現代の企業環境では、 認証情報を保護し、実行されるコードを厳密に制御する Windows システムでは、もはやオプションではありません。Windows 10、Windows 11、Windows Server 2016 以降では、Microsoft は仮想化ベースのセキュリティに力を入れており、その結果、Credential Guard、Device Guard、Application Guard などのテクノロジーが実現しました。 企業向けWindows 11セキュリティ完全ガイド.
コンピュータネットワークを管理している場合は、詳細に知っておく必要があります。 Credential GuardとDevice Guardを正しく設定するBitLocker、Exploit Guard、Remote Credential Guardなどの他の対策とどのように統合されるか、またMicrosoft Defender Endpoint Security Baselinesがどのような役割を果たすか(特に従来のIntuneやGPOと連携する場合)について説明します。
基礎知識:VBS、VSM、およびCredential GuardとDevice Guardの役割

Credential GuardとDevice Guardがなぜこれほど効果的なのかを理解するには、まず次の概念を理解する必要があります。 仮想化ベースのセキュリティ (VBS)VBSはプロセッサの仮想化機能(Intel VT-xまたはAMD-V)を利用して、マシン自体の中にメインのオペレーティングシステムから論理的に分離された環境を作成します。このアプローチは、次のような技術によって補完されます。 Windows 11におけるカーネル分離これらは、システムの中核部分とその他の部分との分離を強化する。
VBSは、 仮想セキュアモード(VSM)サブシステムは、特に機密性の高い情報を保存および処理します。「通常の」オペレーティングシステムは、このコンテンツに直接アクセスするのではなく、非常に限定された制御されたインターフェースを介してやり取りすることで、攻撃対象領域を縮小します。
この文脈において、VSMを使用して ユーザー認証情報と認証シークレットを保護する (NTLMハッシュやKerberosチケットなど)。これらはシステムの他の部分から隔離されているため、攻撃者が高い権限を取得したとしても、これらの認証情報を抽出することは非常に困難です。
一方、Device Guardはコード制御に重点を置いています。その目標は、 署名済みで信頼できるアプリケーションのみを実行する未知のバイナリや潜在的に悪意のあるバイナリをブロックします。実際には、Device Guardはさまざまな技術を使用して実装されており、最もよく知られているのはコード整合性ポリシーとホワイトリストベースの設定の使用です。
どちらの解決策も同じ柱に基づいています。 VBS/VSMを使用して隔離された安全な環境TPM(Trusted Platform Module)などのハードウェアによる強化されたサポートにより、暗号鍵を保護し、システム起動の整合性を検証するのに役立ちます。
Microsoft Defender エンドポイント セキュリティ ベースライン

Microsoft Intune または Microsoft Defender Endpoint Security Console を使用してデバイスを管理している場合、 安全基準 これらは、個々の設定に頭を悩ませることなく、複雑な構成(Credential GuardやDevice Guardなど)を展開するための最良の味方です。
安全基準とは、 事前設定されたパラメータのセット Windowsの場合、これらはMicrosoftのセキュリティチームによってグループ化され、推奨されています。Intuneでベースラインプロファイルを作成すると、実際には、資格情報ポリシー、アプリケーション制御、VBSオプション、Defenderパラメーターなど、多数のデバイス設定を含むテンプレートが生成されます。
Microsoft Defender for Endpoint のドキュメントには、このベースラインのさまざまなバージョンが掲載されています。たとえば、次のとおりです。 24H12020 年 12 月のベースライン (バージョン 6)、2020 年 9 月のベースライン (バージョン 5)、および 2020 年 4 月や 3 月の以前のバージョンなど。これらのそれぞれには、オプションの詳細なリスト、デフォルトの状態、および可能な場合は、 構成サービスプロバイダー(CSP)へのリンク 同一製品群に関する詳細情報または拡張ドキュメント。
ベースラインの新しいバージョンがリリースされると、 自動的に以前のバージョンに戻ります以前のバージョンで作成したプロファイルは、現在読み取り専用モードになっています。プロファイルの割り当て、名前、説明、対象グループの変更は引き続き可能ですが、内部パラメータを変更することはできません。
構成を新しい標準に適合させるために、Intune は これらのプロファイルを最新のベースラインバージョンに更新するプロファイルが更新されると、設定を編集して、例えば、Credential Guard、Device Guard、BitLocker、またはその他の含まれるオプションの状態を調整できるようになります。
マイクロソフトは、このDefenderエンドポイントベースラインは 物理デバイス向けに最適化仮想マシンやVDI環境では、そのまま使用することは推奨されません。一部のオプションは、対話型リモートセッションや特定の仮想化アーキテクチャに干渉する可能性があるためです。VDI環境においては、ユーザーエクスペリエンスを損なうことなくベースラインコンプライアンスを向上させる方法に関する具体的なドキュメントを確認することが重要です。
前提条件とシステム互換性
Credential GuardとDevice Guardを実装するには、さらに他のテクノロジー(Remote Credential Guard、Application Guard、Citrixソリューションなど)と統合する場合は、検証することが重要です。 ハードウェア要件、オペレーティングシステム、およびソフトウェアバージョン.
一般的に、次のものが必要になります。
- 仮想化をサポートするCPU (Intel VT-xまたはAMD-V)に対応し、BIOS/UEFIで仮想化が有効になっていること。
- 仮想化ベースのセキュリティのサポート (VBS) はシステムセキュリティ設定から有効化できます。
- TPM (できればTPM 2.0)キーの保存とシステム起動の整合性を強化する。
- 互換性のあるバージョン Windows 10/11 エンタープライズ o Windows Serverの 2016年以降はVSMを活用する。
仮想デスクトップとリモートアプリケーションの分野では、Citrix はその役割に関する特定の要件を文書化しています。 SSO向けドメイン転送機能の強化 (シングルサインオン)は、まさにリモートクレデンシャルガードに依存しています。
- Virtual Delivery Agent (VDA) バージョン 2308 以降が必要です。セッションホストまたはクライアントで Windows 11 を使用している場合は、VDA 2407 または 2402 LTSR CU2 以降が必要です。
- Citrix Workspaceアプリケーションのバージョン2309以上、かつWindows 11環境では、少なくとも2405.10または2402 LTSR CU2が必要です。
- Windows 10/11 64 ビット クライアント、Active Directory ドメインに参加済み、 ドメインコントローラーとの直接接続 (接続がない場合、SSOは利用できません。)
- Windows 10 22H2またはWindows 11 22H2以降を搭載したシングルセッションホスト。
この Citrix 機能は、古い SSO サービス (ssonsvr.exe) に基づく従来のハンドオフ認証を置き換えます。 32ビットシステムとは互換性がありませんさらに、従来のドメイン転送と新しい拡張ドメイン転送を同じホスト上で同時に使用することはできません。
Credential Guardの設定と展開
Credential Guardは、VBSエコシステムの中核を成すコンポーネントの一つです。その使命は明確です。 システムに保存されている認証情報を防止する (LSASSプロセスのメモリハッシュなど)は、ダンプツールや横方向移動攻撃によって盗まれる。
従来のグループ ポリシー設定を使用して Credential Guard を有効にするには、重要な設定は Windows の仮想化ベースのセキュリティ オプション内にあります。最近のバージョンでは、これらのポリシーは通常、以下のようにグループ化されています... GPOテンプレートのデバイスガード具体的には、「仮想化ベースのセキュリティを有効にする」において。
このポリシーが正しく構成されている場合、システムは VBS で起動し、 Credential Guardを有効にする内部的には、これはレジストリ、特にキーの変更として反映されます。
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
そこにこそ価値があるのです。 LsaCfgFlagsこの設定は、Credential Guard の動作を制御します。値が 0 の場合、この機能は無効になります。その他の値(Windows のバージョンによって異なります)は、異なるモードで有効にします。これらのキーを変更する場合は、ベストプラクティスに従うことをお勧めします。 Windowsレジストリを安全に操作する また、必要に応じて事前のバックアップを実行します。
場合によっては、特に互換性の問題が発生した場合、 Windows Defender Credential Guard を一時的に無効にする例えば、Citrixは、クライアントでCredential Guardが有効になっている場合、仮想セッションへのSSOが失敗し、「認証情報が機能しませんでした。Windows Defender Credential Guardは、Windowsログオン認証情報の使用を許可していません。」というWindowsセキュリティメッセージが表示されるという既知の問題を文書化しています。
このような場合、それを無効にするには主に2つの方法があります。
- グループ ポリシーを通じて、「仮想化ベースのセキュリティを有効にする」オプションを変更することで コンピューターの構成 > 管理用テンプレート > システム > デバイスガード.
- 登録を通じて、 LsaCfgFlags = 0 上記に示したルートに沿って。
この制限は、 RDP経由のリモート認証情報ガードCredential Guardと併用した拡張ドメイン転送とSSOを使用する必要がある場合は、このシナリオに関するサポートをMicrosoftにリクエストすることを公式に推奨します。
デバイスガードとコード制御:ホワイトリストと動作モード
Credential Guard は認証情報に焦点を当てていますが、Device Guard は 実行可能なソフトウェアの制御 チーム内での取り組みです。その構想は、マルウェアのシグネチャに基づく従来のモデルから、管理者が信頼できると定義したものだけを許可する予防的なモデルへと移行することです。
実際には、デバイスガードは主に以下の方法で実装されます。
- コードの整合性に関するポリシーこれは、どのバイナリ、証明書、および発行者が信頼できるとみなされるかを指定するものです。
- セキュアブート構成とVBSによる防止 初期段階で悪意のあるコードがロードされる システムの。
- 署名済みポリシーを配布するための、展開および管理ツール(Intune、GPO、SCCMなど)との統合。
Device Guardの動作は、選択したモードによって厳格さの度合いが異なります。
- スタンドアロンユーザーモード (テストモードやカスタムモードに似ており)ユーザーがある程度の制御権を保持し、制限が緩やかである。ビジネス環境では、人為的ミスが発生する可能性があるため、これは理想的ではない。
- 組織管理モード (エンタープライズ管理またはエンタープライズ対応)では、管理者がホワイトリスト、グレーリスト、ブラックリストを定義して、許可されるものを正確に制御します。
このビジネスアプローチでは、ポリシーは通常、次の3種類のドメインまたはサイトを扱います。
- 信頼されたサイト (信頼できるサイト):ホワイトリストに相当します。これらはリスクが低いとみなされるよく知られたドメインなので、ブラウザやアプリケーションは コンテンツをデバイスに直接アップロードする 追加的な制約が少ない。
- 中立サイト (中立サイト):機密情報(企業情報または個人情報)を含む可能性があり、その取り扱いは状況によって異なります。安全な環境からアクセスされた場合は、その保護が維持されます。完全に信頼できるサイトからアクセスされた場合は、より寛容な動作となる可能性があります。
- 信頼できないサイト (信頼できないサイト):ブラックリストに相当します。これらのドメインから発信されたコンテンツはすべて、 隔離された環境内で仮想化技術を活用してリスクを最小限に抑える。
並行して、Device Guard は、次のような他のレイヤーと組み合わせて使用されることがよくあります。 アプリケーションガードとエクスプロイトガード潜在的に危険なファイルのダウンロードと実行、および既知の脆弱性の悪用を監視し、必要に応じて警告やブロックを生成します。
アプリケーションガードとエクスプロイトガード:追加強化
Credential Guard と Device Guard に加えて、Windows は次のようなテクノロジーを統合しています。 アプリケーションガード (特にブラウザと重要なアプリケーションに焦点を当てて) エクスプロイトガードこれらは、断熱と強化の概念を拡張するものです。
Application Guard は ウェブサイトやアプリケーションを実行するための仮想化環境 潜在的に危険です。信頼できないとマークされたドメインにアクセスすると、システムはそれらをVBSベースの「隔離されたボックス」内で読み込むように強制し、悪意のあるコンテンツがメインシステムに影響を与えたり、データを盗んだりするのを防ぎます。
このソリューションは、前述のサイトリスト(信頼済み、中立、信頼されていない)およびデバイスガードポリシーと連携して機能します。これにより、次のようなモデルが作成されます。 ブラウザと一部の主要アプリケーションは、カプセル化された形で動作する。 彼らが危険なリソースにアクセスする時。
一方、Exploit Guardは、システムやアプリケーションの脆弱性を軽減するための一連の対策を統合し、以下のような要素を強化します。
- 任意の実行を防止するためのメモリ保護。
- エクスプロイト攻撃によく見られる不審な挙動をブロックします。
- ランサムウェア対策として、フォルダへのアクセスを制限する。
Credential Guard、Device Guard、Application Guard、および Exploit Guard の組み合わせにより、 重ね着装甲 これにより、現代の攻撃、特にネットワーク内を横方向に移動したり、認証情報を乗っ取ったりしようとする攻撃は、はるかに困難になる。
企業向け利用:Windows 10/11、Windows Server 2016および関連する新機能
サーバー分野では、Windows Server 2016 は Windows 10 ですでに見られた多くの機能を導入しましたが、データセンター環境に合わせて調整されています。セキュリティに関しては、統合に加えて、 Windows Defenderをデフォルトのウイルス対策ソフトとして設定するDevice GuardとCredential Guardは、オペレーティングシステムのセキュリティ強化において重要なツールです。これらの改善点や新機能の詳細については、[関連ドキュメントへのリンク]をご覧ください。 Windows Serverの高度なセキュリティと主要な新機能.
これらの技術のおかげで、 ドメインコントローラー、アプリケーションサーバー、ファイルサーバーを保護する 認証情報の盗難や不正なバイナリの実行を防ぐ。これは、Windows Server 2016エコシステムの他の新機能と組み合わせると特に重要になる。
- のサポート ネストされた仮想化これにより、Hyper-Vを仮想マシン内で実行できるようになり、複雑な実験室やテスト環境の構築が容易になります。
- 追加ツールとしては パフォーマンスアナライザー あるいは、ドメインに参加しない機器向けの展開システム。
- PowerShell 5.1 の新機能には、DSC (Desired State Configuration)、PackageManagement/OneGet、PowerShell Direct などがあり、従来のネットワーク接続を必要とせずに仮想マシンやコンテナを管理できます。
インフラストラクチャの分野では、Windows Server 2016 には次のような役割の改善も組み込まれています。 DNS (条件付き応答のためのDNSポリシー) IPAM (集中型IPアドレス管理) HTTP/2をサポートするIIS 10また、ReFS、NTFS重複排除、ストレージレプリカ、ストレージスペースなどのストレージ技術も、Credential GuardやDevice Guardの直接的な一部ではありませんが、セキュリティと可用性のエコシステムの一部です。
リモートクレデンシャルガード、Citrix、および資格情報委任
Remote Credential Guardは、Credential Guardの理念を拡張し、 リモート接続シナリオ特にRDPやデスクトップ仮想化ソリューションにおいては、この考え方が重要となる。ユーザー認証情報が保護されずにリモートホストに送信されるのではなく、Kerberosがクライアントの隔離された環境内で安全に使用され、サポートされるという点が重要だ。
Citrixはこのアプローチをその機能に利用しています。 SSO向けドメイン転送機能の強化 クライアントデバイスがActive Directoryに参加しており、Citrix StoreFrontが使用されている場合、Citrix Workspaceアプリケーション、仮想デスクトップ、およびアプリケーションセッションにおいて機能します。
この機能の主なポイントは次のとおりです。
- 32ビットオペレーティングシステムではサポートされていません。
- これは レガシー転送認証 ssonsvr.exeに基づいています。
- 同じセッションホスト上で、従来の転送認証と同時に有効にすることはできません。
- 従来の認証では「システムに対するMPR通知を有効にする」ポリシーを有効にする必要がありましたが、拡張された転送では、そのポリシーなしでSSOが可能になります。
- クロスドメイン認証の場合、 双方向推移的信頼 ドメイン境界を越えてサービスチケットを取得するには、この手順が必要です。そうしないと、Kerberos委任は機能しません。
構成に関して言えば、Remote Credential Guardとの統合には、StoreFront、Citrixポリシー、セッションホスト、およびクライアントコンピュータにおける一連の手順が必要です。
StoreFrontとCitrix:リモートクレデンシャルガードを使用したSSOの設定
拡張ドメイン転送が正しく機能するためには、StoreFront を次のように構成する必要があります。 ドメイン転送認証を受け入れる 倉庫内と関連ウェブサイトの両方で。
一般的な手順は次のとおりです。
- StoreFront管理コンソールを開きます。
- セクションに移動 倉庫 > 認証方法の管理ウェブサイトに対応するウィンドウが表示されます。
- 「ドメイン移管」のチェックボックスにチェックを入れて承認してください。
ウェブサイトについて:
- 同じ StoreFront コンソールで、タブにアクセスします。 ストレージ > Receiver for Web > Receiver for Webサイトの管理 > 設定 > 認証方法.
- サイト変更ウィンドウで、「ドメイン移管」チェックボックスを選択します。
- 変更を適用します。
その後、 Citrixの拡張ドメイン転送ポリシー:
- Citrix StudioまたはWebコンソールから、[ポリシー]に移動して、新しいポリシーを作成します。
- 「シングルサインオンのための拡張ドメイン転送」の設定を探してください。
- 「許可」に設定してください。
- 保存して適用する。
さらに、セッションホストでは、エクスポートできない資格情報の委任を許可するWindowsポリシーを設定する必要があります。
- IR情報 コンピューターの構成\ポリシー\管理用テンプレート\システム\資格情報の委任.
- 「リモートホストがエクスポート不可能な認証情報の委任を許可する」オプションを有効にします。
- セッションホストを再起動してください。
Windows Server 2016では、この特定の設定はローカルポリシーに表示されないため、GPOではなくローカルで設定する必要がある場合は、レジストリを介して調整する必要があります。 HKLM\SYSTEM\CurrentControlSet\Control\LsaDWORD値の作成/変更 DisableRestrictedAdmin データは0です。
クライアントデバイスの設定と信頼済みサイト
クライアントデバイス側にも、やるべきことがあります。ドメイン転送SSOエクスペリエンスをシームレスに強化するには、以下のことが不可欠です。 クライアント側でこの機能を有効にし、StoreFrontサイトを信頼してください。.
拡張ドメイン転送機能は、ローカルポリシーまたはグループポリシーオブジェクト(GPO)を介して有効にできます。
- に移動します コンピューターの構成\ポリシー\管理用テンプレート\Citrix コンポーネント\Citrix Workspace\ユーザー認証.
- 「シングルサインオンのための拡張ドメイン転送」設定を有効にしてください。
- 調整を有効にするには、Citrix Workspaceアプリケーションを再起動してください。
同時に、顧客がストアフロントのURLを ローカルイントラネットサイトまたは信頼できるサイトURLが既に信頼されているドメインに属していない場合は、次のディレクティブを使用して追加できます。
- IR情報 コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ.
- 「サイトとゾーンの割り当てリスト」を有効にし、ゾーンに関連するURL(例:ローカルイントラネットまたは信頼済みサイト)を追加します。
- 「ログインオプション」を有効にして、「現在のユーザー名とパスワードで自動ログイン」に設定してください。
この設定により、顧客は リモート認証情報ガードと強化されたドメイン転送を活用してください SSOについては、既知の問題セクションで説明されているように、Windows Defender Credential Guardの存在による制限がないことが前提となります。
制限付きサイトゾーン、ActiveX、およびブラウザの強化
Windowsセキュリティパズルのもう1つの重要なピースは、 Internet Explorerのセキュリティゾーン (これは後退しているとはいえ、依然としてシステムの多くのコンポーネントに影響を与えている)そして、ひいては、ActiveX コントロール、スクリプト、およびダウンロードの処理方法にも影響を与える。
最も厳格なポリシーは、制限区域に存在します。グループポリシーで調整できる一般的なオプションには、次のものがあります。
- 許可するかしないか クロスドメインデータソースへのアクセス.
- 有効または無効にする アクティブスクリプト バイナリおよびスクリプトの動作。
- 許可されているか確認してください ファイルをドラッグアンドドロップするか、コピー&ペーストしてください。 サイトと窓の間。
- ファイルのダウンロードと自動ダウンロードを許可またはブロックします。
- XAMLファイルの読み込みとMETA REFRESHの使用を制御します。
- の使用を制限する アクティブエックス TDC制御およびその他の制御の両方について、明示的に承認されたドメインに限定する。
- スクリプトによって起動されるウィンドウのサイズや位置に制限を設けない。
- VBScript、Java、アプレット、および.NET依存コンポーネントの使用を管理する。
- 決定する ActiveXに対してアンチウイルスを実行する または、マルウェア対策ソフトなしでの使用が許可されています。
- 次のようなフィルターを有効にする クロスサイトスクリプティング(XSS)フィルタ保護モードまたはスマートスクリーンフィルター。
この一連のポリシーは、多層防御アプローチの一部であり、Credential GuardとDevice Guardに加えて、以下のことを目的としています。 ブラウザからの攻撃対象領域を縮小するこれは通常、最も一般的な侵入経路の一つです。
ACL、アクセス制御、およびPAC:追加のセキュリティコンテキスト
VBS、VSM、Windows「ガード」以外にも、システムセキュリティは アクセス制御リスト (ACL)Windowsでは、ACL(アクセス制御リスト)によって、ファイルシステムレベルとその他の内部コンポーネントの両方において、誰がどのリソースにどのような権限でアクセスできるかが定義されます。
ACLは設定を可能にする オブジェクトに対する非常に具体的な権限 (オブジェクト権限)とは、一般的な読み書き権限を超えたものです。例えば、ユーザーにはファイルの内容を読み取る権限を与えつつ、その権限を変更できないようにしたり、サービスにはレコードを変更する権限を与えつつ、削除できないようにしたりすることができます。
ACL継承も重要な役割を果たしており、 権限はサブフォルダーとファイルにも伝播します 一つずつ設定する必要はありません。ただし、これは慎重に扱う必要があります。権限の継承が不適切だと、意図した以上の権限が付与されたり、逆に正当なプロセスがブロックされたりする可能性があります。
より高度なシナリオでは、Windows は次のようなモデルをサポートしています。 ポリシーベースアクセス制御(PAC) これにより、より動的でコンテキストに応じたルールを適用できます。これらすべてはログシステムと統合されています。ログシステムは、ここでは詳細には説明しませんが、セキュリティと監査にとって重要なもう1つのコンポーネントです。詳細については、当社のエントリを参照してください。 Windowsセキュリティ監査 登録方法や関連イベントの確認方法については、こちらをご覧ください。
VSMとの関係は直接的です。VSMはACLとWindowsセキュリティモデルに依存しています。 システムの敏感な部分を隔離する適切な権限を持つ検証済みのコードのみが、保護されたコンポーネントとやり取りできるようにする。
Credential Guard、Device Guard、Application Guard、Exploit Guard、ブラウザー ポリシー、適切に設計された ACL、およびセキュリティ ベースラインの使用を適切に展開することで、次のような Windows 環境を構築できます。 認証情報は安全に保護されており、悪意のあるコードを実行することは非常に困難であり、一般的な攻撃経路は厳重に防御されています。常にエンドユーザーにとってのセキュリティと使いやすさの適切なバランスを維持する。
バイトの世界とテクノロジー全般についての情熱的なライター。私は執筆を通じて自分の知識を共有するのが大好きです。このブログでは、ガジェット、ソフトウェア、ハードウェア、技術トレンドなどについて最も興味深いことをすべて紹介します。私の目標は、シンプルで楽しい方法でデジタル世界をナビゲートできるよう支援することです。