Windows で暗号化を要求するように SMB クライアントを構成する
Windows 11 バージョン 24H2、および Windows Server 2025 以降、SMB クライアントでは、すべての送信 SMB 接続の暗号化がサポートされています。 管理者は、すべての保存先サーバーに SMB 3.0 以降の暗号化をサポートするように要求できます。 この記事では、すべての送信接続に暗号化を要求するように SMB クライアントを構成する方法について説明します。
すべての送信 SMB クライアント接続の暗号化により、最高レベルのネットワーク セキュリティが適用され、SMB 署名に管理パリティが適用されます。これにより、クライアントとサーバーの両方の要件が可能になります。 有効にすると、SMB クライアントは、SMB 3.0 以降をサポートしていない、または SMB 暗号化をサポートしていない SMB サーバーに接続しません。 たとえば、あるサードパーティ製の SMB サーバーでは、SMB 3.0 はサポートされますが、SMB 暗号化はサポートされません。
SMB 暗号化は、傍受攻撃やスヌーピングから SMB データをエンドツーエンドで保護します。 SMB クライアントは、この記事で説明するように、マップされたドライブごと、UNC の強化、またはコンピューターごとの設定で暗号化を要求できます。 SMB サーバーでは、共有ごとに、またはファイル サーバー全体に対して SMB 暗号化を要求することもできます。 SMB サーバーと UNC 強化のための SMB 暗号化の詳細については、SMB 暗号化を参照してください。
前提条件
暗号化を要求するように SMB クライアントを構成する前に、次のものが必要です。
- 次のいずれかのオペレーティング システムで実行されている SMB クライアント。
- Windows 11 バージョン 24H2 以降。
- Windows Server 2025 以降。
- コンピューターの管理者権限。
- ドメインでグループ ポリシーを使用している場合は、グループ ポリシー オブジェクト (GPO) を作成または編集し、適切な組織単位 (OU) にリンクするための権限が必要です。
グループ ポリシーを使用して SMB 暗号化の義務を構成する
サーバー、共有、UNC の強化、またはマップされたドライブの要件に関係なく、常に暗号化を要求するように SMB クライアントを構成できます。 管理者は、すべての接続で Windows コンピューターに SMB 暗号化 (すなわち SMB 3.x) を使用するようにグローバルに強制できます。SMB サーバーがどちらもサポートしていない場合は、接続を拒否します。
ヒント
SMB 暗号化には、パフォーマンスと互換性のオーバーヘッドが関連付けられています。 SMB 署名では、パフォーマンスと改ざん防止が向上しますが、スヌーピング保護は提供されません。 暗号化と署名を完全に省略すると最高のパフォーマンスが得られますが、当然のことながら、接続の承認と事前認証整合性保護以外のセキュリティは提供されません。 SMB 暗号化は SMB 署名よりも優先され、同じレベルの改ざん防止が提供されます。SMB クライアントで署名が必要な場合は、SMB 暗号化によって無効になります。
グループ ポリシーまたは PowerShell を使用して、送信接続の暗号化を要求するように SMB クライアントを構成できます。
グループ ポリシーを使用して、すべての送信接続に暗号化を要求するように SMB クライアントを構成する方法を次に示します。
SMB クライアントをすべての SMB サーバーに必要な暗号化用に構成するには (すなわち、送信接続の場合):
- [グループ ポリシー管理コンソール] を開きます。
- 使用するグループ ポリシー オブジェクト (GPO) を編集または作成します。
- コンソール ツリーで、[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [Lanman ワークステーション] の順に選択します。
- 設定のために、[暗号化の要求] を右クリックし、[編集] を選択します。
- [有効化] を選択し、[OK] を選択します。
ポリシーを無効または未構成に設定すると、暗号化要件が削除されます。
重要
組織全体で SMB 暗号化を展開するときは注意してください。 Windows Server 2008 R2 などのレガシ SMB サーバーでは、SMB 3.0 はサポートされていません。 古いサードパーティ製の SMB サーバーでは、場合によっては SMB 3.0 をサポートできますが、暗号化はサポートされない場合があります。