製品コラム

セイテクエンジニアのブログ  製品コラム  NTLMの段階的な廃止と代理監視への影響-BOM for Windows FAQ(仮)

 

 

NTLMの段階的な廃止と代理監視への影響-BOM for Windows FAQ(仮)

2025年01月29日配信
執筆者:セイ・テクノロジーズ エバンジェリスト

 「BOM for Windows」を使用する上での、よくあるお問い合わせ問い合わせについて、不定期で詳しく解説します。製品に関するよくある問い合わせについては、こちらでご確認ください。製品のサポート技術情報については、こちらで検索することができます。

 

Q. NTLMは今後段階的に廃止されると発表がありました。BOMによるWindowsサーバーの代理監視に影響はありますか?

 

 Microsoftは2024年6月に、すべてのバージョンのNTLMを非推奨のWindows機能のリストに追加し、アクティブな開発を終了しました。詳しくは、以下の公式ブログで説明されています。

NTLM の廃止に向けた対応について|Microsoft Japan Windows Technology Support Blog(日本マイクロソフト)
The evolution of Windows authentication|Windows IT Pro Blog(Microsoft Community Hub)

 「NTLM認証」は、Windowsネットワークで古くから使用されている認証方式の1つです。Active Directoryが登場したWindows 2000から「Kerberos認証」が標準になりましたが、Kerberos認証を利用できない状況、例えばActive Directoryのないワークグループ環境においては、NTLM認証にフォールバックすることで、互換性が提供されてきました。

 

A. 最新のSMBクライアントに追加されたNTLMブロック機能が影響する可能性があります

 

 現在、Windowsサーバーの代理監視用アカウントとしてドメインアカウントを利用している場合は、NTLMの段階的な廃止の影響は受けません。Windows 11バージョン24H2およびWindows Server 2025からNTLMv1は削除されましたが(→Microsoft Learn)、それ以降のNTLMの段階的な廃止については方向性が示されただけで、詳細なロードマップは公開されていません。NTLM廃止後の代替機能として「IAKERB」および「Local KDC」による対策が予定されていますが、これらはまだ提供されていません。しかしながら、段階的な廃止はSMBクライアント機能から実装が始まっており(既定では無効)、それが影響する可能性があります。

 Windows Server 2025およびWindows 11バージョン24H2からは、SMBクライアント(Lanmanワークステーション)に新しいグループポリシー設定「NTLM(LM、NTLM、NTLMv2)をブロックする」が追加されました。このポリシー設定は既定で未構成(無効)の状態ですが、NTLMはセキュリティ上のリスクがある認証プロトコルであるため、管理者の設定によりドメイン内で有効化される可能性があります(画面1)。

SMB で NTLM 接続をブロックする|Windows Server(Microsoft Learn)

 

画面1

画面1 Windows Server 2025で追加されたSMBクライアント(Lanmanワークステーション)のNTLMブロックポリシー


 BOMの代理監視では、“監視に利用するアカウント”として監視元と監視先の双方のコンピューターで使用できるユーザーアカウントを用意する必要があります。ワークグループ環境では、同じユーザー名、同じパスワードのローカルアカウントを監視元と監視先の双方に作成し、双方のAdministratorsローカルグループのメンバーとして追加します。ドメイン環境の場合は、ドメインユーザーアカウントを双方のAdministratorsローカルグループのメンバーとして追加します。このワークグループ環境の代理監視が、今後段階的な廃止が予定されているNTLM認証に依存します。

 NTLMの段階的な廃止は発表されたばかりで、BOMの代理監視、およびBOM 8.0 SR1で追加された代理監視チェックツールは、NTLM廃止を想定したものではありません。

代理監視にてリモートコンピューターを監視する場合|セイ・テクノロジーズ株式会社 サポート技術情報
What’s new in BOM 8.0 SR1: #2 代理監視チェックツール|製品コラム

 そのため、前出のポリシー設定により、SMBクライアント側でNTLM認証がブロックされるようになっている場合でも、代理チェックツールはパスしますし、「インスタンス作成ウィザード」によるローカルユーザーアカウントによるインスタンスの作成も成功します。しかし、作成後のインスタンスで監視を開始しても、すべての監視項目のステータスは「失敗」と報告されます(画面2)。

 

画面2
画面2 NTLMをブロックする新しいポリシーが有効になっていると、ローカルアカウントによる代理監視は失敗する

 通常、NTLMブロックポリシーは、Active Directoryドメインが利用可能な環境でのみ使用されます。Active Directoryドメインが利用可能な場合は、監視元と監視先の双方のコンピューターをActive Directoryドメインに参加させ、“監視に利用するアカウント”としてドメインユーザーアカウントを使用するように設定してください(画面3、画面4)。監視対象をActive Directoryドメインに参加させることができない場合は、同じくWindows Server 2025/Windows11に新たに追加された「NTLMサーバー禁止例外一覧」ポリシーを有効にして、NTLMを使用可能な例外の一覧に監視対象のコンピューター名またはIPアドレスを追加してください。

 

画面3
画面3 Active Directoryドメイン環境が利用可能な場合は、ローカルアカウントではなく、ドメインユーザーアカウントによる監視に切り替える

 

画面4
画面4 ドメインユーザーアカウントによる代理監視にはKerberos認証が使用されるため、NTLM認証のブロックの影響は受けない

 なお、NTLM廃止後のワークグループ環境における代理監視については、Microsoftによる詳細なロードマップと代替機能が発表されてからのご案内となります。

blog_column_subscribe

blog_column_comment

戻る  
  次へ

最新記事

2025年04月09日 What’s new in BOM 8.0 SR2: #2 Windows Server 2025正式対応と新しい監視テンプレート
2025年04月02日 What’s new in BOM 8.0 SR2: #1 BOM Syslog受信機能
2025年03月26日 利用可能な重要な更新プログラム数の監視で「Windows Update監視」を置き換える-BOM for Windows活用例
2025年03月26日 VM構成バージョンを監視してOSのアップグレードに備える-BOM for Windows活用例
2025年03月12日 最後の更新からの経過日数を監視して「Windows Update監視」を強化する-BOM for Windows活用例
2025年02月19日 What's new in SSD-assistance: #2 Azure設定仕様書に対応
2025年01月29日 NTLMの段階的な廃止と代理監視への影響-BOM for Windows FAQ(仮)
2025年01月27日 Windows Server 2025で非推奨になった機能の状態を監視する-BOM for Windows活用例
2025年01月15日 サーバー設定仕様書の「自動更新を構成する」が実機と一致しない-SSD-assistance FAQ(仮)
2024年12月25日 サーバー設定仕様書のプロセッサ数と合計コア数について-SSD-assistance FAQ(仮)