Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間
[Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
各サーバー メッセージ ブロック (SMB) セッションは、サーバー リソースを消費します。多数の null セッションが確立すると、サーバーの速度が低下したり、場合によっては停止する原因になります。悪意のあるユーザーは、サーバーが応答を停止するまで、SMB セッションの確立を繰り返す可能性があります。この時点で、SMB サービスは速度が低下するか応答しなくなります。
[Microsoft ネットワーク サーバー: セッションを中断するまでに必要とするアイドル時間] ポリシー設定は、非アクティブになったセッションを中断するまでに、SMB セッションで経過する必要がある合計連続アイドル時間を決定します。このポリシー設定を使用すると、デバイスが非アクティブな SMB セッションを中断するタイミングを制御できます。クライアント デバイスがアクティブ状態に戻ると、セッションは自動的に再確立されます。
設定可能な値
ユーザー定義時間は、0 ~ 99,999 分です。
このポリシー設定の値を 0 にすると、無理のない範囲でできる限り早くアイドル セッションを切断します。最大値は、99999 (208 日) で、事実上ポリシーの無効化と同じです。
未定義
ベスト プラクティス
- このポリシーは 15 分に設定することをお勧めします。クライアントがアクティブ状態に戻ると、SMB セッションは自動的に再確立されるため、影響はほとんどありません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
15 分 |
DC の有効な既定の設定 |
15 分 |
メンバー サーバーの有効な既定の設定 |
15 分 |
クライアント コンピューターの有効な既定の設定 |
15 分 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
各 SMB セッションはサーバー リソースを消費するため、多数の null セッションが発生すると、サーバーの速度が低下したり、場合によっては停止する原因になります。攻撃者は、サーバーの SMB サービスの速度が低下するか応答しなくなるまで、SMB セッションの確立を繰り返す可能性があります。
対策
サーバー上の既定の動作の仕様によりこの脅威を軽減します。
潜在的な影響
クライアント コンピューターがアクティブ状態に戻ると、SMB セッションは自動的に再確立されるため、影響はほとんどありません。