Microsoft、SMB署名をデフォルトにした後の「古い安全でない」ゲストアクセスの回避策を詳細に説明

Microsoft、SMB署名をデフォルトにした後の「古い安全でない」ゲストアクセスの回避策を詳細に説明

今月初め、Microsoft はWindows と Windows Server のセキュリティを向上させるために、すべての接続でサーバー メッセージ ブロック (SMB) 署名をデフォルトで必須にしました。同社は、別のブログ投稿で、この変更について詳しく説明しました。これはレドモンドの巨人による継続的な取り組みの一環であり、昨年から始まった。変更の結果、ゲスト アクセスも不可能になります。これは、検証する方法がないため、「古い安全でない」動作とみなされます。

本日、Windows Server エンジニアリング グループの主任プログラム マネージャーである Ned Pyle が、ゲスト認証の問題とその回避策について議論する新しい Tech Community ブログ投稿を公開しました。

ゲスト アクセスを試行すると、次の 2 つのメッセージのいずれかが表示されます。

  • 組織のセキュリティ ポリシーにより認証されていないゲスト アクセスがブロックされているため、この共有フォルダーにアクセスできません。これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。
  • エラー コード: 0x80070035
    ネットワーク パスが見つかりませんでした。

Pyle 氏は、この変更を回避する方法はないため、この問題を真に修正するにはゲスト資格情報の使用を停止するしかないと付け加えています。したがって、これは実際には「修正」ではなく、むしろ受け入れに近いものです。彼らは次のように説明しています。

修理

Microsoft が推奨する解決策は、ゲスト資格情報を使用したサードパーティ製デバイスへのアクセスを停止することです。そのデバイスを見ることができる人は誰でも、パスワードや監査証跡なしですべてのデータにアクセスできます。デバイス メーカーは、顧客がパスワードを忘れたり、より複雑なセットアップ プロセスを必要としたりする必要がないように、ゲスト アクセスを構成します。これらは、私生活や仕事上の生活を保管するには危険な場所です。これらのデバイスの多くは、ユーザー名とパスワードを設定する機能を備えています。ベンダーのドキュメントを参照してください。ソフトウェアをアップグレードすることで機能できるようになる場合もあります。また、単に安全でないものもあります。そのようなものについては、信頼できる製品に交換し、すべてのデータを古いデバイスから移動し、ドライブを確実に消去してからリサイクルする必要があります。

ただし、ゲスト認証以外にアクセスする方法がない場合は、SMB 歌唱の要件を無効にする必要がありますが、これにより環境がより脆弱になることが予想されます。以下に引用する回避策のセクションで、Ned Pyle はデフォルトの SMB 署名を無効にするすべての方法を説明しています。

回避策

サードパーティによるゲストの使用を無効にできない場合は、SMB 署名の要件を無効にする必要があります。これは明らかに、ゲスト アクセスを使用しているだけでなく、クライアントが信頼できるデバイスへの署名を保証できないことを意味します。そのため、これは単なる回避策であり、お勧めしません。

SMB 署名要件は次の 3 つの方法で無効にできます。

グラフィカル (1 つのデバイス上のローカル グループ ポリシー)

  1. Windows デバイスでローカル グループ ポリシー エディター (gpedit.msc) を開きます。
  2. コンソール ツリーで、[コンピューターの構成] > [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > [セキュリティ オプション] を選択します。
  3. [Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に)] をダブルクリックします。
  4. [無効] > [OK] を選択します。

コマンドライン (1 つのデバイス上の PowerShell)

  1. 管理者特権の PowerShell コンソールを開きます。
  2. 実行: Set-SmbClientConfiguration RequireSecuritySignature $false

ドメインベースのグループ ポリシー (IT 管理のフリート上)

  1. この設定を Windows デバイスに適用するセキュリティ ポリシーを見つけます (クライアントで GPRESULT /H を使用すると、ポリシー レポートの結果セットを生成して、どのグループ ポリシーが SMB 署名を必要としているかを示します。
  2. GPMC.MSC で、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] を変更します。
  3. Microsoft ネットワーク クライアント: 通信 (常に) のデジタル署名を無効に設定します。
  4. SMB 経由のゲスト アクセスを必要とする Windows デバイスに更新されたポリシーを適用します。

公式ブログ投稿は、Microsoftサイトの Tech Community ブログ投稿でご覧いただけます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です