ネットワーク セキュリティ: LAN Manager 認証レベル

適用対象

  • Windows 10

ネットワーク セキュリティのベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します 。LAN Manager 認証レベル のセキュリティ ポリシー設定。

リファレンス

このポリシー設定は、ネットワーク ログオンに使用されるチャレンジ認証プロトコルまたは応答認証プロトコルを決定します。 LAN Manager (LM) には、ユーザーが 1 つのネットワーク上で個人のデバイスをリンクできる Microsoft のクライアント コンピューターとサーバー ソフトウェアが含まれています。 ネットワーク機能には、透過的なファイルと印刷の共有、ユーザー セキュリティ機能、ネットワーク管理ツールが含まれます。 Active Directory ドメインでは、Kerberos プロトコルが既定の認証プロトコルです。 ただし、何らかの理由で Kerberos プロトコルがネゴシエートされていない場合、Active Directory は LM、NTLM、または NTLM バージョン 2 (NTLMv2) を使用します。

LAN Manager 認証には、LM、NTLM、および NTLMv2 バリアントが含まれます。これは、次の操作を実行するときに Windows オペレーティング システムを実行しているすべてのクライアント デバイスを認証するために使用されるプロトコルです。

  • ドメインに参加する
  • Active Directory フォレスト間の認証
  • 以前のバージョンのオペレーティング システムに基づいてドメインWindows認証する
  • 2000 から始まるオペレーティング システムWindows実行しないWindows認証
  • ドメインに含されていないコンピューターに対する認証

  • NTLM 応答& LM を送信する
  • NTLM に LM &送信 - ネゴシエートされた場合は NTLMv2 セッション セキュリティを使用する
  • NTLM 応答のみを送信する
  • NTLMv2 応答の送信のみ
  • NTLMv2 応答のみを送信します。 LM を拒否する
  • NTLMv2 応答のみを送信します。 NTLM の LM &拒否
  • 定義されていません

ネットワーク セキュリティ: LAN Manager 認証レベル設定 は、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルを決定します。 この選択は、クライアントが使用する認証プロトコル レベル、コンピューターがネゴシエートするセッション セキュリティ レベル、およびサーバーが受け入れる認証レベルに影響します。 次の表は、ポリシー設定を識別し、設定を説明し、ポリシー設定の代わりにレジストリを使用してこの設定を制御する場合に、対応するレジストリ設定で使用されるセキュリティ レベルを識別します。

設定 説明 レジストリ のセキュリティ レベル
LM & NTLM 応答の送信 クライアント デバイスは LM 認証と NTLM 認証を使用し、NTLMv2 セッション セキュリティは使用されません。 ドメイン コントローラーは、LM、NTLM、および NTLMv2 認証を受け入れる。 0
送信 LM & NTLM - ネゴシエートされた場合は NTLMv2 セッション セキュリティを使用する クライアント デバイスは LM 認証と NTLM 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは、LM、NTLM、および NTLMv2 認証を受け入れる。 1
NTLM 応答のみを送信する クライアント デバイスは NTLMv1 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは、LM、NTLM、および NTLMv2 認証を受け入れる。 2
送信 NTLMv2 応答のみ クライアント デバイスは NTLMv2 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは、LM、NTLM、および NTLMv2 認証を受け入れる。 3
NTLMv2 応答のみを送信します。 LM を拒否する クライアント デバイスは NTLMv2 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは LM 認証の受け入れを拒否し、NTLM と NTLMv2 認証のみを受け入れる。 4
NTLMv2 応答のみを送信します。 LM & NTLM を拒否する クライアント デバイスは NTLMv2 認証を使用し、サーバーでサポートされている場合は NTLMv2 セッション セキュリティを使用します。 ドメイン コントローラーは、LM および NTLM 認証の受け入れを拒否し、NTLMv2 認証のみを受け入れる。 5

ベスト プラクティス

  • ベスト プラクティスは、特定のセキュリティ要件と認証要件に依存します。

ポリシーの場所

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

レジストリの場所

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Alone サーバーの既定の設定 送信 NTLMv2 応答のみ
DC 有効な既定の設定 送信 NTLMv2 応答のみ
メンバー サーバーの有効な既定の設定 送信 NTLMv2 応答のみ
クライアント コンピューターの有効な既定設定 未定義

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、デバイスをローカルに保存したり、グループ ポリシーを通じて配布したりすると、デバイスを再起動せずに有効になります。

グループ ポリシー

この設定を変更すると、クライアント デバイス、サービス、およびアプリケーションとの互換性に影響する可能性があります。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

7 Windows Vista Windowsでは、この設定は未定義です。 Windows サーバー 2008 R2 以降では、この設定はNTLMv2 応答のみを送信するように構成されています

対抗策

[ネットワーク セキュリティ : LAN Manager 認証レベル] 設定を [NTLMv2 応答のみを送信する] に構成します。 すべてのクライアント コンピューターが NTLMv2 をサポートしている場合、Microsoft と多数の独立した組織では、このレベルの認証を強く推奨しています。

潜在的な影響

NTLMv2 認証をサポートしていないクライアント デバイスは、ドメインで認証を行い、LM と NTLM を使用してドメイン リソースにアクセスできません。

関連トピック