日本語
評価する
日本語

SMB接続の保護: ゲスト認証の終焉

デフォルトでゲスト認証を無効にすることで、Microsoftはネットワークセキュリティの強化に向けて重要な一歩を踏み出しました。Visuality Systemsの SMB プロトコルライブラリは、Microsoftのセキュリティ強化に対応し、強固なネットワークディフェンスを維持するためのサポートを行っています。

はじめに

サイバー攻撃が高度化し頻発する中、Microsoftは Windows 11 バージョン 24H2 と Windows Server 2025 でネットワークを保護するための新機能と対策を導入しました。これらの機能強化の中には、「ゲスト認証OFF」の機能があります。これは、安全でないゲストアククセスをデフォルトで無効にし、不正アクセスからデータとシステムを保護するものです。Visuality Systemsは、SMB プロトコルセキュリティのエキスパートとして、これらの対策に完全に対応し、強固なネットワーク防御を維持する組織をサポートします。

ゲスト認証とは?

ゲスト認証とは、パスワードを必要とせずにSMBリソースへのアクセスを許可することを意味します。ゲスト接続は、以下のような重大なセキュリティリスクをもたらします:

  • ユーザー認証を要求しない
  • SMB署名や暗号化などの重要なセキュリティ対策をサポートしていない

これらの脆弱性を認識したMicrosoftは、ゲストアクセスを徐々に制限してきました。Windows Server 2000以降、インバウンドのゲスト接続はデフォルトで無効となっています。さらに最近では、Windows 11 Pro クライアントからのアウトバウンドゲスト接続もデフォルトで無効化されており、安全なコンピューティング環境に対するMicrosoftの継続的なコミットメントを反映しています。

これらのコンセプトを実際に確認し、SMBゲスト認証設定を効果的に管理する方法の詳細については、ビデオチュートリアルをご覧ください。

ゲスト認証OFFの導入前

本機能が導入される前は、Windows 11 Proでは、SMBクライアントがゲスト接続を確立したり、それをサポートするサーバーに接続する際、認証方法がゲスト認証にフォールバックされることを許可していました。これは、最新の認証プロトコルを持たない古いネットワークストレージデバイスやNASシステムでは一般的でした。これは、レガシーな互換性を促進する一方で、ネットワークが悪用されやすいという問題を残していました。

ゲスト認証OFFの導入後

Windows 11 ProおよびWindows Server 2025での本機能の導入により、アウトバウンドゲスト接続は許可されなくなりました。クライアントが安全でないゲスト認証情報を使用してログインしようとすると、接続は拒否されます。この措置により、安全な認証されたアクセスのみが許可されるようになり、データ漏洩や不正アクセスのリスクが低減されました。

ゲスト認証のエラー処理

ゲストアクセスを無効にすると、サーバーがゲスト認証を待ち受けている場合、エラーが発生することがあります。これらのエラーは安全でないゲストログオンを可能にすることで起こり得るリスクを明らかにしています:

  • 権限のないソフトウェアによって共有データが読み込まれる、またはコピーされる
  • ゲストアクセスでは、SMB署名と暗号化のセッションキーを有効にできない
  • 本質的に安全でないSMBv1は、最近のシステムではデフォルトで無効になっている

安全でないゲストログオンを有効にすると、クライアントのセキュリティが著しく損なわれるので、組織は安全な認証方法を使用するように、デバイスをアップグレードまたは再設定することが推奨されます。

ゲストアクセスの動作を制御する

ゲストアクセスの設定は、PowerShellを使用して行うことが可能です。IT管理者は、どうしても必要な場合にはこれらの設定を変更しゲストアクセスを有効にすることができますが、セキュリティを損なわないように注意する必要があります。また、ゲストログオンを使用するには、SMB署名と暗号化の両方を無効にしなければならないことにも注意が必要です。

ベストプラクティスと注意点

ゲスト認証を効果的に管理するには、以下のガイドラインを参考にして下さい:

やるべきこと

  • リモートデバイスのゲスト認証を無効にするか、安全なプロトコルをサポートするシステムに置き換える
  • ゲストのアウトバウンドログオンに対する監査を有効にする(Windows 11とWindows Server 2025で利用可能) 

やるべきではないこと

  • どうしても必要な場合を除き、ゲストアクセスを有効にしない
  • SMB署名とSMB暗号化は絶対に無効にしない
  • SMBv1は時代遅れで安全ではないので有効にしない

結論

デフォルトでゲスト認証を無効にすることで、Microsoftはネットワークセキュリティの強化に向けて重要な一歩を踏み出しました。不正アクセスを防止し、安全な認証接続のみが現在では許可されるようになっています。Visuality Systemsでは、これらの対策を全面的にサポートし、当社のSMB プロトコルライブラリがMicrosoftのセキュリティの進化に沿ったものであることを保証しています。ゲスト認証の管理や、セキュアな SMBプロトコルの実装に関する個別のアドバイスについては、お気軽にお問い合わせください。

Raphael Barki, Head of Marketing, Visuality Systems

Raphael Barki, Head of Marketing, Visuality Systems

YNQ™︎をもっと知る
YNQ™︎ホワイトペーパー
Share Via
関連記事
Share Via
アクセシビリティへの配慮について
© 2024 Visuality Systems Ltd. All Rights Reserved
利用規約及びプライバシー

Visuality systems uses technical, analytical, marketing, and other cookies. These files are necessary to ensure smooth operation of Voltabelting.com site and services and help us remember you and your settings. For details, please read our Privacy policy

Accept
Skip to content