ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する
[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理機能、およびセキュリティに関する考慮事項について説明します。
リファレンス
[ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] ポリシー設定では、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定で拒否オプションのいずれかを設定すると、クライアント デバイスに NTLM パススルー認証の使用を許可するこのドメイン内のサーバーの例外リストを作成できます。
このポリシー設定を構成した場合、NTLM 認証の使用をクライアント デバイスに許可する同一ドメイン内サーバーのリストを定義できます。
このポリシー設定を構成しなかった場合は例外が適用されず、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] が有効になっていると、そのドメイン内で試行されるすべての NTLM 認証は失敗します。
NetBIOS サーバーの名前を列挙します。名前付け形式に従って 1 行につき 1 件ずつ指定してください。文字列の任意の位置に、ワイルドカード文字としてアスタリスク (*) を 1 個使用できます。
設定可能な値
サーバーのユーザー定義リスト
NTLM 認証の使用をクライアントに許可する同一ドメイン内サーバーのリストを入力すると、このポリシーが定義されて有効化されます。
未定義
サーバーのリストを定義することによってこのポリシー設定を構成しなかった場合、ポリシーは未定義となり、例外は適用されません。
ベスト プラクティス
例外とするサーバーを選ぶ前にまず、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] ポリシー設定を適用したうえで操作ログを確認し、これらの認証要求に携わるドメイン コントローラーを把握します。
サーバー例外リストを設定したら、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] のポリシー設定を適用します。NTLM トラフィックをブロックするポリシーを設定する前に、もう一度操作ログを確認してください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合またはグループ ポリシーを通じて配布された場合、その変更は再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを通じて行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。グループ ポリシーが [未構成] に設定されている場合、ローカル設定が適用されます。
監査
サーバー例外リストが意図したとおりに機能しているかどうかは、操作イベント ログを見て確認します。監査イベントおよびブロック イベントは、このコンピューター上のアプリケーションとサービス ログ\Microsoft\Windows\NTLM に格納された操作イベント ログに記録されます。
このポリシーからの出力を表示するための構成に対応したセキュリティ監査ポリシーはありません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Kerberos など、より安全なプロトコルを使用する必要があるなどの理由から、ドメイン内での NTLM 認証プロトコルの使用を避けるべきという判断に至った場合でも、NTLM 認証のトラフィックをそのドメイン内から完全に排除することができない可能性もあります。そのような場合、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] の設定で "拒否" を意味するいずれかのオプションを選んだ場合、NTLM 認証要求はパススルー メンバー サーバーによってブロックされて失敗します。
NTLM パススルー認証の使用を例外的にクライアント コンピューターに許可する同一ドメイン内サーバーのリストを定義した場合、NTLM 認証トラフィックが今までどおり、それらのサーバー間でやり取りできるため、NTLM に存在するセキュリティの弱点を利用した悪質な攻撃に対して弱くなります。
対策
[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] を監査のみのモードで使用すると、どのクライアント アプリケーションがパススルー認証サーバーに NTLM 認証要求を行っているかを確認して判断できます。NTLM 認証でも最低限のセキュリティ要件を満たせているかどうかは、評価時にケースバイケースで判断する必要があります。
潜在的な影響
このポリシー設定に使用するサーバーのリストを定義すると、それらのサーバー間の NTLM 認証トラフィックが有効になり、セキュリティ上の脆弱性を招くおそれがあります。
このリストを定義せずに [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] を有効にした場合、対象ドメイン内でそれまで使用できていたパススルー サーバーに対する NTLM 認証ができなくなります。