NTLMv1 および LM ネットワーク認証に関するセキュリティ ガイド

文書翻訳 文書翻訳
文書番号: 2793313 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

マイクロソフトは、攻撃者が NT LAN Manager Version 1?(NTLMv1) および LAN Manager (LM) ネットワーク認証に対して使用する可能性があるツールおよびその詳細を認識しています。コンピューターのソフトウェアとハードウェアのアルゴリズムの進歩に伴い、これらのプロトコルには、ユーザー資格情報を入手するさまざまな攻撃に対する脆弱性が存在します。特に NTLMv2 認証を強制しない環境を対象として使用可能なツールセットについて説明します。これらの環境を評価し、ネットワーク認証の設定を更新することを強くお勧めします。サポートされているすべての Microsoft オペレーティング システムは NTLMv2 認証機能を提供します。

Microsoft Windows NT 4、Windows 2000、Windows XP、および Windows Server 2003 などを搭載しているシステムなど、既定の構成で影響を受けるシステムが主に危険にさらされます。たとえば、既定では、Windows XP と Windows Server 2003 の両方が NTLMv1 認証をサポートします。

Windows NT の場合、ネットワーク ログオンに使用されるチャレンジ/レスポンス認証のために 2 つのオプションがサポートされます。LAN Manager (LM) チャレンジ/レスポンスと Windows NT チャレンジ/レスポンス (NTLM バージョン 1 チャレンジ/レスポンスとも呼ばれます) です。これらの両方で、Windows NT 4.0、Windows 95、Windows 98、および Windows 98 Second Edition のインストール ベースとの相互運用が可能です。


このページでこの問題を解決するには、「Fix it で解決する」セクションに進んでください。

解決方法

この問題をリスクを軽減するために、NTLMv2 のみの使用を許可するように Windows NT 4、Windows 2000、Windows XP、および Windows Server 2003 を搭載する環境を構成することをお勧めします。これを行うには、ここに記載されている説明に従って LAN Manager 認証レベルを手動で 3 以上に設定します。

Windows XP および Windows Server 2003 の場合、Microsoft Fix it ソリューションを使用して、NTLMv2 のみの使用を許可するように自動的にシステムを構成することができます。この方法ではさらに、ユーザー用の NTLM 設定で、認証の拡張保護を利用できます。

Fix it で解決する

このセクションに記載されている Fix it ソリューションは、セキュリティ更新プログラムに代わるものではありません。常に、最新のセキュリティ更新プログラムをインストールすることをお勧めします。この Fix it ソリューションは、あくまでも特定の状況下における回避策オプションとして提供するものです。

Windows XP 用 Microsoft Fix it

この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。
元に戻す全体を表示する
有効化
Fix this problem
Microsoft Fix it 50969
注意事項
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。
Windows Server 2003 用 Microsoft Fix it

この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。
元に戻す全体を表示する
有効化
Fix this problem
Microsoft Fix it 50970
注意事項
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

状況

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

詳細

FAQ

Windows ネットワーク セキュリティおよび LAN Manager 認証レベルの脅威と対策に関する詳細情報はありますか。

脅威と対策の詳細については、マイクロソフト TechNet の「脅威と対策: セキュリティ オプション」を参照してください。 NTLM 認証の構成の詳細については、LmCompatibilityLevel を参照してください。

問題の原因は何ですか。

2000 年 1 月まで、輸出制限により、暗号化プロトコルの最大キー長が制限されていました。LM および NTLM 認証プロトコルはどちらも 2000 年 1 月より前に開発されたため、これらの制限の対象になっていました。Windows XP は、リリースされたときに、Windows 2000 以前向けに設計された認証環境との下位互換性を維持するように構成されました。

自分の構成に脆弱性があるかどうかを確認する方法を教えてください。

LMCompatibilityLevel レジストリ設定が 3 未満に設定されている場合、この問題の影響を受けます。

既定の構成で影響を受ける Windows オペレーティング システムはどれですか。

Windows NT4、Windows 2000、Windows XP、および Windows Server 2003 はすべて LMCompatibilityLevel の既定の構成値が 3 未満になっています。

NTLMv2 を強制することの潜在的なリスクは何ですか。

サポートされているすべてのバージョンの Windows オペレーティング システムは NTLMv2 をサポートします。Windows NT 4.0 SP6a も NTLMv2 をサポートします。そのため、非常に小さな互換性に関するリスクがあります。場合によっては、導入されているサードパーティの従来の実装または構成を相互運用の問題に関して評価する必要があります。再構成またはアップグレードによってこの問題を解決できる場合があります。改善手順に従って、自社のネットワークを構成およびアップグレードし、NTLMv1 を識別してフェーズアウトすることをお勧めします。NTLMv1 プロトコルの使用は、ネットワーク セキュリティに確実に悪影響を与え、セキュリティを侵害する可能性があります。

攻撃者は脆弱性を利用して何を行いますか。

攻撃者は、取得した LM および NTLM ネットワーク認証レスポンスから認証ハッシュを抽出する可能性があります。

サポートされなくなった Microsoft Windows のバージョン上で NTLMv2 を有効にする方法に関する情報はどこにありますか。

Windows NT、Windows 95、Windows 98、および Windows 98 Second Edition の NTLMv2 の詳細については、サポート技術情報 239869 を参照してください。

謝辞

マイクロソフトは、お客様を保護するための共同作業に関して、次の方に謝意を表します。
  • NTLMv1 (NT LAN Manager Version 1) および LAN Manager (LM) に対する攻撃からお客様を保護するための作業についてマイクロソフトに協力してくださった T-Mobile USA のMark Gamache
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。

プロパティ

文書番号: 2793313 - 最終更新日: 2013年1月11日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
キーワード:?
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com