ネットワーク セキュリティ: LAN Manager 認証レベルNetwork security: LAN Manager authentication level

適用対象Applies to

  • Windows 10Windows10

ネットワークセキュリティに関するベストプラクティス、場所、値、ポリシー管理とセキュリティの考慮事項について説明します 。 LAN Manager 認証レベルセキュリティポリシー設定。Describes the best practices, location, values, policy management and security considerations for the Network security: LAN Manager authentication level security policy setting.

リファレンスReference

このポリシー設定では、ネットワークログオンに使用するチャレンジまたは応答認証プロトコルを決定します。This policy setting determines which challenge or response authentication protocol is used for network logons. LAN Manager (LM) には、ユーザーが1つのネットワーク上で個別のデバイスをリンクできるように、Microsoft からのクライアントコンピューターとサーバーソフトウェアが含まれています。LAN Manager (LM) includes client computer and server software from Microsoft that allows users to link personal devices together on a single network. ネットワーク機能には、透過的なファイル共有とプリンター共有、ユーザーセキュリティ機能、ネットワーク管理ツールが含まれます。Network capabilities include transparent file and print sharing, user security features, and network administration tools. Active Directory ドメインでは、Kerberos プロトコルは既定の認証プロトコルです。In Active Directory domains, the Kerberos protocol is the default authentication protocol. ただし、何らかの理由で Kerberos プロトコルがネゴシエートされない場合、Active Directory は LM、NTLM、または NTLM バージョン 2 (NTLMv2) を使用します。However, if the Kerberos protocol is not negotiated for some reason, Active Directory uses LM, NTLM, or NTLM version 2 (NTLMv2).

LAN Manager 認証には、LM、NTLM、および NTLMv2 の亜種が含まれます。このプロトコルは、次の操作を実行するときに、Windows オペレーティングシステムを実行しているすべてのクライアントデバイスを認証するために使用されます。LAN Manager authentication includes the LM, NTLM, and NTLMv2 variants, and it is the protocol that is used to authenticate all client devices running the Windows operating system when they perform the following operations:

  • ドメインに参加するJoin a domain
  • Active Directory フォレスト間の認証Authenticate between Active Directory forests
  • 以前のバージョンの Windows オペレーティングシステムに基づいてドメインに対して認証するAuthenticate to domains based on earlier versions of the Windows operating system
  • Os を実行していないコンピューターに対して認証する (Windows2000 以降)Authenticate to computers that do not run Windowsoperating systems, beginning with Windows2000
  • ドメイン内にないコンピューターに対して認証するAuthenticate to computers that are not in the domain

使用可能な値Possible values

  • NTLM & の LM 応答を送信するSend LM & NTLM responses
  • LM & 送信: ネゴシエーション時に NTLMv2 セッションセキュリティを使用するSend LM & NTLM - use NTLMv2 session security if negotiated
  • NTLM 応答のみを送信するSend NTLM responses only
  • NTLMv2 応答のみ送信するSend NTLMv2 responses only
  • NTLMv2 応答のみを送信します。Send NTLMv2 responses only. LM を拒否するRefuse LM
  • NTLMv2 応答のみを送信します。Send NTLMv2 responses only. NTLM & LM を拒否するRefuse LM & NTLM
  • 未定義Not Defined

[ Network security: LAN Manager 認証レベル] 設定では、ネットワークログオンに使用するチャレンジ/レスポンス認証プロトコルを決定します。The Network security: LAN Manager authentication level setting determines which challenge/response authentication protocol is used for network logons. この選択は、クライアントが使う認証プロトコルのレベル、コンピューターがネゴシエートするセッションのセキュリティレベル、サーバーが受け付ける認証レベルに影響します。This choice affects the authentication protocol level that clients use, the session security level that the computers negotiate, and the authentication level that servers accept. 次の表は、ポリシー設定を示しています。ポリシー設定ではなく、レジストリを使用してこの設定を制御している場合は、対応するレジストリ設定で使用されるセキュリティレベルを示しています。The following table identifies the policy settings, describes the setting, and identifies the security level used in the corresponding registry setting if you choose to use the registry to control this setting instead of the policy setting.

設定Setting 説明Description レジストリセキュリティレベルRegistry security level
LM & NTLM 応答を送信するSend LM & NTLM responses クライアントデバイスでは、LM および NTLM 認証を使用していますが、NTLMv2 セッションセキュリティは使用しません。Client devices use LM and NTLM authentication, and they never use NTLMv2 session security. ドメインコントローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。Domain controllers accept LM, NTLM, and NTLMv2 authentication. 00
LM & NTLM の送信–ネゴシエーション時に NTLMv2 セッションセキュリティを使用するSend LM & NTLM – use NTLMv2 session security if negotiated クライアントデバイスは、LM および NTLM 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッションセキュリティを使用します。Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. ドメインコントローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。Domain controllers accept LM, NTLM, and NTLMv2 authentication. 1
NTLM 応答のみを送信するSend NTLM response only クライアントデバイスは NTLMv1 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッションセキュリティを使用します。Client devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. ドメインコントローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。Domain controllers accept LM, NTLM, and NTLMv2 authentication. 両面2
NTLMv2 応答のみ送信するSend NTLMv2 response only クライアントデバイスは NTLMv2 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッションセキュリティを使用します。Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. ドメインコントローラーは、LM、NTLM、および NTLMv2 認証を受け入れます。Domain controllers accept LM, NTLM, and NTLMv2 authentication. -3
NTLMv2 応答のみを送信します。Send NTLMv2 response only. LM を拒否するRefuse LM クライアントデバイスは NTLMv2 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッションセキュリティを使用します。Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. ドメインコントローラーは LM 認証を拒否し、NTLM および NTLMv2 認証のみを受け入れます。Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication. 4d4
NTLMv2 応答のみを送信します。Send NTLMv2 response only. LM & NTLM を拒否するRefuse LM & NTLM クライアントデバイスは NTLMv2 認証を使用し、サーバーがサポートしている場合は NTLMv2 セッションセキュリティを使用します。Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. ドメインコントローラーは、LM 認証と NTLM 認証の受け入れを拒否し、NTLMv2 認証のみを受け入れます。Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication. 5

ベスト プラクティスBest practices

  • ベストプラクティスは、特定のセキュリティと認証要件によって異なります。Best practices are dependent on your specific security and authentication requirements.

ポリシーの場所Policy Location

コンピューター構成 \ Windows Settings\Security Settings\Local Policies\Security オプションComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

レジストリの場所Registry Location

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevelHKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

既定値Default values

次の表に、このポリシーの実際の既定値と有効な既定値を示します。The following table lists the actual and effective default values for this policy. 既定値は、ポリシーのプロパティページにも表示されます。Default values are also listed on the policy’s property page.

サーバーの種類または GPOServer type or GPO 既定値Default value
既定のドメインポリシーDefault Domain Policy 未定義Not defined
既定のドメインコントローラーポリシーDefault Domain Controller Policy 未定義Not defined
スタンドアロンサーバーの既定の設定Stand-Alone Server Default Settings NTLMv2 応答のみ送信するSend NTLMv2 response only
DC の有効な既定の設定DC Effective Default Settings NTLMv2 応答のみ送信するSend NTLMv2 response only
メンバーサーバーの有効な既定の設定Member Server Effective Default Settings NTLMv2 応答のみ送信するSend NTLMv2 response only
クライアントコンピューターの有効な既定の設定Client Computer Effective Default Settings 未定義Not defined

ポリシー管理Policy management

このセクションでは、このポリシーを管理するのに役立つ機能とツールについて説明します。This section describes features and tools that are available to help you manage this policy.

再起動の必要性Restart requirement

なし。None. このポリシーを変更すると、デバイスを再起動しなくても、ローカルまたはグループポリシーを使って保存した場合に、その変更が有効になります。Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

グループ ポリシーGroup Policy

この設定を変更すると、クライアントデバイス、サービス、アプリケーションとの互換性に影響する可能性があります。Modifying this setting may affect compatibility with client devices, services, and applications.

セキュリティに関する考慮事項Security considerations

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

脆弱性Vulnerability

Windows7 および WindowsVista では、この設定は定義されていません。In Windows7 and WindowsVista, this setting is undefined. WindowsServer2008R2 以降では、この設定はNTLMv2 応答のみを送信するように構成されています。In WindowsServer2008R2 and later, this setting is configured to Send NTLMv2 responses only.

対抗策Countermeasure

[ネットワークセキュリティ: LAN Manager 認証レベル] 設定を構成して、 NTLMv2 応答のみを送信します。Configure the Network security: LAN Manager Authentication Level setting to Send NTLMv2 responses only. Microsoft と複数の独立した組織は、すべてのクライアントコンピューターが NTLMv2 をサポートしている場合に、このレベルの認証を強くお勧めします。Microsoft and a number of independent organizations strongly recommend this level of authentication when all client computers support NTLMv2.

潜在的な影響Potential impact

NTLMv2 認証をサポートしていないクライアントデバイスは、LM および NTLM を使ってドメインで認証を行うことはできません。また、ドメインリソースにアクセスすることもできません。Client devices that do not support NTLMv2 authentication cannot authenticate in the domain and access domain resources by using LM and NTLM.

関連トピックRelated topics