ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する
[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理機能、およびセキュリティに関する考慮事項について説明します。
リファレンス
[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する] ポリシー設定では、ドメイン コントローラーの NTLM 認証をそのドメイン内において監査することができます。
このポリシー設定をドメイン コントローラーで有効にしたとき、記録されるのは、そのドメイン コントローラーに対する認証トラフィックだけです。
この監査ポリシーを有効にしたときの動作は、[ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定と同じですが、実際にはトラフィックがブロックされません。そのためドメイン コントローラーに対する認証トラフィックを実質的に把握し、そのトラフィックをブロックする準備が整った時点で [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシー設定を有効にし、[ドメイン サーバーに対するドメイン アカウントについて拒否する]、[ドメイン サーバーについて拒否する]、[ドメイン アカウントに対して拒否する] を選択することができます。
設定可能な値
無効
このポリシーが設定されているドメイン コントローラーでは、着信 NTLM トラフィックのイベントが記録されません。
ドメイン サーバーに対するドメイン アカウントについて有効にする
このポリシーが設定されたドメイン コントローラーは、そのドメイン内のアカウントがドメイン サーバーに対して NTLM 認証によってログオンを試みたとき、仮に [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシーが [ドメイン サーバーに対するドメイン アカウントについて拒否する] に設定されている場合 NTLM 認証が拒否されるのならば、そのログオン試行のイベントを記録します。
ドメイン アカウントに対して有効にする
ドメイン コントローラーは、ドメイン アカウントを使った NTLM 認証によるログオンが試みられたとき、仮に [ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証] ポリシーが [ドメイン アカウントに対して拒否する] に設定されている場合 NTLM 認証が拒否されるのならば、そのログオン試行のイベントを記録します。
未定義
[無効] と同じ意味になります。NTLM トラフィックの監査は実行されません。
ベスト プラクティス
実際の環境とテストの期間に応じて、操作イベント ログのサイズを定期的に確認してください。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合またはグループ ポリシーを通じて配布された場合、その変更は再起動しなくても有効になります。
グループ ポリシー
このポリシーの設定と展開をグループ ポリシーを使用して行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。グループ ポリシーが [未構成] に設定されている場合、ローカル設定が適用されます。
監査
このポリシーが意図したとおりに機能しているかどうかは、操作イベント ログを見て確認します。監査イベントおよびブロック イベントは、このコンピューター上のアプリケーションとサービス ログ\Microsoft\Windows\NTLM に格納された操作イベント ログに記録されます。監査イベント収集システムを使用することで、分析に必要なイベントを効率よく収集できます。
このポリシーからの出力を確認できるセキュリティ監査イベントのポリシーはありません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
NTLM 認証と NTLMv2 認証は、SMB 再生攻撃、man-in-the-middle 攻撃、ブルート フォース攻撃など、悪意を持ったさまざまな攻撃の対象となります。NTLM 認証を環境から減らし、ゆくゆくは完全になくすことで、もっと安全なプロトコル (Kerberos Version 5 プロトコルなど) や別の認証メカニズム (スマート カードなど) の使用を Windows オペレーティング システムに強制することができます。
脆弱性
このポリシー設定を有効にすると、ネットワーク内またはドメイン内のどのデバイスが NTLM トラフィックを処理しているかがログから明らかになります。NTLM 認証トラフィックのセキュリティが侵害されると、そうしたデバイスの ID が悪質な方法で利用される可能性があります。このポリシー設定は監査のみを目的としているため、脆弱性を回避したり緩和したりすることはできません。
対策
運用環境でこのポリシー設定を有効にするときは、ログ ファイルへのアクセスを制限してください。
潜在的な影響
このポリシー設定を有効にしなかった (または構成しなかった) 場合、NTLM 認証トラフィックの情報は記録されません。このポリシー設定を有効にした場合に作用するのは監査機能だけであり、強固なセキュリティが導入されるわけではありません。