アカウント保護 (Credential Guard)。 リモート認証情報の保護

を実行しているコンピュータでインターネットからダウンロードしたファイルを実行しようとすると、 Windowsコントロール 10 (Home、Pro-S、Enterprise) 「組織は、ある機能を使用してこのアプリをブロックしました。」というエラーが表示される場合があります。 さまざまな機能を以下に列挙できます: 制御、 Windows ディフェンダー、デバイス ガード、アプリケーション ガード。 で 別々のシステム実行時に同じエラーが発生する可能性があります コマンドラインまたは PowerShell オプション。 それが何なのか、そしてこのブロックが何に関係しているのかを説明します。

これはどのようなブロックですか?

失敗の原因は特にありませんが、 マイクロソフトのサポートも沈黙を保たれている。 基本的に、この問題は OS を再インストールするか、10 にアップグレードするときに発生します。 新しいバージョンの Windows をインストールすると、クリアされます以前のビルドによってインストールされた UEFI のコード整合性 (CI) ポリシー。 ブロッキングがトップ 10 の新しいセキュリティ オプションであると指摘する人もいます。 ほとんどの人は、これはありふれたバグであり、開発者のせいであることに同意します。 デジタル ライセンスによってアクティブ化されたアセンブリのエラーを説明することは不可能であるため、私はバグの可能性も考えています。

「組織がこのアプリをブロックしました」の解決策

最初のオプションは、CCleaner などのユーティリティを使用してゴミやレジストリをクリーンアップする平凡な再起動です。 次に、メッセージに示されている機能を無効にしてみてください。それぞれの機能についてはネットワーク上に十分な情報があります。 それが機能しない場合は、システムをロールバックする、防御コンポーネントを無効にする、オプションを無効にするなど、いくつかの方法でこのエラーを解決できます。 セキュアブート BIOS またはその他の設定 古いバージョン数十。 いくつかのオプションは誰にとっても明らかですが、問題のあるオプションについて話しましょう。

セキュアブートの無効化

多くのユーザーは、BIOS でセキュア ブートを無効にすると便利だと考えています。 セキュア ブートは、新しい EFI または UEFI コンピュータの機能で、コンピュータが攻撃やマルウェア感染に対抗し、Windows 8/10 以外で起動できないようにします。 このオプションは次のように機能します。OS がコンピューターにインストールされると、UEFI は信頼できるソフトウェア、ファームウェア、ブートローダー コードを識別するためのキーのリストを作成しました。 オペレーティング·システム。 また、既知のマルウェアを識別するためのキーのリストも作成しました。

セキュア ブートが有効になっている場合、コンピュータは潜在的な脅威がコンピュータを攻撃したり感染したりする前にブロックします。 これが起動時にブロックされる理由である可能性があります。 サードパーティのアプリケーション。 セキュアブートは次のように無効になります。

また、UEFI ファームウェア設定ページにもアクセスしてください。 これを行うには、画像が含まれるメディアを挿入し、 起動メニューリカバリモードに入ります。 次に、パス「Diagnostics」-「」に従います。 追加オプション」 – 「UEFIファームウェア設定」。

その他の修正オプション

結論

上で述べたように、再インストール後および特定のビルドでは、「組織はこのアプリケーションをブロックしました」というエラーが発生します。 Microsoft はこの問題を認識していますが、急いでそれを認めていません。 また、次のような人向けのアセンブリをダウンロードすることで、完全に無料でハッキングなしでライセンス付きのトップ 10 を取得できることも思い出していただきたいと思います。 障害。 何かあればそれだけです 追加情報問題がある場合は、コメントに書き込んでください。すべてを読み、すべてに対応します。

Microsoft チームは、あらゆるカテゴリーのユーザーのニーズを可能な限り考慮に入れて Windows 10 を開発しています。 同社は、当然のことながら、より多くの機能と改善を望んでいるホームユーザーの両方を満足させようとしています。 ユーザーインターフェース、そして同様に明白な理由から、企業でのオペレーティング システムの使用に関するセキュリティ対策を Microsoft に強化してもらいたいと考えている会社員もいます。

今週、マイクロソフトはサンフランシスコで開催された RSA カンファレンスに出席し、新しいバージョンのセキュリティを確保するために何を行ったかを詳しく説明しました。 Windowsのバージョン。 ソフトウェア大手は、ビジネス ニーズを満たす 3 つの機能、Device Guard、Windows Hello、Microsoft Passport を特定しました。

Device Guard は、信頼できるソースからのアプリケーションを除くすべてのアプリケーションをブロックすることで、マルウェアの脅威に対する保護を強化します。 これには、特定のサプライヤーによって署名されたプログラムが含まれます ソフトウェア、のアプリケーション Windows ストア、組織内でテストされたソフトウェアも同様です。

ユーザーは、どのソースを信頼できると見なすかを制御し、Win32 と ユニバーサルプログラム、開発者によって署名されていません。 Acer、富士通、HP、Lenovo、東芝など、いくつかのメーカーが自社のデバイスで Device Guard をサポートすることにすでに同意しています。

Windows 10 の他の 2 つのセキュリティ革新は、両方にメリットをもたらします。 一般ユーザー、そしてビジネスでも。 どちらの機能も先月の WinHEC カンファレンスで紹介されましたが、現在は開発の最終段階に入っており、Microsoft がこれらの機能を製品に統合するメーカーと協力していることが特徴です。

Windows Hello と Microsoft Passport が増加します Windowsのセキュリティ 10 生体認証データの使用によるユーザーの個人データと 二段階認証エンタープライズレベルで。 どちらのテクノロジーも、従来のパスワードよりもはるかに高いレベルのセキュリティを提供できます。

Windows ではすでにサポートされている指紋認識に加えて、プラットフォームの新しいバージョンでは顔認識を使用したログインが可能になります。 後者は、赤外線レーザー、複数のレンズ、画像解析用に設計されたチップを使用する Intel RealSense 3D カメラ (F200) を搭載したすべてのコンピューターで利用できます。

これら 3 つのテクノロジーを組み合わせることで、家庭ユーザーと、従来この問題に非常に敏感だった企業の両方にとって、セキュリティの大幅な向上が期待できます。

アカウント保護 ( クレデンシャルガード) 仮想化ベースのテクノロジーを使用して秘密を分離し、特権のあるシステムのみが秘密にアクセスできるようにします。

Credential Guard は次の機能を提供します。

• 設備の安全性。 次のようなプラットフォームのセキュリティ機能を利用して、派生ドメイン アカウントのセキュリティを強化します。 セキュアブートそして仮想化。
• 仮想化ベースのセキュリティ. Windows サービスは、派生ドメイン資格情報やその他の秘密を管理し、オペレーティング システムから隔離された安全な環境で実行されます。
• 最新の持続的な脅威に対する保護の強化。 仮想化ベースのセキュリティを使用して、派生ドメイン資格情報を保証します。 他の多くの攻撃で使用される認証情報やツールに対する攻撃をブロックします。 マルウェア OS 上で管理者権限で実行すると、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。
• コントロール性。 グループ ポリシー、WMI、コマンド ライン、および Windows PowerShell を使用した管理。

通常、Windows では、シークレットはローカル セキュリティ機関 (LSA) メモリに保存されます。 Credential Guard を使用すると、LSA は分離 LSA と呼ばれる新しいコンポーネントと通信します。 この分離された LSA は仮想化に基づいており、OS の残りの部分からはアクセスできません。 以下の図は、仮想化ベースのセキュリティが LSAIso プロセスを LSASS プロセスから分離することを示しています。

仮想化ベースの LSA プロセス

Credential Guard が有効になっている場合、NTLM または Kerberos の古いバージョン (つまり、NTLM v1、MS-CHAPv2 など) はサポートされなくなります。

Credential Guard は仮想化に基づいているため、特定のハードウェア サポートが必要です。 次の表は、これらの要件の一部をまとめたものです。

組織で Credential Guard を取得する最も簡単な方法は、グループ ポリシーを使用して Credential Guard を有効にし、それを適用する企業内のマシンを選択することです。

グループ ポリシー管理コンソールで、新しいポリシーを作成します。 グループポリシーまたは既存のものを編集します。 次にセクションに進みます 「コンピュータの設定>」 管理用テンプレート> システム > デバイス保護」。

ダブルタップ " 仮想化ベースの保護を有効にする" を選択し、表示されるダイアログ ボックスで " 付属」 ダイアログボックスで「 プラットフォームのセキュリティ レベルの選択» 「」または「」を選択します。 リストには「 資格情報の構成" 選択する " UEFIロックで有効化を押して「」を押します わかりました」 Credential Guard をリモートで無効にする場合は、Credential Guard 設定のリストで、「 UEFIロックで有効化"、 選択する " ロックなしで有効化».

Credential Guard のグループ ポリシー設定

リモート認証情報の保護

リモート アカウント保護は、次の場合に資格情報の盗難に対する保護を提供します。 リモート接続リモート デスクトップ セッション経由でシステムに接続します。

ユーザーがリモート ホスト上のリモート デスクトップにアクセスしようとすると、Kerberos 要求は認証のために元のホストにリダイレクトされます。 リモート ホスト上の資格情報は存在しません。 リモート ホスト (つまり、コンピュータ) エンドユーザーまたはサーバー) 悪質なコード、リモート資格情報ガードは、資格情報がリモート ホストに送信されないため、この悪意のある影響を軽減します。

リモート認証情報の保護には、いくつかの要件があります。

• ユーザーはに接続する必要があります ドメインアクティブディレクトリまたはリモート デスクトップ サーバーは、次の方法でドメインに参加する必要があります。 信頼関係クライアントデバイスに送信します。
• ユーザーは Kerberos 認証を使用する必要があります。
• ユーザーは少なくとも Windows 10 バージョン 1607 以降を実行している必要があります。
• クラシックが必要 Windowsアプリケーションリモートデスクトップ用。 リモートアプリケーションデスクトップユニバーサル Windows プラットフォームは、Remote Credential Guard をサポートしていません。

リモート資格情報の保護を有効にするには、グループ ポリシーを使用して構成し、ネットワークに展開します。

グループ ポリシーを使用してこれを構成するには、グループ ポリシー管理コンソールを開き、「」に移動します。 [コンピュータの構成] > [管理用テンプレート] > [システム] > [資格情報の委任]」 次に「」をダブルクリックします。 リモートサーバーへの委任を制限する" を選択してから、" リモート Credential Guard が必要」 最後に「」をクリックします わかりました" グループ ポリシーを表示するには、次を実行します。 gpupdate/強制。 (レジストリ キーを使用してリモート資格情報保護を有効にすることもできます。次の「詳細」リンクを参照してください。)

エンタープライズ関連のハードウェアとソフトウェアのセキュリティ機能を組み合わせたもので、一緒に構成するとデバイスがロックダウンされ、コード整合性ポリシーで定義した信頼できるアプリケーションのみを実行できるようになります。 アプリが信頼されていない場合は、実行できません。 基本的な要件を満たすハードウェアがあれば、たとえ攻撃者がコンピュータの制御を取得できたとしても、それは意味します。 Windows カーネル、悪意のある実行可能コードを実行できる可能性ははるかに低くなります。 適切なハードウェアを使用すると、Device Guard は Windows 10 の新しい仮想化ベースのセキュリティ (Enterprise および Education デスクトップ SKU およびすべての Server SKU で利用可能) を使用して、コード整合性サービスをシステムから分離できます。 マイクロソフトウィンドウズカーネル自体。 この場合、コード整合性サービスは、Windows ハイパーバイザーで保護されたコンテナー内でカーネルと並行して実行されます。

デバイス ガードの参照:(読むことをお勧めします)

• Device Guard のハードウェア要件 | Microsoft ドキュメント
• Device Guard 導入ガイド (Windows 10)
• Device Guard の概要 - 仮想化ベースのセキュリティおよびコード整合性ポリシー (Windows 10)
• Device Guard の要件と展開計画のガイドライン (Windows 10)
• Device Guard 展開プロセスの計画と開始 (Windows 10)
• Device Guard の展開 - コード整合性ポリシーを展開する (Windows 10)
• Device Guard の展開 - 仮想化ベースのセキュリティを有効にする (Windows 10)
• Windows 10 Enterprise セキュリティ: Credential Guard と Device Guard | デル米国
  
• Microsoft Windows 10 での Device Guard および Credential Guard に対する ThinkPad のサポート - ThinkPad
• HP Manageability Integration Kit がサポートするプラットフォーム | HP クライアント管理ソリューション
• Windows 10 Device Guard と Credential Guard の謎を解く

としてサインインする必要があります 管理者 Device Guard を有効または無効にします。

方法は次のとおりです。

3. ローカル グループ ポリシー エディターの左ペインで以下のキーに移動します。 (以下のスクリーンショットを参照)

コンピュータの構成\管理用テンプレート\システム\Device Guard

B) [オプション] で、次を選択します。 セキュアブートまたは セキュア ブートと DMA 保護の中に プラットフォームのセキュリティ レベルの選択必要なもののドロップメニュー。

の セキュアブート(推奨) オプションは、特定のコンピューターのハードウェアでサポートされている限りの保護を備えたセキュア ブートを提供します。 入出力メモリ管理ユニット (IOMMU) を備えたコンピュータには、DMA 保護付きのセキュア ブートが備わっています。 IOMMU のないコンピューターでは、セキュア ブートが有効になっているだけです。

の DMA によるセキュアブート DMA をサポートするコンピューター、つまり IOMMU を備えたコンピューターでのみ、セキュア ブートと VBS 自体が有効になります。 この設定では、IOMMU のないコンピューターには VBS (ハードウェア ベース) 保護がありませんが、コード整合性ポリシーを有効にすることはできます。

C) [オプション] で、次を選択します。 UEFIロックで有効化または ロックなしで有効化の中に 仮想化ベースのコード整合性の保護必要なもののドロップメニュー。

の UEFIロックで有効化このオプションを使用すると、仮想化ベースのコード整合性保護をリモートで無効にできなくなります。 この機能を無効にするには、グループ ポリシーを「無効」に設定し、UEFI に保持されている構成をクリアするために、物理的に存在するユーザーを使用して各コンピューターからセキュリティ機能を削除する必要があります。

ロックなしで有効このオプションを使用すると、グループ ポリシーを使用して、仮想化ベースのコード整合性保護をリモートで無効にすることができます。

D) 必要に応じて、有効にすることもできます