SMB セキュリティ強化
Windows 11 24H2 と Windows Server 2025 で導入された最新の SMB (サーバー メッセージ ブロック) 機能は、データ、ユーザー、組織のセキュリティを強化することを目的としています。 これらの機能の大半は、既定で自動的に有効になります。 これらの SMB 機能は、環境内でのサイバー攻撃やデータ侵害のリスクを軽減することで、より安全でセキュアなコンピューティング環境を実現することを目的としています。
ユーザーは、次のバージョンをダウンロードして、オペレーティング システム (OS) のメジャー リリース前にセキュリティ機能をプレビューできます。
Windows 11 バージョン 24H2 以降
Windows Server 2025 以降
SMB セキュリティ機能
SMB セキュリティ機能について理解することで、ユーザーは機密データを保護し、共有リソースへの不正アクセスを防ぐことができます。 次のセクションでは、これらの機能の概要を簡単に説明します。
SMB 署名
Windows 11 24H2 と Windows Server 2025 以降では、すべての送受信 SMB 接続に既定で署名することが必須となりました。 以前は、SMB 署名は、既定では、SYSVOL および NETLOGON という名前の共有への接続と、AD ドメイン コントローラーのクライアントに対してのみ必要でした。
SMB 署名は資格情報を盗むデータ改ざんとリレー攻撃を防ぎます。 署名を既定で必須にすることで、この重要なセキュリティ機能を有効にするために、管理者とユーザーが SMB ネットワーク プロトコル セキュリティの専門家である必要がなくなりました。 SMB 署名を有効にすると、クライアントとサーバーは署名されたパケットのみを受け入れ、署名されていないパケットを拒否します。 ゲスト ユーザーからのパケットは拒否されます。つまり、ユーザーが資格情報を指定せずにサーバーに接続できる機能 (ゲスト フォールバック) が無効になります。 このセキュリティ対策は、サーバーにアクセスする前にユーザーに自身の認証を要求することで、不正アクセスとデータ侵害を防ぐのに役立ちます。これにより、承認されたユーザーのみがサーバーとそのリソースにアクセスできるようになります。
詳細については、「SMB 署名の動作制御」を参照してください。
SMB 代替ポート
SMB クライアントを使用して、TCP、QUIC、RDMA の代替ポートとの接続を確立できます。 これらのポートは、Internet Assigned Numbers Authority (IANA) と Internet Engineering Task Force (IETF) によって割り当てられる既定のポートとは異なる場合があります。これは、TCP、QUIC、RDMA の場合はそれぞれ 445、443、5445 です。
Windows Server では、許可されているファイアウォール ポートで SMB over QUIC 接続をホストできますが、必ずしも既定のポート 443 であるとは限りません。 ただし、代替ポートへの接続は、SMB サーバーがその特定のポートをリッスンするように構成されている場合にのみ可能であることに注意してください。 また、代替ポートの使用を禁止したり、使用を特定のサーバーに制限したりするようにデプロイを構成することもできます。
詳細については、 「代替 SMB ポートの構成」を参照してください。
SMB 監査の改善
SMB に SMB over QUIC の使用を監査する機能が追加され、サード パーティの暗号化と署名がサポートされるようになりました。 これらの機能は SMB サーバーとクライアント レベルの両方で利用できます。 Windows デバイスか Windows Server デバイスを使用している場合は、SMB over QUIC を使用しているかどうかを判断する方が簡単になりました。 また、サード パーティ ソフトウェアが署名と暗号化をサポートしているかどうかを、必須にする前により簡単に確認することもできます。
詳細については、以下をご覧ください。
SMB 認証レート リミッター
SMB サーバー サービスによって、失敗した認証試行の数が制限されるようになりました。 これは、Windows Server と Windows クライアントの両方での SMB ファイル共有に適用されます。 ブルート フォース攻撃ではユーザー名とパスワードの推測を試み、1 秒あたり数十から数千回の試行で SMB サーバーを攻撃する可能性があります。 SMB 認証レート リミッターが既定で有効になったため、失敗した NTLM またはローカル KDC Kerberos ベースの各認証試行の間に 2 秒の遅延が発生します。 その結果、5 分間 (90,000 回の試行) で 1 秒あたり 300 回の推測を送信する攻撃が完了するまでに 50 時間かかるようになりました。 これにより、攻撃者がこの方法を続行できる可能性がはるかに低くなります。
詳細については、以下をご覧ください。
SMB クライアント暗号化義務付けのサポートを開始
SMB クライアントで、すべての送信 SMB 接続の暗号化を義務付けることができるようになりました。 この対策により、最高レベルのネットワーク セキュリティが実現され、SMB 署名が同じレベルの管理に使用されるようになります。 有効にすると、SMB クライアントは SMB 3.0 以降と SMB 暗号化をサポートする SMB サーバーにのみ接続します。 サードパーティ SMB サーバーで SMB 3.0 はサポートされていても、SMB 暗号化がサポートされていない場合があります。 SMB 署名とは異なり、暗号化は既定では必須ではありません。
詳細については、「 Windows で暗号化を要求するように SMB クライアントを構成する」を参照してください。
SMB 方言の管理
SMB 2 および 3 プロトコル バージョンの使用を強制できるようになりました。 以前は、SMB サーバーとクライアントでは、SMB 2.0.2 から 3.1.1 に最も一致した方言の自動ネゴシエーションのみをサポートしていました。 この新機能により、古いプロトコル バージョンまたはデバイスが接続されるのを意図的に防止できます。 たとえば、プロトコルの最も安全な方言である SMB 3.1.1 のみを使用する接続を指定できます。 最小値と最大値は SMB クライアントとサーバーの両方で個別に設定でき、必要に応じて最小値のみを設定できます。
詳細については、以下をご覧ください。
SMB ファイアウォールの既定のポートの変更
SMB NetBIOS ポートは組み込みのファイアウォール ルールに含まれなくなりました。 これらのポートは SMB1 の使用にのみ必要でしたが、現在は非推奨となっており、既定で削除されています。 この変更により、SMB ファイアウォール ルールは Windows Server ファイル サーバー ロールの標準的な動作に合わせて調整されます。 管理者はレガシー ポートを復元するようにルールを再構成できます。
詳細については、 「更新したファイアウォール規則」を参照してください。
SMB のセキュリティで保護されていないゲスト認証
既定では、Windows 11 Pro では SMB クライアントのゲスト接続や、SMB サーバーへのゲスト フォールバックが許可されなくなりました。 これにより、Windows 10 および Windows 11 Enterprise、Education、Pro for Workstation の各エディションの動作に合わせて Windows 11 Pro が導入されます。 ゲスト ログオンではパスワードは必要ありません。また、署名や暗号化などの標準的なセキュリティ機能はサポートされていません。
クライアントによるゲスト ログオンの使用を許可すると、ユーザーは中間者攻撃シナリオや悪意のあるサーバー シナリオのリスクにさらされます。 たとえば、リモート共有上のファイルを開くようユーザーを騙すフィッシング攻撃や、クライアントに正当であると思い込ませる偽装サーバーなどが挙げられます。 攻撃者はユーザーの資格情報を知る必要はありません。脆弱なパスワードは無視されます。 既定では、サードパーティのリモート デバイスのみにゲスト アクセスが要求されます。
詳細については、「SMB2 および SMB3 でセキュリティで保護されていないゲスト ログオンを有効にする方法」を参照してください。
SMB NTLM ブロック
SMB クライアントで、リモート発信接続の NTLM 認証を防止できるようになりました。 これにより、Kerberos から NTLM にダウングレードできるネゴシエートされた認証を常に使用する以前の動作が変更されます。 NTLM 認証をブロックすることで、悪意のあるサーバーへの NTLM 要求の送信からクライアント デバイスが保護され、ブルート フォース攻撃、クラッキング攻撃、リレー攻撃、Pass-the-Hash 攻撃が軽減されます。
NTLM ブロックは、組織の認証を Kerberos に適用する場合に必要となります。チケット システムと優れた暗号化を使用して身元を検証するため、こちらの方が安全です。 管理者は、特定のサーバーに対する SMB 経由の NTLM 認証を許可する例外を指定できます。
詳細については、以下をご覧ください。
SMB over QUIC クライアント アクセス制御
SMB over QUIC クライアント アクセス制御によって、SMB over QUIC サーバーにアクセスできるクライアントを制限できます。 以前の動作では、QUIC サーバーの証明書発行チェーンを信頼するすべてのクライアントからの接続試行が許可されていました。 クライアント アクセス制御では、デバイスがファイル サーバーに接続するための許可リストとブロックリストが作成されます。
SMB 接続を実行する前に、クライアントに独自の証明書があること、および QUIC 接続を確立するために許可リストに登録されていることが必須となりました。 クライアント アクセス制御では、SMB 接続中に使用される認証を変更することなく、組織の保護を強化します。ユーザー エクスペリエンスは影響を受けません。 さらに、SMB over QUIC クライアントを完全に無効にすることも、特定のサーバーへの接続のみを許可することもできます。
詳細については、以下をご覧ください。
Windows Server の SMB over QUIC
SMB over QUIC は、Windows Server 2025 のすべてのエディションで使用できるようになりましたが、Windows Server 2022 の Azure Edition にのみ存在していました。 SMB over QUIC は、古い TCP プロトコルの代替手段であり、インターネットなどの信頼されていないネットワークで使用することを目的としています。 TLS 1.3 と証明書は、すべての SMB トラフィックが確実に暗号化されるようにするために使用され、VPN を必要とせずにモバイルおよびリモート ユーザーがエッジ ファイアウォールを介して使用できるようにします。 NTLM が必要な場合、QUIC では TCP と同様にユーザー チャレンジ応答 (パスワード データ) がネットワーク上で公開されないようにします。
詳細については、以下をご覧ください。
SMB Remote Mailslot の廃止
Remote Mailslot が非推奨になったことに伴い、Active Directory (AD) での SMB および DC ロケーター プロトコルの使用に対して、既定で Remote Mailslot が有効ではなくなりました。 MS DOS で最初に導入された Remote Mailslot プロトコルは、現在は古くて信頼性が低いと見なされています。 また、認証メカニズムまたは承認メカニズムがないため、安全ではありません。
詳細については、以下をご覧ください。