Credential Guard のしくみ
Kerberos、NTLM、Credential Manager は、仮想化ベースのセキュリティ (VBS) を使用してシークレットを分離します。 以前のバージョンの Windows は、ローカル セキュリティ機関 (LSA) プロセス lsass.exeのプロセス メモリにシークレットを格納しました。 Credential Guard を有効にすると、オペレーティング システムの LSA プロセスは、LSAIso.exeこれらのシークレットを格納して保護する分離 LSA プロセスと呼ばれるコンポーネントと対話します。 分離された LSA プロセスによって格納されたデータは VBS を使用して保護され、オペレーティング システムの残りの部分にはアクセスできません。 LSA は、リモート プロシージャ コールを使って分離 LSA プロセスと通信します。
セキュリティ上の理由から、分離 LSA プロセスはデバイス ドライバーをホストしません。 代わりに、セキュリティに必要なオペレーティング システムのバイナリの小さなサブセットのみをホストします。 すべてのバイナリは、VBS が信頼する証明書で署名され、保護された環境でファイルを起動する前に署名が検証されます。
仮想化ベースのセキュリティを使用して LSA を分離する方法の概要を次に示します。
Credential Guard の保護の制限
資格情報を格納するいくつかの方法は、Credential Guard によって保護されていません。次に示します。
- Windows 機能の保護の外部にある資格情報を管理するソフトウェア
- ローカル アカウントと Microsoft アカウント
- Credential Guard は、Windows Server ドメイン コントローラーで実行されている Active Directory データベースを保護しません。 また、リモート デスクトップ ゲートウェイを実行している Windows Server などの資格情報入力パイプラインも保護されません。 クライアント PC として Windows Server OS を使用している場合、Windows クライアント OS の実行時と同じ保護が得られます
- キー ロガー
- 物理的な攻撃
- PC 上のマルウェアを持つ攻撃者が、任意の資格情報に関連付けられている特権を使用することを防ぐわけではありません。 IT 担当者や、organizationの価値の高い資産にアクセスできるユーザーなど、価値の高いアカウントには専用 PC を使用することをお勧めします。
- Microsoft 以外のセキュリティ パッケージ
- Credential Guard が有効になっている場合、NTLMv1、MS-CHAPv2、ダイジェスト、および CredSSP はサインインした資格情報を使用できません。 したがって、シングル サインオンはこれらのプロトコルでは機能しません。 ただし、アプリケーションは資格情報の入力を求めたり、Windows Vault に格納されている資格情報を使用したりできます。これらのプロトコルでは Credential Guard によって保護されません
注意
サインイン資格情報などの貴重な資格情報は、NTLMv1、MS-CHAPv2、Digest、または CredSSP プロトコルでは使用しないことをお勧めします。 これらのプロトコルをドメインまたはユーザー Microsoft Entra使用する必要がある場合は、これらのユース ケースに対してセカンダリ資格情報をプロビジョニングする必要があります。
- NTLM 認証に指定された資格情報は保護されません。 ユーザーが NTLM 認証のために資格情報を求められ、入力した場合、その資格情報は LSASS メモリから読み取られやすくなります。 これらの同じ資格情報は、キー ロガーにも脆弱です
- Kerberos サービス チケットは Credential Guard によって保護されませんが、Kerberos チケット許可チケット (TGT) は保護されています
- Credential Guard が有効になっている場合、Kerberos は、サインインした資格情報だけでなく、プロンプトまたは保存された資格情報に対しても、 制約のない Kerberos 委任 または DES 暗号化を許可しません
- VM で Credential Guard が有効になっている場合、VM 内の攻撃からシークレットを保護します。 ただし、ホストから発生した特権システム攻撃からの保護は提供されません
- Windows ログオン でキャッシュされたパスワード検証ツール (一般に キャッシュされた資格情報) は、認証のために別のコンピューターに提示できないため、資格情報として修飾されません。また、資格情報の検証にはローカルでのみ使用できます。 これらはローカル コンピューターのレジストリに格納され、ドメインに参加しているコンピューターがユーザーログオン中に AD DS に接続できない場合に資格情報の検証を提供します。 これらの キャッシュされたログオン (具体的には、 キャッシュされたドメイン アカウント情報) は、セキュリティ ポリシー設定 [対話型ログオン: ドメイン コントローラーが使用できない場合 にキャッシュする以前のログオンの数 ] を使用して管理できます
次のステップ
- Credential Guard を構成する方法について説明します
- 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
- Credential Guard を使用する際の考慮事項と既知の問題を確認する
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示