Windows10で資格情報ガードを有効または無効にする

Windows10でCredentialGuardを有効または無効にする:  (Enable or Disable Credential Guard in Windows 10: )Windows Credential Guardは、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらのシークレットへの不正アクセスは、 Pass-the-Hash(Pass-the-Hash)Pass-The-Ticketなどの資格情報の盗難攻撃につながる可能性があります。Windows Credential Guardは、 (Windows Credential Guard)NTLMパスワードハッシュ、Kerberosチケット付与チケット(Kerberos Ticket Granting Tickets)、およびアプリケーションによってドメイン資格情報として保存されている資格情報を保護することにより、これらの攻撃を防ぎます。

Windows10で資格情報ガードを有効または無効にする

Windows Credential Guardを有効にすることにより、次の機能とソリューションが提供されます。(By enabling Windows Credential Guard the following features and solutions are provided:)

ハードウェアセキュリティ(Hardware security)
仮想化ベースのセキュリティ(Virtualization-based security)
高度な持続的脅威に対するより優れた保護(Better protection against advanced persistent threats)

これで、 Credential Guard(Credential Guard)の重要性がわかったので、システムでこれを確実に有効にする必要があります。したがって、時間を無駄にすることなく、以下のチュートリアルを使用して、Windows10で資格(Windows 10)情報ガード(Disable Credential Guard)を有効または無効にする方法を見てみましょう。

Windows10で資格情報ガード(Guard)を有効または無効にする

 何か問題が発生した場合に備えて、必ず 復元ポイントを作成してください。(create a restore point)

方法1:グループポリシーエディターを使用してWindows10で資格情報ガードを有効または無効にする(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

注:この方法は、Windows (Note:)ProEducation、またはEnterpriseEdtionを使用している場合にのみ機能します。Windows Homeバージョンのユーザーは、この方法をスキップして次の方法に従ってください。

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して(regedit)グループポリシーエディター( Group Policy Editor.)を開きます。

コマンドregeditを実行します

2.次のパスに移動します。

Computer Configuration > Administrative Templates > System > Device Guard

3.右側のウィンドウペインで[デバイスガード(Device Guard)]を選択していることを確認し、[仮想化ベースのセキュリティをオン(“Turn On Virtualization Based Security”)にする]ポリシーをダブルクリックします。

[仮想化ベースのセキュリティポリシーをオンにする]をダブルクリックします

4.上記のポリシーの[プロパティ(Properties)]ウィンドウで、必ず[有効]を選択してください。(Enabled.)

[仮想化ベースのセキュリティをオンにする]を[有効]に設定します

5. [プラットフォームのセキュリティレベルの選択(Select Platform Security Level)]ドロップダウンから、[セキュリティで保護されたブート]または[セキュリティで保護されたブートとDMA( Secure Boot or Secure Boot and DMA)保護]を選択します。

[プラットフォームのセキュリティレベルの選択]ドロップダウンから、[セキュリティで保護されたブート]または[セキュリティで保護されたブートとDMA保護]を選択します

6.次に、 [資格情報ガードの構成(Credential Guard Configuration)]ドロップダウンから[ UEFIロックで有効]を(Enabled with UEFI lock)選択します。Credential Guardをリモートでオフにする場合は、 UEFIロックで有効にするのではなく、ロックなしで有効にするを選択します。

7.終了したら、[適用(Apply)]、[OK ]の順にクリックします。

8. PCを再起動して、変更を保存します。

方法2:レジストリエディターを使用してWindows10で資格情報ガードを有効または無効にする(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Credential Guardは、仮想化ベースのセキュリティ機能を使用します。これは、レジストリエディタでCredential (Registry Editor)Guardを有効または無効にする前に、 Windows機能から最初に有効にする必要があります。仮想化ベースのセキュリティ機能を有効にするには、以下にリストされている方法の1つのみを使用するようにしてください。(Make)

プログラムと機能を使用して、仮想化ベースのセキュリティ機能を追加します(Add the virtualization-based security features by using Programs and Features)

1.Windowsキー+Rを押してから、 appwiz.cplと入力し、Enterキーを押して[(appwiz.cpl)プログラムと機能](Program and Features.)を​​開きます。

appwiz.cplと入力し、Enterキーを押してプログラムと機能を開きます

2.左側のウィンドウから「Windowsの機能をオンまたはオフにする(Turn Windows Features on or off)」をクリックします。

Windowsの機能をオンまたはオフにします

3. Hyper-V(Hyper-V)を見つけて展開し、同様にHyper-Vプラットフォーム(Hyper-V Platform)を展開します。

4.Hyper-Vプラットフォームのチェックマーク(checkmark)Hyper-Vハイパー(Hyper-V Hypervisor)バイザー」の下。

Hyper-Vプラットフォームのチェックマークの下でHyper-Vハイパーバイザー

5.次に、下にスクロールして[分離ユーザーモード]にチェックマーク(checkmark “Isolated User Mode”)を付け、[OK]をクリックします。

DISMを使用して、仮想化ベースのセキュリティ機能をオフラインイメージに追加します(Add the virtualization-based security features to an offline image by using DISM)

1.WindowsWindows Key + Xコマンドプロンプト(管理者)(Command Prompt (Admin).)を選択します。

管理者権限を持つコマンドプロンプト

2.次のコマンドをcmdに入力して、Hyper-Vハイパー(Hyper-V Hypervisor)バイザーを追加し、 Enterキー(Enter)を押します。

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

DISMを使用して、仮想化ベースのセキュリティ機能をオフラインイメージに追加します

3.次のコマンドを実行して、分離ユーザーモード機能を追加します。(Isolated User Mode)

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

分離ユーザーモード機能を追加する

4.終了したら、コマンドプロンプトを閉じることができます。

Windows10で資格情報ガードを有効または無効にする(Enable or Disable Credential Guard in Windows 10)

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して(regedit)レジストリエディタ(Registry Editor.)を開きます。

コマンドregeditを実行します

2.次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. DeviceGuard(DeviceGuard)を右クリックし、[New > DWORD (32-bit) Value.]を選択します。

DeviceGuardを右クリックし、[新しいDWORD(32ビット)値]を選択します

4.この新しく作成されたDWORDにEnableVirtualizationBasedSecurityという名前(EnableVirtualizationBasedSecurity)を付け、Enterキーを押します。

この新しく作成されたDWORDにEnableVirtualizationBasedSecurityという名前を付け、Enterキーを押します

5. EnableVirtualizationBasedSecurity DWORD(EnableVirtualizationBasedSecurity DWORD)をダブルクリックし、その値を次のように変更します。

仮想化ベースのセキュリティを有効にするには:1(To Enable Virtualization-based Security: 1)
仮想化ベースのセキュリティを無効にするには:0(To Disable Virtualization-based Security: 0)

仮想化ベースのセキュリティを有効にするには、DWORDの値を1に変更します

6.ここで、 DeviceGuard(DeviceGuard)を再度右クリックし、[ New > DWORD (32-bit) Value]を選択して、このDWORDにRequirePlatformSecurityFeaturesという名前を付け、Enterキーを押します。

このDWORDにRequirePlatformSecurityFeaturesという名前を付けてから、Enterキーを押します

7. RequirePlatformSecurityFeatures (RequirePlatformSecurityFeatures) DWORDをダブルクリックし、値を1に変更してセキュアブートのみを使用するか (change it’s value to 1 to use Secure Boot only or )、3に設定してセキュアブートとDMA保護を使用します。(set it to 3 to use Secure Boot and DMA protection.)

値を1に変更してセキュアブートのみを使用するか、3に設定してセキュアブートとDMA保護を使用します。

8.次に、次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. LSAを右クリックし、[ New > DWORD (32-bit) Value]を選択して、このDWORDにLsaCfgFlagsという名前を付け、Enterキーを押します。

LSAを右クリックし、[新規]、[DWORD(32ビット)値]の順に選択します。

10. LsaCfgFlags DWORD(LsaCfgFlags DWORD)をダブルクリックし、次のように値を変更します。

Credential Guardを無効(Disable Credential Guard: 0)
にする:0UEFIロック付きのCredentialGuardを有効にする:1(Enable Credential Guard with UEFI lock: 1)
ロックなしでCredential Guardを有効にする:2(Enable Credential Guard without lock: 2)

LsaCfgFlags DWORDをダブルクリックし、それに応じて値を変更します。

11.終了したら、レジストリエディタ(Registry Editor)を閉じます。

Windows10で資格情報ガードを無効にする(Disable Credential Guard in Windows 10)

UEFIロックなしで(UEFI Lock)CredentialGuardが有効になっている場合は、 DeviceGuardおよびCredentialGuardハードウェア準備ツール(Device Guard and Credential Guard hardware readiness tool)または次の方法を使用してWindowsCredentialGuardを 無効( Disable Windows Credential Guard)にできます。

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して(regedit)レジストリエディタ( Registry Editor.)を開きます。

コマンドregeditを実行します

2.次のレジストリキーをナビゲートして削除します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

WindowsCredentialGuardを無効にする

3. bcdeditを使用して、Windows CredentialGuardEFI変数を削除します(Delete the Windows Credential Guard EFI variables by using bcdedit)Windows Key + Xを押してから、コマンドプロンプト(管理者)(Command Prompt (Admin).)を選択します。

管理者権限を持つコマンドプロンプト

4.次のコマンドをcmdに入力し、 Enterキー(Enter)を押します。

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.終了したら、コマンドプロンプトを閉じて、PCを再起動します。

6.WindowsCredentialGuardを無効にするプロンプトを受け入れます(Windows Credential Guard)

おすすめされた:(Recommended:)

これで、Windows10でCredentialGuardを有効または無効にする方法を(How to Enable or Disable Credential Guard in Windows 10)正常に学習できましたが、このチュートリアルに関する質問がまだある場合は、コメントのセクションで遠慮なく質問してください。



About the author

私は、Windows 11/10 と Apple の最新の iOS プラットフォームの両方の経験を持つ iPhone と macOS の開発者です。10 年以上の経験があるため、両方のプラットフォームでファイルを作成および管理する方法を深く理解しています。私のスキルは、ファイルを作成するだけではありません。また、Apple 製品、その機能、およびそれらの使用方法についての深い知識も持っています。



Related posts