Windows Defender Credential Guard の要件

適用対象

  • Windows 10
  • Windows Server2016

保護を実現するために、Windows Defender Credential Guard の場合、保護するコンピューターは、ハードウェアとソフトウェアの要件として参照される特定のベースラインハードウェア、ファームウェア、およびソフトウェア要件を満たしている必要があります。 さらに、Windows Defender Credential Guard は特定の認証機能をブロックするため、そのような機能を必要とするアプリケーションは中断されます。 これはアプリケーション要件と呼ばれます。 その要件を超えていれば、コンピューターは追加のハードウェアとファームウェアの要件を満たすことができ、追加の保護を受けることが可能になります。 こうしたコンピューターでは、特定の脅威に対する保護がさらに強化されます。 ベースラインの保護と、2015 年、2016 年、2017 年に利用可能なハードウェアおよびファームウェアのオプションに関連付けられているセキュリティ強化のための保護の詳細については、「セキュリティに関する考慮事項」の表をご覧ください。

ハードウェアおよびソフトウェアの要件

Windows Defender Credential Guard では、資格情報マネージャーのドメイン資格情報や NTLM および Kerberos 派生の資格情報を OS レベルで読み取ろうとする試みに対して基本的な保護を提供するために、次の機能が使われます。

  • 仮想化ベースのセキュリティのサポート (必須)
  • セキュア ブート (必須)
  • TPM 1.2 または 2.0 (個別またはファームウェアのどちらか) (ハードウェアへのバインドを推奨)
  • UEFI ロック (推奨 - 攻撃者の単純なレジストリ キー変更による無効化を防ぐ)

仮想化ベースのセキュリティの要件:

  • 64 ビット CPU
  • CPU の仮想化拡張機能および Extended Page Tables
  • Windows ハイパーバイザ (Hyper-v Windows 機能をインストールする必要はありません)

仮想マシンでの Windows Defender Credential Guard の展開

Credential Guard は、物理マシンの場合と同様に、Hyper-V 仮想マシンでシークレットを保護できます。 Credential Guard が VM に展開されると、VM 内部の攻撃からシークレットが保護されます。 Credential Guard では、ホストからの特権を持つシステムによる攻撃に対する追加の保護機能は提供されません。

Hyper-V 仮想マシンで Windows Defender Credential Guard を実行するための要件

  • Hyper-V ホストは IOMMU を備えている必要があり、Windows Server 2016 または Windows 10 バージョン 1607 以降が実行されている必要があります。
  • Hyper-V 仮想マシンは第 2 世代であることが必要です。また、仮想 TPM が有効になっており、Windows Server 2016 または Windows 10 以降が実行されている必要があります。

その他のホスト プラットフォームのについて詳しくは、他のプラットフォームでの Windows Server 2016 および Hyper-V 仮想化ベースのセキュリティ機能の有効化に関するページをご覧ください。

Windows Defender Remote Credential Guard のハードウェアおよびソフトウェアの要件については、Windows Defender Remote Credential Guard の要件に関するページをご覧ください。

アプリケーションの要件

Windows Defender Credential Guard を有効にすると、特定の認証機能がブロックされるため、そのような機能を必要とするアプリケーションは中断されます。 アプリを展開する前にテストして、制限された機能との互換性を確保する必要があります。

警告

ドメイン コントローラーでの Windows Defender Credential Guard の有効化はサポートされません。
ドメイン コントローラーでホストしている認証サービスは、Windows Defender Credential Guard を有効にすると分離されるプロセスと統合されているため、クラッシュを引き起こします。

注意

Windows Defender Credential Guard は、Active Directory データベースや、セキュリティ アカウント マネージャー (SAM) の保護は提供しません。 Windows Defender Credential Guard が有効化されているときに Kerberos と NTLM によって保護される資格情報は、Active Directory データベース (ドメイン コントローラー上) と SAM (ローカル アカウント用) にも存在します。

アプリケーションが以下を必要とする場合には、中断します。

  • Kerberos DES 暗号化のサポート
  • Kerberos の制約のない委任
  • Kerberos TGT の抽出
  • NTLMv1

アプリケーションが以下を必要とする場合には、資格情報の入力を要求し、危険にさらします。

  • ダイジェスト認証
  • 資格情報の委任
  • MS-CHAPv2

アプリケーションが Windows Defender Credential Guard の分離プロセスをフックしようとすると、パフォーマンスの問題が発生することがあります。

ファイル共有、リモート デスクトップ、BranchCache など、Kerberos に依存するサービスまたはプロトコルは、引き続き動作し、Windows Defender Credential Guard の影響を受けません。

Windows Defender Credential Guard によって保護される資格情報に関するビデオをご覧ください。

セキュリティに関する考慮事項

ハードウェア、ファームウェア、ソフトウェアのベースライン保護の基準を満たすすべてのコンピューターで、Windows Defender Credential Guard を使うことができます。 追加の条件を満たしているコンピューターでは、さらに攻撃対象を低減する追加の保護を提供できます。 次の表では、まずベースライン保護について説明します。次に、ハードウェアとファームウェアのオプション (2015 年、2016 年、2017 年に利用できるオプション) に関連するセキュリティ強化のための保護についても説明します。

注意

Windows 10 バージョン 1607 以降、新しく出荷されるコンピューターではトラステッド プラットフォーム モジュール (TPM 2.0) が既定で有効になっている必要があります。
お客様が OEM である場合、要件の情報については Windows Defender Device Guard と Windows Defender Credential Guard の PC OEM 要件に関するページをご覧ください。

ベースライン保護

ベースライン保護 説明 セキュリティ上のメリット
ハードウェア: 64 ビットの CPU 64 ビットのコンピューターは、Windows ハイパーバイザーで VBS を提供する際に必要となります。
ハードウェア: CPU の仮想化拡張機能
および Extended Page Tables
要件: 以下のハードウェア機能は VBS で必要となります。
次のどちらかの仮想化拡張機能:
• VT-x (Intel) または
• AMD-V
および:
• Extended Page Tables (第 2 レベルのアドレス変換 (SLAT) とも呼ばれます)。
VBS によって、通常のオペレーティング システムからセキュリティで保護されたカーネルが分離されます。 この分離により、通常のオペレーティング システムの脆弱性やゼロ デイを悪用することができなくなります。
ハードウェア: トラステッド プラットフォーム モジュール (TPM) 要件: TPM 1.2 または TPM 2.0 (ディスクリートまたはファームウェアのいずれか)
TPM の推奨事項
TPM は、ファームウェアに格納されている VBS 暗号化キーの保護を提供します。 これは、BIOS にアクセスできる実際のユーザーが関与する攻撃から保護する際に役立ちます。
ファームウェア: UEFI セキュア ブートを有効にした UEFI ファームウェア バージョン 2.3.1.c 以上 要件: 次の Windows ハードウェア互換性プログラムの要件をご覧ください: System.Fundamentals.Firmware.UEFISecureBoot UEFI セキュア ブートにより、承認されたコードのみがデバイスで起動されます。 これにより、ブート キットやルート キットのインストールを防ぎ、再起動後に常駐することを回避できます。
ファームウェア: 安全なファームウェア更新プロセス 要件: UEFI ファームウェアは、Windows ハードウェア互換性プログラムの要件 「System.Fundamentals.Firmware.UEFISecureBoot」に示されている、安全なファームウェア更新をサポートしている必要があります: ソフトウェアと同様に、UEFI ファームウェアにはセキュリティの脆弱性が存在する可能性があります。脆弱性が検出された場合は、ファームウェア更新プログラムを使用して修正する必要があります。 修正プログラムを適用すると、ルート キットがインストールされるのを防ぐことができます。
ソフトウェア: 要件を満たしている Windows オペレーティング システム 要件: Windows 10 Enterprise、Windows 10 Education、Windows Server 2016

重要:
ドメイン コントローラーとして動作する Windows Server 2016 では、Windows Defender Credential Guard はサポートされません。 この構成では Windows Defender Device Guard だけがサポートされます。

VBS と、Windows Defender Credential Guard の構成を簡略化する管理機能がサポートされます。

重要

以下の各表では、セキュリティ強化のための追加の条件を示します。 Windows Defender Credential Guard で提供できるセキュリティのレベルを大幅に強化するために、追加の条件を満たすことを強くお勧めします。

2015 年に追加されたセキュリティの条件 (Windows 10 バージョン 1507 および Windows Server 2016 Technical Preview 4 以降)

セキュリティ強化のための保護 説明
ハードウェア: IOMMU (入出力メモリ管理ユニット) 要件: VT-D または AMD Vi IOMMU。セキュリティ上のメリット: IOMMU によって、メモリ攻撃からのシステムの回復性を強化することができます。 詳しくは、「ACPI システム記述テーブル」をご覧ください。
ファームウェア: ブート構成と管理の保護 要件:
• BIOS パスワードまたは強力な認証がサポートされている必要があります。
• BIOS 構成で、BIOS 認証を設定する必要があります。
• 許可されたブート デバイスの一覧を構成するための BIOS の保護オプション (“内部ハード ドライブからのみ起動” など)、およびブート デバイスの順序 (オペレーティング システムによって実行される BOOTORDER のオーバーライドによる変更) をサポートする必要があります。
• BIOS 構成では、セキュリティに関連する BIOS のオプションと起動オプション (許可されたブート デバイスの一覧やブート順) をセキュリティで保護し、他のオペレーティング システムの起動や、BIOS 設定の変更を回避する必要があります。
ファームウェア:セキュア MOR リビジョン 2 の実装 要件: セキュア MOR リビジョン 2 の実装


2016 年に追加されたセキュリティの条件 (Windows 10 Version 1607 および Windows Server 2016 以降)

重要

以下の各表では、セキュリティ強化のための追加の条件を示します。 これらの追加の条件を満たしているシステムでは、さらに保護を強化できます。

セキュリティ強化のための保護 説明 セキュリティ上のメリット
ファームウェア: ハードウェアによってルート指定された信頼できるプラットフォームのセキュア ブート 要件:
ブート整合性 (プラットフォームのセキュア ブート) をサポートする必要があります。 「System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby」の Windows ハードウェア互換性プログラムの要件をご覧ください。
• ハードウェア セキュリティ テスト インターフェイス (HSTI) を実装する必要があります。 「Hardware Security Testability Specification」をご覧ください。
- 電源投入時からのブート整合性 (プラットフォームのセキュア ブート) によって、実際の攻撃者に対する保護やマルウェアに対する多層防御が実現されます。
• HSTI によって、セキュリティで適切に保護されたシリコンとプラットフォームに対して、追加のセキュリティ保証が実現されます。
ファームウェア: Windows Update を利用したファームウェア更新 要件: ファームウェアでは、Windows Update を利用したフィールドの更新、および UEFI カプセル化更新をサポートしている必要があります。 迅速、安全、かつ信頼性の高いファームウェア更新を実行できます。
ファームウェア: ブート構成と管理の保護 要件:
• 必要な BIOS 機能: OEM が製造時に、ISV、OEM、または企業の証明書をセキュア ブート DB に追加できる必要があります。
• 必要な構成: Microsoft UEFI CA をセキュア ブート DB から削除する必要があります。 サード パーティ製 UEFI モジュールのサポートは許可されていますが、特定の UEFI ソフトウェアについては、ISV によって提供された証明書または OEM 証明書を利用する必要があります。
• 企業は、専用の EFI ドライバー/アプリケーションの実行を許可するように選ぶことができます。
• Microsoft UEFI CA をセキュア ブート DB から削除することによって、企業は、オペレーティング システムの起動前に実行されるソフトウェアを完全に制御することができます。


2017 年に追加される、Windows 10 Version 1703 以降のセキュリティ条件

次の表では、Windows 10 バージョン 1703 で上記のすべての条件に加えて追加された条件を示します。

セキュリティ強化のための保護 説明 セキュリティ上のメリット
ファームウェア: VBS による UEFI ランタイム サービスに対する NX 保護の有効化 要件:
• VBS は、UEFI ランタイム サービス コードおよびデータのメモリ リージョンに対して No-Execute (NX) 保護を有効にします。 UEFI ランタイム サービス コードが読み取り専用のページ保護をサポートする必要があります。UEFI ランタイム サービス データを実行可能にすることはできません。
• UEFI ランタイム サービスは、次の要件を満たす必要があります。
    - UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE を実装する必要があります。 すべての UEFI ランタイム サービス メモリ (コードおよびデータ) をこのテーブルによって記述する必要があります。
    - メモリ内の PE セクションは、ページ境界に配置する必要があります (非揮発性ストレージでは不要)。
    - メモリ属性テーブルの OS による構成では、次のようにコードとデータを RO/NX として適切にマーキングする必要があります。
        - すべてのエントリには、属性 EFI_MEMORY_RO または EFI_MEMORY_XP のどちらか、あるいはその両方を含める必要があります。
        - 上記のどちらの属性も含まないエントリは指定できません (こうしたエントリは、メモリが実行可能でかつ書き込み可能であることを示します)。 メモリは、読み取り可能かつ実行可能、または書き込み可能かつ非実行可能のいずれかであることが必要です。

注:
• これは UEFI ランタイム サービスにのみ適用されます。UEFI ブート サービス メモリには適用されません。
• この保護は、OS ページ テーブルで VBS によって適用されます。


次の点にも注意してください。
• 書き込み可能かつ実行可能なセクションは使用できません。
• 実行可能なシステム メモリを直接変更しないでください。
• 動的コードを使用しないでください。
• UEFI ランタイムに脆弱性が存在する場合でも、VBS が侵害から防御されます (UpdateCapsule 関数や SetVariable 関数など)。
• 攻撃を受ける可能性のある VBS の領域がシステム ファームウェアから低減されます。
ファームウェア: SMM 保護のためのファームウェアのサポート 要件: Windows SMM Security Mitigations Table (WSMT) の仕様には、Advanced Configuration and Power Interface (ACPI) テーブルの詳細が記載されています。このテーブルは、Windows の仮想化ベースのセキュリティ (VBS) 機能をサポートする Windows オペレーティング システムで使用するために作成されたものです。 • UEFI ランタイム サービスに脆弱性がある場合でもセキュリティが保護され、VBS が侵害から防御されます (UpdateCapsule 関数や SetVariable 関数など)。
• システム ファームウェアで VBS の攻撃対象を低減します。
• SMM に対する他のセキュリティ攻撃をブロックします。