ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ
[ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
クライアント デバイスは、このポリシー設定によって、128 ビット暗号化または NTLMv2 セッション セキュリティのネゴシエーションを要求できます。これらの値は、[ネットワーク セキュリティ: LAN Manager 認証レベル] ポリシーの設定値に依存します。
このポリシー設定の値をすべて設定することによって、NTLM セキュリティ サポート プロバイダー (NTLM SSP) を使用するネットワーク トラフィックを保護し、同じネットワークへのアクセス権を得た悪意のあるユーザーによってネットワーク トラフィックが危険にさらされたり、改ざんされたりするのを防ぐことができます。つまり、これらの設定は、man-in-the-middle 攻撃からの防御手段となります。
設定可能な値
128 ビット暗号化が必要。強力な暗号化 (128 ビット) がネゴシエートされなかった場合、接続に失敗します。
NTLMv2 セッション セキュリティが必要。NTLMv2 プロトコルがネゴシエートされなかった場合、接続に失敗します。
未定義。
ベスト プラクティス
- このセキュリティ ポリシーで使用できるすべての値を有効にします。これらのポリシー設定をサポートしていないレガシ クライアント デバイスは、サーバーと通信できなくなります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
128 ビット暗号化が必要 |
DC の有効な既定の設定 |
128 ビット暗号化が必要 |
メンバー サーバーの有効な既定の設定 |
128 ビット暗号化が必要 |
クライアント コンピューターの有効な既定の設定 |
128 ビット暗号化が必要 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの依存関係
このセキュリティ ポリシーの設定は、[ネットワーク セキュリティ: LAN Manager 認証レベル] ポリシーの設定値に依存します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
NTLM セキュリティ サポート プロバイダー (NTLM SSP) を使用するネットワーク トラフィックはセキュリティが低く、ネットワークへのアクセス権を得た人物による man-in-the-middle 攻撃にさらされる可能性があります。
対策
[ネットワーク セキュリティ: NTLM SSP ベース (セキュア RPC を含む) のサーバー向け最小セッション セキュリティ] ポリシー設定で利用可能なすべてのオプションを有効にしてください。
潜在的な影響
これらのセキュリティ設定をサポートしていない以前のクライアント デバイスは、このポリシーが設定されているコンピューターとは通信できません。