Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Defender Credential Guard の機能と管理

Windows Defender Credential Guard の機能と管理

.NETラボ 勉強会 2023年7月のセッション「Windows Defender Credential Guard の機能と管理」の投影スライドです。
Windows でのドメイン派生資格情報を仮想化ベースのセキュリティで保護する Windows Defender Credential Guard についてお話ししています。

Murachi Akira

July 22, 2023
Tweet

More Decks by Murachi Akira

Other Decks in Technology

Transcript

  1. About me • Murachi Akira aka hebikuzure ( 村地 彰

    ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2
  2. 3 内容 • 資格情報の保存と Local Security Authority (LSA) • LSA

    の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点
  3. 資格情報の保存 • Windows ではさまざまな資格情報が保存される • ローカル アカウントの資格情報 • キャッシュされたドメイン資格情報 •

    サービスアカウントの資格情報 • タスクのアカウント資格情報 • ネットワーク資格情報 • ファイル共有の資格情報 • Web の資格情報 5
  4. 資格情報が保存される場所(1) • Windows アカウント情報 (ドメイン派生資格情報) • LSA ローカルセキュリティ機関 • SAM

    セキュリティ アカウント マネージャー https://learn.microsoft.com/ja-jp/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication から引用 6 資格情報そのものを保存するのではなく、 パスワード ハッシュや Kerberos チケット が保存される
  5. LSA の問題点 • ローカルマシン内に情報が存在している • 「システムアカウントしかアクセスできない」は逆に言えば「適切な 権限があればアクセスできる」 • 情報を取り出す際にメモリに展開される •

    メモリにアクセスできれば読み取れる可能性がある 10 取得できるのは「資格情報」そのものではなく 「パスワードのハッシュ」や「Kerberos チケット」 しかしハッシュやチケットでも取得されると脅威となる
  6. 想定される脅威 • ハッシュからのパスワードの解読 • 辞書攻撃 • ブルートフォース攻撃 • レインボー攻撃 •

    Pass-the-Hash 攻撃 • Pass-the-Ticket 攻撃 11 ドメイン派生資格情報が奪取されると ドメイン全体に攻撃の手が伸びる
  7. 14

  8. Credential Guard の仕組み • 仮想化ベースのセキュリティを使用 • 仮想化環境(分離 LSA プロセス、LSAIso)で資格情報を管理 •

    LSA は RPC を使って LSAIso と通信 ⇒LSA 以外から LSAIso にアクセスできない • LSAIso はデバイス ドライバーをホストしない ⇒ハードウェアからアクセスできない 15
  9. Credential Guard が保護するもの • シングルサインオンのための Kerberos と NTLMv2 の ドメイン資格情報(パスワード

    ハッシュ) • Kerberos チケット(Ticket Granting Ticket) • 資格情報マネージャーに保存されたドメイン資格情報 • Windows 資格情報 • 証明書ベースの資格情報 • 汎用資格情報 * Web 資格情報は保護されない 16
  10. Credential Guard が保護しないもの • ローカル アカウントと Microsoft アカウント • キャッシュされたドメイン

    アカウント ログオン情報 • Digest および CredSSP の資格情報 • Kerberos サービス チケット • LSA で管理されない資格情報(外部のソフトウェアなど) • ドメイン コントローラーの Active Directory データベース • 平文パスワードが必要になるアプリケーションの資格情報 * Web 資格情報など 17
  11. Credential Guard による保護の強化 • NTLMv1 / MS-CHAPv2 / Digest /

    CredSSP による シングルサインオンの無効化 • ユーザーがプロンプトに資格情報を入力して利用することは可能 • 制約のない Kerberos 委任または DES 暗号化は許可されない • ユーザーのプロンプト入力でも利用不可 18
  12. Windows Defender Credential Guard の要件 • オペレーティングシステム • Windows Enterprise

    および Windows Education • ハードウェア • 仮想化ベースのセキュリティのサポート (必須) • セキュア ブート (必須) • TPM 1.2 および 2.0(優先) • UEFI ロック (推奨) 20
  13. Windows Defender Credential Guard の有効化 • Windows 11 22H2 以降、要件を満たすデバイスでは既定で有

    効化される • グループポリシーによる有効化/無効化も可能 • コンピューターの設定 ⇒ 管理用テンプレート ⇒ システム ⇒ Device Guard ⇒仮想化ベースの セキュリティを有効にする 21
  14. その他の有効化/無効化手順 • Microsoft Intune の利用 • 構成プロファイルを作成する • レジストリの利用 •

    HKLM¥SYSTEM¥CurrentControlSet¥Control¥DeviceGuard • EnableVirtualizationBasedSecurity, DWORD, 1:有効・0:無効 • RequirePlatformSecurityFeatures , DWORD, 1 または 3 で有効 • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa • LsaCfgFlags, DWORD, 1 または 2 で有効・0 で無効 • 参考:https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-manage 22
  15. Credential Guard 有効の場合の制限事項 • Wi-Fi と VPN の NTLMv1 シングルサインオンが

    利用できない • 制約のない Kerberos 委任または DES 暗号化は許可されない • サード パーティのセキュリティ サポート プロバイダーで互換 性の問題が生じる可能性がある • 資格情報のバックアップができない(復元できない) • リモート デスクトップ クライアントによって保存された Windows 資格情報が使用できない 24
  16. Pro エディションの例外 • 一定の条件の Windows 11 Pro デバイスで Windows Defender

    Credential Guard が有効になる • ハードウェア要件を満たしている • HKLM¥SYSTEM¥CurrentControlSet¥Control¥Lsa¥MSV1_0 に IsolatedCredentialsRootSecret 値が存在する • Windows 11 22H2 にアップグレードした • 参考: https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-known-issues 27
  17. 28 まとめ • 資格情報の保存と Local Security Authority (LSA) • LSA

    の問題点 • Windows Defender Credential Guard • Windows Defender Credential Guard の管理 • Windows Defender Credential Guard の注意点