Windows 11を24H2にアップデートしたら、共有フォルダにアクセスできなくなった。そんなトラブルに遭遇していませんか?
この問題の原因の一つが「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」というセキュリティポリシーです。
この記事では、この設定の意味から、確認・変更方法、トラブル対処法まで詳しく解説します。
この設定は何をするもの?
「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」は、SMB通信にデジタル署名を必須にするかどうかを決めるセキュリティポリシーです。
SMBとは
SMB(Server Message Block)は、Windowsのファイル共有やプリンター共有で使われる通信プロトコル(通信の決まりごと)です。
ネットワーク上でファイルをやり取りするとき、PCとサーバーの間ではSMBプロトコルを使って通信しています。
デジタル署名とは
デジタル署名は、通信データに「署名」を付けて、途中で改ざんされていないことを証明する仕組みです。
SMB署名を有効にすると、送受信するすべてのSMBパケット(データの塊)に署名が付きます。受け取った側は署名を検証して、データが改ざんされていないか確認できます。
この設定を有効にすると
この設定を「有効」にすると、クライアントPC(自分のPC)は、SMB署名に対応していないサーバーとは通信しなくなります。
つまり、セキュリティは高まりますが、署名に対応していない古い機器やNAS(ネットワーク接続ストレージ)とは接続できなくなる可能性があります。
なぜこの設定が重要なのか
SMB署名は、主に「中間者攻撃(Man-in-the-Middle攻撃)」を防ぐために使われます。
中間者攻撃とは
中間者攻撃とは、通信の途中に攻撃者が割り込んで、データを盗み見たり改ざんしたりする攻撃です。
SMB署名がないと、ファイル共有の通信中に悪意のある第三者がパケットを傍受し、内容を書き換えてサーバーやクライアントに送りつけることが可能になります。
SMB署名があれば、署名の検証に失敗するため、改ざんされたデータは受け付けられません。
セッションハイジャック対策
SMB署名は、セッションハイジャック(通信セッションの乗っ取り)も防止します。
攻撃者がクライアントやサーバーになりすまして不正アクセスを試みても、署名の検証で認証に失敗するため、データのやり取りは成立しません。
関連する4つのセキュリティポリシー
SMB署名に関連するセキュリティポリシーは4つあります。クライアント側(送信側)とサーバー側(受信側)で、それぞれ2つずつ存在します。
クライアント側の設定
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
有効にすると、クライアントからの送信時にSMB署名を「必須」にします。署名に対応していないサーバーとは通信できなくなります。
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う
有効にすると、サーバーが署名に対応している場合のみ署名を行います。対応していなくても通信は可能です。
サーバー側の設定
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う
有効にすると、サーバーへの受信時にSMB署名を「必須」にします。署名なしのクライアントからの接続は拒否されます。
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う
有効にすると、クライアントが署名に対応している場合のみ署名を行います。
署名が行われる条件
SMB署名が実際に行われるかどうかは、クライアントとサーバーの両方の設定によって決まります。
どちらか一方でも「常に署名」が有効になっていれば、署名付きで通信します。両方とも「常に署名」が無効で、かつ「同意すれば署名」も両方無効の場合のみ、署名なしの通信になります。
Windows 11 24H2での変更点
Windows 11 バージョン24H2(2024年後半の大型アップデート)から、SMB署名の既定動作が変更されました。
何が変わったのか
Enterprise、Pro、Educationエディションでは、送信(アウトバウンド)と受信(インバウンド)の両方でSMB署名が既定で必須になりました。
この変更により、以前は問題なくアクセスできていた共有フォルダに、アップデート後は接続できなくなるケースが発生しています。
よくあるエラーメッセージ
アップデート後に共有フォルダへアクセスしようとすると、以下のようなエラーが表示されることがあります。
「組織のセキュリティポリシーによって非認証のゲストアクセスがブロックされているため、この共有フォルダーにアクセスできません」
このエラーは、接続先のNASや古いサーバーがSMB署名に対応していない場合に発生します。
設定を確認・変更する方法
設定の確認と変更には、主に3つの方法があります。
方法1:グループポリシーエディターで設定する
グループポリシーエディターを使う方法が最も一般的です。
手順
- キーボードの「Windows」キーと「R」キーを同時に押す
- 「ファイル名を指定して実行」が開くので、「gpedit.msc」と入力して「OK」をクリック
- ローカルグループポリシーエディターが起動する
- 左側のツリーを以下の順番で展開する
- コンピューターの構成
- Windows の設定
- セキュリティの設定
- ローカル ポリシー
- セキュリティ オプション
- 右側の一覧から「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」をダブルクリック
- 「有効」または「無効」を選択して「OK」をクリック
- PCを再起動して設定を反映させる
Homeエディションでは、グループポリシーエディターが標準で使用できません。その場合は、レジストリまたはPowerShellで設定します。
方法2:PowerShellで設定する
PowerShellを使うと、コマンド一つで設定を変更できます。
手順
- スタートボタンを右クリックして「ターミナル(管理者)」または「Windows PowerShell(管理者)」を選択
- 以下のコマンドを実行
SMB署名を必須にする(有効化)
Set-SmbClientConfiguration -RequireSecuritySignature $trueSMB署名を必須にしない(無効化)
Set-SmbClientConfiguration -RequireSecuritySignature $false現在の設定を確認する
Get-SmbClientConfiguration | Select RequireSecuritySignature確認コマンドの結果が「True」なら有効、「False」なら無効です。
方法3:レジストリで設定する
レジストリを直接編集する方法もあります。設定を誤るとシステムに影響が出る可能性があるため、慎重に操作してください。
レジストリの場所
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters値の名前
RequireSecuritySignatureデータ型
REG_DWORD値
- 0:無効
- 1:有効
共有フォルダに接続できないときの対処法
Windows 11 24H2へのアップデート後に共有フォルダへ接続できなくなった場合、以下の手順で対処できます。
対処法1:SMB署名の設定を無効にする
接続先がSMB署名に対応していない場合は、クライアント側の設定を無効にすることで接続できるようになります。
- 「gpedit.msc」でグループポリシーエディターを開く
- 「コンピューターの構成」→「Windows の設定」→「セキュリティの設定」→「ローカル ポリシー」→「セキュリティ オプション」と進む
- 「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」を「無効」に設定
- PCを再起動
セキュリティレベルは下がりますが、接続の問題は解消されます。
対処法2:ゲストログオンを有効にする
「非認証のゲストアクセスがブロック」というエラーの場合は、ゲストログオンの設定も確認が必要です。
- 「gpedit.msc」でグループポリシーエディターを開く
- 「コンピューターの構成」→「管理用テンプレート」→「ネットワーク」→「Lanman ワークステーション」と進む
- 「安全でないゲスト ログオンを有効にする」を「有効」に設定
- PCを再起動
この設定はセキュリティリスクを伴うため、信頼できるネットワーク環境でのみ使用してください。
対処法3:接続先のファームウェアを更新する
NASや古いサーバーの場合、ファームウェア(内蔵ソフトウェア)を最新版に更新することで、SMB署名に対応できるようになる場合があります。
メーカーのサポートサイトで、最新のファームウェアが提供されていないか確認してみてください。
設定変更時の注意点
SMB署名の設定を変更する際は、以下の点に注意してください。
パフォーマンスへの影響
SMB署名を有効にすると、すべてのパケットに署名を付けて検証するため、CPU負荷が増加します。
高速なネットワーク(10Gbpsなど)を使用している環境や、大量のファイルをやり取りする環境では、パフォーマンス低下を感じる場合があります。
互換性の問題
SMB署名に対応していない古いOSやNAS、サードパーティ製のファイルサーバーとは通信できなくなります。
設定を有効にする前に、ネットワーク内のすべての機器がSMB署名に対応しているか確認しておくことが重要です。
ドメイン環境での注意
Active Directoryドメイン環境では、ドメインコントローラーとの通信に既定でSMB署名が必要です。
ドメイン環境でこの設定を無効にすると、ドメインコントローラーとの通信に問題が発生する可能性があります。変更前にシステム管理者と相談してください。
推奨される設定
環境によって推奨設定は異なります。
セキュリティ重視の環境
金融機関、医療機関、公的機関など、セキュリティを最優先する環境では、すべてのSMB署名設定を有効にすることが推奨されます。
- Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う → 有効
- Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う → 有効
互換性重視の環境
古い機器やサードパーティ製NASが混在している環境では、「同意すれば署名」の設定を有効にしつつ、「常に署名」は無効にする選択肢もあります。
ただし、この設定はセキュリティリスクを伴うことを理解した上で運用してください。
一般的な家庭・小規模オフィス
一般的な家庭や小規模オフィスでは、Windows 11 24H2の既定設定のまま運用し、接続に問題が発生した場合のみ個別に対処するのが現実的です。
NASやルーターのファームウェアを最新に保つことで、多くの問題は回避できます。
まとめ
「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」は、SMB通信のセキュリティを高めるための設定です。
Windows 11 24H2から既定で有効化されたため、古いNASやファイルサーバーとの接続で問題が発生するケースが増えています。
接続トラブルが発生した場合は、グループポリシーエディターやPowerShellで設定を確認・変更してみてください。ただし、セキュリティ設定の変更はリスクを伴うため、環境に応じた判断が必要です。
可能であれば、接続先の機器をSMB署名に対応した最新の状態に更新することで、セキュリティを維持しながら問題を解決できます。
コメント