Microsoft Windows Device Guard Windows Device Guard セキュリティ Device Guard 仮想化ベースのセキュリティを有効にする 仮想化ベースのセキュリティを有効にするかどうかを指定します。 仮想化ベースのセキュリティは、Windows ハイパーバイザーを使用してセキュリティ サービスのサポートを提供します。仮想化ベースのセキュリティにはセキュア ブートが必要であり、オプションとして DMA 保護を使用して有効にすることができます。DMA 保護はハードウェア サポートを必要とし、正しく構成されたデバイスでのみ有効になります。 コードの整合性に対する仮想化ベースの保護 この設定により、カーネル モード コードの整合性に対する仮想化ベースの保護が有効になります。これが有効化されると、カーネル モードのメモリ保護が適用され、コード整合性検証パスが仮想化ベースのセキュリティ機能によって保護されます。 [無効] オプションは、コードの整合性に対する仮想化ベースの保護が以前に [ロックなしで有効化] オプションを使用して有効化されていた場合、それをリモートでオフにします。 [UEFI ロックで有効化] オプションを選択すると、コードの整合性に対する仮想化ベースの保護をリモートで無効化できないようになります。この機能を無効にするには、グループ ポリシーを [無効] に設定するとともに、UEFI で保持されている構成をクリアするために、ユーザーが物理的に存在する状態で、各コンピューターからセキュリティ機能を削除する必要があります。 [ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用することでコードの整合性に対する仮想化ベースの保護をリモートで無効化できるようになります。 [未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響を与えません。レジストリに現在の設定がある場合、それは変更されません。 [UEFI メモリ属性テーブルを要求する] オプションを選択すると、コードの整合性に対する仮想化ベースの保護が、メモリ属性テーブルに対して UEFI ファームウェアがサポートされているデバイスのみで有効になります。UEFI メモリ属性テーブルのないデバイスには、コードの整合性に対する仮想化ベースの保護と互換性のないファームウェアが含まれている場合があります。これにより、一部のケースで、クラッシュやデータ損失、または特定のプラグイン カードとの非互換性が発生する可能性があります。このオプションを設定しない場合は、対象のデバイスをテストして互換性を確認する必要があります。 警告: システム上のすべてのドライバーにこの機能との互換性がある必要があります。そうでない場合、システムがクラッシュする可能性があります。このポリシー設定が、互換性があることがわかっているコンピューターにのみ展開されるようにします。 Credential Guard この設定を使用すると、ユーザーは資格情報を保護するために、仮想化ベースのセキュリティで Credential Guard を有効にすることができます。 Windows 11 21H2 以前の場合、[無効] オプションは、Credential Guard が以前に [ロックなしで有効化] オプションを使用して有効化されていると、それをリモートでオフにします。それよりも後のバージョンの場合、[無効] オプションは、Credential Guard が以前に [ロックなしで有効化] オプションを使用して有効化されているか [未構成] だと、それをリモートでオフにします。 [UEFI ロックで有効化] オプションを選択すると、Credential Guard をリモートで無効化できないようになります。この機能を無効にするには、グループ ポリシーを [無効] に設定するとともに、UEFI で保持されている構成をクリアするために、ユーザーが物理的に存在する状態で、各コンピューターからセキュリティ機能を削除する必要があります。 [ロックなしで有効化] オプションを選択すると、グループ ポリシーを使用することで Credential Guard をリモートで無効化できるようになります。この設定を使用するデバイスは、Windows 10 (Version 1511) 以上を実行している必要があります。 Windows 11 21H2 以前の場合、[未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響を与えません。レジストリに現在の設定がある場合、それは変更されません。それよりも後のバージョンでは、レジストリに現在の設定がない場合は、[未構成] オプションを選択すると、UEFI ロックなしで Credential Guard が有効になります。 マシン ID の分離性 この設定は、Active Directory マシン アカウントの Credential Guard 保護を制御します。このポリシーを有効にするには、特定の前提条件があります。このポリシーの前提条件と詳細については、https://go.microsoft.com/fwlink/?linkid=2251066 をご覧ください。 [未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響を与えません。レジストリに現在の設定がある場合、それは変更されません。 [無効] オプションを選択すると、マシン ID の分離性が無効になります。このポリシーが以前に [監査モードで有効] に設定されていた場合は、それ以上の操作は必要ありません。このポリシーが以前に [強制モードで有効] に設定されていた場合、デバイスを参加解除し、ドメインに再度参加させる必要があります。詳細については、上記のリンクをご覧ください。 [監査モードで有効] オプションを選択すると、マシン ID が Credential Guard にコピーされます。LSA と Credential Guard の両方がマシン ID にアクセスできるようになります。これにより、ユーザーは [強制モードで有効] が Active Directory ドメインで機能することを検証できます。 [強制モードで有効] オプションを選択すると、マシン ID が Credential Guard に移動されます。これにより、マシン ID にアクセスできるのが Credential Guard のみになります。 セキュア起動 この設定は、ブート チェーンをセキュリティで保護するためのセキュア起動の構成を設定します。 [未構成] 設定が既定値であり、管理ユーザーによるこの機能の構成が許可されます。 [有効] オプションを選択すると、サポートされているハードウェアでセキュア起動が有効化されます。 [無効] オプションを選択すると、ハードウェアのサポートに関係なく、セキュア起動が無効化されます。 カーネルモード ハードウェア強制スタック保護 この設定は、カーネルモード コードのハードウェア強制スタック保護を有効にします。このセキュリティ機能を有効にすると、カーネルモードのデータ スタックはハードウェアベースのシャドウ スタックで強化され、プログラム制御フローが改ざんされないように、目的のリターン アドレス ターゲットが格納されます。 このセキュリティ機能には、次の前提条件があります。 1) CPU ハードウェアが、ハードウェアベースのシャドウ スタックをサポートしている。 2) コードの整合性に対する仮想化ベースの保護が有効化されている。 いずれかの前提条件が満たされていない場合、この機能に対して [有効] オプションが選択されていても、この機能は有効化されません。この機能に対して [有効] オプションを選択しても、コードの整合性に対する仮想化ベースの保護は自動的に有効化されないことに留意してください。これは別途行う必要があります。 このセキュリティ機能を有効にするデバイスは、Windows 11 (Version 22H2) 以上を実行している必要があります。 [無効] オプションを選択すると、カーネルモード ハードウェア強制スタック保護が無効化されます。 [監査モードで有効] オプションを選択すると、シャドウ スタック違反が致命的ではなく、システム イベント ログに記録される、監査モードでカーネルモード ハードウェア強制スタック保護が有効化されます。 [強制モードで有効] オプションを選択すると、シャドウ スタック違反が致命的な、強制モードでカーネルモード ハードウェア強制スタック保護が有効化されます。 [未構成] オプションは、ポリシー設定を未定義のままにします。グループ ポリシーはポリシー設定をレジストリに書き込まないので、コンピューターまたはユーザーに影響を与えません。レジストリに現在の設定がある場合、それは変更されません。 警告: システム上のすべてのドライバーにこのセキュリティ機能との互換性がある必要があります。そうでない場合、強制モードではシステムがクラッシュする可能性があります。監査モードを使用して、互換性のないドライバーを検出できます。詳細については、https://go.microsoft.com/fwlink/?LinkId=2162953 をご覧ください。 セキュア ブート セキュア ブートと DMA 保護 無効 有効 ロックなしで有効化 UEFI ロックで有効化 監査モードで有効 強制モードで有効 未構成 ビジネス向けアプリ コントロールの展開 ビジネス向けアプリ コントロールのデプロイ このポリシー設定を使用すると、コード整合性ポリシーをコンピューターに展開して、そのコンピューターでの実行を許可する内容を制御できます。 コード整合性ポリシーを展開すると、カーネル モードと Windows デスクトップの両方で実行できる動作が、ポリシーに基づいて制限されます。このポリシーを有効にするには、コンピューターを再起動する必要があります。 ファイル パスは UNC パス (例: \\ServerName\ShareName\SIPolicy.p7b) またはローカルで有効なパス (例: C:\FolderName\SIPolicy.p7b) である必要があります。 ローカル コンピューター アカウント (LOCAL SYSTEM) には、ポリシー ファイルへのアクセス許可が必要です。 署名付きの保護されたポリシーを使用している場合、このポリシー設定を無効にしても、この機能はコンピューターから削除されません。代わりに、次のいずれかを行う必要があります: 1) 最初にポリシーを保護されていないポリシーに更新してから、設定を無効にするか、 2) 設定を無効にしてから、物理的に存在するユーザーと共に各コンピューターからポリシーを削除します。 プラットフォームのセキュリティ レベルを選択する: コードの整合性に対する仮想化ベースの保護: UEFI メモリ属性テーブルを要求する Credential Guard の構成: マシン ID の分離の構成: セキュア起動の構成: カーネル モードハードウェア強制スタック保護: コードの整合性ポリシーのファイル パス: