Windows Defender Credential Guard によるドメインの派生資格情報の保護Protect derived domain credentials with Windows Defender Credential Guard

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

Windows 10 Enterprise および Windows Server 2016 で導入された Windows Defender Credential Guard では、仮想化ベースのセキュリティを使って、特権を持つシステム ソフトウェアのみがアクセスできるようにシークレットを分離します。Introduced in Windows 10 Enterprise and Windows Server 2016, Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them. これらのシークレットへの未承認のアクセスは、Pass-the-Hash や Pass-the-Ticket など、資格情報の盗難攻撃につながる可能性があります。Unauthorized access to these secrets can lead to credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Windows Defender Credential Guard は、NTLM パスワード ハッシュ、Kerberos チケット保証チケット、およびアプリケーションによってドメイン資格情報として保存された資格情報を保護することで、これらの攻撃を防ぎます。Windows Defender Credential Guard prevents these attacks by protecting NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials.

Windows Defender Credential Guard を有効にすると、以下の機能と解決策が提供されます。By enabling Windows Defender Credential Guard, the following features and solutions are provided:

  • ハードウェア セキュリティ NTLM、Kerberos、および資格情報マネージャーは、セキュア ブートや仮想化を含む、プラットフォームのセキュリティ機能を活用して、資格情報を保護します。Hardware security NTLM, Kerberos, and Credential Manager take advantage of platform security features, including Secure Boot and virtualization, to protect credentials.
  • 仮想化ベースのセキュリティ: Windows NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護環境で実行されます。Virtualization-based security Windows NTLM and Kerberos derived credentials and other secrets run in a protected environment that is isolated from the running operating system.
  • 高度な永続的脅威に対する保護の強化 資格情報マネージャーのドメイン資格情報、NTLM、および Kerberos 派生資格情報が仮想化ベースのセキュリティを使って保護されているとき、資格情報の盗難攻撃の手法および多くの標的型攻撃で使用されるツールはブロックされます。Better protection against advanced persistent threats When Credential Manager domain credentials, NTLM, and Kerberos derived credentials are protected using virtualization-based security, the credential theft attack techniques and tools used in many targeted attacks are blocked. 管理者特権を持っているオペレーティング システムで実行されるマルウェアは、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。Malware running in the operating system with administrative privileges cannot extract secrets that are protected by virtualization-based security. Windows Defender Credential Guard は強力な軽減策ですが、持続的な脅威攻撃は新しい攻撃手法に移行する可能性が高く、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。While Windows Defender Credential Guard is a powerful mitigation, persistent threat attacks will likely shift to new attack techniques and you should also incorporate other security strategies and architectures.

関連トピックRelated topics