Windows 11 Pro は、安全でない SMB ゲスト認証をデフォルトでまもなく無効にします

数か月前、Microsoft が Windows 11 のサーバー メッセージ ブロック (SMB) 認証を大幅に改善していることを知りました。そのとき、Microsoft はデフォルトで SMB 認証レート リミッターを有効にして、悪意のあるアクターにとってあまり魅力的な攻撃面にならないようにしました。現在、SMB 認証に対する別の変更が発表されています。

テクニカル ブログの投稿で、Microsoft のプリンシパル プログラム マネージャーである Ned Pyle は、Windows 11 Pro が間もなく安全でない SMB ゲスト認証フォールバックを無効にし始めると述べています。実際、最近の Insider Preview ビルド 25267 および 25276 には、このセキュリティ強化が既に実装されています。

Microsoft がこの変更を行った理由は、ゲスト認証が監査証跡と、署名や証明書などのセキュリティ メカニズムをサポートしていないためです。そのため、これらは中間者 (MITM) 攻撃の非常に魅力的な攻撃ベクトルであり、サーバー シナリオでも活用できます。最悪の場合、悪意のあるアクターがゲスト ログオンを使用して、ネットワーク全体で読み取りまたはコピー アクセスを取得し、監査証跡を残さない可能性があります。

Windows 2000 以降、デフォルトでゲスト ログオンが許可されていないことに注意することが重要です。興味深いことに、Windows 11 Pro Insider ビルドはデフォルトでゲスト認証を無効にしますが、Windows 10 Pro は無効にしません。

Microsoft は、ゲスト アクセスを要求する唯一のシナリオは、正当なサード パーティのリモート ストレージ デバイスを使用する場合であると述べています。ただし、Windows 11 Pro で実行しようとしてもエラーは発生しません。回避策は、リモート デバイスのドキュメントを調べて、ゲスト認証の要求をやめる方法を見つけることです。これが不可能な場合は、SMB2 または SMB3 ゲスト フォールバックを一時的に有効にして、アクセスを許可できます。ただし、従来のプロトコルにはセキュリティの脆弱性があるため、SMB1 は使用しないでください。

Microsoft は、最近の Windows 11 Pro Insider ビルドではこの動作がデフォルトで有効になっており、オペレーティング システムの「次のメジャー リリース」で一般的に利用可能になると述べています。この動きは、Windows をより安全にするためのより大きな計画のように思えます。レドモンドの技術大手は、Microsoft Support Diagnostic Tool (MSDT) も数年以内に廃止する予定です。