Windows の Credential Guard は、仮想化環境内で機密性の高い認証情報を隔離することで、セキュリティをさらに強化することを目的としています。理論上は素晴らしい機能のように思えますが、仮想マシンが起動しない、RDP 認証で問題が発生する、アプリがエラーをスローするなどの問題が発生した場合、無効にする必要がある場合もあります。一部のマシンでデフォルトで有効になっているのは、特に使用していないマシンや、保護よりも手間がかかるマシンでは、少し奇妙に感じられます。このガイドでは、互換性の問題のトラブルシューティングに役立つ Credential Guard を無効にする手順を詳しく説明します。Windows は必要以上に複雑な設定になっているため、コマンドライン操作やシステム設定の編集が必要になる場合があります。
Windows 11で資格情報ガードを無効にする方法
方法1: グループポリシーエディターを使用する
この方法は、GUI経由でCredential Guardを無効にしたいだけの場合に適しています。グループポリシー経由で無効化するのが通常最もクリーンな方法であり、レジストリの混乱を避けるのに最適です。また、グループポリシーがロックされている企業環境にも適用できます。
- スタート メニューまたは [実行] ダイアログにgpedit.mscと入力して開きます(Win + R次に と入力します
gpedit.msc)。 - [コンピューターの構成] > [管理用テンプレート] > [システム] > [Device Guard]に移動します。
- 「仮想化ベースのセキュリティを有効にする」という設定を見つけます。
- 「無効」に設定して適用してください。これでCredential Guardがオフになります。
このアプローチは非常に簡単です。特にローカルポリシーを詳しく調べることに慣れている場合はなおさらです。これを実行すると、Windows は Credential Guard の実行を維持するための仮想化セキュリティの適用を停止するはずです。
方法2: レジストリ設定を手動で編集する
グループポリシーだけでは不十分な場合、またはスタンドアロンマシンを扱っている場合は、レジストリをいじることで解決できる場合があります。ただし、レジストリの操作はやや繊細なので、事前にレジストリのバックアップ、または少なくとも復元ポイントを作成しておくことをお勧めします。手順は以下のとおりです。
- 管理者としてコマンド プロンプトまたは PowerShell ウィンドウを開きます。
- 次のコマンドを実行して、Credential Guard を制御するレジストリ キーを設定します。
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0 reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0最初のコマンドは、LsaCfgFlags で Credential Guard が有効になっている場合にそれを無効にします。2 番目のコマンドは、特定の UEFI ロック保護を使用しているデバイスを対象とし、Credential Guard が完全に無効化されていることを確認します。設定によってはこれらのコマンドだけで十分ですが、特に UEFI ロックが有効になっている場合は、さらに詳細な設定が必要になります。
オプション3: UEFIロック対応システムの処理
これが最も難しい部分です。UEFIファームウェアがパスワードでロックされていて、セキュアブートが有効になっている場合は、さらに作業が必要になります。基本的には、ファームウェアレベルでCredential Guardを無効にする必要があります。これには特別なブート構成を作成する必要があり、少し手間がかかりますが、Credential Guardを無効にしてUEFIロックを有効にするには必要です。
- まず、管理者コマンドプロンプトを開きます。
- EFI システム パーティションをマウントします
mountvol X: /s( X:を使用可能なドライブ文字に置き換えます)。 - Credential Guard を無効にして EFI ブートローダーをコピーします。
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y - Credential Guard を無効にして起動するための新しい BCD エントリを作成します。
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
これは非常にデリケートな作業です。コマンドを一つ一つ確実に実行してください。ブートローダーを間違えると、Windowsが正常に起動しなくなる可能性があります。再起動後、起動時にCredential Guardを無効にするよう求めるメッセージが表示されます。求められたらすぐにF3キーを押すと、機能が無効になります。
最終チェックとクリーンアップ
すべて完了したら、Credential Guardがオフになっているかどうかを確認してください。PowerShellスクリプトは公式のGitHubリポジトリ: Winhanceからダウンロードするか、付属のツールなどを使用してくださいDG_Readiness_Tool_v3.6.ps1。以下のように実行してください。
cd C:\PS\dgreadiness_v3.6\ Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned.\DG_Readiness_Tool_v3.6.ps1 -ReadyCredential Guard を完全に無効にしたい場合は、次のコマンドを実行します。
.\DG_Readiness_Tool_v3.6.ps1 -Disable -CG再起動して、もう一度F3キーを素早く押すだけです。うまくいけば、Credential Guardはもう消えているはずです。設定によっては、特にセキュアブート/UFEIロックの懸念事項など、試行錯誤が必要ですが、今のところは大体こんな感じです。
正直に言うと、Windows で特定のセキュリティ機能を無効にするのが非常に複雑になっているのは少しイライラしますが、これで、Credential Guard によって引き起こされる仮想マシンまたはアプリの問題をトラブルシューティングする十分なチャンスが得られます。
まとめ
- グループ ポリシーまたはレジストリの編集によって Credential Guard をオフにします。
- UEFI ロックが有効になっている場合は、ブートローダーの調整によって無効にします。
- 検証とより詳細な制御には、Winhanceなどのスクリプトを使用します。
まとめ
Credential Guard を無効にするのは簡単ではありませんが、コマンドラインでの作業と再起動を少し行うだけで済むなら可能です。この方法で、仮想マシンとアプリの互換性に関する奇妙な問題が解決しました。一部のマシンでは、これが唯一の解決策になることもあります。システムセキュリティを変更することは常にリスクを伴うため、バックアップまたは復元ポイントを手元に用意しておくことをお勧めします。これで誰かの時間を節約できれば幸いです。頑張ってください!