Windows Defender Credential Guard の要件Windows Defender Credential Guard: Requirements

適用対象Applies to

  • Windows 10Windows10
  • Windows Server2016Windows Server2016

保護を実現するために、Windows Defender Credential Guard の場合、保護するコンピューターは特定のベースラインハードウェア、ファームウェア、ソフトウェア要件を満たしている必要があります。ここでは、 ハードウェアとソフトウェアの要件を満たしている必要があります。For Windows Defender Credential Guard to provide protection, the computers you are protecting must meet certain baseline hardware, firmware, and software requirements, which we will refer to as Hardware and software requirements. さらに、Windows Defender Credential Guard は特定の認証機能をブロックするため、そのような機能を必要とするアプリケーションは中断されます。Additionally, Windows Defender Credential Guard blocks specific authentication capabilities, so applications that require such capabilities will break. これらの要件は、 アプリケーション要件として説明します。We will refer to these requirements as Application requirements. これらの要件を超えて、コンピューターは追加のハードウェアとファームウェアの仕様を満たし、追加の保護を受けることができます。Beyond these requirements, computers can meet additional hardware and firmware qualifications, and receive additional protections. こうしたコンピューターでは、特定の脅威に対する保護がさらに強化されます。Those computers will be more hardened against certain threats. ベースラインの保護と、2015 年、2016 年、2017 年に利用可能なハードウェアおよびファームウェアのオプションに関連付けられているセキュリティ強化のための保護の詳細については、「セキュリティに関する考慮事項」の表をご覧ください。For detailed information on baseline protections, plus protections for improved security that are associated with hardware and firmware options available in 2015, 2016, and 2017, refer to the tables in Security Considerations.

ハードウェアおよびソフトウェアの要件Hardware and software requirements

Windows Defender Credential Guard では、資格情報マネージャーのドメイン資格情報や NTLM および Kerberos 派生の資格情報を OS レベルで読み取ろうとする試みに対して基本的な保護を提供するために、次の機能が使われます。To provide basic protections against OS level attempts to read Credential Manager domain credentials, NTLM and Kerberos derived credentials, Windows Defender Credential Guard uses:

  • 仮想化ベースのセキュリティのサポート (必須)Support for Virtualization-based security (required)
  • セキュア ブート (必須)Secure boot (required)
  • トラステッドプラットフォームモジュール (TPM、優先-ハードウェアへのバインドを提供) バージョン1.2 および2.0 は、個別かファームウェアのいずれかでサポートされています。Trusted Platform Module (TPM, preferred - provides binding to hardware) versions 1.2 and 2.0 are supported, either discrete or firmware
  • UEFI ロック (推奨 - 攻撃者の単純なレジストリ キー変更による無効化を防ぐ)UEFI lock (preferred - prevents attacker from disabling with a simple registry key change)

仮想化ベースのセキュリティの要件:The Virtualization-based security requires:

  • 64 ビット CPU64-bit CPU
  • CPU の仮想化拡張機能および Extended Page TablesCPU virtualization extensions plus extended page tables
  • Windows ハイパーバイザ (Hyper-v Windows 機能をインストールする必要はありません)Windows hypervisor (does not require Hyper-V Windows Feature to be installed)

仮想マシンでの Windows Defender Credential Guard の展開Windows Defender Credential Guard deployment in virtual machines

Credential Guard は、物理マシンの場合と同様に、Hyper-V 仮想マシンでシークレットを保護できます。Credential Guard can protect secrets in a Hyper-V virtual machine, just as it would on a physical machine. Credential Guard が VM に展開されると、VM 内部の攻撃からシークレットが保護されます。When Credential Guard is deployed on a VM, secrets are protected from attacks inside the VM. Credential Guard では、ホストからの特権を持つシステムによる攻撃に対する追加の保護機能は提供されません。Credential Guard does not provide additional protection from privileged system attacks originating from the host.

Hyper-V 仮想マシンで Windows Defender Credential Guard を実行するための要件Requirements for running Windows Defender Credential Guard in Hyper-V virtual machines

  • Hyper-V ホストは IOMMU を備えている必要があり、Windows Server 2016 または Windows 10 バージョン 1607 以降が実行されている必要があります。The Hyper-V host must have an IOMMU, and run at least Windows Server 2016 or Windows 10 version 1607.
  • Hyper-V 仮想マシンは第 2 世代であることが必要です。また、仮想 TPM が有効になっており、Windows Server 2016 または Windows 10 以降が実行されている必要があります。The Hyper-V virtual machine must be Generation 2, have an enabled virtual TPM, and be running at least Windows Server 2016 or Windows 10.
    • TPM は必須ではありませんが、TPM を実装することをお勧めします。TPM is not a requirement, but we recommend that you implement TPM.

他のホストプラットフォームの詳細については、「 Windows Server 2016 および hyper-v 仮想化ベースのセキュリティ機能を他のプラットフォームで有効にする」を参照してください。For information about other host platforms, see Enabling Windows Server 2016 and Hyper-V virtualization based security features on other platforms.

Windows Defender Remote Credential Guard のハードウェアとソフトウェアの要件については、「 Windows Defender Remote Credential guard の要件」を参照してください。For information about Windows Defender Remote Credential Guard hardware and software requirements, see Windows Defender Remote Credential Guard requirements.

アプリケーションの要件Application requirements

Windows Defender Credential Guard を有効にすると、特定の認証機能がブロックされるため、そのような機能を必要とするアプリケーションは中断されます。When Windows Defender Credential Guard is enabled, specific authentication capabilities are blocked, so applications that require such capabilities will break. アプリを展開する前にテストして、制限された機能との互換性を確保する必要があります。Applications should be tested prior to deployment to ensure compatibility with the reduced functionality.

警告

ドメイン コントローラーでの Windows Defender Credential Guard の有効化はサポートされません。Enabling Windows Defender Credential Guard on domain controllers is not supported. ドメイン コントローラーでホストしている認証サービスは、Windows Defender Credential Guard を有効にすると分離されるプロセスと統合されているため、クラッシュを引き起こします。The domain controller hosts authentication services which integrate with processes isolated when Windows Defender Credential Guard is enabled, causing crashes.

注意

Windows Defender Credential Guard は、Active Directory データベースや、セキュリティ アカウント マネージャー (SAM) の保護は提供しません。Windows Defender Credential Guard does not provide protections for the Active Directory database or the Security Accounts Manager (SAM). Windows Defender Credential Guard が有効化されているときに Kerberos と NTLM によって保護される資格情報は、Active Directory データベース (ドメイン コントローラー上) と SAM (ローカル アカウント用) にも存在します。The credentials protected by Kerberos and NTLM when Windows Defender Credential Guard is enabled are also in the Active Directory database (on domain controllers) and the SAM (for local accounts).

アプリケーションが以下を必要とする場合には、中断します。Applications will break if they require:

  • Kerberos DES 暗号化のサポートKerberos DES encryption support
  • Kerberos の制約のない委任Kerberos unconstrained delegation
  • Kerberos TGT の抽出Extracting the Kerberos TGT
  • NTLMv1NTLMv1

アプリケーションが以下を必要とする場合には、資格情報の入力を要求し、危険にさらします。Applications will prompt and expose credentials to risk if they require:

  • ダイジェスト認証Digest authentication
  • 資格情報の委任Credential delegation
  • MS-CHAPv2MS-CHAPv2

アプリケーションが Windows Defender Credential Guard の分離プロセスをフックしようとすると、パフォーマンスの問題が発生することがあります。Applications may cause performance issues when they attempt to hook the isolated Windows Defender Credential Guard process.

ファイル共有、リモート デスクトップ、BranchCache など、Kerberos に依存するサービスまたはプロトコルは、引き続き動作し、Windows Defender Credential Guard の影響を受けません。Services or protocols that rely on Kerberos, such as file shares, remote desktop, or BranchCache, continue to work and are not affected by Windows Defender Credential Guard.

セキュリティに関する考慮事項Security considerations

ハードウェア、ファームウェア、ソフトウェアのベースライン保護の基準を満たすすべてのコンピューターで、Windows Defender Credential Guard を使うことができます。All computers that meet baseline protections for hardware, firmware, and software can use Windows Defender Credential Guard. 追加の条件を満たしているコンピューターでは、さらに攻撃対象を低減する追加の保護を提供できます。Computers that meet additional qualifications can provide additional protections to further reduce the attack surface. 次の表では、まずベースライン保護について説明します。次に、ハードウェアとファームウェアのオプション (2015 年、2016 年、2017 年に利用できるオプション) に関連するセキュリティ強化のための保護についても説明します。The following tables describe baseline protections, plus protections for improved security that are associated with hardware and firmware options available in 2015, 2016, and 2017.

注意

Windows 10 バージョン 1607 以降、新しく出荷されるコンピューターではトラステッド プラットフォーム モジュール (TPM 2.0) が既定で有効になっている必要があります。Beginning with Windows 10, version 1607, Trusted Platform Module (TPM 2.0) must be enabled by default on new shipping computers.

OEM の場合は、「 Windows Defender Credential Guard の PC OEM 要件」を参照してください。If you are an OEM, see PC OEM requirements for Windows Defender Credential Guard.

ベースライン保護Baseline protections

ベースライン保護Baseline Protections 説明Description セキュリティ上のメリットSecurity benefits
ハードウェア: 64 ビットの CPUHardware: 64-bit CPU 64 ビットのコンピューターは、Windows ハイパーバイザーで VBS を提供する際に必要となります。A 64-bit computer is required for the Windows hypervisor to provide VBS.
ハードウェア: CPU 仮想化拡張機能拡張ページテーブルHardware: CPU virtualization extensions, plus extended page tables 要件:Requirements:
[VBS:-VT-x (Intel)] または [-AMD------------------(Intel)] または [-AMD---------------(Intel)] または [-AMD----------- These hardware features are required for VBS: One of the following virtualization extensions: - VT-x (Intel) or - AMD-V And: - Extended page tables, also called Second Level Address Translation (SLAT).
VBS によって、通常のオペレーティング システムからセキュリティで保護されたカーネルが分離されます。VBS provides isolation of secure kernel from normal operating system.

この分離により、通常のオペレーティング システムの脆弱性やゼロ デイを悪用することができなくなります。Vulnerabilities and Day 0s in normal operating system cannot be exploited because of this isolation.
ハードウェア: トラステッド プラットフォーム モジュール (TPM)Hardware: Trusted Platform Module (TPM) 要件:Requirement:
-TPM 1.2 または TPM 2.0 (個別またはファームウェアのどちらか)。- TPM 1.2 or TPM 2.0, either discrete or firmware. TPM の推奨事項TPM recommendations
TPM は、ファームウェアに格納されている VBS 暗号化キーの保護を提供します。A TPM provides protection for VBS encryption keys that are stored in the firmware. TPM は、BIOS アクセスを備えた物理的なユーザーを含む攻撃から保護することができます。TPM helps protect against attacks involving a physically present user with BIOS access.
ファームウェア: UEFI セキュア ブートを有効にした UEFI ファームウェア バージョン 2.3.1.c 以上Firmware: UEFI firmware version 2.3.1.c or higher with UEFI Secure Boot 要件:Requirements:
-次の Windows ハードウェア互換性プログラムの要件を参照してください。 UEFISecureBoot- See the following Windows Hardware Compatibility Program requirement: System.Fundamentals.Firmware.UEFISecureBoot
UEFI セキュアブートは、デバイスが認証されたコードのみをブートすることを保証し、ブートキットやルートキットが再起動後にインストールされて維持されるのを防ぐのに役立ちます。UEFI Secure Boot helps ensure that the device boots only authorized code, and can prevent boot kits and root kits from installing and persisting across reboots.
ファームウェア: 安全なファームウェア更新プロセスFirmware: Secure firmware update process 要件:Requirements:
-UEFI ファームウェアは、次の Windows ハードウェア互換性プログラム要件の下にある UEFISecureBoot のセキュリティで保護されたファームウェア更新プログラムをサポートしている必要があります。- UEFI firmware must support secure firmware update found under the following Windows Hardware Compatibility Program requirement: System.Fundamentals.Firmware.UEFISecureBoot.
UEFI ファームウェアには、ソフトウェアと同様にセキュリティの脆弱性が存在する可能性があります。脆弱性が検出された場合は、ファームウェア更新プログラムを適用して修正する必要があります。UEFI firmware just like software can have security vulnerabilities that, when found, need to be patched through firmware updates. 修正プログラムを適用すると、ルート キットがインストールされるのを防ぐことができます。Patching helps prevent root kits from getting installed.
ソフトウェア: 要件を満たしている Windows オペレーティング システムSoftware: Qualified Windows operating system 要件:Requirement:
-Windows 10 または Windows Server 2016- Windows 10 or Windows Server 2016.
VBS と、Windows Defender Credential Guard の構成を簡略化する管理機能がサポートされます。Support for VBS and for management features that simplify configuration of Windows Defender Credential Guard.

重要

ドメイン コントローラーとして動作する Windows Server 2016 では、Windows Defender Credential Guard はサポートされません。Windows Server 2016 running as a domain controller does not support Windows Defender Credential Guard.

重要

以下の各表では、セキュリティ強化のための追加の条件を示します。The following tables list additional qualifications for improved security. Windows Defender Credential Guard で提供できるセキュリティのレベルを大幅に強化するために、追加の条件を満たすことを強くお勧めします。We strongly recommend meeting the additional qualifications to significantly strengthen the level of security that Windows Defender Credential Guard can provide.

2015 年に追加されたセキュリティの条件 (Windows 10 バージョン 1507 および Windows Server 2016 Technical Preview 4 以降)2015 Additional security qualifications starting with Windows 10, version 1507, and Windows Server 2016 Technical Preview 4

セキュリティ強化のための保護Protections for Improved Security 説明Description
ハードウェア: IOMMU (入出力メモリ管理ユニット)Hardware: IOMMU (input/output memory management unit) 要件:Requirement:
-VT-D または AMD Vi の IOMMU- VT-D or AMD Vi IOMMU

セキュリティ上のメリット:Security benefits:
-IOMMU は、メモリ攻撃からシステムの回復力を高めることができます。- An IOMMU can enhance system resiliency against memory attacks. 詳細については、「 Advanced Configuration And Power Interface (ACPI) 説明表」を参照してください。For more information, see Advanced Configuration and Power Interface (ACPI) description tables
ファームウェア: ブート構成と管理の保護Firmware: Securing Boot Configuration and Management 要件:Requirements:
- BIOS パスワードまたは強力な認証がサポートされている必要があります。- BIOS password or stronger authentication must be supported.
- BIOS 構成で、BIOS 認証を設定する必要があります。- In the BIOS configuration, BIOS authentication must be set.
- 許可されたブート デバイスの一覧を構成するための BIOS の保護オプション (“内部ハード ドライブからのみ起動” など)、およびブート デバイスの順序 (オペレーティング システムによって実行される BOOTORDER のオーバーライドによる変更) をサポートする必要があります。- There must be support for protected BIOS option to configure list of permitted boot devices (for example, “Boot only from internal hard drive”) and boot device order, overriding BOOTORDER modification made by operating system.
- BIOS 構成では、セキュリティに関連する BIOS のオプションと起動オプション (許可されたブート デバイスの一覧やブート順) をセキュリティで保護し、他のオペレーティング システムの起動や、BIOS 設定の変更を回避する必要があります。- In the BIOS configuration, BIOS options related to security and boot options (list of permitted boot devices, boot order) must be secured to prevent other operating systems from starting and to prevent changes to the BIOS settings.
ファームウェア:セキュア MOR リビジョン 2 の実装Firmware: Secure MOR, revision 2 implementation 要件:Requirement:
-セキュア MOR、revision 2 の実装- Secure MOR, revision 2 implementation

2016 年に追加されたセキュリティの条件 (Windows 10 Version 1607 および Windows Server 2016 以降)2016 Additional security qualifications starting with Windows 10, version 1607, and Windows Server 2016

重要

以下の各表では、セキュリティ強化のための追加の条件を示します。The following tables list additional qualifications for improved security. これらの追加の条件を満たしているシステムでは、さらに保護を強化できます。Systems that meet these additional qualifications can provide more protections.

セキュリティ強化のための保護Protections for Improved Security 説明Description セキュリティ上のメリットSecurity Benefits
ファームウェア: ハードウェアによってルート指定された信頼できるプラットフォームのセキュア ブートFirmware: Hardware Rooted Trust Platform Secure Boot 要件:Requirements:
-ブートの整合性 (プラットフォームセキュアブート) がサポートされている必要があります。- Boot Integrity (Platform Secure Boot) must be supported. 「System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby」の Windows ハードウェア互換性プログラムの要件をご覧ください。See the Windows Hardware Compatibility Program requirements under System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby
- ハードウェア セキュリティ テスト インターフェイス (HSTI) を実装する必要があります。- The Hardware Security Test Interface (HSTI) must be implemented. Hardware Security Testability Specification」をご覧ください。See Hardware Security Testability Specification.
- 電源投入時からのブート整合性 (プラットフォームのセキュア ブート) によって、実際の攻撃者に対する保護やマルウェアに対する多層防御が実現されます。Boot Integrity (Platform Secure Boot) from Power-On provides protections against physically present attackers, and defense-in-depth against malware.
- HSTI によって、セキュリティで適切に保護されたシリコンとプラットフォームに対して、追加のセキュリティ保証が実現されます。- HSTI provides additional security assurance for correctly secured silicon and platform.
ファームウェア: Windows Update を利用したファームウェア更新Firmware: Firmware Update through Windows Update 要件:Requirements:
-ファームウェアは、Windows Update と UEFI カプセル化更新によるフィールド更新をサポートしている必要があります。- Firmware must support field updates through Windows Update and UEFI encapsulation update.
迅速、安全、かつ信頼性の高いファームウェア更新を実行できます。Helps ensure that firmware updates are fast, secure, and reliable.
ファームウェア: ブート構成と管理の保護Firmware: Securing Boot Configuration and Management 要件:Requirements:
- 必要な BIOS 機能: OEM が製造時に、ISV、OEM、または企業の証明書をセキュア ブート DB に追加できる必要があります。- Required BIOS capabilities: Ability of OEM to add ISV, OEM, or Enterprise Certificate in Secure Boot DB at manufacturing time.
- 必要な構成: Microsoft UEFI CA をセキュア ブート DB から削除する必要があります。- Required configurations: Microsoft UEFI CA must be removed from Secure Boot DB. サード パーティ製 UEFI モジュールのサポートは許可されていますが、特定の UEFI ソフトウェアについては、ISV によって提供された証明書または OEM 証明書を利用する必要があります。Support for 3rd-party UEFI modules is permitted but should leverage ISV-provided certificates or OEM certificate for the specific UEFI software.
- 企業は、専用の EFI ドライバー/アプリケーションの実行を許可するように選ぶことができます。- Enterprises can choose to allow proprietary EFI drivers/applications to run.
- Microsoft UEFI CA をセキュア ブート DB から削除することによって、企業は、オペレーティング システムの起動前に実行されるソフトウェアを完全に制御することができます。- Removing Microsoft UEFI CA from Secure Boot DB provides full control to enterprises over software that runs before the operating system boots.

2017 年に追加される、Windows 10 Version 1703 以降のセキュリティ条件2017 Additional security qualifications starting with Windows 10, version 1703

次の表では、Windows 10 バージョン 1703 で上記のすべての条件に加えて追加された条件を示します。The following table lists qualifications for Windows 10, version 1703, which are in addition to all preceding qualifications.

セキュリティ強化のための保護Protections for Improved Security 説明Description セキュリティ上のメリットSecurity Benefits
ファームウェア: No-Execute (NX) による UEFI ランタイムサービスのための VBS の有効化Firmware: VBS enablement of No-Execute (NX) protection for UEFI runtime services 要件:Requirements:
-VBS は、UEFI ランタイムサービスコードとデータメモリ領域での NX 保護を有効にします。- VBS will enable NX protection on UEFI runtime service code and data memory regions. UEFI ランタイム サービス コードが読み取り専用のページ保護をサポートする必要があります。UEFI ランタイム サービス データを実行可能にすることはできません。UEFI runtime service code must support read-only page protections, and UEFI runtime service data must not be executable. UEFI ランタイムサービスは、次の要件を満たしている必要があります。UEFI runtime service must meet these requirements:
- UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE を実装する必要があります。- Implement UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. すべての UEFI ランタイム サービス メモリ (コードおよびデータ) をこのテーブルによって記述する必要があります。All UEFI runtime service memory (code and data) must be described by this table.
-PE セクションはメモリ内でページに配置されている必要があります (不揮発性ストレージでは必要ありません)。- PE sections must be page-aligned in memory (not required for in non-volatile storage).
- メモリ属性テーブルの OS による構成では、次のようにコードとデータを RO/NX として適切にマーキングする必要があります。- The Memory Attributes Table needs to correctly mark code and data as RO/NX for configuration by the OS:
- すべてのエントリには、属性 EFI_MEMORY_RO または EFI_MEMORY_XP のどちらか、あるいはその両方を含める必要があります。- All entries must include attributes EFI_MEMORY_RO, EFI_MEMORY_XP, or both.
- 上記のどちらの属性も含まないエントリは指定できません (こうしたエントリは、メモリが実行可能でかつ書き込み可能であることを示します)。- No entries may be left with neither of the above attributes, indicating memory that is both executable and writable. メモリは、読み取り可能かつ実行可能、または書き込み可能かつ非実行可能のいずれかであることが必要です。Memory must be either readable and executable or writeable and non-executable.
(この表の後の重要な情報を参照してください)(SEE IMPORTANT INFORMATION AFTER THIS TABLE)
UEFI ランタイムの脆弱性は、(UpdateCapsule や SetVariable などの関数などの) 侵害からブロックされます。Vulnerabilities in UEFI runtime, if any, will be blocked from compromising VBS (such as in functions like UpdateCapsule and SetVariable)
-システムファームウェアから VBS への攻撃面を減らします。- Reduces the attack surface to VBS from system firmware.
ファームウェア: SMM 保護のためのファームウェアのサポートFirmware: Firmware support for SMM protection 要件:Requirements:
- WINDOWS SMM Security 緩和表 (WSMT) 仕様 には、windows 仮想化ベースのセキュリティ (VBS) 機能をサポートする windows オペレーティングシステムで使用するために作成された ACPI テーブルの詳細が含まれています。- The Windows SMM Security Mitigations Table (WSMT) specification contains details of an ACPI table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features.
-UEFI ランタイムサービスの潜在的な脆弱性から保護します (存在する場合、UpdateCapsule や SetVariable などの関数など)。- Protects against potential vulnerabilities in UEFI runtime services, if any, will be blocked from compromising VBS (such as in functions like UpdateCapsule and SetVariable)
-システムファームウェアから VBS への攻撃面を減らします。- Reduces the attack surface to VBS from system firmware.
- SMM に対する他のセキュリティ攻撃をブロックします。- Blocks additional security attacks against SMM.

重要

UEFI ランタイムサービスの NX 保護のための VBS 対応について」をご覧ください。Regarding VBS enablement of NX protection for UEFI runtime services:

  • これは、uefi のブートサービスメモリではなく、UEFI ランタイムサービスメモリにのみ適用されます。This only applies to UEFI runtime service memory, and not UEFI boot service memory.

  • この保護は、OS のページテーブルの VBS によって適用されます。This protection is applied by VBS on OS page tables.

    次の点にも注意してください。Please also note the following:

    • 書き込みと実行可能の両方のセクションを使わないDo not use sections that are both writeable and executable

    • 実行可能なシステムメモリを直接変更しないようにします。Do not attempt to directly modify executable system memory

    • 動的コードを使わないDo not use dynamic code