MENU
  1. ホーム
  2. セキュリティ
  3. WindowsでCredentialGuardが有効な環境で資格情報を確認する方法

WindowsでCredentialGuardが有効な環境で資格情報を確認する方法

WindowsポイントB編集部
※本ページにはプロモーション(広告)が含まれています。
WindowsでCredentialGuardが有効な環境で資格情報を確認する方法

CredentialGuardが有効なWindows端末で保存された資格情報を見ようとしても思ったようにいかなくて戸惑っていることに心当たりがあるかもしれません。

この記事を読むと、CredentialGuardが有効かどうかを簡単に見つける方法と、有効なときに安全に資格情報に対処する現場で使える手順が身につきます。

項目内容
独自コンテンツ1実際のコマンドと出力例を使ったステップごとの操作解説。
独自コンテンツ2CredentialGuard有効時に試せる現場で使える代替手法と注意点。
独自コンテンツ3トラブル発生時の具体的な対処例と安全に進めるためのチェックリスト。

これから順を追って実際に試せる手順と現場のコツだけを厳選して伝えるので、落ち着いて一つずつ進めていきましょう。

Windowsマニア

CredentialGuardに戸惑うのは普通のことです。まずは深呼吸して、ひとつずつ確かめれば必ず理解できますから安心してください。

目次

WindowsでCredentialGuardが有効かどうかを確認して資格情報を確認する方法

WindowsでCredentialGuardが有効かどうかを確認して資格情報を確認する方法

CredentialGuardが有効かどうかを先に確かめてから資格情報を確認すると無駄な手戻りが少なくなります。ここではWindows上でCredentialGuardの状態をチェックする方法と、保存済み資格情報を見に行く方法をわかりやすく紹介します。

大きな流れは二つです。一つはPowerShellでDeviceGuardやCredentialGuardの状態を調べる方法。もう一つは資格情報マネージャーやコマンドで保存された資格情報を一覧で確認する方法です。CredentialGuardが有効だと見え方が変わる点も触れます。

Windowsマニア

初めてだと戸惑うかもしれませんが一つずつ進めれば大丈夫です。落ち着いて手順通りにやってみてください。

PowerShellでCredentialGuardの状態を確認するパターン

PowerShellでCredentialGuardの状態を確認するパターン

PowerShellでの確認はDeviceGuard周りの情報を取得してCredentialGuardが動いているかを確認する形になります。管理者権限でPowerShellを起動して情報を取りに行くのが基本です。

代表的なのはWin32_DeviceGuardクラスを参照する方法です。出力をファイルに保存すれば後でじっくり確認できますしスクリプト化して自動で収集するのも便利です。

Get-CimInstance -Namespace root\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard

管理者でPowerShellを開きDeviceGuard情報を取得するコマンドと実行場所を操作する手順

手順
PowerShellを管理者で起動

スタートメニューでPowerShellを検索して管理者として起動してください。

手順
DeviceGuard情報を取得

次のコマンドを実行してDeviceGuardの状態を取得します:Get-CimInstance -Namespace root\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard。出力でCredentialGuardの有無を確認してください。

手順
出力の保管

必要なら出力をファイルに保存してログとして残してください。あとで見返すときに役立ちます。

資格情報マネージャーとコマンドで保存済み資格情報を確認するパターン

資格情報マネージャーとコマンドで保存済み資格情報を確認するパターン

資格情報の確認はGUIとコマンドの両方を使うと効率が良いです。GUIはWeb資格情報とWindows資格情報を視覚的に確認でき、コマンドはスクリプトやリモート収集で便利です。

注意点としてCredentialGuardが有効だと一部の資格情報は保護されていて閲覧できない場合があります。その際は保護の有無を先に確認して対応を考えてください。

cmdkey /list

コントロールパネルの資格情報マネージャーでWeb資格情報とWindows資格情報を開いて確認する手順

手順
コントロールパネルを開く

コントロールパネルを起動し検索欄で資格情報マネージャーを開いてください。

手順
Web資格情報を確認

Web資格情報タブを開いて該当エントリを展開し詳細を確認してください。ブラウザ保存の資格情報がここに表示されます。

手順
Windows資格情報を確認

Windows資格情報タブでユーザー名や保存先を確認します。パスワードはマスクされる場合がありますので取り扱いに注意してください。

管理者コマンドプロンプトでcmdkey /listを実行して保存された資格情報を確認する手順

手順
管理者コマンドプロンプトを起動

スタートでcmdまたはコマンドプロンプトを検索して管理者として起動してください。

手順
cmdkeyで一覧表示

cmdkey /listを実行して保存された資格情報を一覧で確認します。ターゲット名やユーザー名が表示されます。

手順
結果を保存

必要ならcmdkey /list>credentials.txtのように出力をファイル保存してください。保存ファイルの取り扱いは慎重に行ってください。

WindowsでCredentialGuardが有効なときの資格情報エラーを切り分けする方法

WindowsでCredentialGuardが有効なときの資格情報エラーを切り分けする方法

CredentialGuardが有効な環境では、資格情報のエラーが従来と違う顔を見せることがよくあります。緊張しなくて大丈夫です、順序立てて切り分けると原因を早く見つけられます。

やることはシンプルに三つあります。ログから証拠を集めること、プロトコルごとに接続を試すこと、そしてポリシーと保護対象プロセスを確認することです。

  • イベントログを集めて該当の失敗パターンを探す。CredentialGuardに紐づくログや失敗のEventIDを見つけることが肝心です。
  • RDPやSMBなど実際の接続をクライアント側からテストする。どのプロトコルで弾かれるかで原因の絞り込みが早くなります。
  • グループポリシーやローカルのLSASS保護設定を確認する。CredentialGuardが保護するプロセスやTLS設定が影響している場合があります。

イベントビューアーで認証関連ログを絞り込むパターン

イベントビューアーで認証関連ログを絞り込むパターン

まずSecurityログで失敗したログオンのEventIDを探してください。頻出は4625や4648や4776などで、失敗理由のコードやクライアントIPを確認すると手がかりになります。

SystemやApplicationsandServicesLogsのCredentialGuard周りのログも見てください。時刻を揃えて相関すると、どのプロセスが認証を扱っているかが分かりやすくなります。

イベントビューアーを開きセキュリティとシステムログで認証エラーをフィルターする具体的な開き方と検索キーワード

手順
イベントビューアーを起動する

スタートメニューからイベントビューアーを開いてください。権限が必要な場合は管理者で開いてください。

手順
ログの場所をたどる

ApplicationsandServicesLogs/MicrosoftWindowsCredentialGuard/OperationalとSecurityとSystemログを確認してください。CredentialGuardに関連するエントリを優先的に見てください。

手順
絞り込み用キーワードで検索する

検索キーワードはCredentialGuard、LSASS、AuthenticationPackage、NTLM、KerberosやEventIDとして4625、4648、4776などを使ってください。タイムスタンプで前後を合わせると因果関係が見えます。

RDPやSMB接続で資格情報が弾かれるときの切り分けパターン

RDPやSMB接続で資格情報が弾かれるときの切り分けパターン

RDPやSMBで資格情報が弾かれるときは、まずプロトコルごとの認証方式を確かめてください。KerberosやNTLMのどちらが使われているかで切り分け方が変わります。

クライアント側とサーバ側でログを突き合わせると早く分かります。NLAやCredSSPの設定、SMB署名や暗号化の要否も確認して、CredentialGuardの影響範囲を見定めてください。

net useを使ってSMB接続をテストし失敗の原因を特定する手順(コマンドと確認ポイント)

手順
基本的なSMB接続を試す

コマンド例は次の通りです。net use \\server\share /USER:DOMAIN\User と入力して成功するか確認してください。成功すれば認証パスは通っています。

手順
失敗メッセージを読み取る

エラーが出たらエラー文言とコードをメモしてください。”ログオン失敗”や”認証情報が拒否されました”などはSecurityログのEventIDと突き合わせると原因が絞れます。

手順
追加確認ポイント

ドメイン指定や別ユーザーでの試行、クライアントとサーバの時間同期、SMBバージョンや署名設定の確認を行ってください。これでCredentialGuard固有の影響かを判断しやすくなります。

WindowsでCredentialGuardを一時的に無効化して資格情報動作を検証する方法

WindowsでCredentialGuardを一時的に無効化して資格情報動作を検証する方法

CredentialGuardが有効な環境で資格情報の動作を一時的に確認するときは、安全第一で進めることが大切です。業務端末で行う場合は管理者やセキュリティ担当者に許可を取り、影響範囲を事前に共有してください。

確認方法は大きく分けて2つあります。1つはHypervisorを止めてCredentialGuard相当の保護を解除して動作を確認する方法、もう1つは仮想環境や別の検証用端末で再現する方法です。

準備としてシステムのバックアップや仮想マシンのスナップショットを用意してください。作業中はログやログイン挙動を記録し、元に戻す手順も忘れずメモしておくと安心です。

Windowsマニア

まずは落ち着いてください。慎重に進めれば短時間で状況が把握できますから安心してください。

bcdeditでハイパーバイザーをオフにして検証するパターン

bcdeditでハイパーバイザーをオフにして検証するパターン

bcdeditでhypervisorlaunchtypeをoffにするとWindowsのハイパーバイザーが起動しなくなりCredentialGuardの保護も一時的に止まります。これにより資格情報周りの動きが変わるかを直接確認できますがHyper-VやWSL2など仮想化機能が使えなくなる点に注意してください。

操作は管理者権限のコマンドプロンプトで行いコマンド実行後に必ず再起動してください。確認が終わったら設定を元に戻して再起動し通常の状態に戻ることを確認するのがおすすめです。

管理者コマンドプロンプトでbcdedit /set hypervisorlaunchtype offを実行して再起動し挙動を確認する手順と注意点

手順
準備

バックアップやスナップショットを作成し担当者に共有してください。ログ取得の方法も決めておくと後で振り返りやすくなります。

手順
実行

管理者でコマンドプロンプトを開きbcdeditでhypervisorlaunchtypeをoffに設定し再起動して動作を確認してください。再起動後に資格情報の挙動をチェックします。

手順
復帰

確認後は同じ手順でhypervisorlaunchtypeをautoに戻し再起動して元の状態に戻してください。問題が残るときはバックアップから復元してください。

応用MacからWindowsに安全に資格情報を渡して接続する実践テクニック

応用MacからWindowsに安全に資格情報を渡して接続する実践テクニック

MacからWindowsへ安全に資格情報を渡して接続するには、いくつかのやり方があります。WindowsでCredentialGuardが有効な環境だと古い保存方法ではうまくいかないことがあるので、準備を少し変えるだけでスムーズになります。

よく使う手はKeychainに保存してMicrosoftRemoteDesktopで呼び出す方法、RDGateway経由でセッション認証を行う方法、あるいはAzureAD連携でトークンベースにする方法です。環境に合わせて一番安全で運用しやすい方法を選ぶと安心です。

現場のコツとしては、まずテスト環境で確認してから本番に反映することと、保存前にKeychainのアクセス権を整えておくことです。ちょっとした手順の違いで接続に差が出るので落ち着いて作業してください。

  1. Keychainに資格情報を保存してRemoteDesktopで読み込む方法。
  2. RDGatewayまたはNetworkLevelAuthenticationでセッション認証を使う方法。
  3. AzureADやWindowsHelloforBusinessでトークンベースに移行する方法。
Windowsマニア

焦らず順に進めれば大丈夫です。次で手順を丁寧に説明するので、まずは落ち着いて準備してみてくださいね。

MacのMicrosoftRemoteDesktopで資格情報保存に失敗したときの回避パターン

MacのMicrosoftRemoteDesktopで資格情報保存に失敗したときの回避パターン

MicrosoftRemoteDesktopで資格情報が保存されない原因は、Keychainの許可設定やアプリ権限、CredentialGuardの影響などがよく関わっています。まずはKeychainで該当の項目が存在するかとアクセス許可を確認してください。

回避方法としてはKeychainへ手動登録する、接続プロファイルに明示的に情報を入れてから保護する、あるいは一時的にAzureADでトークンを取得して接続するなどがあります。セキュリティ要件に合わせて使い分けると安全です。

  • KeychainにRemoteDesktopの項目があるか確認する。
  • アプリの権限をリセットして再起動を試す。
  • 保存できない場合は手動でKeychainへ登録してから接続する。

MacのRemote Desktopで接続プロファイルに手動で資格情報を登録する手順とキーチェーンへの安全な保存方法

手順
接続プロファイルを作る

MicrosoftRemoteDesktopで新しい接続を作成し、ホスト名とユーザー名を入力してプロファイルを保存する。

手順
資格情報をKeychainへ登録する

Keychainアクセスを開き新規項目を作成してアカウントとパスワードを貼り付けし、項目名を分かりやすくして保存する。

手順
Keychainのアクセス制御を設定する

作成した項目のアクセス制御でMicrosoftRemoteDesktopのみ許可する設定にして、不要なアプリからの読み取りを防ぐ。

よくある質問

よくある質問
CredentialGuardが有効だと資格情報は参照できますか

原則参照できません。CredentialGuardはLSASSメモリを保護し従来のメモリ抽出ツールは失敗します。とはいえブラウザや資格情報マネージャーなど別経路のデータは残ることがあるので確認が必要です。

有効かどうかを簡単に確認する方法は

管理者権限でmsinfo32を起動しDeviceGuard項目を確認してください。より詳しく知りたい場合は管理者権限のPowerShellでDeviceGuard関連のクラスを照会すると状態がわかります。

CredentialGuardを無効にすることはできますか

可能ですが再起動が必要でグループポリシーやレジストリで設定します。企業管理下ではポリシーで制限されていることが多いので必ず管理者と調整してください。

検証したいとき現場で安全に試す手順は

まず隔離したテスト機を用意して検証を行ってください。テスト機でステータス確認とツール挙動の確認を行い本番機では管理者承認とログ取得を忘れないでください。

よくある勘違いはどんな点ですか

DeviceGuardとCredentialGuardを同じものと考える点や仮想化ベースの保護があると全ての情報が安全と誤解する点です。保護範囲を理解して必要な追加対策を検討してください。

まとめ

まとめ

CredentialGuardはWindowsの仮想化セキュリティでLSAの資格情報を隔離し、従来の資格情報取得ツールが動作しなくなります。msinfo32やPowerShell、グループポリシーで有効化状況を確認できます。有効時はMimikatzなどのツールでの抽出ができない点がポイントです。

管理者としては回避を試みず、パスワードリセットやLAPSの活用、監査ログの確認で安全に対応してください。テスト環境で動作確認を行い、仮想化支援機能とグループポリシーの設定を見直すと安心です。これで日常運用がぐっと楽になりますよ。

Windowsマニア

焦らずに一つずつ確認していきましょう。丁寧にログと設定を追えば原因が見つかることが多いので安心してください。

注意:CredentialGuardを迂回しようとする行為はセキュリティ違反になります。必ず正当な管理のためにのみ操作してください。

セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次