Microsoft、Windows 11 Canary ビルド 25381 で SMB 署名を必須に
Microsoft は本日、Canary チャネルで Insider 向けに最新の Windows 11 ビルドをリリースしました。新しいビルド 25381 では、SMB (サーバー メッセージ ブロック) 署名に大きな変更が加えられています。以前は SMB 署名は必須ではありませんでしたが、最新のビルドでは、Windows 11、Windows 10、および Server ではデフォルトで SMB 署名が必要になります。Microsoftによれば、この変更はセキュリティを向上させるために行われたという。
ビルド 25381 の変更ログは次のとおりです。
ビルド 25381 の新機能
SMB 署名要件の変更
Windows 11 Insider Preview Build 25381 Enterprise エディション以降、すべての接続で SMB 署名が既定で必須になりました。これにより、従来の動作が変更されます。Windows 10 および 11 では、 SYSVOL および NETLOGONという名前の共有に接続する場合にのみ、デフォルトで SMB 署名が必要であり、Active Directoryドメイン コントローラーでは、クライアントが接続する場合に SMB 署名が必要でした。これは、現代の環境に合わせて Windows および Windows Server のセキュリティを向上させるキャンペーンの一環です。
Windows および Windows Server のすべてのバージョンは SMB 署名をサポートしています。ただし、サードパーティがそれを無効にしたりサポートしていない可能性があります。SMB 署名を許可しないサードパーティの SMB サーバー上のリモート共有に接続しようとすると、次のいずれかのエラー メッセージが表示される場合があります。
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- 暗号署名が無効です。
この問題を解決するには、SMB 署名をサポートするようにサードパーティの SMB サーバーを構成します。これは Microsoft の公式推奨ガイダンスです。Windows で SMB 署名を無効にしたり、この動作を回避するために SMB1 を使用したりしないでください (SMB1 は署名をサポートしていますが、強制はしません)。署名をサポートしていない SMB デバイスでは、悪意のある当事者からの傍受および中継攻撃が可能になります。
SMB 署名により、SMB コピー操作のパフォーマンスが低下する可能性があります。これは、より多くの物理 CPU コアまたは仮想 CPU、およびより新しい高速 CPU を使用することで軽減できます。
現在の SMB 署名設定を確認するには、次の PowerShell コマンドを実行します。
Get-SmbServerConfiguration | fl requiresecuritysignature
Get-SmbClientConfiguration | fl requiresecuritysignature
クライアント (他のデバイスへの送信) 接続における SMB サインインの要件を無効にするには、昇格された管理者として次の PowerShell コマンドを実行します。
Set-SmbClientConfiguration -RequireSecuritySignature $falseSMB サインイン サーバーの要件を無効にするには (Enterprise Edition デバイスを備えた Windows 11 Insider Preview ビルド 25381 以降)、次の PowerShell コマンドを昇格した管理者として実行します。
Set-SmbServerConfiguration -RequireSecuritySignature $false
再起動は必要ありませんが、既存の SMB 接続は閉じられるまで署名を使用し続けます。
この変更の詳細については、https://aka.ms/SMBSigningOBDを参照してください。
変更点と改善点
[全般的]
- カメラの起動に失敗したり、カメラのシャッターが閉じたりするなど、カメラのストリーミングの問題が検出された場合は、ポップアップ ダイアログが表示され、問題を解決するための自動ヘルプ トラブルシューティング ツールを起動するよう推奨されます。
公式ブログ投稿はここにあります。
コメントを残す