Windowsのリモートデスクトップを使いこなすうえで、セキュリティ対策と利便性の両立は大きな課題です。中でもCredential GuardやRemote Credential Guardを導入すると、資格情報の保存ができなくなるという不便さに直面するケースがあります。この記事では、それらを無効化して元に戻す方法や具体的な設定手順、さらに考慮すべきポイントなどを幅広く解説していきます。
Windows Credential GuardとRemote Credential Guardの概要
Windows Credential Guard(以下「Credential Guard」)およびRemote Credential Guardは、Windows環境における資格情報管理を強化するために導入されたセキュリティ機能です。これらはWindows 10以降、およびWindows Server 2016以降のOSにおいてサポートされています。以前のバージョンと比較して、資格情報の盗難・漏えいリスクを大幅に低減できる点が注目を集めています。
Credential Guardの基本仕組み
Credential Guardは、LSA(Local Security Authority)へのアクセスを制限することで、ドメイン認証などで利用されるユーザーのハッシュ情報や資格情報を保護します。具体的には、ハイパーバイザー機能(Hyper-Vを利用)によって分離された「仮想化ベースのセキュリティ環境」(VSM)で機密データを取り扱うため、マルウェアや一部の攻撃手法であっても資格情報を盗み出しにくくなるのが特徴です。
Remote Credential Guardの仕組み
Remote Credential Guardは、リモートデスクトップ(RDP)経由でアクセスする際の資格情報の取り扱いを保護する機能です。リモート先へ資格情報を直接渡さず、認証をクライアント側で完結することで漏えいリスクを抑えます。従来のRDPでは、ユーザー名やパスワードを保存・送信する仕組みがあり、万が一リモート先が悪意のあるサーバーだった場合、資格情報が流出する可能性がありました。Remote Credential Guardではその危険性を低減しているのです。
導入によって生じるリモートデスクトップの資格情報保存の問題
これらのセキュリティ機能を有効化すると、Windowsの「資格情報を保存する」オプションが利用できなくなる、あるいは正しく動作しなくなるという問題が報告されています。具体的には、以下のような現象が発生します。
症状の例
- リモートデスクトップ接続のたびにユーザー名とパスワードを手動で入力する必要がある
- 以前はRDPファイルや「資格情報マネージャー」に保存されていたはずの資格情報が、保存されなくなる・読み込まれなくなる
- グループポリシーやセキュリティ設定を変更した覚えがないのに、突然資格情報の保存ができなくなる
これらは多くの場合、Credential GuardやRemote Credential Guardが有効になったことにより、RDPクライアント側で資格情報をキャッシュする行為が意図的にブロックされるために起こります。設計上「資格情報をホスト側に保存しない・渡さない」ことを前提としているため、元々の「保存しておいて自動ログインする」という動作が制限されるわけです。
Credential GuardおよびRemote Credential Guardを無効化する方法
「セキュリティは高いに越したことはないが、どうしてもリモートデスクトップに資格情報を保存したい」という要望も少なくありません。ここでは、一時的なテストや検証、もしくは業務上やむを得ず利便性を優先したい場合に、Credential GuardやRemote Credential Guardをオフにする方法を紹介します。ただし、セキュリティ上のリスクが増大することを十分に認識し、慎重に運用することを強く推奨します。
グループポリシーでの設定例
Credential GuardやRemote Credential Guardの設定は、グループポリシーによって制御できます。代表的な手順としては、以下のような流れになります。
- Windowsキー + R を押して「gpedit.msc」を入力し、グループポリシー エディターを開く
- 「コンピューターの構成」→「管理用テンプレート」→「システム」→「Credentials Delegation」(または「Credential Guard」)の項目を確認
- 「Remote Credential Guardの使用を必須とする」や「Credential Guardを有効にする」に関連するポリシーを「無効」または「未構成」に設定
- 変更後、グループポリシーの更新(gpupdate /force)を実施したうえでPCを再起動
これによって、Credential GuardもしくはRemote Credential Guardの機能が無効化され、従来の資格情報保存機能が復活する可能性があります。ただし、組織のドメイン ポリシーによって強制的に有効化されている場合は、ローカルの変更が上書きされることがあるため注意が必要です。
設定状況を確認する方法
- コマンドプロンプト(管理者権限)で「gpresult /h gpresult.html」などを実行
- 生成されたHTMLレポートを開き、該当のグループポリシー設定がどう適用されているかを確認
- ドメインポリシー、ローカルポリシーの競合状況も含めてチェック
組織内で統合管理されている場合は、IT管理者に問い合わせて方針を確認することが不可欠です。
レジストリ設定での無効化例
レジストリエディタを利用して手動で設定を変更する方法もあります。Credential GuardやRemote Credential Guardは、以下のレジストリキーで制御されることが多いです。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
"LsaCfgFlags"=dword:00000000LsaCfgFlagsが0以外の値になっている場合、Credential Guardが有効化されている可能性があります。0に変更したうえで再起動すると、Credential Guardが無効化されるケースが多いです。
ただし、OSのバージョンによってはキーの名称や格納場所が異なることがあります。Microsoft公式ドキュメントやTechNetの情報を参照して、正確なレジストリ設定を確認しましょう。
グループポリシーとレジストリの相互関係
一般的にはグループポリシーで設定が有効になっていると、レジストリの変更だけでは反映されないことがあります。最終的な値はドメインポリシーやローカルポリシーの競合結果によって決まるため、意図した通りに設定を反映させるには次の点に注意してください。
- ドメイン管理下のPCの場合、組織で定義されたポリシーの優先度が高い
- ローカルグループポリシーで「未構成」となっていても、別のポリシーが適用される可能性
- ポリシー変更後は、必ず再起動やセッションの再読み込みが必要
Remote Desktop接続時の資格情報保存を復活させるRDPファイルの設定
リモートデスクトップ接続を行う際に「.rdp」ファイルを用いて接続設定を保存している方もいるでしょう。Credential GuardやRemote Credential Guardを無効化したうえで、RDPファイルのパラメーターを確認することで、資格情報保存が従来通り動くように設定できます。代表的なRDPファイルの設定例を以下に示します。
screen mode id:i:2
use multimon:i:0
desktopwidth:i:1920
desktopheight:i:1080
session bpp:i:32
winposstr:s:0,1,50,50,1920,1080
compression:i:1
keyboardhook:i:2
audiomode:i:0
redirectprinters:i:1
redirectcomports:i:0
redirectsmartcards:i:1
redirectclipboard:i:1
redirectposdevices:i:0
redirectdirectx:i:1
drivestoredirect:s:
authentication level:i:0
prompt for credentials:i:0
prompt for credentials on client:i:0
disablecredentialsdelegation:i:0
gatewayusagemethod:i:2特に prompt for credentials:i:0 および disablecredentialsdelegation:i:0 が、資格情報の保存に関係している場合があります。これらの行が設定されていない、または値が「1」になっていると、資格情報を保存できず、接続のたびに入力を求められることがあります。ただし、OSやRDPクライアントのバージョンによって挙動が異なる場合もあるのでご注意ください。
有効化と無効化を切り替える際の注意点
Credential GuardやRemote Credential Guardを無効化すれば、資格情報保存の利便性は取り戻せます。しかし、セキュリティリスクは高まるため、組織内の運用ポリシーや管理者の意向を踏まえて慎重に判断しましょう。
リスクアセスメントを行う必要性
- リモートデスクトップに資格情報を保存するということは、端末がマルウェアに感染していた場合、その資格情報が盗み見られるリスクが高まる
- 遠隔地からのログインが頻繁にある場合、Brute Force攻撃やリプレイ攻撃のリスクが増える可能性
- 業務システムにアクセスする端末であれば、被害が連鎖的に広がる恐れもある
こうしたリスクを把握したうえで、どうしても必要なケースにのみ無効化し、他のセキュリティ対策(ウイルス対策ソフトや多要素認証の導入など)と併用することが望ましいです。
段階的に検証を進める
組織全体のPCで一斉に設定を変えるのではなく、検証用の環境で段階的にテストする方法が推奨されます。例えば次のようなプロセスを踏むと安全です。
- テスト用のクライアントPCとサーバー(または仮想マシン)を用意
- Credential GuardやRemote Credential Guardを無効化
- リモートデスクトップ資格情報が保存されるか確認
- ログの監視や攻撃検証ツールなどを使い、安全性がどの程度損なわれるかを評価
この手順をクリアしたら、本番運用環境で段階的に導入し、予期せぬ問題が発生しないかを慎重に見極めるのがベストプラクティスです。
Microsoftへのフィードバックと今後の展望
Credential GuardやRemote Credential Guardはあくまで「資格情報を強固に守る」という目的が最優先で設計されているため、利便性とのトレードオフが生じるのは事実です。Microsoftはセキュリティ強化に力を注いでおり、将来的に利便性を高めるアプローチが検討される可能性はありますが、現時点では明確に「資格情報を保存して使いやすくする」という仕様変更の予定は公表されていません。
Microsoft Feedback Centerの活用
Credential GuardやRemote Credential Guardに関する要望は、「Microsoft Feedback Center」や「Windows Insider Program」などを通して送ることができます。多くのユーザーから類似したフィードバックが寄せられれば、今後のアップデートで何らかの改善が行われる可能性はあります。実際、過去にも多くのユーザーボイスから一部の機能が改善・追加された例があります。
以下はMicrosoft Feedback Centerの参考リンク例です。
自社のポリシーや運用ルールに沿う形で、今後のリリースを注視しつつ、必要に応じてフィードバックを行うことが推奨されます。
利便性とセキュリティのバランスをどう取るか
Credential GuardやRemote Credential Guardは、企業や組織での運用を想定しているため、常に最新の脅威に対抗できるよう更新・強化されています。一方で、個人利用や小規模オフィスなどでは「そこまで厳重な対策は必要ない」というケースもあり、導入メリットと手間や不便さを天秤にかけることが重要です。
具体的な対策の一覧表
以下に、運用時に検討すべき項目の例を表にまとめました。
| 対策項目 | 内容 | メリット | デメリット |
|---|---|---|---|
| Credential Guardの有効化 | LSAへの不正アクセスを遮断 | 資格情報の漏えいリスク軽減 | RDP資格情報の保存不可 / 構成が複雑化 |
| Remote Credential Guardの有効化 | RDP接続時にクライアント側で認証を完結 | リモート側にパスワードを渡さない | 自動保存に対応せず、都度パスワード入力 |
| 多要素認証(MFA)の導入 | 二段階認証や生体認証等を追加 | パスワード漏えい時でも不正アクセス防止 | 導入コスト・運用負荷が高い場合がある |
| セキュリティポリシーの段階的適用 | 一部の部署やユーザーのみ強化策を先行適用 | 全社的な混乱を避けられる | 一律管理が難しく、設定のばらつきが起こる |
このように、複数の要因を考慮しながら「リスクの大きい環境ではCredential Guardを常時有効化し、比較的安全なネットワーク内では一部無効化も検討する」といったメリハリのある運用が求められます。
まとめ:無効化とセキュリティを考慮した上での最適解
ここまで解説してきた通り、Credential GuardやRemote Credential Guardを無効化することで、リモートデスクトップの資格情報を従来のように保存できるようになります。しかし、それに伴うセキュリティリスクの増大は避けられません。使いやすさを重視したいのか、厳重なセキュリティを維持したいのか、組織や利用シーンによって判断基準は異なります。
もし、「以前のように資格情報を保存して手間を減らしたい」という方針があれば、本記事で紹介したグループポリシーやレジストリの設定変更、RDPファイルのパラメータ調整などを参考に対策してみてください。その際には、必ずテスト環境での検証やリスク評価を行い、本番運用に移行することを強くおすすめします。
また、Microsoft Feedback Centerなどに要望を送ることで、今後のアップデートに反映される可能性もあります。Credential GuardやRemote Credential Guardの持つセキュリティ機能は非常に強力であり、サイバー脅威が高まる今の時代では意義深い存在です。利便性とセキュリティをバランスよく両立させるためにも、最新情報をチェックしながら最適な設定を見極めていきましょう。
コメント