NTLMを取り除く方法
NT LAN Manager(NTLM)は、Windows NTで導入され、Windows XP以前のクライアントやWindows 2000 Serverより前のバージョンを含むネットワークで使用されています。 Kerberos認証をネゴシエートできない場合は、ワークグループネットワークでも使用されます。 ただし、NTLM認証はKerberos認証ほど安全ではないため、高度なセキュリティを必要とするネットワークを構成し、Windows Server 2008 R2を実行しているドメインコントローラを含み、クライアントがWindows 7を実行している場合NTLMの使用を制限したいと思うかもしれません。
- Windows Server 2008 R2を実行するドメインコントローラー
- Domain Administratorsグループのメンバーであるユーザーアカウント
1
「スタート」ボタンをクリックしてください。 メニューから[管理ツール]を選択し、[グループポリシー管理]メニューをクリックして[グループポリシー管理コンソール]を開きます。
2
「Active Directory」のノードを展開し、続いてノードの「ドメイン」、ドメインノード、「ドメインコントローラ」の順に展開します。 「デフォルトドメインコントローラ」オプションを選択します。
3
[既定のドメインコントローラ]をクリックして、メニューから[編集]オプションを選択します。
4
[コンピュータの構成]の[ポリシー]ノードを展開します。 「Windowsの設定」ノードを展開し、続いて「セキュリティの設定」ノードと「ローカルポリシー」ノードを展開します。 [セキュリティオプション]オプションを選択します。
5
ポリシー設定リストをスクロールして、「セキュリティネットワーク:このドメインでNTLM認証を制限する」というポリシー設定を見つけます。 それをダブルクリックして「セキュリティポリシー設定」ダイアログボックスを開きます。
6
[この設定を定義]チェックボックスをオンにします。
7
ドメインユーザーがNTLMを使用してドメイン内のサーバーを認証しないようにする場合は、ドロップダウンリストから[ドメインアカウントをドメインサーバーに拒否する]を選択します。 ユーザーがNTLM認証を使用できないようにする場合は、ドロップダウンリストから[ドメインアカウントの拒否]を選択します。 NTLM認証にドメインサーバーを使用しないようにする場合は、[ドメインサーバーの拒否]を選択します。 NTLM認証を回避するには、[拒否]を選択します。
8
変更を確定するには、「確定」ボタンをクリックしてください。 調整は、顧客、サービス、およびアプリケーションとの互換性に影響を与える可能性があることを警告されます。 「はい」ボタンをクリックしてください。
9
[グループポリシーエディタ]のタイトルバーにある[閉じる]ボタンをクリックし、[グループポリシー管理コンソール]のタイトルバーにある[閉じる]ボタンをクリックします。
ヒント- 1台以上のコンピュータがNTLMを使用して認証する必要がある場合は、ポリシー設定オプション[NTLMを制限する:このドメインにサーバーの例外を追加する]を有効にして、コンピュータを一覧に追加します。
- ネットワークでNTLMが使用されているかどうかを調べるには、NTLM制限の前に「ネットワークセキュリティ:このドメインでのNTLM認証監査」と「ネットワークセキュリティ:受信NTLM監査トラフィック」を許可することを検討してください。
- 各ポリシー設定の詳細については、[ポリシー設定]ダイアログボックスの[説明]タブを参照してください。
- NTLMを無効にすると、予期しない結果が生じる可能性があります。 NTLMを無効にする前後にネットワークを監視して、必要な例外を作成し、ダウンタイムを短縮します。