Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル
[Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、クライアント デバイスがサーバー メッセージ ブロック (SMB) プロトコルを使用してセッションを確立するときに、クライアント デバイスから提供されたサービス プリンシパル名 (SPN) に対して共有フォルダーまたはプリンターを所有しているサーバーが実行する検証のレベルを制御します。検証のレベルを制御すると、SMB サービスに対する攻撃 (SMB リレー攻撃と呼ばれます) などを防ぐのに役立ちます。この設定は、SMB1 と SMB2 の両方に影響します。
SMB を使用するサーバーは、ファイル システムやその他のリソース (プリンターなど) をネットワーク接続されたクライアント デバイスで利用できるようにします。SMB を使用するほとんどのサーバーでは、NT ドメイン認証 (NTLMv1 および NTLMv2) と Kerberos プロトコルを使用して、リソースへのユーザー アクセスを検証します。
設定可能な値
検証レベルのオプションは次のとおりです。
オフ
SMB クライアントの SPN は必須ではなく、SMB サーバーによって検証されません。
クライアントによって提供される場合は受け入れる
SMB サーバーは、SMB クライアントから提供された SPN を受け入れて検証し、SPN の SMB サーバーの一覧と一致する場合にセッションの確立を許可します。SPN が一致しない場合は、SMB クライアントのセッション要求が拒否されます。
クライアントに要求
SMB クライアントは、セッション セットアップで SPN 名を送信する必要があり、送信する SPN 名は、接続の確立を要求する対象の SMB サーバーに一致する必要があります。クライアント デバイスから SPN が提供されない場合や、提供された SPN が一致しない場合は、セッションが拒否されます。
既定の設定は [オフ] です。
ベスト プラクティス
この設定は、サーバーの SMB の動作に影響します。実装する際は、ファイル サーバーおよびプリント サーバーの機能が中断しないように、評価とテストを慎重に実施する必要があります。
注
すべての Windows オペレーティング システムで、クライアント側の SMB コンポーネントとサーバー側の SMB コンポーネントがサポートされています。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
---|---|
既定のドメイン ポリシー |
オフ |
既定のドメイン コントローラー ポリシー |
オフ |
スタンドアロン サーバーの既定の設定 |
オフ |
ドメイン コントローラーの有効な既定の設定 |
検証レベル チェックは実装されていません |
メンバー サーバーの有効な既定の設定 |
検証レベル チェックは実装されていません |
クライアント コンピューターでの GPO の有効な既定の設定 |
検証レベル チェックは実装されていません |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定は、クライアント デバイスが SMB プロトコルを使用してセッションを確立するときに、クライアント デバイスから提供されたサービス プリンシパル名 (SPN) に対して共有フォルダーまたはプリンターを所有しているサーバーが実行する検証のレベルを制御します。検証のレベルを制御すると、SMB サーバーに対する攻撃 (SMB リレー攻撃と呼ばれます) などを防ぐのに役立ちます。この設定は、SMB1 と SMB2 の両方に影響します。
対策
使用環境に適した対策については、上記の「設定可能な値」を参照してください。
潜在的な影響
すべての Windows オペレーティング システムで、クライアント側の SMB コンポーネントとサーバー側の SMB コンポーネントがサポートされています。この設定は、サーバーの SMB の動作に影響します。実装する際は、ファイル サーバーおよびプリント サーバーの機能が中断しないように、評価とテストを慎重に実施する必要があります。
SMB プロトコルは広く導入されているため、オプションを [クライアントによって提供される場合は受け入れる] または [クライアントに要求] に設定すると、一部のクライアントが環境内の一部のサーバーに正常に認証されなくなります。