Credential Guard
Credential Guardは、ユーザーのWindows資格情報を守るためのセキュアな手法を提供することを目的とした機能だ。MicrosoftはCredential Guardを次のように説明している。
「Microsoft Passport」と「Windows Hello」はユーザーの資格情報を強化、保護するものである一方、Credential Guardはさらにその先に歩を進め、ユーザーの認証によって生成されるユーザーアクセストークンを保護するものとなっている。こういったトークンが攻撃者の手に渡り、アイデンティティの詐称に利用されると、ユーザーリソースへのアクセスを許してしまうことになる。Credential Guardによって、ユーザーアクセストークンは「Hyper-V」上で稼働する仮想化に基づいたセキュリティ環境内に格納され、Windows 10のカーネルから隔離されるようになる。このため、機器が悪人の手に落ちたとしても、ユーザーの資格情報が悪用される心配はない。つまり、Pass-the-Hash攻撃やその他のAPT攻撃からの保護に役立つというわけだ。マルウェアがセキュリティ資格情報にアクセスできなければ、データセンター内に設置された1台のマシンが悪人の手に落ちたとしても、被害の拡大は防げるようになる。
なお、Credential Guardはグループポリシーを使用して有効化できるため、既存の管理ツールを用いて容易に運用できるようになっている。
「LEARN MORE」というリンクをクリックすると「What's new in Credential Guard?」(Credential Guardの最新情報)というタイトルのページが表示される(このページもBrian Lich氏の手によるものだ)。そこでは、「Credential Manager」が保管、管理する資格情報(ドメインのものも含む)は、Credential Guardの仮想化に基づくセキュリティ機能で保護されるという点が簡潔に説明されている。これにより、ユーザーの資格情報は隔離され、権限を持つシステムソフトウェアのみがアクセスできるようになるわけだ。また、ここでも詳細を説明するページへのリンクが用意されており、クリックすると「Protect derived domain credentials with Credential Guard」(Credential Guardを用いたドメインの派生資格情報の保護)というページが表示される。このページでは、考慮しておくべき点のほか、グループポリシーを設定したり、マシンの認証や権限ポリシーを配備するための手順が解説されている。また、発行ポリシーを取り扱うためのPowerShellスクリプトも提供されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。