ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する
[ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理機能、セキュリティに関する考慮事項について説明します。
リファレンス
[ネットワーク セキュリティ: NTLM を制限する: NTLM 認証に対するリモート サーバーの例外を追加する] ポリシー設定では、[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] ポリシー設定が構成されている場合でも例外的に NTLM 認証の使用をクライアント デバイスに許可するリモート サーバーのリストを作成できます。
このポリシー設定を構成した場合、NTLM 認証の使用をクライアント デバイスに許可するリモート サーバーのリストを定義できます。
このポリシー設定を構成しなかった場合は例外が適用されず、[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] が有効になっていると、クライアント デバイスから試行される NTLM 認証は失敗します。
アプリケーションで使用する NetBIOS サーバーの名前を列挙します。名前付け形式に従って 1 行につき 1 件ずつ指定してください。例外を確実に適用するには、すべてのアプリケーションで使用される名前を例外リストに含める必要があります。文字列の任意の位置に、ワイルドカード文字としてアスタリスク (*) を 1 個使用できます。
設定可能な値
リモート サーバーのユーザー定義リスト
NTLM 認証の使用をクライアントに許可するリモート サーバーのリストを入力すると、このポリシーが定義されて有効化されます。
未定義
サーバーのリストを定義することによってこのポリシー設定を構成しなかった場合、ポリシーは未定義となり、例外は適用されません。
ベスト プラクティス
最初に [ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する] または [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] ポリシー設定を適用し、これらの認証の試行に関与するサーバーを把握するために操作イベント ログを確認すると、除外するサーバーを決定できます。
サーバー例外リストを設定したら、[ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する] または [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] ポリシー設定を適用し、NTLM トラフィックをブロックするポリシーの設定前に操作イベント ログを再度確認します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを通じて行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。グループ ポリシーの設定が [未構成] に設定されている場合、ローカル設定が適用されます。
監査
サーバー例外リストが意図したとおりに機能しているかどうかは、操作イベント ログを見て確認します。監査イベントおよびブロック イベントは、このデバイス上のアプリケーションとサービス ログ\Microsoft\Windows\NTLM に格納された操作イベント ログに記録されます。
このポリシーからの出力を表示するための構成に対応したセキュリティ監査ポリシーはありません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Kerberos など、より安全なプロトコルを使用する必要があるなどの理由から、クライアント デバイスからリモート サーバーに対する NTLM 認証プロトコルの使用を禁止する必要がある場合でも、NTLM を使用するクライアント アプリケーションが一部存在する可能性はあります。その場合、[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] を拒否オプションのいずれかに設定すると、クライアント コンピューターから送信される NTLM 認証トラフィックがブロックされるため、そのアプリケーションは失敗します。
NTLM 認証の使用をクライアント デバイスに許可するサーバーの例外リストを定義した場合、これらのクライアント アプリケーションとサーバーとの間で NTLM 認証のトラフィックが今までどおりに通過できます。その場合サーバーは、NTLM に存在するセキュリティの弱点を利用した悪質な攻撃に対して弱くなります。
対策
[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] を監査のみのモードで使用すると、どのクライアント アプリケーションが環境内のリモート サーバーに NTLM 認証要求を行っているかを確認して判断できます。NTLM 認証でも最低限のセキュリティ要件を満たせているかどうかは、評価時にケースバイケースで判断する必要があります。セキュリティ要件を満たしていない場合は、NTLM 以外の認証方法を使うようにクライアント アプリケーションをアップグレードする必要があります。
潜在的な影響
このポリシー設定に使用するサーバーのリストを定義すると、それらのサーバーを使用するクライアント アプリケーションからの NTLM 認証トラフィックが有効になり、セキュリティ上の脆弱性を招くおそれがあります。
このリストを定義せずに、[ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック] を有効にすると、NTLM を使用するクライアント アプリケーションで以前使用したサーバーに対する認証に失敗します。