Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル このポリシー設定は 共有フォルダーやプリンターを所有しているコンピューター (サーバー) が サーバー メッセージ ブロック (SMB) プロトコルを使ってセッションを確立するときに ...

Microsoft ネットワーク サーバー: サーバー SPN ターゲット名検証レベル

このポリシー設定は、共有フォルダーやプリンターを所有しているコンピューター (サーバー) が、サーバー メッセージ ブロック (SMB) プロトコルを使ってセッションを確立するときに、クライアント コンピューターから提供されたサーバー プリンシパル名 (SPN) に対して実行する検証のレベルを制御します。

サーバー メッセージ ブロック (SMB) プロトコルは、ファイルとプリンターの共有およびそのほかのネットワーク操作 (リモート Windows 管理など) の基盤を提供するものです。SMB プロトコルは、SMB クライアントによって提供された認証 BLOB 内での SMB サーバー サービス プリンシパル名 (SPN) の検証をサポートします。これは SMB リレー攻撃と呼ばれる SMB サーバーに対する一連の攻撃を避けるためです。この設定は SMB1 および SMB2 の両方に影響します。

このセキュリティ設定は、クライアントが SMB サーバーへのセッションを確立しようとするときに提供するサービス プリンシパル名 (SPN) に対し、SMB サーバーが実行する検証のレベルを決定するものです。

オプションは以下のとおりです:

オフ – SMB クライアントからの SPN は SMB によって要求および検証されません。

クライアントによって提供される場合は受け入れる - SMB サーバーは SMB クライアントによって提供された SPN を受け入れ、検証します。SMB サーバーの SPN の一覧に一致した場合、セッションの確立を許可します。SPN が一致しない場合、その SMB クライアントのセッション要求は拒否されます。

クライアントに要求 - SMB クライアントはセッションのセットアップ時に SPN 名を送信する必要があります。また、提供された SPN 名は接続の確立を要求している SMB サーバーのものと一致する必要があります。SPN がクライアントから提供されない場合、また提供された SPN が一致しない場合は、セッションは拒否されます。

既定値: オフ

すべての Windows オペレーティング システムにおいて、クライアント サイドの SMB コンポーネントおよびサーバー サイドの SMB コンポーネントの両方がサポートされています。この設定はサーバーの SMB 動作に影響するため、ファイルやプリンターのサービスが中断されたりしないよう、実装する前に十分な評価およびテストを行ってください。このポリシーを実装して SMB サーバーを保護することに関する追加の情報は Microsoft の Web サイト (http://go.microsoft.com/fwlink/?LinkId=144505) を参照してください。