Windows 10でCredential Guardを有効または無効にする

Windows 10でCredential Guardを有効または無効にする: Windows Credential Guardは仮想化ベースのセキュリティを使用してシークレットを分離し、特権のあるシステムソフトウェアだけがアクセスできるようにします。 これらのシークレットへの不正アクセスは、Pass-the-HashやPass-The-Ticketなどの資格情報の盗難攻撃につながる可能性があります。 Windows Credential Guardは、NTLMパスワードハッシュ、Kerberosチケット許可チケット、およびアプリケーションによってドメイン資格情報として保存されている資格情報を保護することにより、これらの攻撃を防ぎます。

Windows Credential Guardを有効にすることで、次の機能とソリューションが提供されます。

ハードウェアのセキュリティ

仮想化ベースのセキュリティ

高度な持続的脅威に対する保護の強化

Credential Guardの重要性がわかったので、システムでこれを確実に有効にする必要があります。 したがって、時間を無駄にすることなく、以下にリストされたチュートリアルを利用して、Windows 10でCredential Guardを有効または無効にする方法を見てみましょう。

Windows 10でCredential Guardを有効または無効にする

何か問題が発生した場合に備えて、必ず復元ポイントを作成してください。

方法1:グループポリシーエディターを使用してWindows 10でCredential Guardを有効または無効にする

注:この方法は、Windows Pro、Education、またはEnterprise Edtionを使用している場合にのみ機能します。 Windows Homeバージョンの場合、ユーザーはこの方法をスキップして次の方法に従います。

1. Windowsキー+ Rを押し、次にregeditと入力してEnterキーを押し、 グループポリシーエディターを開きます。

2.次のパスに移動します。

コンピューターの構成>管理用テンプレート>システム> Device Guard

3.右側のウィンドウペインで[ Device Guard]を選択し、[ 仮想化ベースのセキュリティをオンにする ]ポリシーをダブルクリックします。

上記のポリシーの[Properties]ウィンドウで、[ Enabled]を必ず選択してください

5. [Select Platform Security Level ]ドロップダウンから、[ Secure Boot]または [ Secure Boot and DMA Protection]を選択します。

6.次に、「 Credential Guard Configuration 」ドロップダウンから[ Enabled with UEFI lock]を選択します。 Credential Guardをリモートでオフにする場合は、UEFIロックで有効にするのではなく、ロックなしで有効にするを選択します。

7.完了したら、[適用]をクリックしてから[OK]をクリックします。

8.PCを再起動して変更を保存します。

方法2:レジストリエディターを使用してWindows 10でCredential Guardを有効または無効にする

Credential Guardは、仮想化ベースのセキュリティ機能を使用します。この機能は、レジストリエディターでCredential Guardを有効または無効にする前に、まずWindows機能から有効にする必要があります。 仮想化ベースのセキュリティ機能を有効にするには、以下の方法のいずれかのみを使用するようにしてください。

プログラムと機能を使用して仮想化ベースのセキュリティ機能を追加する

$config[ads_text6] not found

1. Windowsキー+ Rを押してappwiz.cplと入力し、Enterキーを押してプログラムと機能を開きます。

2.左側のウィンドウで、「 Windowsの機能を有効または無効にする 」をクリックします

3. Hyper-Vを見つけて展開し、次に同様にHyper-Vプラットフォームを展開します。

4.Hyper-VプラットフォームのチェックマークHyper-V Hypervisor 」の下。

5.次に、下にスクロールして「分離ユーザーモード」にチェックマークを付け、「 OK をクリックします。

DISMを使用して仮想化ベースのセキュリティ機能をオフラインイメージに追加する

1. Windowsキー+ Xを押して、[ コマンドプロンプト(管理者)]を選択します

2. cmdに次のコマンドを入力してHyper-Vハイパーバイザーを追加し、Enterキーを押します。

 dism / image:/ Enable-Feature / FeatureName:Microsoft-Hyper-V-Hypervisor / allまたはdism / Online / Enable-Feature:Microsoft-Hyper-V / All 

3.次のコマンドを実行して、分離ユーザーモード機能を追加します。

 dism / image:/ Enable-Feature / FeatureName:IsolatedUserModeまたはdism / Online / Enable-Feature / FeatureName:IsolatedUserMode 

4.終了したら、コマンドプロンプトを閉じます。

Windows 10でCredential Guardを有効または無効にする

1. Windowsキー+ Rを押し、次にregeditと入力してEnterキーを押し、 レジストリエディターを開きます。

2.次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ DeviceGuard

3. DeviceGuardを右クリックし、[ 新規]> [DWORD(32ビット)値 ]を選択します

4.この新しく作成したDWORDにEnableVirtualizationBasedSecurity名前を付け 、Enterキーを押します。

5.EnableVirtualizationBasedSecurity DWORDをダブルクリックし、その値を次のように変更します。

仮想化ベースのセキュリティを有効にするには:1

仮想化ベースのセキュリティを無効にするには:0

6.ここで再びDeviceGuardを右クリックし、[ 新規]> [DWORD(32ビット)値 ]を選択してこのDWORDにRequirePlatformSecurityFeaturesという名前を付け 、Enterキーを押します。

7. RequirePlatformSecurityFeatures DWORDをダブルクリックし、 値を1に変更してセキュアブートのみを使用するか 、3に設定してセキュアブートとDMA保護を使用します。

8.次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA

LSAを右クリックし、[ 新規]> [DWORD(32ビット)値 ]を選択してこのDWORDにLsaCfgFlagsという名前を付け 、Enterキーを押します。

10.LsaCfgFlags DWORDをダブルクリックし、その値を次のように変更します。

資格情報ガードを無効にする:0

UEFIロックで資格情報ガードを有効にする:1

ロックなしでCredential Guardを有効にする:2

11.終了したら、レジストリエディターを閉じます。

Windows 10でCredential Guardを無効にする

UEFIロックなしでCredential Guardが有効になっている場合、Device GuardおよびCredential Guardハードウェア準備ツールまたは次の方法を使用して、 Windows Credential Guard無効にすることができます。

1. Windowsキー+ Rを押し、次にregeditと入力してEnterキーを押し、 レジストリエディターを開きます。

2.次のレジストリキーに移動して削除します。

 HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequirePlatformSecurityFeatures 

3. bcdeditを使用して、Windows Credential Guard EFI変数を削除します 。 Windowsキー+ Xを押して、[ コマンドプロンプト(管理者)]を選択します

4. cmdに次のコマンドを入力し、Enterキーを押します。

 mountvol X:/ sコピー%WINDIR%\ System32 \ SecConfig.efi X:\ EFI \ Microsoft \ Boot \ SecConfig.efi / Y bcdedit / create {0cb3b571-2f2e-4343-a879-d86a476d7215} / d "DebugTool" / application osloader bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215}パス "\ EFI \ Microsoft \ Boot \ SecConfig.efi" bcdedit / set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit / set { 0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition = X:mountvol X:/ d 

5.終了したら、コマンドプロンプトを閉じてPCを再起動します。

6.プロンプトを受け入れて、Windows Credential Guardを無効にします。

推奨:

  • Windows 10テーマがデスクトップアイコンを変更することを許可または禁止する
  • Windows 10で詳細または非常に詳細なステータスメッセージを有効にする
  • Windows 10で開発者モードを有効または無効にする
  • Windows 10でデスクトップの壁紙JPEG品質の低下を無効にする

以上で、Windows 10でCredential Guardを有効または無効にする方法を学習しましたが、このチュートリアルに関するクエリがまだある場合は、コメントのセクションで遠慮なく質問してください。

関連記事