Credential Guard の概要

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Credential Guard は、NTLM パスワード ハッシュ、Kerberos Ticket Granting Tickets (TGT)、およびアプリケーションによってドメイン資格情報として格納された資格情報を保護することで、資格情報の盗難攻撃を防ぎます。

Credential Guard では 、仮想化ベースのセキュリティ (VBS) を使用してシークレットを分離し、特権システム ソフトウェアのみがアクセスできるようにします。 これらのシークレットへの不正アクセスは、ハッシュを渡してチケットを渡すなどの資格情報の盗難攻撃につながる可能性があります。

有効にすると、Credential Guard には次の利点があります。

• ハードウェア セキュリティ: NTLM、Kerberos、Credential Manager は、セキュア ブートや仮想化などのプラットフォーム セキュリティ機能を利用して資格情報を保護します
• 仮想化ベースのセキュリティ: NTLM、Kerberos 派生資格情報、およびその他のシークレットは、実行中のオペレーティング システムから分離された保護された環境で実行されます
• 高度な永続的な脅威からの保護: VBS を使用して資格情報が保護されると、多くの標的型攻撃で使用される資格情報の盗難攻撃手法とツールがブロックされます。 管理特権を持つオペレーティング システムで実行されているマルウェアは、VBS によって保護されているシークレットを抽出できません

注

Credential Guard は強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性があり、他のセキュリティ戦略やアーキテクチャも組み込む必要があります。

既定の有効化

Windows 11、22H2、Windows Server 2025 以降では、要件を満たすデバイスで VBS と Credential Guard が既定で有効になります。

既定の有効化は UEFI ロックがないため、管理者は必要に応じて資格情報ガードをリモートで無効にすることができます。

Credential Guard が有効になっている場合、 VBS も自動的に有効になります。

注

デバイスがバージョン 22H2/Windows Server 2025 以降 Windows 11に更新される前に Credential Guard が明示的に無効になっている場合、既定の有効化によって既存の設定が上書きされることはありません。 そのデバイスは、既定で Credential Guard を有効にするバージョンの Windows に更新した後でも、Credential Guard が引き続き無効になります。

Windows での既定の有効化

Windows 11、22H2 以降を実行しているデバイスでは、次の場合に Credential Guard が既定で有効になります。

• ライセンス要件を満たす
• ハードウェアとソフトウェアの要件を満たす
• Credential Guard を無効にするように明示的に構成されていない

注

Windows 11 Pro/Pro Edu 22H2 以降を実行しているデバイスでは、既定の有効化の他の要件を満たし、以前に Credential Guard を実行している場合、仮想化ベースのセキュリティ (VBS) または Credential Guard が自動的に有効になっている可能性があります。 たとえば、後で Pro にダウングレードした Enterprise デバイスで Credential Guard が有効になっている場合などです。

Pro デバイスがこの状態であるかどうかを判断するには、次のレジストリ キーが存在するかどうかをチェックします:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 このシナリオでは、VBS と Credential Guard を無効にする場合は、手順に従って 仮想化ベースのセキュリティを無効にします。 VBS を無効にせずに Credential Guard のみを無効にする場合は、次の手順を使用して Credential Guard を無効にします。

Windows Server での既定の有効化

Windows Server 2025 以降を実行しているデバイスでは、次の場合に Credential Guard が既定で有効になります。

• ライセンス要件を満たす
• ハードウェアとソフトウェアの要件を満たす
• Credential Guard を無効にするように明示的に構成されていない
• ドメインに参加している
• ドメイン コントローラーではありません

重要

既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。

システム要件

Credential Guard で保護を提供するには、デバイスが特定のハードウェア、ファームウェア、およびソフトウェアの要件を満たしている必要があります。

ハードウェアとファームウェアの最小要件を超えるデバイスは、追加の保護を受け、特定の脅威に対してより強化されます。

ハードウェアおよびソフトウェアの要件

Credential Guard には、次の機能が必要です。

• 仮想化ベースのセキュリティ (VBS)

  注

  VBS には、さまざまなハードウェア プラットフォームで有効にするためのさまざまな要件があります。 詳細については、「仮想化ベースのセキュリティ要件」を参照してください。

• セキュア ブート

必須ではありませんが、追加の保護を提供するには、次の機能をお勧めします。

• トラステッド プラットフォーム モジュール (TPM) は、ハードウェアへのバインドを提供するためです。 TPM バージョン 1.2 および 2.0 は、個別またはファームウェアのいずれかでサポートされています
• UEFI ロック:攻撃者がレジストリ キーの変更で Credential Guard を無効にできないようにするため

ハードウェアとファームウェアのオプションに関連付けられているセキュリティを強化するための保護の詳細については、 追加のセキュリティ要件に関するページを参照してください。

仮想マシンでの Credential Guard

Credential Guard は、物理マシンと同様に、Hyper-V 仮想マシンのシークレットを保護できます。 VM で Credential Guard が有効になっている場合、シークレットは VM 内 の攻撃から保護されます。 Credential Guard では、ホストから発生した特権システム攻撃からの保護は提供されません。

Hyper-V 仮想マシンで Credential Guard を実行する要件は次のとおりです。

• Hyper-V ホストには IOMMU が必要です
• Hyper-V 仮想マシンは第 2 世代である必要があります

注

Credential Guard は、Hyper-V または Azure 第 1 世代 VM ではサポートされていません。 Credential Guard は、第 2 世代の VM でのみ使用できます。

Windows エディションとライセンスに関する要件

次の表は、Credential Guard をサポートする Windows エディションの一覧です。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
なし	はい	なし	はい

Credential Guard ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
なし	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

アプリケーションの要件

Credential Guard を有効にすると、特定の認証機能がブロックされます。 このような機能を必要とするアプリケーションは中断します。 これらの要件を アプリケーション要件と参照します。

アプリケーションをデプロイする前にテストして、機能の低下との互換性を確保する必要があります。

Warning

ドメイン コントローラーで Credential Guard を有効にすることはお勧めしません。 Credential Guard では、ドメイン コントローラーにセキュリティが追加されていないため、ドメイン コントローラーでアプリケーションの互換性の問題が発生する可能性があります。

注

Credential Guard では、Active Directory データベースまたはセキュリティ アカウント マネージャー (SAM) の保護は提供されません。 Credential Guard が有効化されているときに Kerberos と NTLM によって保護される資格情報は、Active Directory データベース (ドメイン コントローラー上) と SAM (ローカル アカウント用) にも存在します。

アプリケーションは、次の必要な場合に中断します。

• Kerberos DES 暗号化のサポート
• Kerberos の制約のない委任
• Kerberos TGT 抽出
• NTLMv1

アプリケーションでは、次のものが必要な場合に、資格情報を要求し、リスクにさらします。

• ダイジェスト認証
• 資格情報の委任
• MS-CHAPv2
• CredSSP

分離された Credential Guard プロセスを LSAIso.exeフックしようとすると、アプリケーションによってパフォーマンスの問題が発生する可能性があります。

ファイル共有やリモート デスクトップなど、Kerberos に依存するサービスまたはプロトコルは引き続き機能し、Credential Guard の影響を受けません。

次のステップ

• Credential Guard のしくみを確認する
• Credential Guard を構成する方法について説明します
• 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
• Credential Guard を使用する際の考慮事項と既知の問題を確認する