Windows 11 および Server 2025 における NTLM プロトコルの廃止
昨年12月、MicrosoftはWindows 11 24H2およびWindows Server 2025において、NT LAN Manager(NTLM)プロトコルの段階的な廃止を開始しました。この重要な動きは、NTLMがもはや活発に開発されておらず、サポートの縮小と最終的な廃止につながることを示しています。今日のセキュリティ環境におけるこのプロトコルの脆弱性を考慮し、MicrosoftはKerberosなどのより現代的な認証方式への移行を強く推奨しています。
NTLMv1 の削除とガイダンスに関する記事
この移行の一環として、NTLMv1 は Windows 11 24H2 と Windows Server 2025 の両方から既に削除されています。これに対応して、Microsoft は、IT プロフェッショナルとシステム管理者がこれらの変更に適応できるように支援することを目的とした一連のガイダンス ドキュメントをリリースしました。
7月に、NTLMの監査機能の変更点を詳述したサポート記事が公開されました。この監査機能は、組織内でNTLMの使用状況を特定するために不可欠であり、一部の組織が依然としてこの従来の認証方法に依存していることを認識しています。このようなツールの利用は、セキュリティへの影響を管理する上で不可欠です。
設定手順
このガイダンスでは、クライアントとサーバーの設定のための「NTLM 拡張ログ」と包括的なドメイン ログのための「拡張ドメイン全体の NTLM ログ」という2 つの新しいグループ ポリシーを通じて、管理者が NTLM 設定を構成する方法についても詳しく説明します。
詳細については、Microsoft の Web サイトのKB5064479にある完全なサポート記事をご覧ください。
資格情報ガードの新しいレジストリキー
監査ガイドラインに加え、MicrosoftはCredential Guardの監査と適用に関する新しいレジストリキーの詳細を発表しました。この機能は、仮想化ベースのセキュリティ(VBS)を活用し、NTLMパスワードハッシュを保護することで、資格情報の盗難防止に重要な役割を果たします。
レジストリキー情報
| レジストリの場所 | HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|---|---|
| 価値 | ブロックNtlmv1SSO |
| タイプ | REG_DWORD |
| データ |
|
変更の展開のタイムライン
Microsoft は、これらの変更の実装のタイムラインも概説しています。
| 日付 | 変化 |
|---|---|
| 2025年8月下旬 | Windows 11 バージョン 24H2 以降のクライアントでの NTLMv1 使用の監査ログのアクティブ化。 |
| 2025年11月 | Windows Server 2025 の変更のロールアウトの開始。 |
| 2026年10月 | BlockNtlmv1SSOレジストリキーのデフォルト設定は、今後のWindowsアップデートにより監査モード(0)から強制モード(1)に変更され、NTLMv1に対する制限が強化されます。この変更は、 BlockNtlmv1SSOレジストリキーが使用されていない場合にのみ実装されます。 |
さらに詳しい情報については、 Microsoft の公式プラットフォームの KB5066470 にあるサポート記事を参照してください。
コメントを残す