ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証
[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理機能、およびセキュリティに関する考慮事項について説明します。
リファレンス
[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定では、対象ドメイン コントローラーに属するドメイン内の NTLM 認証を拒否または許可することができます。このポリシー設定は、対象ドメイン コントローラーへの対話型ログオンには適用されません。
設定可能な値
無効
ドメイン コントローラーは、ドメイン内のすべての NTLM パススルー認証要求を許可します。
ドメイン サーバーに対するドメイン アカウントについて拒否する
ドメイン コントローラーは、対象ドメイン内の全サーバーについて、そのドメインのアカウントを使って試行される NTLM 認証ログオンをすべて拒否します。NTLM で試行される認証要求はブロックされ、NTLM をブロックしたことを示すエラーが返されます。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定で、例外リストにサーバー名が登録されている場合を除きます。
ユーザーが他のドメインに接続する場合は NTLM を使用できます。この点は、対象となるドメインに [NTLM を制限する] ポリシーが設定されているかどうかによっても異なります。
ドメイン アカウントに対して拒否する
ドメイン コントローラーは、ドメイン アカウントから NTLM 認証で試行されるすべてのログオン要求を拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定で、例外リストにサーバー名が登録されている場合を除きます。
ドメイン サーバーについて拒否する
ドメイン コントローラーは、ドメイン内のすべてのサーバーに対して試行される NTLM 認証要求を拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定で、例外リストにサーバー名が登録されている場合を除きます。このポリシー設定が構成されていても、対象ドメインに参加していないサーバーは適用外となります。
すべて拒否する
ドメイン コントローラーは、そのサーバーから対応アカウントについて送信されるすべての NTLM パススルー認証要求を拒否し、NTLM をブロックしたことを示すエラーを返します。ただし、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定で、例外リストにサーバー名が登録されている場合を除きます。
未定義
ドメイン コントローラーは、このポリシーが展開されているドメイン内のすべての NTLM 認証要求を許可します。
ベスト プラクティス
いずれかの拒否オプションを選択した場合、そのドメインに対する着信 NTLM トラフィックが制限されます。まずは、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] ポリシーを設定して操作ログを確認し、メンバー サーバーに対して試行される認証要求を把握してください。次に [ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定を使用すると、サーバー例外リストにそのメンバー サーバー名を追加できます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未構成 |
既定のドメイン コントローラー ポリシー |
未構成 |
スタンドアロン サーバーの既定の設定 |
未構成 |
ドメイン コントローラーの有効な既定の設定 |
未構成 |
メンバー サーバーの有効な既定の設定 |
未構成 |
クライアント コンピューターの有効な既定の設定 |
未構成 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合またはグループ ポリシーを通じて配布された場合、その変更は再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを使用して行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。グループ ポリシーが [未構成] に設定されている場合、ローカル設定が適用されます。
監査
このポリシーが意図したとおりに機能しているかどうかは、操作イベント ログを見て確認します。監査イベントおよびブロック イベントは、このコンピューター上のアプリケーションとサービス ログ\Microsoft\Windows\NTLM に格納された操作イベント ログに記録されます。
このポリシーからの出力を確認できるセキュリティ監査イベントのポリシーはありません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
NTLM 認証と NTLMv2 認証は、SMB 再生攻撃、man-in-the-middle 攻撃、ブルート フォース攻撃など、悪意を持ったさまざまな攻撃の対象となります。NTLM 認証を環境から減らし、ゆくゆくは完全になくすことで、もっと安全なプロトコル (Kerberos Version 5 プロトコルなど) や別の認証メカニズム (スマート カードなど) の使用を Windows オペレーティング システムに強制することができます。
脆弱性
NTLM 認証トラフィックに対する悪質な攻撃によってサーバーまたはドメイン コントローラーが侵入を受けるのは、そのサーバーまたはドメイン コントローラーが NTLM 要求を処理する場合だけです。これらの要求を拒否すれば、こうした攻撃の糸口を断ち切ることができます。
対策
Kerberos プロトコルなど、より安全なプロトコルを使用する必要があるなどの理由から、NTLM 認証プロトコルの使用を避けるべきという判断に至った場合、このセキュリティ ポリシー設定でドメイン内の NTLM の使用を制限するいずれかのオプションを選択してください。
潜在的な影響
このポリシー設定を構成した場合、ドメイン内で多数の NTLM 認証要求が失敗し、生産性が低下する可能性があります。このポリシー設定でこの変更を実装する前に、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] を同一オプションに設定します。これにより、[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] を使用して、ログでの潜在的な影響の確認、サーバー分析の実行、およびこのポリシー設定から除外するサーバーのリスト作成を行うことができます。