Windows10でCredentialGuardを有効または無効にする方法
How Enable Disable Credential Guard Windows 10
クレデンシャルガード 仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらのシークレットへの不正アクセスは、Pass-the-HashやPass-The-Ticketなどの資格情報の盗難攻撃につながる可能性があります。 Credential Guardは、NTLMパスワードハッシュとKerberosチケット許可チケットを保護することにより、これらの攻撃を防ぎます。
Credential Guardは、次の機能とソリューションを提供します。
- ハードウェアセキュリティ Credential Guardは、セキュアブートや仮想化などのプラットフォームセキュリティ機能を利用することにより、派生ドメイン資格情報のセキュリティを強化します。
- 仮想化ベースのセキュリティ 派生ドメインの資格情報やその他のシークレットを管理するWindowsサービスは、実行中のオペレーティングシステムから分離された保護された環境で実行されます。
- 高度な持続的脅威に対するより良い保護 仮想化ベースのセキュリティを使用して派生ドメインの資格情報を保護すると、多くの標的型攻撃で使用される資格情報の盗難攻撃の手法とツールがブロックされます。管理者権限を持つオペレーティングシステムで実行されているマルウェアは、仮想化ベースのセキュリティによって保護されているシークレットを抽出できません。 Credential Guardは強力な緩和策ですが、持続的な脅威攻撃は新しい攻撃手法に移行する可能性が高く、DeviceGuardやその他のセキュリティ戦略とアーキテクチャも組み込む必要があります。
- 管理性 Credential Guardは、グループポリシー、WMI、コマンドプロンプト、およびWindowsPowerShellを使用して管理できます。
資格情報ガードの参照: (読むことをお勧めします)
- 派生ドメインの資格情報を資格情報ガードで保護する(Windows 10)| Microsoft Docs
- CredentialGuardのしくみ| Microsoft Docs
- 資格情報ガードの管理(Windows 10)| Microsoft Docs
- 資格情報ガードの保護制限(Windows 10)| Microsoft Docs
- Credential Guardを使用する際の考慮事項(Windows 10)| Microsoft Docs
- Credential Guard(Windows 10)の証明書発行ポリシーのスクリプト| Microsoft Docs
- Credential Guard既知の問題(Windows 10)| Microsoft Docs
- Windows Defender CredentialGuardのハードウェア要件| Microsoft Docs
- Windows 10エンタープライズセキュリティ:資格情報ガードとデバイスガード|デルUS
- Microsoft Windows10でのDeviceGuardおよびCredentialGuardのThinkPadサポート-ThinkPad
- HP Manageability IntegrationKitがサポートするプラットフォーム| HPクライアント管理ソリューション
- Windows10デバイスガードとクレデンシャルガードの謎を解き明かす
このチュートリアルでは、有効または無効にする方法を説明します クレデンシャルガード 仮想化ベースのセキュリティ Windows 10 Enterprise そして Windows10教育 PC。
としてサインインする必要があります 管理者 CredentialGuardを有効または無効にします。
方法は次のとおりです。
1.1。 開いた Windowsの機能 、および:
Windows 10 Enterprise / Educationの場合 バージョン1607 以上、確認してください Hyper-Vハイパーバイザー 下 Hyper-V 、クリック/タップ OK 。 (下の左のスクリーンショットを参照)
または
Windows 10 Enterprise / Educationの場合 1607より前のバージョン 、 小切手 Hyper-Vハイパーバイザー 下 Hyper-V 、 小切手 分離ユーザーモード 、クリック/タップ OK 。 (下の右のスクリーンショットを参照)
二。 を開きます ローカルグループポリシーエディター 。
3.3。 ローカルグループポリシーエディターの左側のウィンドウで、下のキーに移動します。 (下のスクリーンショットを参照)
コンピューターの構成管理用テンプレートシステムデバイスガード
四。 の右側のペイン デバイスガード ローカルグループポリシーエディターで、をダブルクリック/タップします。 仮想化ベースのセキュリティをオンにする それを編集するためのポリシー。 (上のスクリーンショットを参照)
5.5。 行う ステップ6 (有効にする)または ステップ7 あなたがしたいことのために以下の(無効にする)。
A)(ドット)を選択します 有効 。 (下のスクリーンショットを参照してください ステップ7 )。
B)[オプション]で、[ セキュアブート または セキュアブートとDMA保護 の中に プラットフォームのセキュリティレベルを選択します あなたが欲しいもののためのドロップメニュー。
ザ・ セキュアブート (推奨)オプションは、特定のコンピューターのハードウェアでサポートされているのと同じくらいの保護を備えたセキュアブートを提供します。入力/出力メモリ管理ユニット(IOMMU)を備えたコンピューターは、DMA保護を備えたセキュアブートを備えています。 IOMMUのないコンピューターでは、セキュアブートが有効になっているだけです。
ザ・ DMAによるセキュアブート DMAをサポートするコンピューター、つまりIOMMUを備えたコンピューターでのみ、セキュアブート(およびVBS自体)を有効にします。この設定では、IOMMUのないコンピューターは、コード整合性ポリシーを有効にすることはできますが、VBS(ハードウェアベース)保護はありません。
C)必要に応じて、有効にすることもできます デバイスガード を選択して UEFIロックで有効 または ロックなしで有効 の中に コード整合性の仮想化ベースの保護 あなたが欲しいもののためのドロップメニュー。
ザ・ UEFIロックで有効 オプションは、仮想化ベースのコード整合性保護をリモートで無効にできないことを保証します。この機能を無効にするには、グループポリシーを「無効」に設定し、UEFIに保持されている構成をクリアするために、物理的に存在するユーザーがいる各コンピューターからセキュリティ機能を削除する必要があります。
ロックなしで有効 オプションを使用すると、グループポリシーを使用して、仮想化ベースのコード整合性の保護をリモートで無効にできます。
D)[オプション]で、[ UEFIロックで有効 または ロックなしで有効 の中に 資格情報ガードの構成 あなたが欲しいもののためのドロップメニュー。
ザ・ UEFIロックで有効 オプションは、CredentialGuardをリモートで無効にできないことを保証します。この機能を無効にするには、グループポリシーを「無効」に設定し、UEFIに保持されている構成をクリアするために、物理的に存在するユーザーがいる各コンピューターからセキュリティ機能を削除する必要があります。
ザ・ ロックなしで有効 オプションを使用すると、グループポリシーを使用して資格情報ガードをリモートで無効にできます。この設定を使用するデバイスは、少なくともWindows 10(バージョン1511)を実行している必要があります。
E)に移動します ステップ8 未満。 7.資格情報ガードを無効にするには
A)(ドット)を選択します 構成されていません または 無効 、クリック/タップ OK 、に移動します ステップ8 未満。 (下のスクリーンショットを参照)
注意: 構成されていません デフォルト設定です 。
8.8。 ローカルグループポリシーエディターを閉じます。
9.9。 コンピューターを再起動します 適用する。
それでおしまい、
ショーン