Share via

Windows Server 2022 Azure Edition および Windows Server Insider (プレビュー) で SMB over QUIC クライアント アクセス制御を構成する

  • [アーティクル]

重要

Windows Insider および Windows Server Insider ビルドはプレビュー段階にあります。 この情報はプレリリース製品に関連するものであり、リリース前に大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示か黙示かを問わずいかなる保証をするものでもありません。

SMB over QUIC クライアント アクセス制御によって、SMB over QUIC サーバーにアクセスできるクライアントを制限できます。 クライアント アクセス制御では、デバイスがファイル サーバーに接続するための許可とブロックリストが作成されます。 クライアント アクセス制御により、SMB 接続の作成時に使用される認証を変更することなく、エンド ユーザー エクスペリエンスも変更されることなく、組織の保護が強化されます。

この記事では、PowerShell を使用して、Windows 11 および Windows Server 2022 Datacenter: Azure Edition で SMB over QUIC のクライアント アクセス制御を構成する方法について説明します。 手順に進むには、March Update KB5035853 または KB5035857 をインストールするか、最新の Windows 11 Insider build または Windows Server Insider build が実行されている必要があります。

SMB over QUI の構成の詳細については、「SMB over QUIC」を参照してください。

クライアント アクセス制御のしくみ

クライアント アクセス制御では、サーバーに接続しているクライアントが既知のクライアント証明書を使用しているか、共有ルート証明書によって発行された証明書を所有しているかを確認します。 管理者はこの証明書をクライアントに発行し、サーバーが管理する許可リストにハッシュを追加します。 クライアントがサーバーに接続しようとすると、サーバーはクライアント証明書を許可リストと比較します。 証明書が有効な場合、サーバー証明書は UDP ポート 443 経由で TLS 1.3 で暗号化されたトンネルを作成し、共有へのアクセス権をクライアントに付与します。 クライアント アクセス制御では、サブジェクトの別名での証明書もサポートされています。

証明書を失効させたり、特定のデバイスのアクセスを明示的に拒否したりして、アクセスをブロックするように SMB over QUIC を構成することもできます。

前提条件

クライアント アクセス制御を構成する前に、次の前提条件を満たす SMB サーバーが必要です。

  • March 12, 2024—KB5035857 Update または Windows Server Insiders build 25977 以降の Windows Server 2022 Datacenter: Azure Edition が実行されている SMB サーバー。 プレビュー機能のロックを解除するには、Windows Server 2022 KB5035857 240302_030531 機能プレビューもインストールする必要があります。
  • SMB over QUIC が有効であり、サーバーで構成されている。 SMB over QUIC を構成する方法については、「SMB over QUIC」を参照してください。
  • 別の証明機関 (CA) によって発行されたクライアント証明書を使用している場合は、CA がサーバーによって信頼されていることを確認する必要があります。
  • 構成する SMB サーバーに対する管理者特権です。

次の前提条件を満たす SMB クライアントも必要です。

Active Directory ドメインでは SMB over QUIC を使うことをお勧めしますが、必須ではありません。 ローカル ユーザー資格情報と NTLM を使って、ワークグループ参加済みサーバーで SMB over QUIC を使うこともできます。

SMB クライアントを構成する

SMB クライアント証明書情報を収集する

PowerShell を使用してクライアント証明書ハッシュを収集するには、次の手順を実施します。

  1. SMB クライアントで管理者特権の PowerShell プロンプトを開きます。

  2. 次のコマンドを実行して、クライアントの証明書ストア内の証明書を一覧表示します。

    Get-ChildItem -Path Cert:\LocalMachine\My

  3. 次のコマンドを実行して、証明書を変数に保存します。 <subject name> を、使用する証明書のサブジェクト名に置き換えます。

    $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}

  4. 次のコマンドを実行して、クライアント証明書の SHA256 ハッシュを書き留めます。 この識別子は、クライアント アクセス制御を構成するときに必要です。

    $clientCert.GetCertHashString("SHA256")

$clientCert オブジェクトに格納されているサムプリントでは、SHA1 アルゴリズムを使用します。 これは、New-SmbClientCertificateMapping のようなコマンドで使用されます。 クライアント アクセス制御を構成するには SHA256 サムプリントも必要です。これらのサムプリントは、同じ証明書に対して異なるアルゴリズムを使用して異なる派生になります。

クライアント証明書を SMB クライアントにマップする

クライアント証明書を SMB クライアントにマップするには、次の手順を実施します。

  1. SMB クライアントで管理者特権の PowerShell プロンプトを開きます。

  2. New-SmbClientCertificateMapping コマンドを実行して、クライアント証明をマップします。 <namespace> を SMB サーバーの完全修飾ドメイン名 (FQDN) に置き換え、変数を使用して前のセクションで収集した SHA1 クライアント証明書のサムプリントを使用します。

    New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My

完了すると、証明書付きクライアントは、FQDN に一致する SMB サーバーに対して認証を行うために SMB クライアントによって使用されます。

クライアント アクセス制御の構成

個々のクライアントに付与する

クライアント アクセス制御を使用して、SMB サーバーへの特定のクライアント アクセスを許可する手順に従います。

  1. SMB サーバーにサインインします。

  2. SMB サーバーで管理者特権の PowerShell プロンプトを開きます。

  3. Grant-SmbClientAccessToServer を実行して、クライアント証明書へのアクセス許可を付与します。 「SMB クライアント証明書情報を収集する」セクションで収集した SHA256 クライアント証明書識別子を使用して、<name>を SMB サーバーのホスト名と <hash> に置き換えます。

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>

これで、クライアント証明書へのアクセス権が付与されました。 Get-SmbClientAccessToServer コマンドを実行すると、クライアント証明書へのアクセスを確認できます。

特定の証明機関に付与する

クライアント アクセス制御を使用して、特定の証明機関 (別名: 発行者) からクライアントに付与する手順に従います。

  1. SMB サーバーにサインインします。

  2. SMB サーバーで管理者特権の PowerShell プロンプトを開きます。

  3. Grant-SmbClientAccessToServer を実行して、クライアント証明書へのアクセス許可を付与します。 発行者の証明書の完全な X.500 識別名で、<name> を SMB サーバーのホスト名と <subject name> に置き換えます。 たとえば、CN=Contoso CA, DC=Contoso, DC=com のようにします。

    Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"

SMB over QUIC を無効にする

Windows 11 Insider build 26090 以降、管理者は次のコマンドを実行してクライアントの SMB over QUIC を無効にできるようになりました。

Set-SmbClientConfiguration -EnableSMBQUIC $false

同様に、次のパスで Enable SMB over QUIC ポリシーを無効にすることでグループ ポリシーでこの操作を実行できます。

  • Computer Configuration\Administrative Templates\Network\Lanman Workstation

SMB サーバーに接続する

完了したら、次のいずれかのコマンドを実行して、サーバーに接続できるかどうかをテストします。

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

または

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

サーバーに接続できれば、クライアント アクセス制御を使用した SMB over QUIC の構成は正常に行われたということになります。

関連するコンテンツ