Windows インスタンスの Credential Guard - Amazon Elastic Compute Cloud

Windows インスタンスの Credential Guard

AWS Nitro System は、Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスの Credential Guard をサポートしています。Credential Guard は Windows 仮想化ベースのセキュリティ (VBS) 機能です。これにより、Windows カーネルの保護だけでなく、Windows ユーザー認証情報やコードインテグリティの適用などのセキュリティ資産を保護するための隔離環境を構築できます。EC2 Windows インスタンスを実行すると、Credential Guard は AWS Nitro System を使用して、Windows ログイン認証情報がオペレーティングシステムのメモリから抽出されないように保護します。

前提条件

Credential Guard を使用するには、Windows インスタンスが 次の前提条件を満たす必要があります。

Amazon マシンイメージ (AMI)

NitroTPM と UEFI Secure Boot を有効にするには、AMI を事前に設定しておく必要があります。サポートされている AMI の詳細については、「Amazon EC2 インスタンスで NitroTPM を使用するための要件」を参照してください。

メモリインテグリティ

ハイパーバイザー保護コードインテグリティ (HVCI) またはハイパーバイザー強制コードインテグリティとも呼ばれるメモリーインテグリティはサポートされていません。認証情報ガードを有効にする前に、この機能が無効になっていることを確認する必要があります。詳細については、「メモリインテグリティの無効化」を参照してください。

インスタンスタイプ

次のインスタンスタイプは、特段の記載がない限り、すべてのサイズで Credential Guard をサポートしています: C5C5dC5nC6iC6idC6inC7iC7i-flexM5M5dM5dnM5nM5znM6iM6idM6idnM6inM7iM7i-flexR5R5bR5dR5dnR5nR6iR6idR6idnR6inR7iR7izT3

注記
  • NitroTPM には共通して必須インスタンスタイプがいくつかありますが、Credential Guard をサポートするには、インスタンスタイプが上記のインスタンスタイプのいずれかである必要があります。

  • Credential Guard は、以下ではサポートされていません。

    • ベアメタルインスタンス。

    • 次のインスタンスタイプ: C7i.48xlargeM7i.48xlargeR7i.48xlarge

インスタンスタイプの詳細については、Amazon EC2 インスタンスタイプガイドを参照してください。

サポートされているインスタンスを起動する

Amazon EC2 コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Credential Guard をサポートしているインスタンスを起動できます。インスタンスを起動するには、AWS リージョン ごとに固有の互換性のある AMI ID が必要です。

ヒント

以下のリンクを使用すると、Amazon EC2 コンソールで Amazon が提供する AMI と互換性のあるインスタンスを検出して起動できます。

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Amazon EC2 コンソールを使用したインスタンスを起動するには

サポートされているインスタンスタイプと事前設定された Windows AMI を指定し、ステップに従ってインスタンスを起動します。

AWS CLI
AWS CLI を使用したインスタンスを起動するには

run-instances コマンドを使用して、サポートされているインスタンスタイプと事前設定された Windows AMI を使用してインスタンスを起動します。

aws ec2 run-instances \ --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \ --instance-type c6i.large \ --region us-east-1 \ --subnet-id subnet-id --key-name key-name
PowerShell
AWS Tools for PowerShell を使用したインスタンスを起動するには

New-EC2Instance コマンドを使用して、サポートされているインスタンスタイプと事前設定された Windows AMI を使用してインスタンスを起動します。

New-EC2Instance ` -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base ` -InstanceType c6i.large ` -Region us-east-1 ` -SubnetId subnet-id ` -KeyName key-name

メモリインテグリティの無効化

サポートされているシナリオでは、ローカルグループポリシーエディタを使用してメモリインテグリティを無効にできます。次のガイダンスは、[仮想化ベースのコードインテグリティ保護] で各構成設定に適用できます。

  • ロックなしで有効 — メモリインテグリティを無効にするには、設定を [無効] に変更します。

  • UEFI ロックで有効 — メモリインテグリティは UEFI ロックで有効になっています。UEFI ロックで一度有効にすると、メモリの整合性を無効にすることはできません。メモリインテグリティを無効にして新しいインスタンスを作成し、サポートされていないインスタンスが使用されていない場合は終了することをお勧めします。

ローカルグループポリシーエディタでメモリの整合性を無効にするには
  1. リモートデスクトッププロトコル (RDP) を使用して、管理者権限を持つユーザーアカウントとしてインスタンスに接続します。詳細については、「RDP クライアントを使用して Windows インスタンスに接続する」を参照してください。

  2. スタートメニューを開き、cmd を検索してコマンドプロンプトを起動します。

  3. 次のコマンドを実行して、ローカルグループポリシーエディタ gpedit.msc を開きます。

  4. ローカルグループポリシーエディタで、[コンピュータの構成][管理用テンプレート][システム][Device Guard] の順に選択します。

  5. [仮想化ベースのセキュリティを有効にする] を選択してから、[ポリシー設定の編集] を選択します。

  6. [仮想化ベースのコードインテグリティ保護] の設定ドロップダウンを開き、[無効] を選択し、[適用] を選択します。

  7. インスタンスを再起動して、変更を適用します。

Credential Guard を有効にする

サポートされているインスタンスタイプと互換性のある AMI を使用して Windows インスタンスを起動し、メモリの整合性が無効になっていることを確認すると、認証情報ガードを有効にできます。

重要

次の手順を実行して Credential Guard を有効にするには、管理者権限が必要です。

Credential Guard を有効にするには
  1. リモートデスクトッププロトコル (RDP) を使用して、管理者権限を持つユーザーアカウントとしてインスタンスに接続します。詳細については、「RDP クライアントを使用して Windows インスタンスに接続する」を参照してください。

  2. スタートメニューを開き、cmd を検索してコマンドプロンプトを起動します。

  3. 次のコマンドを実行して、ローカルグループポリシーエディタ gpedit.msc を開きます。

  4. ローカルグループポリシーエディタで、[コンピュータの構成][管理用テンプレート][システム][Device Guard] の順に選択します。

  5. [仮想化ベースのセキュリティを有効にする] を選択してから、[ポリシー設定の編集] を選択します。

  6. [仮想化ベースのセキュリティを有効にする] メニューで [有効] を選択します。

  7. [プラットフォームセキュリティレベルの選択] では、[Secure Boot と DMA 保護] を選択します。

  8. [Credential Guard の設定] では、[UEFI ロックで有効] を選択します。

    注記

    残りのポリシー設定は Credential Guard を有効にするために必要ないため、[未構成] のままにしておくことができます。

    以下の画像は、前述のように構成された VBS 設定を示しています。

    [仮想化ベースのセキュリティを有効にする] がオンになっている仮想化ベースのセキュリティグループポリシーオブジェクト設定。
  9. インスタンスを再起動して、設定を適用します。

Credential Guard が実行されていることを確認する

Microsoft システム情報 (Msinfo32.exe) ツールを使用して、Credential Guard が実行されていることを確認できます。

重要

Credential Guard を有効にするために必要なポリシー設定の適用を完了するには、まずインスタンスを再起動する必要があります。

Credential Guard が実行されていることの確認するには
  1. リモートデスクトッププロトコル (RDP) を使用してインスタンスに接続します。詳細については、「RDP クライアントを使用して Windows インスタンスに接続する」を参照してください。

  2. インスタンス用の RDP セッションで、スタートメニューを開いて、cmd を検索して、コマンドプロンプトを開始します。

  3. 次のコマンドを実行して、システム情報を開きます: msinfo32.exe

  4. Microsoft システム情報ツールには、VBS 設定の詳細が一覧表示されます。仮想化ベースのセキュリティサービスの横に、[Credential Guard][実行中] と表示されていることを確認します。

    次の画像は、VBS が前述のように実行されていることを示しています。

    仮想化ベースのセキュリティラインが表示された Microsoft システム情報ツールの画像で、ステータスが [実行中] と表示され、Credential Guard が実行されていることが確認できます。