おはようございます!マネジメントオフィスいまむらの今村敦剛です。
Windows 11 23H2にアップデートしたところ、リモートデスクトップで 毎回パスワードを入力させられる(パスワード保存できない)ようになりました。対処法を備忘録として記しておきます。
レジストリの変更で解決した
注意ポイント
レジストリの変更は重大なエラーやセキュリティ低下を引き起こす可能性がありますので、自己責任でお願いします。当方はいかなるエラーとその損害に対しても責任を負いかねます。
いくつかのレジストリキーを追加することで問題を解決できると、ネットで情報をいくつか見ました。
具体的には、以下のキーを追加します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard に、「EnableVirtualizationBasedSecurity」と「RequirePlatformSecurityFeature」のDWORD値を「0」に設定。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa に、「LsaCfgFlags」のDWORD値を「0」に設定。
「EnableVirtualizationBasedSecurity」と「RequirePlatformSecurityFeature」のDWORD値を「0」に設定する意味とリスク
EnableVirtualizationBasedSecurityとは、仮想化ベースのセキュリティを制御するもののようです。これの値が「0」の場合、仮想化ベースのセキュリティは無効になり、システムは既存のBCD(ブート設定データ)設定を使用します。仮想化ベースのセキュリティが有効になっていると、システムは仮想化技術を利用してセキュリティを強化しますが、無効にすると、これらのセキュリティ機能は使用されません。
RequirePlatformSecurityFeatureというのはよくわかりませんでしたが、一般的にはプラットフォームのセキュリティ機能を要求するかどうかを制御する値と推測されます。
つまりこの2つのパラメーターを触るということは、リモートデスクトップするためのパスワードを保存するという利便性が得られる一方で、セキュリティレベルが下がることを意味します。そのため、これらのレジストリ変更を行う前に、セキュリティリスクとパフォーマンスのバランスを考慮し、必要に応じて専門家の意見を求めることをお勧めします。
LsaCfgFlags」のDWORD値を「0」に設定する意味とリスク
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaにおいて、「LsaCfgFlags」のDWORD値を「0」に設定することは、WindowsのCredential Guardを無効にすることを意味します。Credential Guardは仮想化ベースのセキュリティを使用して、システム上に保存されたセキュリティ情報(シークレット)を分離し、特権を持つシステムソフトウェアのみがそれらにアクセスできるようにする機能です。値が「0」の場合、Credential Guardは無効化されます。
Credential Guardを無効化することには、セキュリティの低下というリスクがあります。Credential Guardは、パスワードや他の認証情報を保護するために、ハードウェア支援の仮想化技術を使用します。これにより、悪意のあるソフトウェアや攻撃者がこれらの情報にアクセスすることを防ぐことができます。したがって、Credential Guardを無効にすると、これらの保護機能が失われ、システムが脆弱な状態になる可能性があります。特に企業環境やセキュリティが重要なシステムでは、このリスクが特に重要です。