos 派生資格情報が仮想化ベースのセキュリティを使って保護されているとき、資格情報の盗難攻撃の手法および多くの標的型攻撃で使用されるツールはブロックされます。 管理者特権を持っているオペレーティング システムで実行されるマルウェアは、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。 Credential Guard Windows Defender強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性が高く、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。