Credential Guard のしくみ

Kerberos、NTLM、Credential Manager は、仮想化ベースのセキュリティ (VBS) を使用してシークレットを分離します。 以前のバージョンの Windows は、ローカル セキュリティ機関 (LSA) プロセス lsass.exeのプロセス メモリにシークレットを格納しました。

Credential Guard の保護の制限

資格情報を格納するいくつかの方法は、Credential Guard によって保護されていません。次に示します。

• Credential Guard が有効になっている場合、NTLMv1、MS-CHAPv2、ダイジェスト、および CredSSP はサインインした資格情報を使用できません。 したがって、シングル サインオンはこれらのプロトコルでは機能しません。 ただし、アプリケーションは資格情報の入力を求めたり、Windows Vault に格納されている資格情報を使用したりできます。これらのプロトコルでは Credential Guard によって保護されません

  注意

  サインイン資格情報などの貴重な資格情報は、NTLMv1、MS-CHAPv2、Digest、または CredSSP プロトコルでは使用しないことをお勧めします。

• Windows 機能の保護の外部にある資格情報を管理するソフトウェア
• ローカル アカウントと Microsoft アカウント
• Credential Guard は、Windows Server ドメイン コントローラーで実行されている Active Directory データベースを保護しません。 また、リモート デスクトップ ゲートウェイを実行している Windows Server などの資格情報入力パイプラインも保護されません。 クライアント PC として Windows Server OS を使用している場合、Windows クライアント OS の実行時と同じ保護が得られます
• キー ロガー
• 物理的な攻撃
• PC 上のマルウェアを持つ攻撃者が、任意の資格情報に関連付けられている特権を使用することを防ぐわけではありません。 IT 担当者や組織内の価値の高い資産にアクセスできるユーザーなど、価値の高いアカウントには専用 PC を使用することをお勧めします
• Microsoft 以外のセキュリティ パッケージ
• NTLM 認証に指定された資格情報は保護されません。 ユーザーが NTLM 認証のために資格情報を求められ、入力した場合、その資格情報は LSASS メモリから読み取られやすくなります。 これらの同じ資格情報は、キー ロガーにも脆弱です
• Kerberos サービス チケットは Credential Guard によって保護されませんが、Kerberos チケット許可チケット (TGT) は保護されています
• Credential Guard が有効になっている場合、Kerberos は、サインインした資格情報だけでなく、プロンプトまたは保存された資格情報に対しても、 制約のない Kerberos 委任 または DES 暗号化を許可しません
• VM で Credential Guard が有効になっている場合、VM 内の攻撃からシークレットを保護します。 ただし、ホストから発生した特権システム攻撃からの保護は提供されません
• Windows ログオン でキャッシュされたパスワード検証ツール (一般に キャッシュされた資格情報) は、認証のために別のコンピューターに提示できないため、資格情報として修飾されません。また、資格情報の検証にはローカルでのみ使用できます。 これらはローカル コンピューターのレジストリに格納され、ドメインに参加しているコンピューターがユーザーログオン中に AD DS に接続できない場合に資格情報の検証を提供します。 これらの キャッシュされたログオン (具体的には、 キャッシュされたドメイン アカウント情報) は、セキュリティ ポリシー設定 [対話型ログオン: ドメイン コントローラーが使用できない場合 にキャッシュする以前のログオンの数 ] を使用して管理できます

次のステップ

• Credential Guard を構成する方法について説明します
• 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
• Credential Guard を使用する際の考慮事項と既知の問題を確認する