Windows 11 24H2 での NAS アクセスの SMB 署名エラーの解決

• Windows 11 で SMB 署名要件を無効にするには、「グループ ポリシー エディター」を開き、「Microsoft ネットワーク クライアント: 通信にデジタル署名を行う (サーバーが同意する場合)」ポリシーを無効にします。
• あるいは、コマンド プロンプトまたは PowerShell を使用してこれを実現することもできます。

Windows 11 バージョン 24H2 (2024 Update) にアップグレードした場合、ネットワーク接続ストレージ (NAS) へのアクセスが中断されることがあります。このガイドでは、この変更の理由と問題を解決する方法について説明します。

Windows 11 24H2 で導入された多数の新機能とともに、Microsoft は重要なセキュリティ強化を実装し、すべての通信にサーバー メッセージ ブロック (SMB)署名を義務付けています。この要件により、特にこの機能をサポートしていない多くの既存のファイル サーバー デバイスで互換性の問題が発生し、複数のエラー メッセージが表示される可能性があります。

一般的なエラー通知には、「暗号署名が無効です」、「STATUS_INVALID_SIGNATURE」、 「0xc000a000」、「1073700864」などがあります。

これらのエラーが発生した場合、いくつかのオプションがあります。最も推奨される解決策は、NAS で SMB 署名を有効にすることです。Synology などのブランドでは、特定のモデルに応じて、「ドメイン/LDAP」および「ファイル サービス」設定内でこの機能を提供しています。または、影響を受ける Windows マシンで SMB 署名を無効にすることもできます。

このガイドでは、Windows 11 24H2 およびその他の影響を受けるオペレーティング システムのバージョンで SMB 署名を検証して有効にするために必要な手順について詳しく説明します。

• グループポリシーから Windows 11 の SMB 署名を無効にする
• コマンドプロンプトから Windows 11 で SMB 署名を無効にする
• PowerShell から Windows 11 で SMB 署名を無効にする

グループポリシーから Windows 11 の SMB 署名を無効にする

Windows 11 Pro、Enterprise、または Education のグループ ポリシーを使用して SMB 署名機能をオフにするには、次の手順に従います。

1. Windows 11 でスタートを開きます。

2. gpeditを検索し、一番上の結果を右クリックしてグループ ポリシー エディターにアクセスします。

3. 次のパスに移動します。

   Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

4. 「Microsoft ネットワーク クライアント: 通信にデジタル署名を行う (サーバーが同意する場合)」ポリシーを右クリックし、[プロパティ]を選択します。

5. [無効]オプションを選択します。

   

6. [適用]ボタンをクリックします。

7. [OK]ボタンをクリックします。

8. コンピュータを再起動します。

これらの手順を完了すると、SMB 署名が無効になり、問題なく NAS にアクセスできるようになります。

コマンドプロンプトから Windows 11 で SMB 署名を無効にする

コマンド プロンプトを使用して SMB 署名を無効にするには、次の手順に従います。

1. スタートを開きます。

2. コマンド プロンプト(またはターミナル)を検索し、一番上の結果を右クリックして、[管理者として実行]を選択します。

3. SMB 署名を無効にするには、次のコマンドを入力し、Enter キーを押します。

   reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
   

4. コンピュータを再起動します。

これらの手順を完了すると、SMB プロトコル経由でファイル サーバーにアクセスしようとしたときにエラー メッセージが表示されなくなります。

これらの変更を元に戻す場合は、手順を繰り返すだけですが、手順 3 で次のコマンドを実行しますreg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f。

PowerShell から Windows 11 で SMB 署名を無効にする

PowerShell を使用して Windows 11 で SMB 署名機能をオフにするには、次の手順に従います。

1. スタートを開きます。

2. PowerShell (またはTerminal )を検索し、一番上の結果を右クリックして、[管理者として実行]を選択します。

3. SMB 署名を無効にするには、次のコマンドを入力してEnter キーを押します。

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

4. 「Y」と入力してEnterキーを押し、変更を確認します。

5. (オプション) Windows 11 で SMB 署名のステータスを確認するには、次のコマンドを実行します。

   Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

6. コンピュータを再起動します。

これらの手順が完了すると、エラーが発生することなくネットワーク上のファイル サーバーにアクセスして参照できるようになります。

後でこの変更を元に戻す必要がある場合は、同じ手順に従って、Set-SmbClientConfiguration -RequireSecuritySignature $true手順 3 のコマンドを実行します。

SMB 署名に関する考慮事項

ネットワーク用語で言えば、SMB 署名は、 Windows ストレージ システムで利用されるCIFS (Common Internet File System)および SMB ファイル共有プロトコルに統合されたセキュリティ機能です。この機能により、プロトコル経由で送信されるメッセージのヘッダーに署名が含まれるようになり、これを検証することで、送信中にメッセージの内容が変更されていないことを確認できます。基本的に、このメカニズムは、中間者攻撃などの潜在的なセキュリティの脅威を防ぐのに役立ちます。

この機能は長い間存在していましたが、バージョン 24H2 以降のオペレーティング システムによってのみ強制されました。

最終的に、SMB 署名を有効にすると、クライアント デバイスとサーバー デバイス間のネットワーク セキュリティが強化されます。ただし、追加の処理リソースが必要になるため、デバイス間のパフォーマンスと転送速度に影響する可能性があります。

可能な限り、NAS を SMB 署名機能をサポートするように構成することがベスト プラクティスです。これが実現不可能な場合やパフォーマンスに悪影響を与える場合は、Windows 11 でこれを無効にする方法がいくつかあります。

これらの手順は、Microsoft が Windows 10 を含む古いバージョンのオペレーティング システムでこの機能を必須にすることにした場合にも役立つ可能性があります。

ソース