Remote Credential Guard
概要
Remote Credential Guard は、Kerberos 要求を接続を要求しているデバイスにリダイレクトすることで、リモート デスクトップ (RDP) 接続経由で資格情報を保護するのに役立ちます。 ターゲット デバイスが侵害された場合、資格情報と資格情報の派生物の両方がネットワーク経由でターゲット デバイスに渡されることがないため、資格情報は公開されません。 リモート資格情報ガードは、リモート デスクトップ セッションのシングル サインオン エクスペリエンスも提供します。
この記事では、リモート資格情報ガードを構成して使用する方法について説明します。
重要
ヘルプデスクのサポートに関連するリモート デスクトップ接続シナリオについては、この記事の 「リモート デスクトップ接続とヘルプデスク サポート シナリオ 」を参照してください。
リモート資格情報ガードと他の接続オプションを比較する
リモート 資格情報ガードなしでリモート デスクトップ セッションを使用すると、次のセキュリティに影響します。
- 資格情報がリモート ホストに送信され、リモート ホストに格納されます
- 資格情報はリモート ホスト上の攻撃者から保護されていません
- 攻撃者は切断後に資格情報を使用できます
リモート資格情報ガードのセキュリティ上の利点は次のとおりです。
- 資格情報がリモート ホストに送信されない
- リモート セッション中は、SSO を使用して他のシステムに接続できます
- 攻撃者は、セッションが進行中の場合にのみ、ユーザーに代わって行動できます
制限付き管理モードのセキュリティ上の利点は次のとおりです。
- 資格情報がリモート ホストに送信されない
- リモート デスクトップ セッションは、リモート ホストの ID として他のリソースに接続します
- 攻撃者はユーザーに代わって行動できません。また、攻撃はサーバーに対してローカルです
次の表を使用して、さまざまなリモート デスクトップ接続セキュリティ オプションを比較します。
機能 | リモート デスクトップ | Remote Credential Guard | 制限付き管理モード |
---|---|---|---|
サインインしているユーザーとして他のシステムへのシングル サインオン (SSO) | ✅ | ✅ | ❌ |
マルチホップ RDP | ✅ | ✅ | ❌ |
接続中にユーザーの ID を使用できないようにする | ❌ | ❌ | ✅ |
切断後の資格情報の使用を禁止する | ❌ | ✅ | ✅ |
Pass-the-Hash (PtH) を防止する | ❌ | ✅ | ✅ |
サポートされている認証 | 交渉可能なプロトコル | Kerberos のみ | 交渉可能なプロトコル |
リモート デスクトップ クライアント デバイスからサポートされる資格情報 | - サインオンした資格情報 - 指定された資格情報 - 保存された資格情報 |
- サインオンした資格情報 - 指定された資格情報 |
- サインオンした資格情報 - 指定された資格情報 - 保存された資格情報 |
で付与された RDP アクセス | リモート ホスト上の リモート デスクトップ ユーザー グループのメンバーシップ | リモート ホスト上の リモート デスクトップ ユーザー グループのメンバーシップ | リモート ホスト上の Administrators グループのメンバーシップ |
リモート資格情報ガードの要件
リモート資格情報ガードを使用するには、リモート ホストとクライアントが次の要件を満たしている必要があります。
リモート ホスト:
- ユーザーがリモート デスクトップ接続経由でアクセスできるようにする必要があります
- クライアント デバイスへの nonexportable 資格情報の委任を許可する必要があります
クライアント デバイス:
- リモート デスクトップ Windows アプリケーションを実行している必要があります。 リモート デスクトップ ユニバーサル Windows プラットフォーム (UWP) アプリケーションは、リモート資格情報ガードをサポートしていません
- リモート ホストに接続するには、Kerberos 認証を使用する必要があります。 クライアントがドメイン コントローラーに接続できない場合、RDP は NTLM にフォールバックしようとします。 リモート資格情報ガードでは、資格情報がリスクにさらされるため、NTLM フォールバックは許可されません
Windows エディションとライセンスに関する要件
次の表は、リモート資格情報ガードをサポートする Windows エディションの一覧です。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | はい | はい | はい |
リモート Credential Guard ライセンスエンタイトルメントは、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
はい | はい | はい | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
リモート ホストで nonexportable 資格情報の委任を有効にする
このポリシーは、リモート資格情報ガードと制限付き管理モードをサポートするためにリモート ホストで必要です。 これにより、リモート ホストは、nonexportable 資格情報をクライアント デバイスに委任できます。
この設定を無効にした場合、または構成しなかった場合、制限付き管理者モードとリモート資格情報保護モードはサポートされません。 ユーザーは、資格情報をホストに渡し、リモート ホスト上の攻撃者からの資格情報の盗難のリスクにさらす必要があります。
リモート ホストで nonexportable 資格情報の委任を有効にするには、次を使用できます。
- Microsoft Intune/MDM
- グループ ポリシー
- レジストリ
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
システム >資格情報の委任>管理用テンプレート | リモート ホストでは、nonexportable 資格情報の委任が許可されます | 有効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - データ型: string - 価値: <enabled/> |
クライアントでの資格情報の委任を構成する
クライアントでリモート資格情報ガードを有効にするには、リモート ホストへの資格情報の委任を禁止するポリシーを構成できます。
ヒント
リモート資格情報ガードを適用するようにクライアントを構成しない場合は、次のコマンドを使用して、特定の RDP セッションにリモート資格情報ガードを使用できます。
mstsc.exe /remoteGuard
サーバーが RDS ホスト ロールをホストしている場合、コマンドは、ユーザーがリモート ホストの管理者である場合にのみ機能します。
ポリシーには、適用するセキュリティのレベルに応じて、異なる値を指定できます。
無効: 制限付き管理者 モードと リモート資格情報ガード モードは適用されず、リモート デスクトップ クライアントはリモート デバイスに資格情報を委任できます
制限付き管理者が必要: リモート デスクトップ クライアントは、制限付き管理者を使用してリモート ホストに接続する必要があります
リモート資格情報ガードが必要: リモート デスクトップ クライアントはリモート 資格情報ガードを使用してリモート ホストに接続する必要があります
資格情報の委任を制限する: リモート デスクトップ クライアントは、制限付き管理者またはリモート資格情報ガードを使用してリモート ホストに接続する必要があります。 この構成では、リモート資格情報ガードを使用することをお勧めしますが、リモート資格情報ガードを使用できない場合は制限付き管理モード (サポートされている場合) を使用します
注
[資格情報の委任の制限] が有効になっている場合、
/restrictedAdmin
スイッチは無視されます。 Windows では、代わりにポリシー構成が適用され、リモート資格情報ガードが使用されます。
クライアントを構成するには、次を使用できます。
- Microsoft Intune/MDM
- グループ ポリシー
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
システム >資格情報の委任>管理用テンプレート | リモート サーバーへの資格情報の委任を制限する | [ 有効] を 選択し、ドロップダウンでオプションのいずれかを選択します。 - 資格情報の委任を制限する - リモート資格情報ガードが必要 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - データ型: string - 価値: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> RestrictedRemoteAdministrationDrop に使用できる値は次のとおりです。- 0 :無効- 1 : 制限付き管理者が必要- 2 : リモート資格情報ガードが必要- 3 : 資格情報の委任を制限する |
ユーザー エクスペリエンス
クライアントがポリシーを受け取ったら、リモート デスクトップ クライアント (mstsc.exe
) を開いてリモート資格情報ガードを使用してリモート ホストに接続できます。 ユーザーは、リモート ホストに対して自動的に認証されます。
注
ユーザーは、リモート ホスト上のリモート デスクトップ ユーザー ローカル グループのメンバーであるなど、リモート デスクトップ プロトコルを使用してリモート サーバーに接続する権限を持っている必要があります。
リモート デスクトップ接続とヘルプデスク サポート シナリオ
リモート デスクトップ セッションを介して担当者が管理アクセスを必要とするヘルプデスク サポート シナリオでは、リモート資格情報ガードの使用はお勧めしません。 既に侵害されたクライアントに対して RDP セッションが開始された場合、攻撃者はそのオープン チャネルを使用して、ユーザーの代わりにセッションを作成する可能性があります。 攻撃者は、セッションの切断後に限られた時間、ユーザーのリソースにアクセスできます。
代わりに、制限付き管理モード オプションを使用することをお勧めします。 ヘルプデスク サポート シナリオの場合、RDP 接続は /RestrictedAdmin
スイッチを使用してのみ開始する必要があります。 これにより、資格情報やその他のユーザー リソースが侵害されたリモート ホストに公開されないようにすることができます。 詳細については、「 Pass-the-Hash とその他の資格情報の盗難 v2 の軽減」を参照してください。
セキュリティをさらに強化するために、ローカル管理者パスワード管理を自動化する Windows ローカル管理者パスワード ソリューション (LAPS) を実装することもお勧めします。 LAPS は、顧客がすべてのコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に、横エスカレーションやその他のサイバー攻撃のリスクを軽減します。
LAPS の詳細については、「 Windows LAPS とは」を参照してください。
考慮事項
リモート資格情報ガードの考慮事項を次に示します。
- リモート Credential Guard では、複合認証はサポートされていません。 たとえば、デバイス要求を必要とするリモート ホストからファイル サーバーにアクセスしようとしている場合、アクセスは拒否されます
- リモート資格情報ガードは、Active Directory ドメインに参加しているデバイスに接続する場合にのみ使用できます。 Microsoft Entra ID に参加しているリモート デバイスに接続する場合は使用できません
- リモート資格情報ガードは、クライアントが Kerberos を使用して認証できる限り、Microsoft Entra 参加済みクライアントから Active Directory 参加済みリモート ホストに接続するために使用できます
- リモート資格情報ガードは RDP プロトコルでのみ機能します
- ターゲット デバイスに資格情報は送信されませんが、ターゲット デバイスは引き続き Kerberos サービス チケットを独自に取得します
- サーバーとクライアントは Kerberos を使用して認証する必要があります
- リモート資格情報ガードは、ターゲット マシンへの直接接続でのみサポートされます。 リモート デスクトップ接続ブローカーとリモート デスクトップ ゲートウェイ経由の接続はサポートされていません