Slide 1

Slide 1 text

Windows Defender Credential Guard の 機能と管理 Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容 • 資格情報の保存と Local Security Authority (LSA) • LSA の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点

Slide 4

Slide 4 text

資格情報の保存と Local Security Authority (LSA)

Slide 5

Slide 5 text

資格情報の保存 • Windows ではさまざまな資格情報が保存される • ローカル アカウントの資格情報 • キャッシュされたドメイン資格情報 • サービスアカウントの資格情報 • タスクのアカウント資格情報 • ネットワーク資格情報 • ファイル共有の資格情報 • Web の資格情報 5

Slide 6

Slide 6 text

資格情報が保存される場所(1) • Windows アカウント情報 (ドメイン派生資格情報) • LSA ローカルセキュリティ機関 • SAM セキュリティ アカウント マネージャー https://learn.microsoft.com/ja-jp/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication から引用 6 資格情報そのものを保存するのではなく、 パスワード ハッシュや Kerberos チケット が保存される

Slide 7

Slide 7 text

LSAとSAM・保存場所の実体 • LSA HKEY_LOCAL_MACHINE¥SECURITY ※SAMの読み取り専用コピーも格納される • SAM HKEY_LOCAL_MACHINE¥SAM • システム アカウントのみ アクセス可能 7 普通のユーザーでアクセス しても何も見えない

Slide 8

Slide 8 text

資格情報が保存される場所(2) • 資格情報マネージャー • Web 資格情報 • ファイル共有の資格情報 • その他の汎用資格情報 8

Slide 9

Slide 9 text

LSA の問題点

Slide 10

Slide 10 text

LSA の問題点 • ローカルマシン内に情報が存在している • 「システムアカウントしかアクセスできない」は逆に言えば「適切な 権限があればアクセスできる」 • 情報を取り出す際にメモリに展開される • メモリにアクセスできれば読み取れる可能性がある 10 取得できるのは「資格情報」そのものではなく 「パスワードのハッシュ」や「Kerberos チケット」 しかしハッシュやチケットでも取得されると脅威となる

Slide 11

Slide 11 text

想定される脅威 • ハッシュからのパスワードの解読 • 辞書攻撃 • ブルートフォース攻撃 • レインボー攻撃 • Pass-the-Hash 攻撃 • Pass-the-Ticket 攻撃 11 ドメイン派生資格情報が奪取されると ドメイン全体に攻撃の手が伸びる

Slide 12

Slide 12 text

Windows Defender Credential Guard

Slide 13

Slide 13 text

Windows Defender Credential Guard • ユーザーのオペレーティングシステムとは別の仮想化環境で資 格情報を管理する 13

Slide 14

Slide 14 text

14

Slide 15

Slide 15 text

Credential Guard の仕組み • 仮想化ベースのセキュリティを使用 • 仮想化環境(分離 LSA プロセス、LSAIso)で資格情報を管理 • LSA は RPC を使って LSAIso と通信 ⇒LSA 以外から LSAIso にアクセスできない • LSAIso はデバイス ドライバーをホストしない ⇒ハードウェアからアクセスできない 15

Slide 16

Slide 16 text

Credential Guard が保護するもの • シングルサインオンのための Kerberos と NTLMv2 の ドメイン資格情報(パスワード ハッシュ) • Kerberos チケット(Ticket Granting Ticket) • 資格情報マネージャーに保存されたドメイン資格情報 • Windows 資格情報 • 証明書ベースの資格情報 • 汎用資格情報 * Web 資格情報は保護されない 16

Slide 17

Slide 17 text

Credential Guard が保護しないもの • ローカル アカウントと Microsoft アカウント • キャッシュされたドメイン アカウント ログオン情報 • Digest および CredSSP の資格情報 • Kerberos サービス チケット • LSA で管理されない資格情報(外部のソフトウェアなど) • ドメイン コントローラーの Active Directory データベース • 平文パスワードが必要になるアプリケーションの資格情報 * Web 資格情報など 17

Slide 18

Slide 18 text

Credential Guard による保護の強化 • NTLMv1 / MS-CHAPv2 / Digest / CredSSP による シングルサインオンの無効化 • ユーザーがプロンプトに資格情報を入力して利用することは可能 • 制約のない Kerberos 委任または DES 暗号化は許可されない • ユーザーのプロンプト入力でも利用不可 18

Slide 19

Slide 19 text

Windows Defender Credential Guard の管理

Slide 20

Slide 20 text

Windows Defender Credential Guard の要件 • オペレーティングシステム • Windows Enterprise および Windows Education • ハードウェア • 仮想化ベースのセキュリティのサポート (必須) • セキュア ブート (必須) • TPM 1.2 および 2.0(優先) • UEFI ロック (推奨) 20

Slide 21

Slide 21 text

Windows Defender Credential Guard の有効化 • Windows 11 22H2 以降、要件を満たすデバイスでは既定で有 効化される • グループポリシーによる有効化/無効化も可能 • コンピューターの設定 ⇒ 管理用テンプレート ⇒ システム ⇒ Device Guard ⇒仮想化ベースの セキュリティを有効にする 21

Slide 22

Slide 22 text

その他の有効化/無効化手順 • Microsoft Intune の利用 • 構成プロファイルを作成する • レジストリの利用 • HKLM¥SYSTEM¥CurrentControlSet¥Control¥DeviceGuard • EnableVirtualizationBasedSecurity, DWORD, 1:有効・0:無効 • RequirePlatformSecurityFeatures , DWORD, 1 または 3 で有効 • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa • LsaCfgFlags, DWORD, 1 または 2 で有効・0 で無効 • 参考:https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-manage 22

Slide 23

Slide 23 text

Windows Defender Credential Guard の注意点

Slide 24

Slide 24 text

Credential Guard 有効の場合の制限事項 • Wi-Fi と VPN の NTLMv1 シングルサインオンが 利用できない • 制約のない Kerberos 委任または DES 暗号化は許可されない • サード パーティのセキュリティ サポート プロバイダーで互換 性の問題が生じる可能性がある • 資格情報のバックアップができない(復元できない) • リモート デスクトップ クライアントによって保存された Windows 資格情報が使用できない 24

Slide 25

Slide 25 text

リモート デスクトップの制限 • 資格情報が保存されていても 使用できない 25

Slide 26

Slide 26 text

リモート デスクトップの制限・回避策 • Windows Defender Credential Guard の無効化 • リモートデスクトップ アプリ(ストア版)の使用 26

Slide 27

Slide 27 text

Pro エディションの例外 • 一定の条件の Windows 11 Pro デバイスで Windows Defender Credential Guard が有効になる • ハードウェア要件を満たしている • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa¥MSV1_0 に IsolatedCredentialsRootSecret 値が存在する • Windows 11 22H2 にアップグレードした • 参考: https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-known-issues 27

Slide 28

Slide 28 text

28 まとめ • 資格情報の保存と Local Security Authority (LSA) • LSA の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点

Slide 29

Slide 29 text

29 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure