次の方法で共有

SMB で NTLM 接続をブロックする

  • [アーティクル]

SMBクライアントは、リモート発信接続のNTLM認証のブロックをサポートするようになりました。 NTLM 認証をブロックすることで、悪意のある第三者がクライアントを騙して悪意のあるサーバに NTLM リクエストを送信することを防ぎ、ブルートフォース攻撃、クラッキング攻撃、パスザハッシュ攻撃に対抗することができます。 NTLM のブロックは、組織の認証プロトコルを Kerberos に変更する場合にも必要です。Kerberos はチケットシステムによりサーバの身元を検証することができるため、NTLM よりも安全です。 しかし、組織は NTLM を完全に無効にすることなく、この保護レイヤを有効にすることも可能です。

前提条件

SMB クライアントで NTLM をブロックするには、以下の前提条件が必要です:

  • 次のいずれかのオペレーティング システムで実行されている SMB クライアント。
    • Windows Server 2025 以降。
    • Windows 11 バージョン 24H2 以降。
  • Kerberosを使用できるSMBサーバー。

ヒント

NTLM ブロックは SMB クライアントのみの機能です。 SMBクライアントはWindows ServerとWindowsクライアントの両方のオペレーティングシステムに組み込まれている。 宛先の SMB サーバは、PKU2U または Kerberos を使用できるオペレーティング・システムであれば何でもよい。

SMB クライアント NTLM ブロックの設定

Windows Server 2025 および Windows 11 バージョン 24H2 以降では、NTLM をブロックするように SMB を構成するオプションがあります。 それ以前のバージョンのWindowsを実行しているデプロイメントのセキュリティを向上させるには、関連するグループポリシーを編集するか、PowerShellで特定のコマンドを実行して、手動でNTLMを無効にする必要がある。

NTLM ブロックの設定方法

  1. [グループ ポリシー管理コンソール] を開きます。

  2. コンソールツリーで、[Computer Configuration>Administrative Templates>Network>Lanman Workstation] に移動します。

  3. [ブロック NTLM (LM、NTLM、NTLMv2)] を右クリックし、[編集] を選択します。

  4. [有効] を選択します。

NTLM ブロックの例外を有効にする

NTLM をグローバルにブロックするのではなく、特定のマシンに対して NTLM の使用を許可する必要がある場合がある。 例えば、接続しようとしている SMB サーバーが Active Directory ドメインに参加していない場合などです。

NTLM ブロックの例外リストを有効にします:

  1. グループ ポリシー エディタ コンソール ツリーで、[コンピュータの構成]> - [管理テンプレート]> - >[NetworkLanman Workstation] に移動します。

  2. [Block NTLM Server Exception List] を右クリックし、[Edit] を選択します。

  3. [有効] を選択します。

  4. NTLM 認証を許可するリモートマシンの IP アドレス、NetBIOS 名、完全修飾ドメイン名 (FQDN) を入力します。

SMB ドライブのマッピング時に NTLM をブロックする

以下のコマンドを実行することで、新しいSMBドライブをマッピングする際にNTLMをブロックすることもできます。

NET USE でドライブをマッピングするときに NTLM ブロックを指定するには、このコマンドを実行します:

NET USE \\server\share /BLOCKNTLM

SMBドライブのマッピング時にNTLMブロックを指定するには、このコマンドを実行します:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

関連するコンテンツ