はじめに
今日のサイバーセキュリティ環境において、認証プロトコルを確実に保護することは非常に重要です。そこで活躍するのが、Microsoftのセキュアフューチャーイニシアチブ(SFI) の一環として導入されたNTLMブロックです。Visuality Systems の SMB プロトコルソフトウェアライブラリではこのNTLMブロックを完全にサポートしています。この記事ではまずNTLMブロックとは何か、なぜ重要なのか、どのようにネットワークセキュリティを向上させるのかを説明し、最後にNTLMとKerberos を比較し、最新の認証の利点を明らかにしていきます。
Windows 11 バージョン 24H2 とWindows Server 2025 のリリースにより、組織はデータ、ユーザー、そしてインフラ全体を保護するために設計された、強化された SMB セキュリティ対策の恩恵を受けることができるようになりました。
NTLM ブロックとそのセキュリティ上の利点についての詳細は、以下のビデオチュートリアルをご覧ください。
NTLMブロックとは?
NTLM (NT LAN Manager) は、HMAC-MD5 と MD4 アルゴリズムを用いた古い認証プロトコルで、最新の不正侵入技術に対しては脆弱であることがわかっています。NTLMブロックは、潜在的に悪意のあるサーバーに NTLMリクエストが送信されるのを防ぐものです。この対策は認証データを保護するだけでなく、ドメイン環境においては Kerberos のような、より強力な認証方法が優先されるように保証します。
Kerberosとは?
Kerberos(ケルベロス)は、MITによって開発され、Microsoftによって採用されたドメイン環境において標準的に使用されている最新の認証プロトコルです。Kerberosはチケットベースのシステムを使用して、ネットワーク上で安全にユーザー認証を行います。Kerberosの主な特徴は以下の通りです:
- 相互認証 – クライアントとサーバーの両方がお互いの身元を確認することで、中間者攻撃(AitM)などのリスクを軽減
- 強力な暗号化 – AES のような高度な暗号アルゴリズムを利用して認証データを保護
- 効率性 – チャレンジ・レスポンスのやり取りを何度も必要とする NTLM とは異なり、より少ないステップで認証を完了することでパフォーマンスを向上
- 集中化 – Kerberosキー配布センター (KDC) を通して運用されるため、ドメイン環境に最適
これらの特徴により、Kerberos はセキュリティとスケーラビリティの両方を提供する、最新のネットワークにおける NTLM の理想的な代替手段です。
NTLMブロック導入前: NTLMの使用
NTLM ブロックが導入される前は、Windows はどの方法で認証を行うかを決めるクライアント vs サーバー間のネゴシエーションにおいて、SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) プロトコルを使用していました。SPNEGOは双方のエンドポイントの設定に応じて、Kerberos と NTLM のどちらを使用するかを決定します。
このネゴシエーションでは、Active Directory (AD) ドメインに参加したコンピュータに対しては、採用する認証がデフォルトで Kerberos になることが多いのですが、NTLM にダウングレードされることも度々あり、NTLM は Kerberos に比べて最新の脅威に対し脆弱なため、セキュリティの強度を下げることにつながっていました。
Windows Server 2008 の時点で NTLM を無効にするオプションがすでに存在していたのですが、これは手動で設定する必要があり、広く採用されることはありませんでした。NTLMブロックがデフォルトで強制されていないため、特にレガシーデバイスや「non-compliant」なコンフィギュレーションを持つ環境では、ネットワークが悪用される潜在的な脆弱性が残ったままでした。
このような制限により、NTLMブロックのような、より強力で強制的な対策が必要であることが浮き彫りになりました。
NTLMブロックの導入後: 安全なデフォルト設定
NTLMブロックを有効にすると、組織は認証に Kerberos プロトコルを採用することを求められます。Kerberos はチケットベースのシステムと強固な暗号メカニズムを用いて ID を検証するため、NTLM よりも格段に強固なセキュリティを保証します。この移行はクライアントとサーバーの両方に適用され、ネットワーク通信の全体的なセキュリティのベースラインを引き上げるものとなります。
NTLM のブロックは厳密に行われますが、IT管理者は Kerberos をサポートしていない特定のサーバーに対しては例外を設定することができます。これにより、レガシーシステムに対して柔軟性を提供しつつ、最新の認証プロトコルへの段階的な移行を促すことが可能となります。
また、NTLMのブロックはローカルアカウントでローカルにドライブをマッピングするような、ローカルでの使用ケースには影響しません。これはアウトバウンド接続に適用され、以下の場合に認証が失敗することを意味します:
- クライアントが完全修飾ドメイン名(FQDN)ではなくIPアドレスを使用している場合
- SMBサーバーのActive DirectoryにCIFSサービスプリンシパル名(SPN)がない場合
- SMBサーバーの認証にローカルユーザーアカウントの認証情報が使用されている場合
このような包括的なアプローチにより、NTLM の使用は特定の制御されたシーンに限定され、安全な認証は Kerberos にデフォルト設定されます。NTLM への依存を減らし、より強固なセキュリティプロトコルを強制するNTLMブロックは、最新のネットワークを保護する上で重要な役割を果たします。
NTLM ブロックのエラー処理
NTLMブロックによって期待した接続ができない場合、根本的な原因を特定することが重要です。NTLMブロックエラーを無関係なネットワークの問題と誤解すると、解決が遅れる可能性があるため、以下の手順に従って、効果的なトラブルシューティングを行ってください:
- NTLMブロックを一時的に無効にする – NTLMブロックが原因であると思われる場合、SMB クライアント上でNTLMブロックを一時的に無効にして確認します。この手順は、NTLMブロックとDNS の名前解決エラーなどの他の潜在的な問題とを区別するのに役立ちます。
- 完全修飾ドメイン名(FQDN)に変更する – NTLMブロックでは安全な認証が要求されますが、Kerberos は IP アドレスを本質的にサポートしていないため、IP アドレスを使用した接続は失敗することが多くなります。この場合、接続パスにおいてIP アドレスを完全修飾ドメイン名に置き換えてみてください。IP アドレスを使用しなければならない場合は、「IP アドレスに対する Kerberos の設定」を参照して、適切な設定を行なってください。
- HOST SPNレコードの確認 – SMBサーバーのHOSTサービスプリンシパル名(SPN)が正しく登録されていることを確認します。以下のコマンドを使用して確認することが可能です:
>\ setspn -l SMBSERVERNAME
SPNがない、または正しく設定されていないと、Kerberos認証が成功しないことがあります。 - ネットワークトラフィックのキャプチャと分析 – 他のトラブルシューティング手順が失敗した場合は、Wiresharkのようなネットワークキャプチャツールを使用して、クライアントとサーバー間のメッセージを調査します。問題の発生箇所を特定するために、DNS、SMB2、Kerberosのトラフィックを調べてください。
認証方法: NTLM vs Kerberos
Kerberos は、セキュリティ、効率性、そして今日のネットワーク要件に対する互換性において、明らかに NTLM より優れています。
| NTLM | Kerberos | |
|---|---|---|
|
認証方式 |
チャレンジ・レスポンス |
チケットベース |
|
暗号アルゴリズム |
古いHMAC-MD5とMD4アルゴリズムに依存 |
AESのような最新の強力な暗号を使用 |
|
相互認証 |
相互認証なし、サーバーのみ認証
|
相互認証に対応(クライアントとサーバー) |
|
セキュリティの脆弱性 |
中間者攻撃とリプレイ攻撃を受けやすい |
リプレイ攻撃やなりすまし攻撃に強い |
|
パフォーマンス |
比較的遅く、複数回のラウンドトリップが必要
|
効率的でより少ないラウンドトリップ |
|
ユースケース |
レガシーシステムに適している |
最新のドメイン環境に適している
|
NTLMブロックを有効にする方法
NTLMブロックを有効にするには、PowerShell を使用するのが簡単です。SMB クライアントで NTLMブロックを設定するには、以下のコマンドを使用します:
現在の NTLM ブロックの状態を確認するには、以下のコマンドを実行:
>\ Get-SmbClientConfiguration | FL BlockNTLM
結果が False の場合、NTLM ブロックは有効化されていません。NTLMブロックをグローバルに有効にするには、以下のコマンドを使用します:
>\ Set-SmbClientConfiguration -BlockNTLM $true
特定のSMBマッピングでNTLMブロックを有効にするには、以下のコマンドを実行:
>\ New-SmbMapping -RemotePath\\Server\share -BlockNTLM $true
グローバル及び特定のレベルの両方で NTLMブロックを設定することで、全体的な保護を強化しながら、 インフラのニーズに合わせてセキュリティ対策を調整することが可能です。
NTLMブロックのベストプラクティスと注意点
- Kerberos を使用する – Kerberos をドメイン環境のデフォルトプロトコルにする
- NTLM の使用状況を監査する – NTLM に依存しているレガシーシステムやアプリケーションを特定し、対応する
- チームを教育する – すべてのIT管理者がNTLMブロックとそれがもたらすレガシーワークフローへの影響を理解するよう努める
認証セキュリティの未来
サイバー攻撃の規模が拡大し、巧妙化する中、機密性の高い認証データを保護するためには、NTLM ブロックのような対策が不可欠です。セキュアなデフォルト設定を強制し、Kerberos のような最新のプロトコルの使用を奨励することで、Microsoftは SMB 通信のセキュリティ体制を強化し続けています。
Visuality Systemsの SMBライブラリは、NTLMブロック、Kerberos 認証、堅牢な暗号化などの機能をサポートし、Microsoftのセキュリティ対策に対応しています。Visuality Systemsのソリューションは、お客様の SMB 実装の安全性、信頼性、将来性を保証します。
NTLMブロックやその他のSMBプロトコルのセキュリティ機能に関する詳細なリソースやカスタマイズされたガイダンスについては、直接お問い合わせください。
Raphael Barki, Head of Marketing, Visuality Systems
