・未整理
IPAセキュリティPT評価版?
WDigest の設定 †
https://support.microsoft.com/ja-jp/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
WDigest の設定 このセキュリティ更新プログラムをインストールした後でレジストリ設定を使用して、インストール済みの WDigest 資格情報の保存方法を制御できます。 WDigest 資格情報がメモリに保存されないようにするには、次のサブキーの下にある UseLogonCredential レジストリ エントリにグループ ポリシーの設定を適用します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest UseLogonCredential 値が 0 に設定されている場合、WDigest は資格情報をメモリに保存しません。 UseLogonCredential 値が 1 に設定されている場合、WDigest は資格情報をメモリに保存します。 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 では、このセキュリティ更新プログラムをインストールした後にこの値の既定の設定は 1 になります。 この設定を 0 に変更するには、この記事の「簡易修正ツールで解決する」を参照してください。 これにより、WDigest パスワードのメモリへの保存が無効になります。
注: Windows 8.1 と Windows Server 2012 R2 以降のバージョンの既定では、メモリ内に資格情報を取得する WDigest の設定は無効です (レジストリ エントリが存在しない場合、UseLogonCredential 値の既定は 0 です)。
UseLogonCredential 値を 0 に設定したときに見られる変化として、WDigest を使用するときに資格情報が必要になる頻度が多くなります。
CredSSPグループポリシー設定 †
https://docs.microsoft.com/en-us/windows/win32/secauthn/credssp-group-policy-settings
資格情報セキュリティサポートプロバイダー 05/31/2018 読むのに2分
資格情報セキュリティサポートプロバイダープロトコル(CredSSP)は、セキュリティサポートプロバイダーインターフェイス(SSPI)を使用して実装されるセキュリティサポートプロバイダーです。CredSSPを使用すると、アプリケーションはユーザーの資格情報をリモート認証のためにクライアントからターゲットサーバーに委任できます。CredSSPは、暗号化されたトランスポート層セキュリティプロトコルチャネルを提供します。クライアントは、Microsoft KerberosまたはMicrosoft NTLMで Simple and Protected Negotiate(SPNEGO)プロトコルを使用して、暗号化されたチャネルで認証されます。
あぶない
これは、制限された委任ではありません。CredSSPは、ユーザーの完全な資格情報を制限なしでサーバーに渡します。
SPNEGOについては、Microsoft Negotiateを参照してください。
クライアントとサーバーが認証された後、クライアントはユーザーの資格情報をサーバーに渡します。資格情報は、SPNEGOおよびTLSセッションキーの下で二重に暗号化されます。CredSSPは、パスワードベースのログオンと、X.509とPKINITの両方に基づくスマートカードログオンをサポートしています。
重要
CredSSPはWow64クライアントをサポートしていません。
CredSSPの詳細については、次のトピックを参照してください。
トピック 説明 CredSSPグループポリシー設定 CredSSPによる資格情報の委任は、グループポリシー設定を使用して制御できます。