Windows10でCredentialGuardを有効または無効にする：  ^{(Enable or Disable Credential Guard in Windows 10: )}Windows Credential Guardは、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらのシークレットへの不正アクセスは、 Pass-the-Hash^{(Pass-the-Hash)}やPass-The-Ticketなどの資格情報の盗難攻撃につながる可能性があります。Windows Credential Guardは、 ^{(Windows Credential Guard)}NTLMパスワードハッシュ、Kerberosチケット付与チケット^{(Kerberos Ticket Granting Tickets)}、およびアプリケーションによってドメイン資格情報として保存されている資格情報を保護することにより、これらの攻撃を防ぎます。

Windows Credential Guardを有効にすることにより、次の機能とソリューションが提供されます。^{(By enabling Windows Credential Guard the following features and solutions are provided:)}

ハードウェアセキュリティ^{(Hardware security)}
仮想化ベースのセキュリティ^{(Virtualization-based security)}
高度な持続的脅威に対するより優れた保護^{(Better protection against advanced persistent threats)}

これで、 Credential Guard^{(Credential Guard)}の重要性がわかったので、システムでこれを確実に有効にする必要があります。したがって、時間を無駄にすることなく、以下のチュートリアルを使用して、Windows10で資格^{(Windows 10)}情報ガード^{(Disable Credential Guard)}を有効または無効にする方法を見てみましょう。

Windows10で資格情報ガード^(Guard)を有効または無効にする

 何か問題が発生した場合に備えて、必ず 復元ポイントを作成してください。^{(create a restore point)}

方法1：グループポリシーエディターを使用してWindows10で資格情報ガードを有効または無効にする^{(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)}

注：この方法は、Windows ^(Note:)Pro、Education、またはEnterpriseEdtionを使用している場合にのみ機能します。Windows Homeバージョンのユーザーは、この方法をスキップして次の方法に従ってください。

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して^(regedit)グループポリシーエディター^{( Group Policy Editor.)}を開きます。

2.次のパスに移動します。

Computer Configuration > Administrative Templates > System > Device Guard

3.右側のウィンドウペインで[デバイスガード^{(Device Guard)}]を選択していることを確認し、[仮想化ベースのセキュリティをオン^{(“Turn On Virtualization Based Security”)}にする]ポリシーをダブルクリックします。

4.上記のポリシーの[プロパティ^(Properties)]ウィンドウで、必ず[有効]を選択してください。^(Enabled.)

5. [プラットフォームのセキュリティレベルの選択^{(Select Platform Security Level)}]ドロップダウンから、[セキュリティで保護されたブート]または[セキュリティで保護されたブートとDMA^{( Secure Boot or Secure Boot and DMA)}保護]を選択します。

6.次に、 [資格情報ガードの構成^{(Credential Guard Configuration)}]ドロップダウンから[ UEFIロックで有効]を^{(Enabled with UEFI lock)}選択します。Credential Guardをリモートでオフにする場合は、 UEFIロックで有効にするのではなく、ロックなしで有効にするを選択します。

7.終了したら、[適用^(Apply)]、[OK ]の順にクリックします。

8. PCを再起動して、変更を保存します。

方法2：レジストリエディターを使用してWindows10で資格情報ガードを有効または無効にする^{(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)}

Credential Guardは、仮想化ベースのセキュリティ機能を使用します。これは、レジストリエディタでCredential ^{(Registry Editor)}Guardを有効または無効にする前に、 Windows機能から最初に有効にする必要があります。仮想化ベースのセキュリティ機能を有効にするには、以下にリストされている方法の1つのみを使用するようにしてください。^(Make)

プログラムと機能を使用して、仮想化ベースのセキュリティ機能を追加します^{(Add the virtualization-based security features by using Programs and Features)}

1.Windowsキー+Rを押してから、 appwiz.cplと入力し、Enterキーを押して[^(appwiz.cpl)プログラムと機能]^{(Program and Features.)}を​​開きます。

2.左側のウィンドウから「Windowsの機能をオンまたはオフにする^{(Turn Windows Features on or off)}」をクリックします。

3. Hyper-V^(Hyper-V)を見つけて展開し、同様にHyper-Vプラットフォーム^{(Hyper-V Platform)}を展開します。

4.Hyper-Vプラットフォームのチェックマーク^(checkmark)「Hyper-Vハイパー^{(Hyper-V Hypervisor)}バイザー」の下。

5.次に、下にスクロールして[分離ユーザーモード]にチェックマーク^{(checkmark “Isolated User Mode”)}を付け、[OK]をクリックします。

DISMを使用して、仮想化ベースのセキュリティ機能をオフラインイメージに追加します^{(Add the virtualization-based security features to an offline image by using DISM)}

1.WindowsWindows Key + Xコマンドプロンプト（管理者）^{(Command Prompt (Admin).)}を選択します。

2.次のコマンドをcmdに入力して、Hyper-Vハイパー^{(Hyper-V Hypervisor)}バイザーを追加し、 Enterキー^(Enter)を押します。

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

3.次のコマンドを実行して、分離ユーザーモード機能を追加します。^{(Isolated User Mode)}

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

4.終了したら、コマンドプロンプトを閉じることができます。

Windows10で資格情報ガードを有効または無効にする^{(Enable or Disable Credential Guard in Windows 10)}

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して^(regedit)レジストリエディタ^{(Registry Editor.)}を開きます。

2.次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. DeviceGuard^{(DeviceGuard)}を右クリックし、[New > DWORD (32-bit) Value.]を選択します。

4.この新しく作成されたDWORDにEnableVirtualizationBasedSecurityという名前^{(EnableVirtualizationBasedSecurity)}を付け、Enterキーを押します。

5. EnableVirtualizationBasedSecurity DWORD^{(EnableVirtualizationBasedSecurity DWORD)}をダブルクリックし、その値を次のように変更します。

仮想化ベースのセキュリティを有効にするには：1^{(To Enable Virtualization-based Security: 1)}
仮想化ベースのセキュリティを無効にするには：0^{(To Disable Virtualization-based Security: 0)}

6.ここで、 DeviceGuard^{(DeviceGuard)}を再度右クリックし、[ New > DWORD (32-bit) Value]を選択して、このDWORDにRequirePlatformSecurityFeaturesという名前を付け、Enterキーを押します。

7. RequirePlatformSecurityFeatures ^{(RequirePlatformSecurityFeatures)} DWORDをダブルクリックし、値を1に変更してセキュアブートのみを使用するか ^{(change it’s value to 1 to use Secure Boot only or )}、3に設定してセキュアブートとDMA保護を使用します。^{(set it to 3 to use Secure Boot and DMA protection.)}

8.次に、次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. LSAを右クリックし、[ New > DWORD (32-bit) Value]を選択して、このDWORDにLsaCfgFlagsという名前を付け、Enterキーを押します。

10. LsaCfgFlags DWORD^{(LsaCfgFlags DWORD)}をダブルクリックし、次のように値を変更します。

Credential Guardを無効^{(Disable Credential Guard: 0)}
にする：0UEFIロック付きのCredentialGuardを有効にする：1^{(Enable Credential Guard with UEFI lock: 1)}
ロックなしでCredential Guardを有効にする：2^{(Enable Credential Guard without lock: 2)}

11.終了したら、レジストリエディタ^{(Registry Editor)}を閉じます。

Windows10で資格情報ガードを無効にする^{(Disable Credential Guard in Windows 10)}

UEFIロックなしで^{(UEFI Lock)}CredentialGuardが有効になっている場合は、 DeviceGuardおよびCredentialGuardハードウェア準備ツール^{(Device Guard and Credential Guard hardware readiness tool)}または次の方法を使用してWindowsCredentialGuardを 無効^{( Disable Windows Credential Guard)}にできます。

1.Windowsキー+Rを押してから、 regeditと入力し、Enterキーを押して^(regedit)レジストリエディタ^{( Registry Editor.)}を開きます。

2.次のレジストリキーをナビゲートして削除します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

3. bcdeditを使用して、Windows CredentialGuardEFI変数を削除します^{(Delete the Windows Credential Guard EFI variables by using bcdedit)}。Windows Key + Xを押してから、コマンドプロンプト（管理者）^{(Command Prompt (Admin).)}を選択します。

4.次のコマンドをcmdに入力し、 Enterキー^(Enter)を押します。

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.終了したら、コマンドプロンプトを閉じて、PCを再起動します。

6.WindowsCredentialGuardを無効にするプロンプトを受け入れます^{(Windows Credential Guard)}。

おすすめされた：^{(Recommended:)}

• Windows10テーマによるデスクトップアイコンの変更を許可または禁止する^{(Allow or Prevent Windows 10 Themes to Change Desktop Icons)}
• Windows10で詳細または非常に詳細なステータスメッセージを有効にする^{(Enable Verbose or Highly Detailed Status Messages in Windows 10)}
• Windows10で開発者モードを有効または無効にする^{(Enable or Disable Developer Mode in Windows 10)}
• Windows10でデスクトップの壁紙JPEG品質の低下を無効にする^{(Disable Desktop Wallpaper JPEG Quality Reduction in Windows 10)}

これで、Windows10でCredentialGuardを有効または無効にする方法を^{(How to Enable or Disable Credential Guard in Windows 10)}正常に学習できましたが、このチュートリアルに関する質問がまだある場合は、コメントのセクションで遠慮なく質問してください。

Enable or Disable Credential Guard in Windows 10

Enable or Disable Credential Guard in Windows 10: Windows Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them. Unauthorized access to these secrets can lead to credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Windows Credential Guard prevents these attacks by protecting NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials.

By enabling Windows Credential Guard the following features and solutions are provided:

Hardware security
Virtualization-based security
Better protection against advanced persistent threats

Now you know the importance of the Credential Guard, you should definitely enable this for your system. So without wasting any time let’s see How to Enable or Disable Credential Guard in Windows 10 with the help of the below-listed tutorial.

Enable or Disable Credential Guard in Windows 10

Make sure to create a restore point just in case something goes wrong.

Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor

Note: This method only works if you have Windows Pro, Education, or Enterprise Edtion. For Windows Home version users skip this method and follow the next one.

1.Press Windows Key + R then type regedit and hit Enter to open Group Policy Editor.

2.Navigate to the following path:

Computer Configuration > Administrative Templates > System > Device Guard

3.Make sure to select Device Guard than in right window pane double-click on “Turn On Virtualization Based Security” policy.

4.In the Properties window of the above policy make sure to select Enabled.

5.Now from the “Select Platform Security Level” drop-down select Secure Boot or Secure Boot and DMA Protection.

6.Next, from “Credential Guard Configuration” drop-down select Enabled with UEFI lock. If you want to turn off Credential Guard remotely, choose Enabled without lock instead of Enabled with UEFI lock.

7.Once finished, click Apply followed by OK.

8.Reboot your PC to save changes.

Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor

Credential Guard uses virtualization-based security features which have to be enabled first from Windows feature before you can enable or disable Credential Guard in Registry Editor. Make sure to only use one of the below-listed methods to enable virtualization-based security features.

Add the virtualization-based security features by using Programs and Features

1.Press Windows Key + R then type appwiz.cpl and hit Enter to open Program and Features.

2.From the left-hand window click on “Turn Windows Features on or off“.

3.Find and expand Hyper-V then similarly expand Hyper-V Platform.

4.Under Hyper-V Platform checkmark “Hyper-V Hypervisor“.

5.Now scroll down and checkmark “Isolated User Mode” and click OK.

Add the virtualization-based security features to an offline image by using DISM

1.Press Windows Key + X then select Command Prompt (Admin).

2.Type the following command into cmd to add the Hyper-V Hypervisor and hit Enter:

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

3.Add the Isolated User Mode feature by running the following command:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

4.Once finished, you can close the command prompt.

Enable or Disable Credential Guard in Windows 10

1.Press Windows Key + R then type regedit and hit Enter to open Registry Editor.

2.Navigate to the following registry key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3.Right-click on DeviceGuard then select New > DWORD (32-bit) Value.

4.Name this newly created DWORD as EnableVirtualizationBasedSecurity and hit Enter.

5.Double-click on EnableVirtualizationBasedSecurity DWORD then change its value to:

To Enable Virtualization-based Security: 1
To Disable Virtualization-based Security: 0

6.Now again right-click on DeviceGuard then select New > DWORD (32-bit) Value and name this DWORD as RequirePlatformSecurityFeatures then hit Enter.

7.Double-click on RequirePlatformSecurityFeatures DWORD and change it’s value to 1 to use Secure Boot only or set it to 3 to use Secure Boot and DMA protection.

8.Now navigate to the following registry key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9.Right-click on LSA then select New > DWORD (32-bit) Value then name this DWORD as LsaCfgFlags and hit Enter.

10.Double-click on LsaCfgFlags DWORD and change its value according to:

Disable Credential Guard: 0
Enable Credential Guard with UEFI lock: 1
Enable Credential Guard without lock: 2

11.Once finished, close Registry Editor.

Disable Credential Guard in Windows 10

If Credential Guard was enabled without UEFI Lock then you can Disable Windows Credential Guard using the Device Guard and Credential Guard hardware readiness tool or the following method:

1.Press Windows Key + R then type regedit and hit Enter to open Registry Editor.

2.Navigate and delete the following registry keys:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

3.Delete the Windows Credential Guard EFI variables by using bcdedit. Press Windows Key + X then select Command Prompt (Admin).

4.Type the following command into cmd and hit Enter:

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.Once finished, close command prompt and reboot your PC.

6.Accept the prompt to disable Windows Credential Guard.

Recommended:

• Allow or Prevent Windows 10 Themes to Change Desktop Icons
• Enable Verbose or Highly Detailed Status Messages in Windows 10
• Enable or Disable Developer Mode in Windows 10
• Disable Desktop Wallpaper JPEG Quality Reduction in Windows 10

That’s it you have successfully learned How to Enable or Disable Credential Guard in Windows 10 but if you still have any queries regarding this tutorial then feel free to ask them in the comment’s section.

Related posts

• Windows 10でPinch Zoom Featureを無効にします

• Windows 10でFull System Image Backupを作成する[究極のガイド]

• Windows 10にSystem Image Backupを作成する方法

• Windows 10でVolume or Drive Partitionを削除する方法

• どのようにするには無効にスティッキーCornersでWindows 10

• Windows 10でPrint Queueを強制的にクリアします

• Windows 10でDiskpart Clean Commandを使用したクリーンDisk

• どのようにPC上の変更NAT Type（Windows 10）へ

• Windows 10のFix Unable~Delete Temporary Files

• Fix KeyboardがWindows 10号を入力していません

• Fix VCRUNTIME140.dllがWindows 10にありません

• Windows 10のUser Account Control（UAC）を無効にします

• 簡単にView Chrome ActivityオンWindows 10 Timeline

• Create Control Panel All Tasks Shortcut Windows 10

• Fix FunctionキーはWindows 10で動作していません

• Windows 10のAdd Album ArtからMP3への3 Ways

• Printerを追加Windows 10 [ガイド]

• Windows 10のUserのFind Security Identifier（SID）

• Windows 10では、内蔵Administrator Accountを有効または無効にします

• MouseがWindows 10で接続されている場合はTouchpadを無効にします