Windows Defender Credential Guard の管理

適用対象

  • Windows 10
  • Windows Server2016
  • Windows Server 2019

Windows Defender Credential Guard を有効にする

Windows Defender Credential Guard は、グループ ポリシーレジストリ、または Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツールを使って、有効にすることができます。 Windows Defender Credential Guard は、物理マシンの場合と同様に、Hyper-V 仮想マシンで機密情報を保護できます。 物理マシンで Windows Defender Credential Guard を有効にする場合と同じ一連の手順が、仮想マシンにも適用されます。

グループ ポリシーを使用して Windows Defender Credential Guard を有効にする

グループ ポリシーを使って Windows Defender Credential Guard を有効にすることができます。 これにより、必要に応じて仮想化ベースのセキュリティ機能を追加したり、有効にしたりすることができます。

  1. グループ ポリシー管理コンソールから、[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [Device Guard] の順に移動します。
  2. [仮想化ベースのセキュリティを有効にする] をダブルクリックし、[有効] をクリックします。
  3. [プラットフォームのセキュリティ レベルを選択する] ボックスで、[セキュア ブート] または [セキュア ブートと DMA 保護] を選びます。
  4. [Credential Guard の構成] ボックスで、[UEFI ロックで有効化] をクリックしてから [OK] をクリックします。 Windows Defender Credential Guard をリモートでオフにできるようにする場合は、[ロックなしで有効化] を選択します。

    Windows Defender Credential Guard のグループ ポリシー設定

  5. グループ ポリシー管理コンソールを閉じます。

グループ ポリシーの処理を実施するには、gpupdate /force を実行します。

Intune を使用して Windows Defender Credential Guard を有効にする

  1. 自宅から [ Microsoft Intune ] をクリックします。
  2. [デバイスの構成] をクリックする
  3. [プロファイル > の作成 > > ] をクリックします。****

注意

VBS とセキュアブートを有効にし、UEFI ロックを使用するか、またはそれとは無関係に行うことができます。 Credential Guard をリモートで無効にする必要がある場合は、UEFI ロックなしで有効にします。

レジストリを使用して Windows Defender Credential Guard を有効化する

グループ ポリシーを使わない場合は、レジストリを使って Windows Defender Credential Guard を有効にすることができます。 Windows Defender Credential Guard は仮想化ベースのセキュリティ機能を使います。一部のオペレーティング システムでは、この機能を最初に有効にする必要があります。

仮想化ベースのセキュリティ機能の追加

Windows 10 バージョン 1607 および Windows Server 2016 以降では、仮想化ベースのセキュリティを使うために Windows の機能を有効にする必要がないため、この手順は省略してかまいません。

Windows 10 バージョン 1507 (RTM) または Windows 10 バージョン 1511 を使っている場合は、仮想化ベースのセキュリティを使うために Windows の機能を有効にする必要があります。 コントロール パネルまたは展開イメージのサービスと管理ツール (DISM) を使うことでこれを行うことができます。

注意

グループ ポリシーを使って Windows Defender Credential Guard を有効にする場合、コントロール パネルまたは DISM を使って Windows の機能を有効にする手順は必要ありません。 グループ ポリシーによって、Windows の機能がインストールされます。

[プログラムと機能] を使って仮想化ベースのセキュリティ機能を追加する

  1. コントロール パネルの [プログラムと機能] を開きます。
  2. [Windows の機能の有効化または無効化] をクリックします。
  3. [Hyper-V] -> [Hyper-V プラットフォーム] の順に移動し、[Hyper-V Hypervisor] チェック ボックスをオンにします。
  4. 機能の選択肢のトップレベルにある [分離ユーザー モード] チェック ボックスをオンにします。
  5. [OK] をクリックします。

DISM を使って仮想化ベースのセキュリティ機能をオフライン イメージに追加する

  1. 管理者特権でのコマンド プロンプトを開きます。
  2. 次のコマンドを実行して Hyper-V Hypervisor を追加します。 dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. 次のコマンドを実行して分離ユーザー モード機能を追加します。 dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

注意

DISM または Configuration Manager を使用して、これらの機能をオンライン イメージに追加することもできます。

仮想化ベースのセキュリティと Windows Defender Credential Guard を有効にする

  1. レジストリ エディターを開きます。
  2. 仮想化ベースのセキュリティを有効にします。
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard に移動します。
    • EnableVirtualizationBasedSecurity という名前の新しい DWORD 値を追加します。 仮想化ベースのセキュリティを有効にするには、このレジストリ設定の値を 1 に設定します。無効にするには、0 に設定します。
    • RequirePlatformSecurityFeatures という名前の新しい DWORD 値を追加します。 [セキュア ブート] のみを使用するには、このレジストリ設定の値を 1 に設定します。[セキュア ブートと DMA 保護] を使用するには、3 に設定します。
  3. Windows Defender Credential Guard を有効にします。
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA に移動します。
    • LsaCfgFlags という名前の新しい DWORD 値を追加します。 Windows Defender Credential Guard を UEFI ロックありで有効にするにはレジストリ設定の値を 1 に設定し、ロックなしで Windows Defender Credential Guard を有効にするには 2 に設定し、無効化するには 0 に設定します。
  4. レジストリ エディターを閉じます。

注意

FirstLogonCommands 無人設定のレジストリ エントリを設定して Windows Defender Credential Guard を有効にすることもできます。

Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツールを使って Windows Defender Credential Guard を有効にする

Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツール を使って Windows Defender Credential Guard を有効にすることもできます。

DG_Readiness_Tool.ps1 -Enable -AutoReboot

重要

英語以外のオペレーティングシステムで Windows Defender Device Guard と Windows Defender Credential Guard のハードウェア準備ツールを実行している場合は、スクリプト$OSArch = $(gwmi win32_operatingsystem).OSArchitecture内で$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 、ツールが動作するために、[代わりに] に変更します。 これは既知の問題です。

Windows Defender Credential Guard のパフォーマンスを確認する

Windows Defender Credential Guard が実行されているかどうか

システム情報を使って、Windows Defender Credential Guard が PC で実行されていることを確認できます。

  1. [スタート] をクリックし、「msinfo32.exe」と入力して、[システム情報] をクリックします。
  2. [システムの要約] をクリックします。
  3. [Credential Guard][構成済みの仮想化ベースのセキュリティ サービス] (Virtualization-based security Services Configured) の横に表示されることを確認します。

    以下に例を示します。

    システム情報

Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツールを使って Windows Defender Credential Guard が実行されていることを確認することもできます。

DG_Readiness_Tool_v3.6.ps1 -Ready

重要

英語以外のオペレーティングシステムで Windows Defender Device Guard と Windows Defender Credential Guard のハードウェア準備ツールを実行している場合は、スクリプト*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture内で$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 、ツールが動作するために、[代わりに] に変更します。 これは既知の問題です。

注意

Windows 10 1703 を実行しているクライアント コンピューターでは、他の機能のために仮想化ベースのセキュリティが有効になっていると、常に LsaIso.exe が実行されます。

  • デバイス がドメインに参加する前に、Windows Defender Credential Guard を有効にすることをお勧めします。 デバイスがドメインに参加した後、デバイスで Windows Defender Credential Guard を有効にした場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。 つまり、デバイスや ID が既に侵害されている場合、Credential Guard を有効にしてもそれらのセキュリティ保護に役に立たないため、Credential Guard をできるだけ早くオンにすることをお勧めします。

  • Windows Defender Credential Guard が有効になっている PC についても通常のレビューを実行する必要があります。 これは、セキュリティ監査ポリシーまたは WMI クエリによって実行できます。 検索する WinInit イベント ID の一覧を次に示します。

    • イベント ID 13 Windows Defender Credential Guard (LsaIso.exe) が開始され、LSA 資格情報が保護されます。
    • イベント ID 14 Windows Defender Credential Guard (LsaIso.exe) の構成: 0x1、0。
      • 最初の変数: 0x1 は、Windows Defender Credential Guard の実行が構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。
      • 2 番目の変数: 0 は保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 である必要があります。
    • イベント ID 15 Windows Defender Credential Guard (LsaIso.exe) が構成されていますが、セキュリティで保護されたカーネルが実行されていないため、Windows Defender Credential Guard なしで続行しています。
    • イベント ID 16 Windows Defender Credential Guard (LsaIso.exe) を起動できませんでした: [エラー コード]。
    • イベント ID 17 Windows Defender Credential Guard (LsaIso.exe) の UEFI 構成の読み取りエラー: [エラー コード]。イベント ID 51 を確認して、キーの保護で TPM が使われていることを確認することもできます。そのためには、[Microsoft] -> [Windows] -> [Kernel-Boot] イベント ソースを調べます。 TPM を使って実行している場合、TPM PCR マスクの値は 0 以外の値になります。
      • イベント ID 51 VSM マスター暗号化キーをプロビジョニングします。 キャッシュ済みコピーの使用状態: 0x0。 キャッシュ済みコピーのシール解除状態: 0x1。 新しいキーの生成状態: 0x1。 シール状態: 0x1。 TPM PCR マスク: 0x0。

Windows Defender Credential Guard を無効にする

Windows Defender Credential Guard を無効にするには、次の手順を使用するか、またはデバイスガードと Credential guard ハードウェア準備ツールを使用します。 Credential Guard が UEFI ロックで有効化されている場合、設定は EFI (ファームウェア) 変数に保存されるため、次の手順を実行する必要があります。変更を受け入れるには、コンピューター上で物理的なプレゼンスが必要になります。 Credential Guard が UEFI ロックなしで有効にされた場合は、グループポリシーを使用して無効にすることができます。

  1. グループ ポリシーを使用していた場合は、Windows Defender Credential Guard を有効にするために使用したグループ ポリシー設定 ([コンピューターの構成] ** -> **[管理用テンプレート] -> ** [システム]** -> [Device Guard] -> [仮想化ベースのセキュリティを有効にする]) を無効にします。
  2. 次のレジストリ キー設定を削除します。
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. 仮想化ベースのセキュリティも無効にしたい場合は、次のレジストリ設定を削除します。

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures > [!IMPORTANT] > これらのレジストリ設定を手動で削除する場合は、すべての設定を削除してください。 すべての設定を削除しない場合、デバイスが BitLocker 回復に移行する可能性があります。
  4. bcdedit を使って Windows Defender Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. PC を再起動します。

  6. Windows Defender Credential Guard を無効にすることを確認するメッセージを受け入れます。
  7. または、仮想化ベースのセキュリティ機能を無効にすることで、Windows Defender Credential Guard を無効にすることができます。

注意

EFS で暗号化されたファイルなどのコンテンツの暗号化を解除するために、PC にはドメイン コントローラーへの 1 回限りのアクセスが必要です。 Windows Defender Credential Guard と仮想化ベースのセキュリティの両方をオフにする場合は、すべての仮想化ベースのセキュリティグループポリシーとレジストリ設定を無効にした後、次の bcdedit コマンドを実行します。

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

注意

Azure IaaS Vm を使用している場合、Credential Guard とデバイスガードは現在サポートされていません。 これらのオプションは、今後の Gen 2 Vm で利用可能になります。

仮想化ベースのセキュリティと Windows Defender Device Guard について詳しくは、「Windows Defender Device Guard 展開ガイド」を参照してください。

Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツールを使って Windows Defender Credential Guard を無効にする

Windows Defender Device Guard および Windows Defender Credential Guard ハードウェア準備ツール を使って Windows Defender Credential Guard を無効にすることもできます。

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

重要

英語以外のオペレーティングシステムで Windows Defender Device Guard と Windows Defender Credential Guard のハードウェア準備ツールを実行している場合は、スクリプト*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture内で$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 、ツールが動作するために、[代わりに] に変更します。 これは既知の問題です。

仮想マシンの Windows Defender Credential Guard を無効にする

ホストからは、次のようにして仮想マシンの Windows Defender Credential Guard を無効にできます。

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true