Windows10で資格情報ガードを有効または無効にする

公開: 2018-08-24
Windows10で資格情報ガードを有効または無効にする

Windows10でCredentialGuardを有効または無効にする: Windows Credential Guardは、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。 これらのシークレットへの不正アクセスは、Pass-the-HashやPass-The-Ticketなどの資格情報の盗難攻撃につながる可能性があります。 Windows Credential Guardは、NTLMパスワードハッシュ、Kerberosチケット付与チケット、およびアプリケーションによってドメイン資格情報として保存されている資格情報を保護することにより、これらの攻撃を防ぎます。

Windows10で資格情報ガードを有効または無効にする

Windows Credential Guardを有効にすることにより、次の機能とソリューションが提供されます。

ハードウェアセキュリティ
仮想化ベースのセキュリティ
高度な持続的脅威に対する保護の強化

これで、Credential Guardの重要性がわかったので、システムでこれを確実に有効にする必要があります。 したがって、時間を無駄にすることなく、以下のチュートリアルを使用して、Windows10で資格情報ガードを有効または無効にする方法を見てみましょう。

コンテンツ

  • Windows10で資格情報ガードを有効または無効にする
  • 方法1:グループポリシーエディターを使用してWindows10で資格情報ガードを有効または無効にする
  • 方法2:レジストリエディタを使用してWindows10で資格情報ガードを有効または無効にする
  • Windows10で資格情報ガードを有効または無効にする
  • Windows10で資格情報ガードを無効にする

Windows10で資格情報ガードを有効または無効にする

何か問題が発生した場合に備えて、必ず復元ポイントを作成してください。

方法1:グループポリシーエディターを使用してWindows10で資格情報ガードを有効または無効にする

注:この方法は、Windows Pro、Education、またはEnterpriseEdtionを使用している場合にのみ機能します。 Windows Homeバージョンのユーザーは、この方法をスキップして次の方法に従ってください。

1.Windowsキー+ Rを押してから、 regeditと入力し、Enterキーを押してグループポリシーエディターを開きます。

コマンドregeditを実行します

2.次のパスに移動します。

コンピューターの構成>管理用テンプレート>システム>デバイスガード

3.右側のウィンドウペインで[デバイスガード]を選択していることを確認し、[仮想化ベースのセキュリティをオンにする]ポリシーをダブルクリックします。

[仮想化ベースのセキュリティポリシーをオンにする]をダブルクリックします

4.上記のポリシーの[プロパティ]ウィンドウで、必ず[有効]を選択してください。

[仮想化ベースのセキュリティをオンにする]を[有効]に設定します

5. [プラットフォームのセキュリティレベルの選択]ドロップダウンから、[セキュリティで保護されたブート]または[セキュリティで保護されたブートとDMA保護]を選択します。

[プラットフォームのセキュリティレベルの選択]ドロップダウンから、[セキュリティで保護されたブート]または[セキュリティで保護されたブートとDMA保護]を選択します

6.次に、[資格情報ガードの構成]ドロップダウンから[ UEFIロックで有効]を選択します。 Credential Guardをリモートでオフにする場合は、UEFIロックで有効にするのではなく、ロックなしで有効にするを選択します。

7.終了したら、[適用]、[OK]の順にクリックします。

8. PCを再起動して、変更を保存します。

方法2:レジストリエディタを使用してWindows10で資格情報ガードを有効または無効にする

Credential Guardは、仮想化ベースのセキュリティ機能を使用します。これは、レジストリエディタでCredential Guardを有効または無効にする前に、Windows機能から最初に有効にする必要があります。 仮想化ベースのセキュリティ機能を有効にするには、以下にリストされている方法の1つのみを使用するようにしてください。

プログラムと機能を使用して、仮想化ベースのセキュリティ機能を追加します

1.Windowsキー+ Rを押してから、 appwiz.cplと入力し、Enterキーを押して[プログラムと機能]を​​開きます。

appwiz.cplと入力し、Enterキーを押してプログラムと機能を開きます

2.左側のウィンドウから[ Windowsの機能をオンまたはオフにする]をクリックします。

Windowsの機能をオンまたはオフにします

3. Hyper-Vを見つけて展開し、同様にHyper-Vプラットフォームを展開します。

4.Hyper-VプラットフォームのチェックマークHyper-Vハイパーバイザー」の下。

Hyper-Vプラットフォームのチェックマークの下でHyper-Vハイパーバイザー

5.次に、下にスクロールして[分離ユーザーモード]にチェックマークを付け、[OK]をクリックします。

DISMを使用して、仮想化ベースのセキュリティ機能をオフラインイメージに追加します

1.Windowsキー+ Xを押してから、コマンドプロンプト(管理者)を選択します。

管理者権限を持つコマンドプロンプト

2.次のコマンドをcmdに入力して、Hyper-Vハイパーバイザーを追加し、Enterキーを押します。

 dism / image:<WIMファイル名> / Enable-Feature / FeatureName:Microsoft-Hyper-V-Hypervisor / all
また
dism / Online / Enable-Feature:Microsoft-Hyper-V / All

DISMを使用して、仮想化ベースのセキュリティ機能をオフラインイメージに追加します

3.次のコマンドを実行して、分離ユーザーモード機能を追加します。

 dism / image:<WIMファイル名> / Enable-Feature / FeatureName:IsolatedUserMode
また
dism / Online / Enable-Feature / FeatureName:IsolatedUserMode

分離ユーザーモード機能を追加する

4.終了したら、コマンドプロンプトを閉じることができます。

Windows10で資格情報ガードを有効または無効にする

1.Windowsキー+ Rを押し、 regeditと入力し、Enterキーを押してレジストリエディタを開きます。

コマンドregeditを実行します

2.次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ DeviceGuard

3. DeviceGuardを右クリックし、[新規]> [DWORD(32ビット)値]を選択します。

DeviceGuardを右クリックし、[新しいDWORD(32ビット)値]を選択します

4.この新しく作成されたDWORDにEnableVirtualizationBasedSecurityという名前を付け、Enterキーを押します。

この新しく作成されたDWORDにEnableVirtualizationBasedSecurityという名前を付け、Enterキーを押します

5. EnableVirtualizationBasedSecurity DWORDをダブルクリックし、その値を次のように変更します。

仮想化ベースのセキュリティを有効にするには:1
仮想化ベースのセキュリティを無効にするには:0

仮想化ベースのセキュリティを有効にするには、DWORDの値を1に変更します

6.ここで、DeviceGuardを再度右クリックし、[新規]> [DWORD(32ビット)値]を選択して、このDWORDにRequirePlatformSecurityFeaturesという名前を付け、Enterキーを押します。

このDWORDにRequirePlatformSecurityFeaturesという名前を付けてから、Enterキーを押します

7. RequirePlatformSecurityFeatures DWORDをダブルクリックし、値を1に変更してセキュアブートのみを使用するか、3に設定してセキュアブートとDMA保護を使用します。

値を1に変更してセキュアブートのみを使用するか、3に設定してセキュアブートとDMA保護を使用します。

8.次に、次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA

9. LSAを右クリックし、[新規]> [DWORD(32ビット)値]を選択して、このDWORDにLsaCfgFlagsという名前を付け、Enterキーを押します。

LSAを右クリックし、[新規]、[DWORD(32ビット)値]の順に選択します。

10. LsaCfgFlags DWORDをダブルクリックし、次のように値を変更します。

資格情報ガードを無効にする:0
UEFIロックで資格情報ガードを有効にする:1
ロックなしで資格情報ガードを有効にする:2

LsaCfgFlags DWORDをダブルクリックし、それに応じて値を変更します。

11.終了したら、レジストリエディタを閉じます。

Windows10で資格情報ガードを無効にする

UEFIロックなしでCredentialGuardが有効になっている場合は、DeviceGuardおよびCredentialGuardハードウェア準備ツールまたは次の方法を使用してWindowsCredentialGuardを無効にできます。

1.Windowsキー+ Rを押し、 regeditと入力し、Enterキーを押してレジストリエディタを開きます。

コマンドregeditを実行します

2.次のレジストリキーをナビゲートして削除します。

 HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags
HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequirePlatformSecurityFeatures

Windows CredentialGuardを無効にする

3. bcdeditを使用して、Windows Credential GuardEFI変数を削除します。 Windowsキー+ Xを押してから、コマンドプロンプト(管理者)を選択します。

管理者権限を持つコマンドプロンプト

4.次のコマンドをcmdに入力し、Enterキーを押します。

 mountvol X:/ s
%WINDIR%\ System32 \ SecConfig.efi X:\ EFI \ Microsoft \ Boot \ SecConfig.efi / Yをコピーします
bcdedit / create {0cb3b571-2f2e-4343-a879-d86a476d7215} / d "DebugTool" / application osloader
bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215}パス "\ EFI \ Microsoft \ Boot \ SecConfig.efi"
bcdedit / set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215}デバイスパーティション= X:
mountvol X:/ d

5.終了したら、コマンドプロンプトを閉じて、PCを再起動します。

6. Windows CredentialGuardを無効にするプロンプトを受け入れます。

おすすめされた:

  • Windows10テーマによるデスクトップアイコンの変更を許可または禁止する
  • Windows10で詳細または非常に詳細なステータスメッセージを有効にする
  • Windows10で開発者モードを有効または無効にする
  • Windows10でデスクトップの壁紙JPEG品質の低下を無効にする

これで、Windows10でCredentialGuardを有効または無効にする方法を正常に学習できましたが、このチュートリアルに関する質問がまだある場合は、コメントのセクションで遠慮なく質問してください。