次の方法で共有

SMBでNTLM接続をブロックする(プレビュー)

  • [アーティクル]

重要

Windows Server Insider ビルドはプレビュー段階にあります。 この情報はプレリリース製品に関連するものであり、リリース前に大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

SMBクライアントは、リモート発信接続のNTLM認証のブロックをサポートするようになりました。 NTLM 認証をブロックすることで、悪意のある第三者がクライアントを騙して悪意のあるサーバに NTLM リクエストを送信することを防ぎ、ブルートフォース攻撃、クラッキング攻撃、パスザハッシュ攻撃に対抗することができます。 NTLM のブロックは、組織の認証プロトコルを Kerberos に変更する場合にも必要です。Kerberos はチケットシステムによりサーバの身元を検証することができるため、NTLM よりも安全です。 しかし、組織は NTLM を完全に無効にすることなく、この保護レイヤを有効にすることも可能です。

前提条件

SMB クライアントで NTLM をブロックするには、以下の前提条件が必要です:

ヒント

NTLM ブロックは SMB クライアントのみの機能です。 SMBクライアントはWindows ServerとWindowsクライアントの両方のオペレーティングシステムに組み込まれている。 宛先の SMB サーバは、PKU2U または Kerberos を使用できるオペレーティング・システムであれば何でもよい。

SMB クライアント NTLM ブロックの設定

Windows Server Insiders ビルド 25951 と Windows 11 Insiders ビルド 25951 から、SMB を構成して NTLM をブロックするオプションが追加された。 それ以前のバージョンのWindowsを実行しているデプロイメントのセキュリティを向上させるには、関連するグループポリシーを編集するか、PowerShellで特定のコマンドを実行して、手動でNTLMを無効にする必要がある。

NTLM ブロックの設定方法

  1. [グループ ポリシー管理コンソール] を開きます。

  2. コンソールツリーで、[Computer Configuration>Administrative Templates>Network>Lanman Workstation] に移動します。

  3. [ブロック NTLM (LM、NTLM、NTLMv2)] を右クリックし、[編集] を選択します。

  4. [有効] を選択します。

NTLM ブロックの例外を有効にする

NTLM をグローバルにブロックするのではなく、特定のマシンに対して NTLM の使用を許可する必要がある場合がある。 例えば、接続しようとしている SMB サーバーが Active Directory ドメインに参加していない場合などです。

NTLM ブロックの例外リストを有効にします:

  1. グループ ポリシー エディタ コンソール ツリーで、[コンピュータの構成]> - [管理テンプレート]> - >[NetworkLanman Workstation] に移動します。

  2. [Block NTLM Server Exception List] を右クリックし、[Edit] を選択します。

  3. [有効] を選択します。

  4. NTLM 認証を許可するリモートマシンの IP アドレス、NetBIOS 名、完全修飾ドメイン名 (FQDN) を入力します。

SMB ドライブのマッピング時に NTLM をブロックする

以下のコマンドを実行することで、新しいSMBドライブをマッピングする際にNTLMをブロックすることもできます。

NET USE でドライブをマッピングするときに NTLM ブロックを指定するには、このコマンドを実行します:

NET USE \\server\share /BLOCKNTLM

SMBドライブのマッピング時にNTLMブロックを指定するには、このコマンドを実行します:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

関連するコンテンツ