Microsoft Defender Credential Guard のハードウェア要件

Microsoft Defender Credential Guard では、仮想化ベースのセキュリティを使用して、NTLM パスワード ハッシュや Kerberos チケット保証チケットなどのシークレットを分離および保護し、Pass-the-Hash または Pass-the-Ticket (PtH) 攻撃をブロックします。 Microsoft Defender Credential Guard を利用すると、NTLMv1、MS-CHAPv2、Digest、CredSSP ではサインオン資格情報を使用できなくなります。 そのため、シングルサインオンはこれらのプロトコルでは機能しません。 ただし、アプリケーションが資格情報を入力要求したり、Windows 資格情報コンテナーに保存された資格情報を使用することができます。これらの資格情報は、これらのプロトコルでは Microsoft Defender Credential Guard によって保護されません。

これらのプロトコルでは、サインイン資格情報などの貴重な資格情報を使用しないことを強くお勧めします。 これらのプロトコルをドメイン ユーザーまたは Azure AD ユーザーが使用する必要がある場合、こうしたユース ケースでは第 2 の資格情報をプロビジョニングしてください。

Microsoft Defender Credential Guard を利用すると、Kerberos では制約のない Kerberos 委任や DES 暗号化はすべて許可されません。またサインイン資格情報も、入力要求された/保存された資格情報も使用できません。

注: Windows 10 バージョン 1709 および Windows Server バージョン 1709 以降では、Intel TXT または SGX が BIOS を介してプラットフォームで有効になっている場合、ハイパーバイザーによるコード整合性保護 (HCVI) および Credential Guard は影響を受けず、期待どおりに機能します。 以前のバージョンの Windows では、Intel TXT または SGX が BIOS を介してプラットフォームで有効になっていても、HVCI および Credential Guard はサポートされません。

Microsoft Defender Credential Guard の概要と、これによって防御される攻撃の詳細については、Credential Guard の詳細に関するページを参照してください。

IT プロフェッショナルの方へ: 企業で Microsoft Defender Credential Guard をデプロイする方法については、Credential Guard によるドメインの派生資格情報の保護に関する記事を参照してください。

デバイスで Windows ハードウェア互換性要件 (WHCR) の仕様どおりに Microsoft Defender Credential Guard をサポートするために、OEM は次のハードウェア、ソフトウェア、またはファームウェア機能を提供する必要があります。

要件	詳細
セキュア ブート	ハードウェアベースのセキュア ブートがサポートされている必要があります。 詳細については、「セキュア ブート」を参照してください。
セキュア ブートの構成と管理	製造時に、ISV、OEM、またはエンタープライズ証明書をセキュア ブート データベースに追加できる必要があります。 Microsoft UEFI CA をセキュア ブート データベースから削除する必要があります。 サードパーティのUEFIモジュールのサポートは許可されていますが、特定のUEFIソフトウェアに対してISVが提供する証明書またはOEM証明書を利用する必要があります。
セキュリティで保護されたファームウェアの更新プロセス	UEFI ソフトウェアと同様、UEFI ファームウェアにはセキュリティの脆弱性が存在する可能性があります。 そのような脆弱性が見つかった場合、ファームウェアの更新を通じて直ちに修正する機能を備えている必要があります。 UEFI ファームウェアでは、System.Fundamentals.Firmware.UEFISecureBoot にある Windows 10 向けシステムのハードウェア互換性仕様に従った、安全なファームウェア更新をサポートする必要があります。
United Extensible Firmware Interface (UEFI)	詳細については、「United Extensible Firmware Interface (UEFI) ファームウェアの要件」を参照してください。
仮想化ベースのセキュリティ (VBS)	ハイパーバイザーによるコード整合性保護には VBS が必要です。 VBS の詳細については、「仮想化ベースのセキュリティ (VBS)」を参照してください。

ハイパーバイザーによるコード整合性保護と Credential Guard の準備ツール

デバイスで HVCI および Credential Guard を実行できるかどうかを判断するには、HVCI および Credential Guard ハードウェア準備ツールをダウンロードします。

関連トピック

• OEM 向けの Windows 10 S のセキュリティ機能と要件
• 仮想化ベースのセキュリティ (VBS)
• Microsoft Defender Application Guard のハードウェア要件