ポリシー CSP - ADMX_LanmanServer
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
Pol_CipherSuiteOrder
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_CipherSuiteOrder
このポリシー設定は、SMB サーバーによって使用される暗号スイートを決定します。
このポリシー設定を有効にすると、暗号スイートは指定した順序で優先されます。
このポリシー設定を有効にし、サポートされている暗号スイートを少なくとも 1 つ指定しない場合、またはこのポリシー設定を無効にするか、構成しない場合は、既定の暗号スイートの順序が使用されます。
SMB 3.11 暗号スイート:
AES_128_GCM。
AES_128_CCM。
AES_256_GCM。
AES_256_CCM。
SMB 3.0 および 3.02 暗号スイート:
AES_128_CCM。
この設定を変更する方法:
目的の暗号スイートを編集ボックスに配置し、1 行に 1 つの暗号スイートを、最も優先される暗号スイートを一番上に配置します。 使用しない暗号スイートを削除します。
注
このセキュリティ設定を構成する場合、Windows を再起動するまで変更は有効になりません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Pol_CipherSuiteOrder |
| フレンドリ名 | 暗号スイートの順序 |
| 場所 | [コンピューターの構成] |
| パス | ネットワーク > Lanman Server |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\LanmanServer |
| ADMX ファイル名 | LanmanServer.admx |
Pol_HashPublication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HashPublication
このポリシー設定では、ハッシュ生成サービスが、共有フォルダーに格納されているデータのハッシュ (コンテンツ情報とも呼ばれます) を生成するかどうかを指定します。 このポリシー設定は、File Services ロールを持ち、ファイル サーバーと BranchCache for Network Files ロール サービスの両方がインストールされているサーバー コンピューターに適用する必要があります。
ポリシー構成。
次のいずれかのオプションを選択してください:
未構成。 この選択では、ハッシュ パブリケーション設定はファイル サーバーには適用されません。 ファイル サーバーがドメイン メンバーであるが、すべてのファイル サーバーで BranchCache を有効にしたくない状況では、このドメイン グループ ポリシー設定に対して [未構成] を指定し、個々のファイル サーバーで BranchCache を有効にするようにローカル コンピューター ポリシーを構成できます。 ドメイン グループ ポリシー設定は構成されていないため、BranchCache を有効にする個々のサーバーで使用する有効な設定は書き込み過ぎません。
有効。 この選択により、グループ ポリシーが適用されているすべてのファイル サーバーに対してハッシュパブリケーションが有効になります。 たとえば、ドメイン グループ ポリシーで BranchCache のハッシュ パブリケーションが有効になっている場合、ポリシーが適用されているすべてのドメイン メンバー ファイル サーバーに対してハッシュ パブリケーションが有効になります。 ファイル サーバーは、BranchCache 対応のファイル共有に格納されているすべてのコンテンツのコンテンツ情報を作成できます。
無効。 この選択により、グループ ポリシーが適用されているすべてのファイル サーバーに対してハッシュパブリケーションがオフになります。
このポリシー設定が有効になっている状況では、次の構成オプションを選択することもできます。
すべての共有フォルダーのハッシュ公開を許可します。 このオプションを使用すると、BranchCache はファイル サーバー上のすべての共有内のすべてのコンテンツのコンテンツ情報を生成します。
BranchCache が有効になっている共有フォルダーに対してのみハッシュパブリケーションを許可します。 このオプションを使用すると、BranchCache が有効になっている共有フォルダーに対してのみコンテンツ情報が生成されます。 この設定を使用する場合は、ファイル サーバーの [共有と記憶域の管理] で個々の共有に対して BranchCache を有効にする必要があります。
すべての共有フォルダーでハッシュの発行を禁止します。 このオプションを使用すると、BranchCache はコンピューター上の共有のコンテンツ情報を生成せず、コンテンツを要求するクライアント コンピューターにコンテンツ情報を送信しません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Pol_HashPublication |
| フレンドリ名 | BranchCache のハッシュパブリケーション |
| 場所 | [コンピューターの構成] |
| パス | ネットワーク > Lanman Server |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\LanmanServer |
| ADMX ファイル名 | LanmanServer.admx |
Pol_HashSupportVersion
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HashSupportVersion
このポリシー設定では、BranchCache ハッシュ生成サービスがバージョン 1 (V1) ハッシュ、バージョン 2 (V2) ハッシュ、または V1 ハッシュと V2 ハッシュの両方をサポートするかどうかを指定します。 ハッシュ (コンテンツ情報とも呼ばれます) は、BranchCache が有効になっている共有フォルダー内のデータに基づいて作成されます。
サポートされているバージョンを 1 つだけ指定した場合、そのバージョンのコンテンツ情報は BranchCache によって生成される唯一の種類であり、クライアント コンピューターによって取得できる唯一の種類のコンテンツ情報です。 たとえば、V1 ハッシュのサポートを有効にした場合、BranchCache は V1 ハッシュのみを生成し、クライアント コンピューターは V1 ハッシュのみを取得できます。
ポリシー構成。
次のいずれかのオプションを選択してください:
未構成。 この選択により、BranchCache 設定はこのポリシー設定によってクライアント コンピューターに適用されません。 この状況では、既定では、V1 と V2 の両方のハッシュ生成と取得がサポートされます。
有効。 この選択により、ポリシー設定が適用され、"サポートされているハッシュ バージョン" で指定されたハッシュ バージョンが生成され、取得されます。
無効。 この選択により、V1 と V2 の両方のハッシュ生成と取得がサポートされます。
この設定が有効になっている状況では、次のオプションを選択して構成することもできます。
サポートされているハッシュ バージョン:
V1 コンテンツ情報のみをサポートするには、値 1 で "サポートされているハッシュ バージョン" を構成します。
V2 コンテンツ情報のみをサポートするには、値 2 で "サポートされているハッシュ バージョン" を構成します。
V1 と V2 の両方のコンテンツ情報をサポートするには、値 3 で "サポートされているハッシュ バージョン" を構成します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Pol_HashSupportVersion |
| フレンドリ名 | BranchCache のハッシュ バージョンのサポート |
| 場所 | [コンピューターの構成] |
| パス | ネットワーク > Lanman Server |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\LanmanServer |
| ADMX ファイル名 | LanmanServer.admx |
Pol_HonorCipherSuiteOrder
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_LanmanServer/Pol_HonorCipherSuiteOrder
このポリシー設定は、SMB クライアントとの新しい接続をネゴシエートするときに SMB サーバーが暗号スイートを選択する方法を決定します。
このポリシー設定を有効にすると、SMB サーバーは、クライアントがサポートする暗号スイートの一覧から最も優先する暗号スイートを選択し、クライアントの設定を無視します。
このポリシー設定を無効にするか、構成しない場合、SMB サーバーは、サーバーでサポートされている暗号スイートの一覧から、クライアントが最も優先する暗号スイートを選択します。
注
このセキュリティ設定を構成する場合、Windows を再起動するまで変更は有効になりません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Pol_HonorCipherSuiteOrder |
| フレンドリ名 | 暗号スイートの順序を適用する |
| 場所 | [コンピューターの構成] |
| パス | ネットワーク > Lanman Server |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\LanmanServer |
| レジストリ値の名前 | HonorCipherSuiteOrder |
| ADMX ファイル名 | LanmanServer.admx |