リモート 資格情報ガードを使用してリモート Windows Defender資格情報を保護するProtect Remote Desktop credentials with Windows Defender Remote Credential Guard

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

Windows 10 バージョン 1607 で導入された Windows Defender Remote Credential Guard は、Kerberos 要求を接続を要求しているデバイスにリダイレクトすることで、リモート デスクトップ接続を使用して資格情報を保護するのに役立ちます。Introduced in Windows 10, version 1607, Windows Defender Remote Credential Guard helps you protect your credentials over a Remote Desktop connection by redirecting Kerberos requests back to the device that's requesting the connection. また、リモート デスクトップ セッションのシングル サインオン エクスペリエンスも提供します。It also provides single sign-on experiences for Remote Desktop sessions.

管理者資格情報は高い特権を持ち、保護する必要があります。Administrator credentials are highly privileged and must be protected. Windows Defender Remote Credential Guard を使用してリモート デスクトップ セッション中に接続すると、ターゲット デバイスが侵害された場合、資格情報と資格情報の派生の両方がネットワーク上でターゲット デバイスに渡されるので、資格情報は公開されません。By using Windows Defender Remote Credential Guard to connect during Remote Desktop sessions, if the target device is compromised, your credentials are not exposed because both credential and credential derivatives are never passed over the network to the target device.

重要

ヘルプデスク サポートに関連するリモート デスクトップ接続シナリオの詳細については、この記事の「リモート デスクトップ接続と ヘルプデスク サポート シナリオ」を参照してください。For information on Remote Desktop connection scenarios involving helpdesk support, see Remote Desktop connections and helpdesk support scenarios in this article.

リモート Credential Guard Windows Defender他のリモート デスクトップ接続オプションとの比較Comparing Windows Defender Remote Credential Guard with other Remote Desktop connection options

次の図は、リモート 資格情報ガードを使用せずにサーバーに対する標準のリモート デスクトップ セッションWindows Defender理解するのに役立ちます。The following diagram helps you to understand how a standard Remote Desktop session to a server without Windows Defender Remote Credential Guard works:

リモート資格情報を使用せずにサーバー Windows Defender RDP 接続Guard.png


次の図は、リモート Credential Guard の動作Windows Defender保護に役立つ機能、および制限付き管理モード オプションと比較する方法を 理解するのに役立 ちます。The following diagram helps you to understand how Windows Defender Remote Credential Guard works, what it helps to protect against, and compares it with the Restricted Admin mode option:

Windows Defender Remote Credential Guard


図のように、Windows Defender リモート資格情報ガードは NTLM (Kerberos のみを許可) をブロックし、Pass-the-Hash (PtH) 攻撃を防止し、切断後の資格情報の使用も防止します。As illustrated, Windows Defender Remote Credential Guard blocks NTLM (allowing only Kerberos), prevents Pass-the-Hash (PtH) attacks, and also prevents use of credentials after disconnection.

次の表を使用して、さまざまなリモート デスクトップ接続セキュリティ オプションを比較します。Use the following table to compare different Remote Desktop connection security options:

機能Feature リモート デスクトップRemote Desktop Windows Defender Remote Credential GuardWindows Defender Remote Credential Guard 制限付き管理モードRestricted Admin mode
保護の利点Protection benefits サーバー上の資格情報は、Pass-the-Hash 攻撃から保護されません。Credentials on the server are not protected from Pass-the-Hash attacks. ユーザー資格情報はクライアントに残ります。User credentials remain on the client. 攻撃者は、セッションが進行中の場合 にのみ、ユーザー の代理として行動できます。An attacker can act on behalf of the user only when the session is ongoing ユーザーはローカル管理者としてサーバーにログオンします。そのため、攻撃者は "ドメイン ユーザー" に代わって行動することはできません。User logs on to the server as local administrator, so an attacker cannot act on behalf of the “domain user”. すべての攻撃はサーバーに対してローカルですAny attack is local to the server
バージョンのサポートVersion support リモート コンピューターは、任意の Windows オペレーティング システムを実行できますThe remote computer can run any Windows operating system クライアントとリモート コンピューターの両方が、少なくとも Windows 10、バージョン 1607、または Windows Server 2016を実行している必要があります。Both the client and the remote computer must be running at least Windows 10, version 1607, or Windows Server 2016. リモート コンピューターは、少なくとも更新プログラムが適用された Windows 7 またはパッチが適用されている Windows 7 を実行しているWindows Server 2008 R2。The remote computer must be running at least patched Windows 7 or patched Windows Server 2008 R2.

制限付き管理モードに関連するパッチ (ソフトウェア更新プログラム) の詳細については 、「Microsoft Security Advisory 2871997」を参照してください。For more information about patches (software updates) related to Restricted Admin mode, see Microsoft Security Advisory 2871997.
防止に役立         ちます                     Helps prevent                         N/A              N/A         
  • Pass-the-HashPass-the-Hash
  • 切断後の資格情報の使用Use of a credential after disconnection
  • Pass-the-HashPass-the-Hash
  • 接続中のドメイン ID の使用Use of domain identity during connection
リモート デスクトップ クライアント デバイスからサポートされる資格情報Credentials supported from the remote desktop client device
  • 資格情報に 署名済みSigned on credentials
  • 指定された 資格情報Supplied credentials
  • 保存 された資格情報Saved credentials
  • サインインした 資格情報のみSigned on credentials only
  • 資格情報に 署名済みSigned on credentials
  • 指定された 資格情報Supplied credentials
  • 保存 された資格情報Saved credentials
AccessAccess 許可されているユーザー、つまりリモート ホストのリモート デスクトップ ユーザー グループのメンバー。Users allowed, that is, members of Remote Desktop Users group of remote host. 許可されているユーザー、つまりリモート ホストのリモート デスクトップ ユーザーのメンバー。Users allowed, that is, members of Remote Desktop Users of remote host. 管理者のみ ( つまり、リモート ホストの Administrators グループのメンバーのみ)。Administrators only, that is, only members of Administrators group of remote host.
ネットワーク IDNetwork identity リモート デスクトップ セッションは 、サインインしているユーザーとして他のリソースに接続しますRemote Desktop session connects to other resources as signed-in user. リモート デスクトップ セッションは 、サインインしているユーザーとして他のリソースに接続しますRemote Desktop session connects to other resources as signed-in user. リモート デスクトップ セッションは 、リモート ホストの ID として他のリソースに接続しますRemote Desktop session connects to other resources as remote host’s identity.
マルチホップMulti-hop リモート デスクトップから、 リモート デスクトップ経由で別のコンピューターに接続できますFrom the remote desktop, you can connect through Remote Desktop to another computer リモート デスクトップから、リモート デスクトップ経由で別のコンピューターに接続できますFrom the remote desktop, you can connect through Remote Desktop to another computer. セッションがローカル ホスト アカウントとして実行されている場合、ユーザーは許可されませんNot allowed for user as the session is running as a local host account
サポートされている認証Supported authentication 任意の交渉可能なプロトコル。Any negotiable protocol. Kerberos のみ。Kerberos only. 任意の交渉可能なプロトコルAny negotiable protocol

詳細については、「リモート デスクトップ プロトコル」および「Kerberos のしくみ」を参照してくださいFor further technical information, see Remote Desktop Protocol and How Kerberos works.


リモート デスクトップ接続とヘルプデスクのサポート シナリオRemote Desktop connections and helpdesk support scenarios

リモート デスクトップ セッションを介してコンピューター ユーザーにリモート支援を提供するために管理者が管理アクセスを必要とするヘルプデスク サポート シナリオでは、Windows Defender Remote Credential Guard をそのコンテキストで使用しなけらなけらお勧めします。For helpdesk support scenarios in which personnel require administrative access to provide remote assistance to computer users via Remote Desktop sessions, Microsoft recommends that Windows Defender Remote Credential Guard should not be used in that context. これは、攻撃者が既に制御している侵害されたクライアントに対して RDP セッションが開始された場合、攻撃者は開いているチャネルを使用して、ユーザーの代わりに (資格情報を損なうことなく) セッションを作成し、セッションが切断された後、限られた時間 (数時間) ユーザーのリソースにアクセスする可能性があるためです。This is because if an RDP session is initiated to a compromised client that an attacker already controls, the attacker could use that open channel to create sessions on the user's behalf (without compromising credentials) to access any of the user’s resources for a limited time (a few hours) after the session disconnects.

そのため、[制限付き管理モード] オプションを使用することをお勧めします。Therefore, we recommend instead that you use the Restricted Admin mode option. ヘルプデスクのサポート シナリオでは、RDP 接続は /RestrictedAdmin スイッチを使用して開始する必要があります。For helpdesk support scenarios, RDP connections should only be initiated using the /RestrictedAdmin switch. これにより、資格情報や他のユーザー リソースが侵害されたリモート ホストに公開されません。This helps ensure that credentials and other user resources are not exposed to compromised remote hosts. 詳細については 、「Pass-the-Hashおよび Other Credential Theft v2 の問題を緩和する」を参照してください。For more information, see Mitigating Pass-the-Hash and Other Credential Theft v2.

セキュリティをさらに強化するために、Windows 8.1 で導入されたグループ ポリシー クライアント側拡張機能 (CSE) であるローカル管理者パスワード ソリューション (LAPS) を実装して、ローカル管理者のパスワード管理を自動化することをお勧めします。To further harden security, we also recommend that you implement Local Administrator Password Solution (LAPS), a Group Policy client-side extension (CSE) introduced in Windows 8.1 that automates local administrator password management. LAPS は、お客様がすべてのコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に、横方向のエスカレーションや他のサイバー攻撃のリスクを軽減します。LAPS mitigates the risk of lateral escalation and other cyberattacks facilitated when customers use the same administrative local account and password combination on all their computers. LAPS はここでダウンロードしてインストール できますYou can download and install LAPS here.

LAPS の詳細については 、「Microsoft Security Advisory 3062591」を参照してくださいFor further information on LAPS, see Microsoft Security Advisory 3062591.

リモート Credential Guard の要件Remote Credential Guard requirements

リモート Credential Guard Windows Defenderするには、リモート デスクトップ クライアントとリモート ホストが次の要件を満たしている必要があります。To use Windows Defender Remote Credential Guard, the Remote Desktop client and remote host must meet the following requirements:

リモート デスクトップ クライアント デバイス:The Remote Desktop client device:

  • リモート デバイスに送信される資格情報を提供するには、少なくとも Windows 10 バージョン 1703 を実行している必要があります。Must be running at least Windows 10, version 1703 to be able to supply credentials, which is sent to the remote device. これにより、ユーザーはリモート コンピューターに資格情報を送信することなく、異なるユーザーとして実行できます。This allows users to run as different users without having to send credentials to the remote machine.

  • ユーザーのサインイン資格情報を使用するには、少なくとも Windows 10、バージョン 1607、または Windows Server 2016 を実行している必要があります。Must be running at least Windows 10, version 1607 or Windows Server 2016 to use the user’s signed-in credentials. これには、ユーザーのアカウントがクライアント デバイスとリモート ホストの両方にサインインできる必要があります。This requires the user’s account be able to sign in to both the client device and the remote host.

  • リモート デスクトップ クラシック Windows アプリケーションを実行している必要があります。Must be running the Remote Desktop Classic Windows application. リモート デスクトップ ユニバーサル Windows プラットフォーム アプリケーションは、リモート 資格情報ガードWindows Defenderサポートされていません。The Remote Desktop Universal Windows Platform application doesn't support Windows Defender Remote Credential Guard.

  • リモート ホストに接続するには、Kerberos 認証を使用する必要があります。Must use Kerberos authentication to connect to the remote host. クライアントがドメイン コントローラーに接続できない場合、RDP は NTLM にフォールバックします。If the client cannot connect to a domain controller, then RDP attempts to fall back to NTLM. Windows Defender資格情報が危険にさらされる可能性がある場合、リモート Credential Guard では NTLM フォールバックが許可されません。Windows Defender Remote Credential Guard does not allow NTLM fallback because this would expose credentials to risk.

リモート デスクトップ リモート ホスト:The Remote Desktop remote host:

  • 少なくとも Windows 10 バージョン 1607 または Windows Server 2016 を実行している必要があります。Must be running at least Windows 10, version 1607 or Windows Server 2016.
  • 制限付き管理者接続を許可する必要があります。Must allow Restricted Admin connections.
  • クライアントのドメイン ユーザーがリモート デスクトップ接続にアクセスできる必要があります。Must allow the client’s domain user to access Remote Desktop connections.
  • エクスポートできない資格情報の委任を許可する必要があります。Must allow delegation of non-exportable credentials.

リモート Credential Guard に対するハードウェアWindows Defenderはありません。There are no hardware requirements for Windows Defender Remote Credential Guard.

注意

以前のバージョン (少なくとも Windows 10 バージョン 1607) を実行しているリモート デスクトップ クライアント デバイスは、サインインしている資格情報のみをサポートしています。そのため、クライアント デバイスも Active Directory ドメインに参加する必要があります。Remote Desktop client devices running earlier versions, at minimum Windows 10 version 1607, only support signed-in credentials, so the client device must also be joined to an Active Directory domain. リモート デスクトップ クライアントとサーバーの両方を同じドメインに参加するか、リモート デスクトップ サーバーをクライアント デバイスのドメインとの信頼関係を持つドメインに参加する必要があります。Both Remote Desktop client and server must either be joined to the same domain, or the Remote Desktop server can be joined to a domain that has a trust relationship to the client device's domain.

GPO リモート ホストを使用すると 、エクスポートできない資格情報の委任を有効にし、エクスポートできない資格情報の委任を有効にする必要があります。GPO Remote host allows delegation of non-exportable credentials should be enabled for delegation of non-exportable credentials.

  • リモートWindows Defender Guard をサポートするには、Kerberos 認証を使用してリモート ホストに対して認証する必要があります。For Windows Defender Remote Credential Guard to be supported, the user must authenticate to the remote host using Kerberos authentication.

  • リモート ホストは、少なくとも Windows 10 バージョン 1607、または Windows Server 2016 を実行している必要があります。The remote host must be running at least Windows 10 version 1607, or Windows Server 2016.

  • リモート デスクトップクラシック Windows アプリが必要です。The Remote Desktop classic Windows app is required. リモート デスクトップ ユニバーサル Windows プラットフォーム アプリは、リモート 資格情報ガードWindows Defenderサポートされていません。The Remote Desktop Universal Windows Platform app doesn't support Windows Defender Remote Credential Guard.

リモート資格情報Windows Defenderを有効にするEnable Windows Defender Remote Credential Guard

レジストリを使用して、リモート ホストWindows Defender制限付き管理者またはリモート 資格情報ガードを有効にする必要があります。You must enable Restricted Admin or Windows Defender Remote Credential Guard on the remote host by using the Registry.

  1. リモート ホストでレジストリ エディターを開きます。Open Registry Editor on the remote host.

  2. 制限付き管理者とリモート資格情報ガードWindows Defender有効にする:Enable Restricted Admin and Windows Defender Remote Credential Guard:

    • [次へ] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa。Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

    • DisableRestrictedAdminという名前の新しい DWORD 値を追加します。Add a new DWORD value named DisableRestrictedAdmin.

    • 制限付き管理者とリモート資格情報ガードWindows Defender有効にする場合は、このレジストリ設定の値を 0 に設定して、リモート資格情報ガードWindows Defenderします。To turn on Restricted Admin and Windows Defender Remote Credential Guard, set the value of this registry setting to 0 to turn on Windows Defender Remote Credential Guard.

  3. レジストリ エディターを閉じます。Close Registry Editor.

これを追加するには、管理者特権でコマンド プロンプトから次のコマンドを実行します。You can add this by running the following command from an elevated command prompt:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

リモートWindows Defenderガードの使用Using Windows Defender Remote Credential Guard

Windows 10 バージョン 1703 から、グループ ポリシーを使用するか、リモート デスクトップ接続を使用してパラメーターを使用して、クライアント デバイスで Windows Defender Remote Credential Guard を有効にできます。Beginning with Windows 10 version 1703, you can enable Windows Defender Remote Credential Guard on the client device either by using Group Policy or by using a parameter with the Remote Desktop Connection.

グループ ポリシーをWindows Defenderリモート Credential Guard を有効にするTurn on Windows Defender Remote Credential Guard by using Group Policy

  1. グループ ポリシー管理コンソールから、[コンピューターの構成] [管理用テンプレート] -> **** -> [システム資格情報の委任 -> ] に移動しますFrom the Group Policy Management Console, go to Computer Configuration -> Administrative Templates -> System -> Credentials Delegation.

  2. [資格情報の 委任をリモート サーバーに制限する] をダブルクリックしますDouble-click Restrict delegation of credentials to remote servers.

    Windows Defender Credential Guard グループ ポリシー

  3. [ 次の制限付きモードを使用する] で、次の制限モードを使用しますUnder Use the following restricted mode:

    • 制限付き管理モードまたはリモート Credential Guard をWindows Defenderする場合は、[資格情報の委任の制限]を選択しますIf you want to require either Restricted Admin mode or Windows Defender Remote Credential Guard, choose Restrict Credential Delegation. この構成では、Windows Defender資格情報ガードが優先されますが、リモート Credential Guard を使用できない場合は制限付き管理モード (サポートされている場合) Windows Defender使用します。In this configuration, Windows Defender Remote Credential Guard is preferred, but it will use Restricted Admin mode (if supported) when Windows Defender Remote Credential Guard cannot be used.

      注意

      リモート Credential Guard Windows Defender制限付き管理モードでは、クリア テキストで資格情報がリモート デスクトップ サーバーに送信されません。Neither Windows Defender Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

    • リモート資格情報ガードを要求する場合Windows Defender、リモート資格情報ガード を要求するを選択しますIf you want to require Windows Defender Remote Credential Guard, choose Require Remote Credential Guard. この設定では、リモート コンピューターがこのトピックで前に示した要件を満たしている場合にのみ、リモート デスクトップ接続が成功します。With this setting, a Remote Desktop connection will succeed only if the remote computer meets the requirements listed earlier in this topic.

    • 制限付き管理モードを必要とする場合は、[制限付き管理者を必要とする ] を選択します。制限付き管理モードの詳細については、このトピックの前の「リモート Credential GuardWindows Defender他のリモート デスクトップ接続オプションとの比較」の表を参照してください。If you want to require Restricted Admin mode, choose Require Restricted Admin. For information about Restricted Admin mode, see the table in Comparing Windows Defender Remote Credential Guard with other Remote Desktop connection options, earlier in this topic.

  4. [OK] をクリックします。Click OK.

  5. グループ ポリシー管理コンソールを閉じます。Close the Group Policy Management Console.

  6. コマンド プロンプトから、/forcegpupdate.exe ** を実行して** 、グループ ポリシー オブジェクトが適用されます。From a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

リモート Windows Defender接続にパラメーターを指定してリモート Credential Guard を使用するUse Windows Defender Remote Credential Guard with a parameter to Remote Desktop Connection

組織内でグループ ポリシーを使用しない場合、またはすべてのリモート ホストがリモート Credential Guard をサポートしていない場合は、リモート デスクトップ接続を開始するときに remoteGuard パラメーターを追加して、その接続に Windows Defender リモート資格情報ガードを有効にできます。If you don't use Group Policy in your organization, or if not all your remote hosts support Remote Credential Guard, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Windows Defender Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

注意

ユーザーは、リモート デスクトップ プロトコルを使用してリモート サーバーに接続する権限を持つ必要があります 。たとえば、リモート コンピューター上のリモート デスクトップ ユーザー ローカル グループのメンバーである必要があります。The user must be authorized to connect to the remote server using Remote Desktop Protocol, for example by being a member of the Remote Desktop Users local group on the remote computer.

リモート Credential Guard を使用Windows Defender考慮事項Considerations when using Windows Defender Remote Credential Guard

  • Windows Defender資格情報ガードは複合認証をサポートしていない。Windows Defender Remote Credential Guard does not support compound authentication. たとえば、デバイス要求を必要とするリモート ホストからファイル サーバーにアクセスしようとしている場合、アクセスは拒否されます。For example, if you’re trying to access a file server from a remote host that requires a device claim, access will be denied.

  • Windows Defender Remote Credential Guard は、Azure 仮想マシン (VM) として実行される AD ドメインに参加しているサーバーを含む、Windows Server Active Directory ドメインに参加しているデバイスに接続する場合にのみ使用できます。Windows Defender Remote Credential Guard can be used only when connecting to a device that is joined to a Windows Server Active Directory domain, including AD domain-joined servers that run as Azure virtual machines (VMs). Windows Defender Azure Active Directory に参加しているリモート デバイスに接続する場合は、リモート Credential Guard を使用できません。Windows Defender Remote Credential Guard cannot be used when connecting to remote devices joined to Azure Active Directory.

  • リモート デスクトップ資格情報ガードは、RDP プロトコルでのみ動作します。Remote Desktop Credential Guard only works with the RDP protocol.

  • 資格情報はターゲット デバイスに送信されませんが、ターゲット デバイスは独自に Kerberos サービス チケットを取得します。No credentials are sent to the target device, but the target device still acquires Kerberos Service Tickets on its own.

  • サーバーとクライアントは Kerberos を使用して認証する必要があります。The server and client must authenticate using Kerberos.