Windows 11 で Credential Guard を無効 (有効) にする方法
<本文>
最新バージョンの Windows の Credential Guard セキュリティ機能は、Pass-the-Hash 攻撃や Pass-the-Ticket 攻撃などの盗難や不正使用からアカウントを保護します。 Credential Guard は、仮想化ベースのセキュリティ (VBS) を使用して、NTLM パスワード ハッシュ、Kerberos チケット、その他の資格情報、シークレットなどの機密の資格情報を安全な仮想環境 (コンテナー) に隔離します。資格情報を保護するために、セキュア ブートやトラステッド プラットフォーム モジュール (TPM) などのハードウェア機能が使用されます。これらの資格情報には、特権のあるシステム ソフトウェアのみがアクセスできるため、ローカル管理者権限を取得した場合でも、マルウェアや攻撃者が資格情報を盗むのを防ぎます。
Windows Defender Credential Guard は、次の要件を満たす互換性のあるデバイスで自動的に有効になります。
-
Enterprise エディションまたは Education エディションの Windows 11 22H2 (以降) (一部の Credential Guard および仮想化ベースのセキュリティ コンポーネントは Pro エディションでも利用可能)、または Windows Server 2025。
-
TPM 1.2 または 2.0 モジュール
-
UEFIロック
-
セキュアブートが有効になっています
-
このデバイスは仮想化ベースのセキュリティをサポートし、高度な仮想化と SLAT (第 2 レベルのアドレス変換) をサポートする 64 ビット CPU を搭載しています。
-
Hyper-V 仮想化プラットフォーム (HypervisorPlatform) は Windows 機能で有効になります:
Enable-WindowsOptionalFeature-Online-FeatureName HypervisorPlatform
Credential Guard を有効にすると、次の場合に問題が発生する可能性があります。
-
NTLM 認証が使用されている場合、Credential Guard は RDP 接続のパスワードの保存を防ぎます。
-
ユーザーは、エラー
VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.
が発生して VMware Workstation (Player) または VirtualBox 仮想マシンを実行できません。

-
ドメイン コントローラーで Credential Guard を使用することはお勧めできません。これによりセキュリティは向上せず、サードパーティのアプリとの互換性の問題が発生する可能性があります。
-
NTLMv1 や制約のない Kerberos 委任など、安全でない認証方法を使用するアプリは機能しません。
-
Credential Guard が有効になっている場合、リモート デスクトップ サービス (RDS) ホストではシングル サインオン (SSO) 認証が機能しません
-
ユーザーは、MSCHAPv2 認証プロトコル (PEAP-MSCHAPv2 および EAP-MSCHAPv2 を含む) を使用する Wi-Fi アクセス ポイントまたは VPN サーバーでは認証できません。
次の PowerShell コマンドを実行して、Windows で Credential Guard が有効になっているかどうかを確認します。
(Get-CimInstance-ClassName Win32\_DeviceGuard-Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
-
1– Credential Guard が有効です -
0– 無効
コンピューターで Credential Guard を無効にするには、いくつかの設定を構成する必要があります。
-
ローカル GPO エディタ (
gpedit.msc) を開き、コンピュータの構成 -> 管理用テンプレート -> システム -> Device Guard に移動します。 「仮想化ベースのセキュリティをオンにする」パラメータを「無効」に設定します。
-
2 つのレジストリ パラメータを作成します。両方の値を 0 に設定します。
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa/f/v LsaCfgFlags/t REG\_DWORD/d 0
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard/f/v LsaCfgFlags/t REG\_DWORD/d 0

これにより、UEFI ファームウェア設定の変更に対する保護に UEFI ロックが使用されていない場合、Credential Guard が無効になります。
- UEFI ロックが有効になっている場合は、次のコマンドを実行します。設定を適用するには、コンピューターのコンソールにアクセスする必要があります。管理者としてコマンド プロンプトを開き、EFI システム パーティションをマウントし、Windows ブート ローダー構成 (BCD) に新しい一時エントリを作成して、Credential Guard と仮想化ベースのセキュリティが無効になったモードで EFI ブートローダーを実行します。
` マウントボリューム X:/s
コピー %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi/Y
bcdedit/create {0cb3b571-2f2e-4343-a879-d86a476d7215}/d “DebugTool”/アプリケーション osloader
bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} パス “\EFI\Microsoft\Boot\SecConfig.efi"bcdedit/set {bootmgr} ブートシーケンス {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} ロードオプション DISABLE-LSA-ISO
bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} デバイス パーティション = X:
マウントボリューム X:/d `
- コンピュータを再起動します。コンピューターの起動中に Credential Guard を無効にするように求められます:
Credential Guard Opt-out ToolDo you want to disable Credential Guard?Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

- 数秒以内に
F3を押して、Credential Guard の無効化を確認します (そうしないと、ブートローダーへの変更がキャンセルされます)。
Credential Guard が無効になっていることを確認します。

公式の PowerShell スクリプト ( Device Guard および Credential Guard ハードウェア準備ツール ) を使用して、サポートされているデバイスで Credential Guard と Device Guard を有効または無効にすることもできます https://www.microsoft.com/en-my/download/details.aspx?id=53337)
dgreadiness_v3.6.zip をダウンロードし、ローカル ディレクトリに抽出します。
cd C:\PS\dgreadiness\_v3.6\
PowerShell スクリプトの実行設定によってサードパーティの PS1 ファイルの実行が妨げられている場合は、現在のセッションでスクリプトの実行を有効にします。
Set-ExecutionPolicy-Scope プロセス RemoteSigned
どの Defender セキュリティ機能が有効になっているかを確認します。
DG\_Readiness\_Tool\_v3.6.ps1-Ready

Credential Guard を無効にするには、次のコマンドを実行します。
DG\_Readiness\_Tool\_v3.6.ps1-Disable-CG
コンピューターを再起動し、「F3」を押して Credential Guard の無効化を確認します。
*️⃣ 出典リンク:
Hyper-V 仮想化プラットフォーム、RDP 接続のパスワードの保存、シングル サインオン (SSO) 認証、ローカル GPO エディター、EFI システム パーティション、 https://www.microsoft.com/en-my/download/details.aspx?id=53337、
