Windows Defender Credential Guard の機能と管理

Slide 1

Slide 1 text

Windows Defender Credential Guard の機能と管理 Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地彰 ) • 株式会社エクシードワン技術フェロー • 株式会社シーピーエス技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容 • 資格情報の保存と Local Security Authority (LSA) • LSA の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点

Slide 4

Slide 4 text

資格情報の保存と Local Security Authority (LSA)

Slide 5

Slide 5 text

資格情報の保存 • Windows ではさまざまな資格情報が保存される • ローカルアカウントの資格情報 • キャッシュされたドメイン資格情報 • サービスアカウントの資格情報 • タスクのアカウント資格情報 • ネットワーク資格情報 • ファイル共有の資格情報 • Web の資格情報 5

Slide 6

Slide 6 text

資格情報が保存される場所（１） • Windows アカウント情報（ドメイン派生資格情報） • LSA ローカルセキュリティ機関 • SAM セキュリティアカウントマネージャー https://learn.microsoft.com/ja-jp/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication から引用 6 資格情報そのものを保存するのではなく、パスワードハッシュや Kerberos チケットが保存される

Slide 7

Slide 7 text

LSAとSAM・保存場所の実体 • LSA HKEY_LOCAL_MACHINE¥SECURITY ※SAMの読み取り専用コピーも格納される • SAM HKEY_LOCAL_MACHINE¥SAM • システムアカウントのみアクセス可能 7 普通のユーザーでアクセスしても何も見えない

Slide 8

Slide 8 text

資格情報が保存される場所（２） • 資格情報マネージャー • Web 資格情報 • ファイル共有の資格情報 • その他の汎用資格情報 8

Slide 9

Slide 9 text

LSA の問題点

Slide 10

Slide 10 text

LSA の問題点 • ローカルマシン内に情報が存在している • 「システムアカウントしかアクセスできない」は逆に言えば「適切な権限があればアクセスできる」 • 情報を取り出す際にメモリに展開される • メモリにアクセスできれば読み取れる可能性がある 10 取得できるのは「資格情報」そのものではなく「パスワードのハッシュ」や「Kerberos チケット」しかしハッシュやチケットでも取得されると脅威となる

Slide 11

Slide 11 text

想定される脅威 • ハッシュからのパスワードの解読 • 辞書攻撃 • ブルートフォース攻撃 • レインボー攻撃 • Pass-the-Hash 攻撃 • Pass-the-Ticket 攻撃 11 ドメイン派生資格情報が奪取されるとドメイン全体に攻撃の手が伸びる

Slide 12

Slide 12 text

Windows Defender Credential Guard

Slide 13

Slide 13 text

Windows Defender Credential Guard • ユーザーのオペレーティングシステムとは別の仮想化環境で資格情報を管理する 13

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Credential Guard の仕組み • 仮想化ベースのセキュリティを使用 • 仮想化環境（分離 LSA プロセス、LSAIso）で資格情報を管理 • LSA は RPC を使って LSAIso と通信 ⇒LSA 以外から LSAIso にアクセスできない • LSAIso はデバイスドライバーをホストしない ⇒ハードウェアからアクセスできない 15

Slide 16

Slide 16 text

Credential Guard が保護するもの • シングルサインオンのための Kerberos と NTLMv2 のドメイン資格情報（パスワードハッシュ） • Kerberos チケット（Ticket Granting Ticket） • 資格情報マネージャーに保存されたドメイン資格情報 • Windows 資格情報 • 証明書ベースの資格情報 • 汎用資格情報 * Web 資格情報は保護されない 16

Slide 17

Slide 17 text

Credential Guard が保護しないもの • ローカルアカウントと Microsoft アカウント • キャッシュされたドメインアカウントログオン情報 • Digest および CredSSP の資格情報 • Kerberos サービスチケット • LSA で管理されない資格情報（外部のソフトウェアなど） • ドメインコントローラーの Active Directory データベース • 平文パスワードが必要になるアプリケーションの資格情報 * Web 資格情報など 17

Slide 18

Slide 18 text

Credential Guard による保護の強化 • NTLMv1 / MS-CHAPv2 / Digest / CredSSP によるシングルサインオンの無効化 • ユーザーがプロンプトに資格情報を入力して利用することは可能 • 制約のない Kerberos 委任または DES 暗号化は許可されない • ユーザーのプロンプト入力でも利用不可 18

Slide 19

Slide 19 text

Windows Defender Credential Guard の管理

Slide 20

Slide 20 text

Windows Defender Credential Guard の要件 • オペレーティングシステム • Windows Enterprise および Windows Education • ハードウェア • 仮想化ベースのセキュリティのサポート (必須) • セキュアブート (必須) • TPM 1.2 および 2.0（優先） • UEFI ロック (推奨) 20

Slide 21

Slide 21 text

Windows Defender Credential Guard の有効化 • Windows 11 22H2 以降、要件を満たすデバイスでは既定で有効化される • グループポリシーによる有効化/無効化も可能 • コンピューターの設定 ⇒ 管理用テンプレート ⇒ システム ⇒ Device Guard ⇒仮想化ベースのセキュリティを有効にする 21

Slide 22

Slide 22 text

その他の有効化/無効化手順 • Microsoft Intune の利用 • 構成プロファイルを作成する • レジストリの利用 • HKLM¥SYSTEM¥CurrentControlSet¥Control¥DeviceGuard • EnableVirtualizationBasedSecurity, DWORD, 1:有効・0:無効 • RequirePlatformSecurityFeatures , DWORD, 1 または 3 で有効 • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa • LsaCfgFlags, DWORD, 1 または 2 で有効・0 で無効 • 参考：https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-manage 22

Slide 23

Slide 23 text

Windows Defender Credential Guard の注意点

Slide 24

Slide 24 text

Credential Guard 有効の場合の制限事項 • Wi-Fi と VPN の NTLMv1 シングルサインオンが利用できない • 制約のない Kerberos 委任または DES 暗号化は許可されない • サードパーティのセキュリティサポートプロバイダーで互換性の問題が生じる可能性がある • 資格情報のバックアップができない（復元できない） • リモートデスクトップクライアントによって保存された Windows 資格情報が使用できない 24

Slide 25

Slide 25 text

リモートデスクトップの制限 • 資格情報が保存されていても使用できない 25

Slide 26

Slide 26 text

リモートデスクトップの制限・回避策 • Windows Defender Credential Guard の無効化 • リモートデスクトップアプリ（ストア版）の使用 26

Slide 27

Slide 27 text

Pro エディションの例外 • 一定の条件の Windows 11 Pro デバイスで Windows Defender Credential Guard が有効になる • ハードウェア要件を満たしている • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa¥MSV1_0 に IsolatedCredentialsRootSecret 値が存在する • Windows 11 22H2 にアップグレードした • 参考： https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-known-issues 27

Slide 28

Slide 28 text

28 まとめ • 資格情報の保存と Local Security Authority (LSA) • LSA の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点

Slide 29

Slide 29 text

29 ありがとうございました • Murachi Akira aka hebikuzure • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure