元の発行日: 2025 年 8 月 29 日
KB ID: 5066470
概要
この記事では、Windows 11 バージョン 24H2 および Windows Server 2025 の最近および今後の変更について詳しく説明し、NTLMv1 から派生した暗号化のブロックの監査と最終的な適用に焦点を当てます。 これらの変更は、NTLM を段階的に廃止するための Microsoft の広範なイニシアチブの一部です。
背景
Microsoft は、Windows 11、バージョン 24H2、および Windows Server 2025 以降のバージョンから NTLMv1 プロトコル (「削除された機能」を参照) を削除しました。 ただし、NTLMv1 プロトコルは削除されますが、ドメイン参加環境で MS-CHAPv2 を使用する場合など、一部のシナリオでは NTLMv1 暗号化の残りの部分がまだ存在します。
Credential Guard は、NTLMv1 レガシ暗号化とその他の多くの攻撃面の両方を完全に保護するため、Credential Guard の要件が満たされている場合は、展開と有効化を強くお勧めします。 今後の変更は、Credential Guard が無効になっているデバイスにのみ影響します。デバイスで Windows Credential Guard が有効になっている場合、この記事で説明されている変更は有効になりません。
目標
NTLM の非推奨 ( 「非推奨の機能」を参照) と NTLMv1 プロトコルの削除により、Microsoft は NTLMv1 派生資格情報の使用を無効にすることで、NTLMv1 の無効化の最終処理に取り組んでいます。
今後の変更
この更新プログラムには、新しいレジストリ キーと新しいイベント ログの導入という 2 つの新しい変更が含まれています。 これらの変更のタイムラインについては、「変更のロールアウト」セクションを参照してください。
新しいレジストリ キー
新しいレジストリ キーが導入され、変更が 監査 モードか 強制モードかを制御します。
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
データ |
|
新しい監査機能
-
監査 (既定) 設定を使用する場合
Event Log
Microsoft-Windows-NTLM/Operational
イベント タイプ
警告
イベント ソース
NTLM
イベント ID
4024
イベント テキスト
シングル サインオンに NTLMv1 派生資格情報を使用する試行の監査 ターゲット サーバー: <domain_name> 指定されたユーザー: <user_name> 指定されたドメイン: <domain_name> クライアント プロセスの PID: <process_identifier> クライアント プロセスの名前: <process_name> クライアント プロセスの LUID: <locally_unique_identifier> クライアント プロセスのユーザー ID: <user_name> クライアント プロセスのユーザー ID のドメイン名: <domain_name> メカニズム OID: <object_identifier> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2321802」を参照してください。
-
[設定の適用] を使用する場合
Event Log
Microsoft-Windows-NTLM/Operational
イベント タイプ
Error
イベント ソース
NTLM
イベント ID
4025
イベント テキスト
単一の Sign-On に NTLMv1 から派生した資格情報を使用しようとしましたが、ポリシーが原因でブロックされました。ターゲット サーバー: <domain_name> 指定されたユーザー: <user_name> 指定されたドメイン: <domain_name> クライアント プロセスの PID: <process_identifier> クライアント プロセスの名前: <process_name> クライアント プロセスの LUID: <locally_unique_identifier> クライアント プロセスのユーザー ID: <user_name> クライアント プロセスのユーザー ID のドメイン名: <domain_name> メカニズム OID: <object_identifier> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2321802」を参照してください。
その他の監査機能拡張の詳細については、「Windows 11 バージョン 24H2 および Windows Server 2025 の NTLM 監査の機能強化の概要」を参照してください。
変更のロールアウト
2025 年 9 月以降の更新プログラムでは、変更が監査モードでWindows 11バージョン 24H2 以降のクライアント OS にロールアウトされます。 このモードでは、NTLMv1 から派生した資格情報が使用されるたびに イベント ID: 4024 がログに記録されますが、認証は引き続き機能します。 ロールアウトは年内Windows Server 2025 年に達する予定です。
2026 年 10 月に、BlockNTLMv1SSO レジストリ キーがデバイスに展開されていない場合、Microsoft は既定値の BlockNTLMv1SSO レジストリ キーを 0 (監査) ではなく 1 (強制) に設定します。
タイムライン
|
日付 |
変更 |
|
2025 年 8 月下旬 |
Windows 11、バージョン 24H2 以降のクライアントで有効になっている NTLMv1 使用状況の監査ログ。 |
|
2025 年 11 月 |
Windows Server 2025 への変更のロールアウトを開始します。 |
|
2026 年 10 月 |
BlockNtlmv1SSO レジストリ キーの既定値は、監査モード (0) から適用モード (1) に変更され、今後の Windows 更新プログラムによって NTLMv1 の制限が強化されます。 この既定値の変更は、 BlockNtlmv1SSO レジストリ キーがデプロイされていない場合にのみ有効です。 |
メモ これらの日付は暫定的であり、変更される可能性があります。
よく寄せられる質問 (FAQ)
Microsoft では、段階的なロールアウト方法を使用して、一度にリリース更新プログラムを配布するのではなく、一定期間にわたって配布します。 つまり、ユーザーは異なる時間に更新プログラムを受け取り、すべてのユーザーがすぐに利用できるわけではありません。
NTLMv1 から派生した資格情報は、単一の Sign-On 目的で特定の上位レベルのプロトコルで使用されます。たとえば、MS-CHAPv2 認証を使用した Wi-Fi、イーサネット、VPN のデプロイなどがあります。 Credential Guard が有効になっている場合と同様に、これらのプロトコルの単一 Sign-On フローは機能しませんが、資格情報を手動で入力しても 、強制 モードでも引き続き機能します。 詳細とベスト プラクティスについては、「Credential Guard を使用するときの考慮事項と既知の問題」を参照してください。
この更新プログラムと Credential Guard の唯一の類似性は、NTLMv1 から派生した暗号化からのユーザー資格情報に関する保護です。 この更新プログラムでは、Credential Guard の広範で堅牢な保護は提供されません。Microsoft では、サポートされているすべてのプラットフォームで Credential Guard の有効化を推奨しています。
