Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
サーバー メッセージ ブロック (SMB) プロトコルは、ファイルとプリンターの共有、およびリモート Windows 管理などの多くのネットワーク操作の基盤を提供します。転送中の SMB パケットを変更する man-in-the-middle 攻撃を防ぐために、SMB プロトコルは SMB パケットのデジタル署名をサポートしています。このポリシー設定は、それ以降のサーバー サービスとの通信を許可する前に、SMB パケット署名をネゴシエートする必要があるかどうかを決定します。
高度なセキュリティのネットワークでデジタル署名を実装すると、"セッション ハイジャック" として知られるクライアント コンピューターやサーバーの偽装を防ぐのに役立ちます。ただし、これらのポリシー設定は誤って使用されることが多く、データが失われたり、データ アクセスやデータ セキュリティの問題が発生したりする原因となる場合があります。
サーバー側の SMB 署名が必要な場合、クライアント側の SMB 署名が有効になっていない限り、クライアント デバイスは、そのサーバーとのセッションを確立することはできません。既定では、クライアント側の SMB 署名は、ワークステーション、サーバー、およびドメイン コントローラーで有効になっています。同様に、クライアント側の SMB 署名が必要な場合、そのクライアント デバイスは、パケット署名が有効になっていないサーバーとのセッションを確立することはできません。既定では、サーバー側の SMB 署名は、ドメイン コントローラーでのみ有効になっています。
サーバー側の SMB 署名が有効になっている場合、SMB パケット署名は、SMB 署名を有効にしたクライアント コンピューターとネゴシエートされます。
SMB パケット署名を使用すると、ファイル サービスのトランザクションで最大 15% のパフォーマンス低下を招くことがあります。
サーバー メッセージ ブロック (SMB) 通信のパケット署名の要件に関連するポリシー設定は他に次の 3 つがあります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
次のセキュリティ ポリシー設定を次に示すとおり構成します。
[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う] を無効にする。
または、これらのポリシー設定をすべて [有効] に設定することもできますが、その場合、クライアント デバイスのパフォーマンスが低下する原因となり、レガシ SMB アプリケーションおよびオペレーティング システムと通信できなくなる場合があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
セッション ハイジャックでは、クライアント デバイスまたはサーバーと同じネットワークにアクセスできる攻撃者が、ツールを使用して実行中のセッションを中断、終了、または盗難します。攻撃者は、署名されていないサーバー メッセージ ブロック (SMB) パケットをインターセプトして変更し、トラフィックを変更して転送することで、サーバーに問題のある動作を実行させる可能性があります。また攻撃者は、正当な認証の後にサーバーまたはクライアント コンピューターに偽装して、データへの不正アクセスを行う可能性もあります。
SMB は、多くの Windows オペレーティング システムでサポートされているリソース共有プロトコルです。NetBIOS をはじめとする多くのプロトコルのベースとなっています。SMB 署名は、データをホストするサーバーとユーザーを認証します。どちらかで認証プロセスが失敗した場合、データ転送は行われません。
対策
ポリシー設定を次のとおり構成します。
[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う] を無効にする。
環境の安全性を高めるには、これらの設定をすべて有効に構成することをお勧めします。ただし、そのように構成すると、クライアント デバイスでパフォーマンスが低下する原因となり、以前の SMB アプリケーションおよびオペレーティング システムと通信できなくなる場合があります。
注
すべてのネットワーク トラフィックを保護できる別の対策として、IPsec によるデジタル署名の実装があります。IPsec の暗号化と署名では、ハードウェア ベースのアクセラレータを利用でき、サーバーの CPU に与えるパフォーマンスの影響を最小限に抑えることができます。SMB 署名を利用できるアクセラレータはありません。
潜在的な影響
SMB ファイルとプリンター共有プロトコルの実装は、相互認証をサポートします。これにより、セッション ハイジャック攻撃を防ぎ、man-in-the-middle 攻撃を防ぐメッセージ認証がサポートされます。SMB 署名では、各 SMB にデジタル署名を配置してこの認証を実現し、クライアントおよびサーバーで検証されます。
SMB 署名を実装すると、各パケットの署名と検証が必要になるため、パフォーマンスに悪影響を与える可能性があります。ドメイン コントローラー、ファイル サーバー、プリント サーバー、およびアプリケーション サーバーとして機能する小企業向けサーバーなど、複数の機能を提供しているサーバーでこれらの設定を有効にすると、パフォーマンスが大幅に低下する可能性があります。また、署名されていないすべての SMB 通信を無視するようデバイスを構成すると、以前のアプリケーションおよびオペレーティング システムは接続できなくなります。ただし、すべての SMB 署名を完全に無効にすると、コンピューターはセッション ハイジャック攻撃に対して脆弱になります。