ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証

適用対象

  • Windows 10

ネットワーク セキュリティ: NTLM を制限する: このドメイン セキュリティ ポリシー設定の NTLM 認証に関するベスト プラクティス、場所、値、管理の側面、セキュリティに関する考慮事項について説明します。

リファレンス

ネットワーク セキュリティ: NTLM を制限する: このドメイン ポリシー設定で NTLM 認証を許可すると、このドメイン コントローラーからドメイン内の NTLM 認証を拒否または許可できます。 このポリシー設定は、このドメイン コントローラーへの対話型ログオンには影響しません。

  • 無効

    ドメイン コントローラーは、ドメイン内のすべての NTLM パススルー認証要求を許可します。

  • ドメイン サーバーへのドメイン アカウントの拒否

    ドメイン コントローラーは、このドメインからドメイン内のすべてのサーバーへのアカウントを使用するすべての NTLM 認証サインイン試行を拒否します。 NTLM 認証の試行はブロックされ、サーバー名が [ネットワーク セキュリティ: 制限 NTLM: このドメイン ポリシー設定にサーバー例外を追加する] の例外一覧にない限り、NTLM ブロック エラーが返されます。

    ユーザーが他のドメインに接続している場合は、それらのドメインに NTLM ポリシーを制限するポリシーが設定されているかどうかに応じて、NTLM を使用できます。

  • ドメイン アカウントの拒否

    ドメイン コントローラーのみが、ドメイン アカウントからのすべての NTLM 認証サインイン試行を拒否し、サーバー名がネットワーク セキュリティの例外一覧に含まれていない限り NTLM ブロックエラーを返します :NTLM を制限する: このドメイン ポリシー設定でサーバー例外を追加 します。

  • ドメイン サーバーの拒否

    ドメイン コントローラーは、ドメイン内のすべてのサーバーに対する NTLM 認証要求を拒否し、サーバー名が [ネットワーク セキュリティ: 制限 NTLM: このドメイン ポリシー設定にサーバー例外を追加する] の例外リストに含まれていない限り、NTLM ブロック エラーを返します。 このポリシー設定が構成されている場合、ドメインに参加していないサーバーは影響を受けなくなります。

  • すべて拒否する

    ドメイン コントローラーは、サーバーとそのアカウントからのすべての NTLM パススルー認証要求を拒否し、サーバー名がネットワーク セキュリティの例外一覧にある場合を除き、NTLM ブロックされたエラーを返します : NTLM を制限する: このドメイン ポリシー設定でサーバー例外を追加 します。

  • 未定義

    ドメイン コントローラーは、ポリシーがデプロイされているドメイン内のすべての NTLM 認証要求を許可します。

ベスト プラクティス

拒否オプションのいずれかを選択すると、ドメインへの着信 NTLM トラフィックが制限されます。 まず、 ネットワーク セキュリティ: NTLM を制限する: このドメイン ポリシー設定で NTLM 認証を監査 し、操作ログを確認して、メンバー サーバーに対して行われる認証試行を理解します。 その後、[ ネットワーク セキュリティ: NTLM を制限する: このドメイン ポリシー設定でサーバー例外を追加 する] を使用して、これらのメンバー サーバー名をサーバー例外リストに追加できます。

Location

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未構成
既定のドメイン コントローラー ポリシー 未構成
スタンドアロン サーバーの既定の設定 未構成
ドメイン コントローラーの有効な既定の設定 未構成
メンバー サーバーの有効な既定の設定 未構成
クライアント コンピューターの有効な既定の設定 未構成

ポリシー管理

このセクションでは、このポリシーの管理に役立つさまざまな機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、ローカルに保存したり、グループ ポリシー経由で配布したりすると、再起動せずに有効になります。

グループ ポリシー

グループ ポリシーを使用したこのポリシーの設定と展開は、ローカル デバイスの設定よりも優先されます。 グループ ポリシーが [未構成] に設定されている場合は、ローカル設定が適用されます。 このポリシーは、ドメイン コントローラーにのみ適用されます。

監査

操作イベント ログを表示して、このポリシーが意図したとおりに機能しているかどうかを確認します。 監査イベントとブロック イベントは、 アプリケーションとサービス ログ\Microsoft\Windows\NTLM にある運用イベント ログにこのコンピューターに記録されます。

このポリシーからの出力を表示するように構成できるセキュリティ監査イベント ポリシーはありません。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

NTLM および NTLMv2 認証は、SMB 再生、中間者攻撃、ブルート フォース攻撃など、さまざまな悪意のある攻撃に対して脆弱です。 環境からの NTLM 認証を減らして排除すると、Windows オペレーティング システムでは、Kerberos バージョン 5 プロトコルなどのより安全なプロトコルや、スマート カードなどのさまざまな認証メカニズムを使用することが強制されます。

脆弱性

NTLM 認証トラフィックに対する悪意のある攻撃により、侵害されたサーバーまたはドメイン コントローラーが発生するのは、サーバーまたはドメイン コントローラーが NTLM 要求を処理する場合のみです。 これらの要求が拒否された場合、この攻撃ベクトルは排除されます。

対抗策

Kerberos プロトコルなどのより安全なプロトコルを使用する必要があるため、ネットワーク内で NTLM 認証プロトコルを使用すべきでないと判断された場合は、このセキュリティ ポリシー設定でドメイン内の NTLM の使用を制限するために提供されるいくつかのオプションのいずれかを選択できます。

潜在的な影響

このポリシー設定を構成すると、ドメイン内で多数の NTLM 認証要求が失敗し、生産性が低下する可能性があります。 このポリシー設定を使用してこの変更を実装する前に、[ ネットワーク セキュリティ: NTLM を制限する: このドメインの NTLM 認証を監査 する] を同じオプションに設定します。これにより、潜在的な影響についてログを確認し、サーバーの分析を実行し、 ネットワーク セキュリティを使用してこのポリシー設定から除外するサーバーの例外リストを作成できます。 NTLM を制限する: このドメインにサーバー例外を追加します

関連トピック