Microsoft Defender Credential Guard と Exploit Guard を有効にする方法

Windowsにおける認証情報の保護と、システムを脆弱性攻撃から強化する 現代のビジネス環境においては、セキュリティ対策はほぼ必須となっています。Pass-the-Hash、Pass-the-Ticket、ゼロデイ脆弱性の悪用といった攻撃は、設定上のわずかな不備を悪用し、ネットワーク内を横断的に移動して、わずか数分でサーバーやワークステーションを乗っ取ります。

このコンテキストでは、 Microsoft Defender Credential Guard および Exploit Guard テクノロジー （Microsoft Defender ウイルス対策エンジンとともに）は、Windows 10、Windows 11、および Windows Server のセキュリティ戦略における重要な構成要素です。以下では、これらの動作原理、要件、そして Intune、グループ ポリシー、レジストリ、PowerShell などのツールを使用して、互換性を損なうことなく正しく有効化または無効化する方法を、手順を追って詳細に説明します。

Microsoft Defender Credential Guardとは何ですか？また、なぜそれほど重要なのでしょうか？

Windows Defender Credential Guard はセキュリティ機能です MicrosoftがWindows 10 EnterpriseおよびWindows Server 2016で導入したこの機能は、仮想化ベースのセキュリティ（VBS）を利用して認証情報を分離します。ローカルセキュリティ機関（LSA）がメモリ内の資格情報を直接管理する代わりに、分離されたLSAプロセスが使用されます。LSAIso.exe保護された環境で実行されます。

この隔離のおかげで、 適切な権限を持つシステムソフトウェアのみが、NTLMハッシュおよびKerberosチケット（TGT）にアクセスできます。資格情報マネージャー、ローカルログイン、およびリモートデスクトップなどの接続で使用される資格情報は、もはや利用できません。従来のLSAプロセスのメモリを直接読み取ろうとする悪意のあるコードは、これらの機密情報が失われていることに気づくでしょう。

このアプローチは、次のような従来のポストエクスプロイトツールの有効性を大幅に低下させます。 パス・ザ・ハッシュ攻撃またはパス・ザ・チケット攻撃用のミミカッツこれは、以前は簡単に抽出できたハッシュ値やチケットが、マルウェアが侵害されたシステム上で管理者権限を持っていたとしても容易に参照できない、メモリ内の隔離されたコンテナに格納されるようになったためです。

それを明らかにする価値はある Credential Guard は Device Guard とは異なります。Credential Guardは認証情報や機密情報を保護する一方、Device Guard（および関連するアプリケーション制御技術）は、コンピュータ上で不正なコードが実行されることを防止することに重点を置いています。両者は相互補完的な関係にありますが、解決する問題は異なります。

それでも、 Credential Guardは、Mimikatzや内部攻撃者に対する万能薬ではありません。既にエンドポイントを制御している攻撃者は、ユーザーが認証情報を入力する際に​​、その情報を傍受する可能性があります（例えば、キーロガーを使用したり、認証プロセスにコードを挿入したりすることによって）。また、特定のデータへの正当なアクセス権を持つ従業員が、そのデータをコピーしたり外部に持ち出したりすることを防ぐこともできません。Credential Guardは、ユーザーの行動ではなく、メモリ内の認証情報を保護するためです。

Windows 11およびWindows Serverでは、Credential Guardがデフォルトで有効になっています。

最新バージョンのWindowsでは、多くの場合、Credential Guardが自動的に有効になります。Windows 11 22H2およびWindows Server 2025以降では、特定のハードウェア、ファームウェア、および構成要件を満たすデバイスでは、管理者が何も操作しなくても、VBSとCredential Guardがデフォルトで有効になります。

これらのシステムでは、 デフォルトの有効化はUEFIロックなしで行われますつまり、Credential Guardはデフォルトで有効になっていますが、ファームウェアでロックオプションが有効になっていないため、管理者は後でグループポリシー、Intune、またはその他の方法を使用してリモートで無効にすることができます。

時 Credential Guardが有効になっており、仮想化ベースのセキュリティ（VBS）も有効になっています。VBSは、LSAが隔離され、機密情報が保存される保護された環境を作成するコンポーネントであるため、これらのバージョンでは両方の機能が密接に連携しています。

重要なニュアンスは 管理者が明示的に設定した値が常に優先されます。 デフォルト設定よりも優先されます。Intune、GPO、またはレジストリを介してCredential Guardを有効または無効にした場合、コンピューターの再起動後に、その手動設定がデフォルトの有効化設定を上書きします。

さらに、 あるデバイスでは、Credential Guardがデフォルトで有効になるバージョンのWindowsにアップグレードする前に、Credential Guardが明示的に無効になっていました。アップデート後、デバイスはこの無効化設定を尊重し、管理ツールのいずれかを使用して設定を再度変更しない限り、自動的に電源が入ることはありません。

システム、ハードウェア、ファームウェア、ライセンス要件

これにより、Credential Guardは真の保護を提供できます。機器は、特定のハードウェア、ファームウェア、およびソフトウェア要件を満たす必要があります。プラットフォームの性能が高ければ高いほど、達成可能なセキュリティレベルも高くなります。

まず、 64ビットCPUが必須です また、仮想化ベースのセキュリティとの互換性も必要です。つまり、プロセッサとマザーボードが適切な仮想化拡張機能をサポートしている必要があり、さらにUEFI/BIOSでこれらの機能を有効にする必要があります。

もう一つの重要な要素は セキュアブート (セキュアブート)セキュアブートは、信頼できる署名済みのファームウェアとソフトウェアのみをロードしてシステムが起動することを保証します。セキュアブートは、VBSやCredential Guardで使用され、攻撃者がブートコンポーネントを改変して保護機能を無効化または操作することを防ぎます。

厳密には義務ではありませんが、所有することを強くお勧めします。 トラステッドプラットフォームモジュール（TPM）バージョン1.2または2.0TPMは、ディスクリート型であれファームウェアベース型であれ、暗号化シークレットとキーをハードウェアにリンクさせることが可能であり、別のデバイスでそれらのシークレットを持ち運んだり再利用したりしようとする者にとって、事態を著しく複雑にする追加のレイヤーとなる。

また、 Credential Guard 用の UEFI ロックこれにより、システムアクセス権を持つユーザーがレジストリキーやポリシーを変更するだけで保護機能を無効化することを防ぎます。ロックが有効になっている場合、Credential Guardを無効にするには、より厳密で明確な手順が必要となります。

ライセンスの分野では、 Credential GuardはWindowsのすべてのエディションで利用できるわけではない一般的に、エンタープライズ版と教育版でサポートされています。Windows EnterpriseとWindows Educationはサポートしていますが、Windows ProまたはPro Education/SEにはデフォルトでは含まれていません。

たくさん Credential Guardの使用権限は、特定のサブスクリプションライセンスに紐づいています。例えば、Windows Enterprise E3およびE5、Windows Education A3およびA5などが挙げられます。ライセンスの観点から見ると、Proエディションは同じオペレーティングシステムバイナリを実行しているにもかかわらず、この高度な機能を利用することはできません。

アプリケーションの互換性とロックされた機能

Credential Guardを大量に展開する前に特定の認証メカニズムに依存するアプリケーションやサービスについては、徹底的に見直すことをお勧めします。すべてのレガシーソフトウェアがこれらの保護機能とうまく連携するとは限らず、一部のプロトコルは直接ブロックされる場合もあります。

Credential Guard が有効になっている場合、危険とみなされる機能は無効になるため、 それらに依存するアプリケーションが正しく動作しなくなるこれらはアプリケーション要件と呼ばれ、Credential Guardを問題なく使い続けるためには避けなければならない条件です。

特徴の中で それらは直接ブロックされます 含まれます：

• Kerberos DES暗号化との互換性。
• Kerberosの権限委譲を制限なく行う。
• LSAからKerberos経由でTGTを抽出する。
• NTLMv1プロトコル。

さらに、 完全に禁止されているわけではないが、追加のリスクを伴う機能もある。 Credential Guardと組み合わせて使用​​する場合。暗黙的認証、資格情報委任、MS-CHAPv2、またはCredSSPに依存するアプリケーションは、適切に構成されていないと資格情報が安全でない状態で公開される可能性があるため、特に注意が必要です。

また、次のようなことも観察されている。 分離されたプロセスに直接バインドまたは相互作用しようとするアプリケーションにおけるパフォーマンスの問題 LSAIso.exeこのプロセスは保護され隔離されているため、繰り返しアクセスを試みると、特定の状況下ではオーバーヘッドが増加したり、処理速度が低下したりする可能性があります。

良いことは Kerberosを標準として使用する最新のサービスとプロトコルSMB共有リソースへのアクセスや適切に構成されたリモートデスクトップなどの機能は、上記で述べた従来の機能に依存していない限り、Credential Guardの有効化によって影響を受けることなく、引き続き正常に機能します。

Credential Guardを有効にする方法：Intune、GPO、およびレジストリ

Credential Guardを有効化する最適な方法は、環境の規模と管理方法によって異なります。最新の管理システムを導入している組織にとって、Microsoft Intune（MDM）は非常に便利ですが、従来のActive Directoryドメインでは、グループポリシーが依然として広く使用されています。より詳細な調整や特定の自動化を行うには、レジストリも選択肢の一つとなります。

まず第一に、 コンピュータをドメインに参加させる前に、Credential Guardを有効にする必要があります。 または、ドメインユーザーが初めてログオンする前に有効化する必要があります。後から有効化した場合、ユーザーおよびマシンの機密情報が既に漏洩している可能性があり、保護の実際の効果が低下します。

一般的に、Credential Guard を有効にするには、次の方法があります。

• Microsoft Intune / MDM の管理。
• Active Directory のグループ ポリシー (GPO) またはローカル ポリシー エディター。
• Windowsレジストリを直接変更する。

これらの設定のいずれかを適用することにより、 デバイスの再起動は必須であることを忘れないでください。 変更を有効にするには、Credential Guard、VBS、およびすべての分離コンポーネントが起動時に初期化される必要があるため、ポリシーを変更するだけでは不十分です。

Microsoft IntuneでCredential Guardを有効化する

Intuneでデバイスを管理する場合、2つの方法があります。 主な選択肢：エンドポイントセキュリティのテンプレートを使用するか、OMA-URIを介してDeviceGuard CSPを構成するカスタムポリシーを使用します。

Intuneポータルでは、 「エンドポイントセキュリティ > アカウント保護」に移動してください。 新しいアカウント保護ポリシーを作成します。プラットフォームとして「Windows 10 以降」を選択し、プロファイルの種類として「アカウント保護」（利用可能なバージョンに応じて、いくつかのバリエーションがあります）を選択します。

設定を構成する際、 「Credential Guardを有効にする」オプションを「UEFIロックで有効にする」に設定します。 保護機能がリモートで簡単に無効化されるのを防ぎたい場合は、Credential Guardをファームウェアに「固定」することで、デバイスの物理的および論理的なセキュリティレベルを高めることができます。

パラメータが定義されたら、 保護したいデバイスまたはユーザーオブジェクトを含むグループにポリシーを割り当ててください。このポリシーは、デバイスがIntuneと同期した際に適用され、その後の再起動後にCredential Guardが有効になります。

細かい部分をコントロールしたい場合は、 DeviceGuard CSPに基づいたカスタムポリシーを使用できますそのためには、適切な名前と値を持つ OMA-URI エントリを作成する必要があります。例えば、次のようになります。

コンフィギュレーション
お名前仮想化ベースのセキュリティを有効にする 大間売り: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity データ型:int 勇気: 1
お名前Credential Guardの設定 大間売り: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags データ型:int 勇気: UEFIロックで有効化: 1 ブロックせずに有効化: 2

このカスタムポリシーを適用して再起動すると、 デバイスはVBSとCredential Guardが有効な状態で起動します。、そしてシステム認証情報は隔離されたコンテナ内で保護されます。

グループポリシーを使用してCredential Guardを構成する

従来のActive Directory環境においてCredential Guardを一括で有効にする最も自然な方法は、グループポリシーオブジェクト（GPO）を使用することです。これは、単一のコンピューター上のローカルポリシーエディターから、またはドメインレベルのグループポリシーマネージャーから実行できます。

ポリシーを設定するには、対応する GPO エディターを開き、次のパスに移動します。 コンピューターの構成 > 管理用テンプレート > システム > デバイスガードそのセクションには、「仮想化ベースのセキュリティを有効にする」というポリシーがあります。

この指令は、 「有効」を選択し、ドロップダウンリストから希望するCredential Guardの設定を選択してください。適用したい物理的な保護レベルに応じて、「UEFIロックを有効にして有効にする」または「ロックなしで有効にする」のいずれかを選択できます。

GPO が設定されると、 対象のコンピュータが存在する組織単位またはドメインにリンクするセキュリティグループフィルタリングやWMIフィルタを使用して適用範囲を細かく調整することで、特定の種類のデバイス（例えば、互換性のあるハードウェアを搭載した企業所有のノートパソコンのみ）にのみ適用するように設定できます。

マシンが指示を受け取って再起動すると、 Credential Guardは、GPOの設定に従って有効化されます。ドメインインフラストラクチャを活用して、標準化された方法で展開する。

Windowsレジストリを変更してCredential Guardを有効にする

非常に細かい制御が必要な場合、またはスクリプトを使用してデプロイを自動化する場合Credential Guardはレジストリキーを使用して直接構成できます。この方法は正確さが求められます。誤った値を指定すると、システムが予期しない状態になる可能性があるためです。

仮想化ベースのセキュリティとCredential Guardを有効にするには、 特定のパスの下に複数のエントリを作成または変更する必要があります重要なポイントは以下のとおりです。

コンフィギュレーション
ルート: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard お名前: EnableVirtualizationBasedSecurity ティポ: REG_DWORD 勇気: 1 （仮想化ベースのセキュリティを有効にする）
ルート: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard お名前: RequirePlatformSecurityFeatures ティポ: REG_DWORD 勇気: 1 （セキュアブートを使用） 3 （セキュアブート＋DMA保護）
ルート: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa お名前: LsaCfgFlags ティポ: REG_DWORD 勇気: 1 （UEFIロック付きCredential Guardを有効にします） 2 （ロックせずに認証情報ガードを有効にします）

これらの値を適用した後、 Windowsハイパーバイザーと分離されたLSAプロセスが動作するように、コンピューターを再起動してください。そのリセットを行わないと、レジストリの変更は実際にはメモリ保護を有効にしません。

Credential Guardが有効になっていて正常に動作しているかどうかを確認する方法

プロセスが LsaIso.exe タスクマネージャーに表示されます。 手がかりにはなるかもしれないが、マイクロソフトはこれをCredential Guardが正常に動作していることを確認するための信頼できる方法とは考えていない。システムに組み込まれたツールに基づいた、より確実な手順が存在する。

推奨オプションの中で Credential Guardのステータスを確認する これらには、システム情報、PowerShell、イベントビューアーなどが含まれます。それぞれの方法によって異なる視点が得られるため、すべてに慣れておく価値があります。

最も視覚的な方法は、 システム情報（msinfo32.exe)スタートメニューからこのツールを実行し、「システム概要」を選択して、「仮想化ベースのセキュリティサービスの実行」セクションを確認し、「Credential Guard」がアクティブなサービスとして表示されていることを確認してください。

スクリプト可能なものがお好みであれば、 PowerShellはあなたの味方です管理者権限を持つコンソールから、次のコマンドを実行できます。

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

このコマンドの出力は、数値コードを使用して、 そのマシンで資格情報ガードが有効になっているか無効になっているか価値 0は、Credential Guardが無効になっていることを意味します。つつ 1は、それが有効化されて実行中であることを示します。 仮想化ベースのセキュリティサービスの一環として。

最後に、 イベントビューアを使用すると、Credential Guard の過去の動作を確認できます。オープニング eventvwr.exe 「Windowsログ > システム」に移動すると、「WinInit」イベントソースでフィルタリングして、デバイスガードおよび資格情報ガードサービスの初期化に関連するメッセージを特定できます。これは、定期的な監査に役立ちます。

Credential Guardを無効にしてUEFIロックアウトを管理する

一般的にはCredential Guardを有効にしておくことが推奨されていますが この機能をサポートするすべてのシステムにおいて、ごく特定の状況下では、レガシーアプリケーションとの互換性の問題を解決するため、または特定の診断タスクを実行するために、この機能を無効にする必要がある場合があります。

正確な手順は Credential Guardを無効にする方法は、初期設定方法によって異なります。UEFIロックなしで有効化されていた場合は、Intune、GPO、またはレジストリポリシーを元に戻して再起動するだけで済みます。ただし、UEFIロックを有効にして有効化されていた場合は、設定の一部がファームウェアのEFI変数に保存されているため、追加の手順が必要です。

特定の場合 UEFIロックでCredential Guardが有効になっていますまず、標準的な無効化プロセス（ディレクティブまたはレジストリ値の取り消し）に従い、次に、関連する EFI 変数を削除する必要があります。 bcdedit とユーティリティ SecConfig.efi 高度なスクリプトを使用。

典型的な流れは 一時的な EFI ドライブをマウントし、コピーします。 SecConfig.efi新しい充電器入力を作成します bcdedit分離型LSAを無効にし、Windowsブートマネージャーを介して一時的なブートシーケンスを設定するようにオプションを構成し、処理の最後にドライブをアンマウントします。

この構成でコンピュータを再起動した後、 Windowsが起動する前に、UEFIの変更に関する警告メッセージが表示されます。変更を永続化し、ファームウェアでCredential Guard EFIロックを完全に無効にするには、このメッセージを確認することが必須です。

必要なものが 特定のHyper-V仮想マシンでCredential Guardを無効にするPowerShell を使用すれば、ゲスト 環境に手を加えることなく、ホスト 側からこの操作を実行できます。一般的なコマンドは次のとおりです。

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

その調整により、仮想マシンは VBSの使用を停止し、その結果、Credential Guardの実行も停止します。 ゲストOSがこの機能をサポートしているにもかかわらず、非常に特殊な実験室環境やテスト環境では役立つ可能性がある。

Hyper-V 仮想マシン上の資格情報ガード

Credential Guardは物理的な機器に限定されませんまた、Hyper-V環境でWindowsを実行している仮想マシン内の認証情報を保護することもでき、ベアメタルハードウェアと同等のレベルの分離を実現します。

このような状況では、 Credential Guardは、仮想マシン内部からの攻撃から機密情報を保護します。つまり、攻撃者がVM内のシステムプロセスを侵害した場合でも、VBS保護機能はLSAを隔離し続け、ハッシュやチケットの漏洩リスクを低減します。

しかし、限界を明確にしておくことが重要です。 Credential Guardは、ホストから発生する攻撃からVMを保護することはできません。 特権昇格によって、ハイパーバイザーとホストシステムは仮想マシンを完全に制御できるため、悪意のあるホスト管理者はこれらの障壁を回避できる可能性があります。

Credential Guard がこれらのタイプの展開で正しく機能するためには、 Hyper-VホストにはIOMMUが必要です （入出力メモリ管理ユニット）メモリとデバイスへのアクセスを分離し、仮想マシンは 第2世代、UEFIファームウェア搭載これにより、セキュアブートやその他の必要な機能が有効になります。

これらの要件を満たすことで、 仮想マシン上でCredential Guardを使用する際の体験は、物理マシンで使用する場合と非常によく似ています。同じアクティベーション方法（Intune、GPO、レジストリ）と検証方法（msinfo32、PowerShell、イベントビューアー）が含まれます。

Exploit GuardとMicrosoft Defender：一般的な保護を有効にして管理する

Credential Guardに加えて、WindowsのセキュリティエコシステムはMicrosoft Defenderウイルス対策に依存しています。 また、Exploit Guardのような技術には、攻撃対象領域の縮小ルール、ネットワーク保護、フォルダアクセス制御、その他マルウェアの速度を低下させ、エクスプロイト攻撃を軽減することを目的とした機能が含まれています。

多くのチームでは、 Microsoft Defenderウイルス対策ソフトは、デフォルトでプリインストールされ、有効化されています。 Windows 8、Windows 10、Windows 11では利用可能ですが、以前のポリシー、サードパーティ製ソリューションのインストール、またはレジストリへの手動変更などが原因で無効になっていることが比較的よくあります。

へ ローカルグループポリシーを使用してMicrosoft Defenderウイルス対策を有効にするスタートメニューを開き、「グループポリシー」を検索して、「グループポリシーの編集」を選択します。「コンピューターの構成」>「管理用テンプレート」>「Windows コンポーネント」>「Windows Defender ウイルス対策」の中に、「Windows Defender ウイルス対策を無効にする」というオプションが表示されます。

このポリシーが「有効」に設定されている場合、ウイルス対策ソフトは強制的に無効になります。 機能を復元するには、オプションを「無効」または「未設定」に設定してください。変更を適用してエディタを閉じます。サービスは次回のポリシー更新後に再び起動できるようになります。

もしその時なら レジストリからDefenderが明示的に無効化されましたルートを確認する必要があります HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender そして値を特定する DisableAntiSpywareレジストリ エディターを使用して、それを開き、「値データ」を次のように設定できます。 0ウイルス対策ソフトが再び機能するように、変更を受け入れます。

これらの調整後、「スタート > 設定 > 更新とセキュリティ > Windows Defender」（より新しいバージョンでは「Windows セキュリティ」）に進み、 「リアルタイム保護」スイッチが有効になっていることを確認してください。まだオフになっている場合は、手動でオンにして、システム起動時にウイルス対策ソフトが起動するようにしてください。

最大限の保護のためには、 リアルタイム保護とクラウドベースの保護の両方を有効にする「Windows セキュリティ」アプリケーションから、「ウイルスと脅威の防止」>「ウイルスと脅威の防止の設定」>「設定の管理」に進み、該当するスイッチを有効にします。

これらのオプションが表示されない場合は、 グループポリシーによって、ウイルス対策保護セクションが非表示になっています。 Windows セキュリティで、「コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Windows セキュリティ > ウイルスと脅威の防止」を確認し、「ウイルスと脅威の防止領域を非表示にする」ポリシーが「無効」に設定されていることを確認して、変更を適用します。

それは等しく重要です ウイルス定義を最新の状態に保つ これにより、Microsoft Defender は最新の脅威を検出できるようになります。Windows セキュリティの「ウイルスと脅威の防止」にある「脅威の防止の更新プログラム」で、「更新プログラムの確認」をクリックし、最新の署名をダウンロードしてください。

コマンドラインの方がお好みであれば、それも選択肢の一つです。 Microsoft DefenderサービスはCMDから起動できます。Windows + Rを押して、次のように入力します。 cmd 次に、コマンドプロンプト（できれば管理者権限で）で、以下を実行します。

sc start WinDefend

このコマンドにより、 メインのウイルス対策サービスが起動します 追加のポリシーやブロックによって妨げられていない限り、エンジンがエラーなく起動するかどうかを迅速に確認できます。

お使いのコンピューターが Microsoft Defender を使用しているかどうかを確認するには、「スタート > 設定 > システム」に移動して「コントロール パネル」を開きます。「セキュリティとメンテナンス」セクションには、「システムのセキュリティと保護」セクションがあり、 ウイルス対策の保護状況やその他の有効な対策の概要が表示されます。 チームで。

組み合わせて メモリ内の認証情報を保護するクレデンシャルガード 適切に構成されたMicrosoft Defender、Exploit Guard、および適切なセキュリティ強化ルールにより、認証情報の盗難、高度なマルウェア、ドメイン内での横方向の移動に対するセキュリティレベルが大幅に向上します。レガシープロトコルやアプリケーションとの互換性には常にコストがかかりますが、ほとんどの組織では、全体的なセキュリティ向上によってそのコストを十分に補うことができます。