Hebikuzure's Tech Memo

2018年1月20日

Windows 10 Fall Creators Update の SMB の変更点

Filed under: Windows Info — タグ: , , , — hebikuzure @ 3:47 PM

Windows 10 Fall Creators Update(バージョン 1709)が Semi-Annual Channel に提供開始されたので、Windows 10 Fall Creators Update と Windows Server 2016 について企業内環境で影響が出そうな SMB に関する変更点をまとめてみました。

SMBv1 の削除/無効化

クリーンインストールした Windows 10 Fall Creators Update と Windows Server 2016 では、以下のように SMBv1 の機能が無効化されます。

  • Windows 10 Enterprise, Windows 10 Education, Windows Server 2016
    SMBv1クライアントと SMBv1 サーバー
  • Windows 10 Home, Windows 10 Professional
    SMBv1 サーバー
    SMBv1 クライアントはインストール時には有効化されていますが、インストール後15日間(コンピューターが電源オフ状態の間は除く)に一度も利用が無いと自動的に無効化されます

以前のバージョンからの in-place upgrade の場合、SMBv1 は以下のように扱われます。

  • Windows 10 Enterprise, Windows 10 Education
    SMBv1(クライアント、サーバー)機能は引き続き有効です。無効にする場合は管理者が無効化する必要があります
  • Windows 10 Home, Windows 10 Professional
    SMBv1(クライアント、サーバー)機能は有効ですが、アップグレード後15日間(コンピューターが電源オフ状態の間は除く)に一度も利用が無いと自動的に無効化されます

なお SMBv1 の自動的な無効化は一度だけ行われ、無効化後に管理者が再度有効化した場合は、どのタイミングでも自動的な無効化は行われません。どのエディションでも管理者が SMBv1 を再度無効化することは可能です。

また SMBv1 が無効化された環境でも SMBv2 のモジュールは有効なので、SMB version 2.02, 2.1, 3.0, 3.02, 3.1.1 の機能はすべてサポートされています。

SMBv1 削除/無効化の影響

Computer Browser サービスは SMBv1 に依存しているので、SMBv1 クライアントまたはサーバーが無効化されると、同時に Computer Browser サービスも無効化されます。これによりレガシーな NetBIOS 経由でのコンピューター ブラウジング(エクスプローラーの「ネットワーク」へのネットワーク コンピューターの表示とアクセス)は機能しなくなります。

もっとも Windows Vista 以降のコンピューターであれば「ネットワーク探索」(WS-DISCOVERY)によるブラウジングが可能なので、ネットワーク探索のためのサービス(”Function Discovery Provider Host” と “Function Discovery Resource Publication”)が正しく構成され、ネットワークの場所がプライベートになっていれば、「ネットワーク」にリモート コンピューターのアイコンが表示されアクセスできるはずです。

SMBv1 の有効化

SMBv1 を有効化する方法については以下のサポート技術情報を参照してください。

ただし Microsoft では SMBv1 を無効化することを推奨しています。有効化する場合はセキュリティ リスクを十分に評価してください。

Guest アクセスの無効化

Windows 10 Fall Creators Update および Windows Server 2016 version 1709 では、クライアントとして SMB2(SMB version 2.02, 2.1, 3.0, 3.02, 3.1.1 など)でのリモート リソースへアクセスする際、資格情報に Guest アカウントを利用することができなくなっています。直接 Guest アカウントの資格情報でリモート リソースにアクセスすることも、不適切な資格情報でのログオンが失敗した際のフォールバックとして Guest アカウントの資格情報を利用することもできません。

これにより、今までアカウントを構成せず匿名認証でアクセス可能だったファイル サーバー(SMB シェアや NAS)へのアクセスの際、資格情報(ユーザー名とパスワード)を求められるようになったり、エラーメッセージが表示されてアクセスできなくなったりします。

この動作はセキュリティを強化するための仕様変更であり、Guest 以外の適切な資格情報を利用してリモート リソースのアクセス制御を行うように構成することで回避するのが望ましいでしょう。

リモート リソース側の構成変更が困難で、クライアント側の動作を以前のバージョンと同じに戻したい場合は、以下のグループポリシーを構成してください。

[コンピューターの構成]
_- [管理用テンプレート]
__
[ネットワーク]
___– [Lanman ワークステーション]
____– [安全でないゲスト ログオンを有効にする]
:有効

Home エディションなどでレジストリを構成する場合は以下の値を利用します。

キー:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation
名前:AllowInsecureGuestAuth
種類:REG_DWORD
データ:1(有効), 0(無効)

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

w

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。