Microsoftは10月25日(現地時間)、Windows InsiderプログラムのCanaryチャネル向けに「Windows 11 Insider Preview Build 25982」をリリースした。このビルドでは、Windows 11で送信SMBクライアント接続する場合に、管理者が暗号化の利用を義務付けることが可能になる。これは近年Microsoftが進めているSMB接続のセキュリティ強化に向けた取り組みの一環で、この設定を有効にした場合、暗号化をサポートしないSMB接続は拒否されて通信を確立できなくなる。
SMB接続の暗号化は、サーバとクライアント間の通信をエンド・ツー・エンドで暗号化することによって通信の傍受や改ざんを防止する。Windows 8およびWindows Server 2012においてSMB 3.0で初めてサポートされ、Windows 10およびWindows Server 2019ではAES-GCM暗号化のサポートが、Windows 11およびWindows Server 2022ではAES-256-GCM暗号化のサポートが追加された。
Build 25982では、SMBサーバに対して常に暗号化された通信を要求するようにSMBクライアントを構成することが可能になる。この構成が適用されたSMBクライアントと通信する場合、サーバはSMB 3.xの暗号化をサポートしている必要があり、条件が満たされない場合にはクライアントは接続を拒否できる。詳しい構成の方法は、Windows Storage Blogの次の記事にまとめられている。
-
暗号化を義務付けるグループポリシーの設定 出典:Windows Storage Blog
近年、MicrosoftではSMB接続のセキュリティ強化に力を入れている。Windows 11 Insider Preview Build 25381ではNTLMリレー攻撃を防止するためにすべての接続に対してデフォルトでSMB署名の使用を要求するようになった。SMB署名は、通信にデジタル署名を付加することでデータの改ざんやなりすましを防止する。Insider Preview Build 25951では、リモート送信接続でSMB経由のNTLMデータの送信を自動的にブロックするオプションが追加された。
Microsoftによると、SMB暗号化はSMB署名に優先するとのこと。もしSMCクライアントが署名を必要とする場合でも、SMB暗号化が有効な場合には署名がオフにされ、両方が要求されることはないという。
