Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う

適用対象

  • Windows 10
  • Windows Server

Microsoft ネットワーク サーバーのベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。SMBv3 および SMBv2 の通信 (常に) セキュリティ ポリシー設定にデジタル署名します。

リファレンス

サーバー メッセージ ブロック (SMB) プロトコルは、ファイルと印刷の共有、およびリモート メッセージ管理などの他の多くのネットワーク操作Windowsします。 転送中の SMB パケットを変更する中間者攻撃を防止するために、SMB プロトコルは SMB パケットのデジタル署名をサポートします。

セキュリティの高いネットワークにデジタル署名を実装すると、クライアント コンピューターとサーバー ("セッション ハイジャック" と呼ばれる) の偽装を防ぐのに役立ちます。 ただし、これらのポリシー設定を誤用すると、データ アクセスエラーが発生する可能性があります。

SMBv2 クライアントとサーバーから始まり、署名は必須または不要です。 このポリシー設定が有効になっている場合、SMBv2 クライアントは、すべてのパケットにデジタル署名します。 別のポリシー設定では、SMBv3 および SMBv2 サーバー通信に署名が必要かどうかを決定します。Microsoft ネットワーク クライアント: デジタル署名通信 (常に)です。

署名が効果的に使用されるかどうかを判断するために、SMB クライアントと SMB サーバーの間でネゴシエーションが行われます。 次の表に、SMBv3 と SMBv2 の効果的な動作を示します。

サーバー – 必須 サーバー – 必須ではありません
クライアント – 必須 署名済み 署名済み
クライアント – 必須ではありません 署名 済み 1 署名 されていない 2

1 ドメイン コントローラーの SMB トラフィックの既定
2 他のすべての SMB トラフィックの既定値

SMBv2 で SMB 署名のパフォーマンスが向上しました。 詳細については、「潜在的な影響 」を参照してください

  • 有効
  • 無効

ベスト プラクティス

Microsoft ネットワーク サーバーを有効にする: 通信 (常に) にデジタル署名します

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 無効
既定のドメイン コントローラー ポリシー 有効
Stand-Alone サーバーの既定の設定 無効
DC 有効な既定の設定 有効
メンバー サーバーの有効な既定の設定 無効
クライアント コンピューターの有効な既定設定 無効

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、デバイスをローカルに保存したり、グループ ポリシーを通じて配布したりすると、デバイスを再起動せずに有効になります。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

セッション ハイジャックでは、クライアント デバイスまたはサーバーと同じネットワークにアクセスできる攻撃者が、進行中のセッションを中断、終了、または盗むツールを使用します。 攻撃者は、署名されていないサーバー メッセージ ブロック (SMB) パケットを傍受して変更し、トラフィックを変更して転送して、サーバーがオブジェクトの操作を実行する可能性があります。 または、攻撃者は正当な認証の後にサーバーまたはクライアント デバイスとしてポーズを取り、データに対する不正なアクセスを得る可能性があります。

SMB は、多くのオペレーティング システムでサポートされているリソース共有Windowsです。 これは、記憶域スペース ダイレクト、Storage レプリカ、SMB Direct などの多くの最新機能の基礎であり、多くのレガシ プロトコルとツールです。 どちらかの側で認証プロセスに失敗した場合、データ送信は行いません。

対抗策

Microsoft ネットワーク サーバーを有効にする: 通信 (常に) にデジタル署名します

注意

すべてのネットワーク トラフィックを保護できる別の対策として、IPsec を使用してデジタル署名を実装します。 IPsec 暗号化と署名には、サーバーの CPU に対するパフォーマンスへの影響を最小限に抑えるために使用できるハードウェア ベースのアクセラレータがあります。 このようなアクセラレータは SMB 署名に使用できません。

潜在的な影響

Storage速度がパフォーマンスに影響を与えます。 ソースと宛先のドライブが速くなると、スループットが向上し、署名の CPU 使用率が増加します。 1 Gb イーサネット ネットワークを使用している場合や、最新の CPU でストレージ速度が遅い場合は、パフォーマンスの低下が制限されます。 高速なネットワーク (10 Gb など) を使用している場合、署名のパフォーマンスへの影響が大きい可能性があります。

関連トピック