ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する
[ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシーは、Windows Server 2008 R2 および Windows 7 以降を実行しているデバイスと以前のバージョンの Windows オペレーティング システムを実行しているデバイスの間での認証処理中のセッション セキュリティに影響します。Windows Server 2008 R2 および Windows 7 以降を実行しているコンピューターでは、ローカル システムとして実行されているサービスがセッション キーを生成するためにサービス プリンシパル名 (SPN) を必要とします。ただし、[ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する] が無効に設定されている場合は、ローカル システムとして実行しているサービスが、Windows Vista または Windows Server 2008 より前のバージョンの Windows を実行するサービスにデータを送信すると、NULL セッション認証を使用してフォールバックします。NULL セッションでは認証のたびに一意のセッション キーが確立されないため、整合性や機密性の保護が行われません。[ネットワーク セキュリティ: LocalSystem による NULL セッション フォールバックを許可する] の設定では、セッション セキュリティの使用を要求するサービスに対して、アプリケーションの互換性のために既知のキーを使用して署名または暗号化の機能を実行することを許可するかどうかを決定します。
設定可能な値
有効
ローカル システムとして実行されているサービスが NULL セッションで接続する場合、システム生成のセッション キーが作成されます。このセッション キーでは保護が行われませんが、アプリケーションによるデータへの署名と暗号化はエラーなしで行われます。その結果、アプリケーションの互換性は高まりますが、セキュリティのレベルは低下します。
無効
ローカル システムとして実行されているサービスが NULL セッションで接続する場合、セッション セキュリティは利用できません。暗号化または署名の呼び出しは失敗します。この設定ではセキュリティは強化されますが、アプリケーションの互換性が低下する可能性があります。NULL セッションではなくデバイス ID を使用する呼び出しでは、この設定でもセッション セキュリティが全面的に利用されます。
未定義。このポリシーが定義されていない場合、既定値が有効になります。Windows Server 2008 R2 および Windows 7 より前のバージョンの Windows オペレーティング システムでは、このポリシーが [有効] になっており、それ以外の場合は、[無効] になっています。
ベスト プラクティス
サービスがデバイス ID を使用して接続する場合、データ保護を行うために署名と暗号化がサポートされます。サービスが NULL セッションで接続する場合、このレベルのデータ保護は行われません。ただし、環境を評価して、サポートする Windows オペレーティング システムのバージョンを確認する必要があります。このポリシーを有効にすると、一部のサービスで認証が行われなくなる可能性があります。
このポリシーは、Windows Server 2008 および Windows Vista (SP1 以降) に適用されます。環境で Windows NT 4 のサポートが不要になった場合、このポリシーを無効にする必要があります。Windows 7 および Windows Server 2008 R2 以降では、このポリシーが既定で無効になっています。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
該当なし |
メンバー サーバーの有効な既定の設定 |
該当なし |
クライアント コンピューターでの GPO の有効な既定の設定 |
該当なし |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
この設定が [有効] になっている場合、サービスが NULL セッションで接続すると、システム生成のセッション キーが作成されます。このセッション キーでは保護が行われませんが、アプリケーションによるデータへの署名と暗号化はエラーなしで行われます。保護対象のデータが公開される可能性があります。
対策
ポリシー [ネットワーク セキュリティ: NTLM で Local System によるコンピューター ID の使用を許可する] を使用して、ローカル システムに対してコンピューター ID を使用するようにコンピューターを構成できます。それができない場合、このポリシーを使用して、既知のキーで保護されているデータが転送中に公開されないように保護することができます。
潜在的な影響
このポリシーを有効にすると、ローカル システムで NULL セッションを使用するサービスで、署名および暗号化の使用が禁止されているために認証が失敗する可能性があります。