Windows 11 および Windows Server 2025 での NTLM 接続のブロック
<本文>
安全でないプロトコルを段階的に廃止する一環として、Microsoft は Windows 11 バージョン 24H2 および Windows Server 2025 以降、非推奨の NTLMv1 認証プロトコルのサポートを削除し、Kerberos などのより安全な代替手段の使用を奨励しています。また、NTLMv2 は Windows の将来のリリースでは非推奨になる予定です。
ユーザーが NTLMv1 認証のみをサポートするリモート コンピューターまたは NAS デバイスに接続しようとすると、エラー メッセージが表示されます。
Authentication failed because NTLM authentication has been disabled

この場合、イベント ビューアーで次のようなイベントを見つけることができます。
ERROR_NTLM_BLOCKEDError code: 1937 (0x791)Authentication failed because NTLM authentication has been disabled.
ワークグループ内のコンピューターから RDP 経由で Windows 11 24H2 を実行しているドメイン デバイスに接続しようとすると、次のエラーが発生する場合があります。
An authentication error has occurred.The function requested is not supported.This could be due NTLM authentication being blocked on the remote computer.This also be due to CredSSP encryption oracle remediation.

NTLMv1 プロトコルがサポートされていないと、この古い認証方法のみをサポートするデバイスとの接続に問題が発生する可能性があります。特に問題は、Synology NAS および TrueNAS からマッピングされたネットワーク ドライブで発生します。このようなデバイスを Windows 11 で引き続き使用するには、少なくとも NTLMv2 を使用するようにデバイスを構成する必要があります (ファームウェアの更新が必要な場合があります)。
Windows 環境での NTLMv1 の使用状況の監査
強化された NTLM 認証イベント監査が、Windows 11 24H2 および Windows Server 2025 でも利用できるようになりました。 NTLM 認証 (v1 または v2) が使用されると、対応するイベントが Windows によってログに記録されます (イベント ビューアー-> アプリケーションとサービス ログ-> Microsoft-> Windows-> NTLM-> 運用)。
このようなイベントの詳細には次のものが含まれます。
-
コンピューター上のユーザーとプロセスが NTLM 認証を使用しようとしました。
-
使用された NTLM のバージョン
-
NTLM 認証を要求したリモート デバイスの名前および/または IP アドレス。
この例では、NTLM 認証ログには、現在許可されている NT LAN Manager バージョン 2 の使用に関する情報メッセージと、古い NTLM1v1 バージョンを使用しようとした場合の警告が含まれています。

NTLM 使用状況イベント収集はデフォルトで有効になっています。この監査は、GPO エディター (管理用テンプレート-> システム-> NTLM) の NTLM 拡張ログ オプションを使用して無効にできます。

AD ドメイン コントローラーでは、このグループ ポリシー オプションは、ログ拡張されたドメイン全体の NTLM ログです。
ただし、NTLMv1 は、Windows の一部の従来の暗号化アルゴリズム (AD ドメインの MS-CHAPv2 など) での認証に引き続き使用できます。 Microsoft では、NTLMv1 を使用するレガシー プロトコルを保護するために、デバイスで Credential Guard を有効にすることをお勧めします。
Microsoft は、Credential Guard が無効になっているデバイスで NTLMv1 を無効にするためのロードマップを公開し、Windows 11 バージョン 24H2 および Windows Server 2025 から監査と適用の変更を段階的に展開し、従来のプロトコルを段階的に廃止することでセキュリティを強化しています。
このロードマップによれば、次のようになります。
- NTLMv1 使用状況の監査が有効になりました
2025年8月
(イベントID: 4024)
- これらの変更は、Windows Server 2025 に実装される予定です。
2025 年 11 月。
- で
2026年10月
, Microsoft は監査モードから完全強制に切り替え、この設定が手動で構成されていないデバイスでは、デフォルトでシングル サインオン用の NTLMv1 由来の資格情報の使用をブロックするデフォルト値を設定します。この変更は、BlockNtlmv1SSO レジストリ パラメーターを設定することで実装されます。 ( HKLM\SYSTEM\currentcontrolset\control\lsa\msv1\_0 )、その値は 0 (監査モード) から 1 (強制) に変更されます。
変更を実装する前に環境をテストし、NTLM を完全に無効にしても正しく動作することを確認することをお勧めします。
Windows での SMB 経由の NTLM のブロック
Windows 11 (バージョン 24H2+) と Windows Server 2025 のもう 1 つの変更は、SMB 認証での NTLM の使用に関連しています。リモート コンピューター上の共有ネットワーク フォルダーおよびプリンターにアクセスするときに、発信 SMB 接続のクライアント側で NTLM 認証プロトコルを無効にできるようになりました。
SMB クライアントの NTLM を完全に無効にします。
Set-SMbClientConfiguration-BlockNTLM $true

または、特定のマップされたドライブに対して NTLM を無効にすることもできます。
New-SmbMapping-RemotePath \\srv1\shared-BlockNTLM $true
または
NET USE \\srv1\shared/BLOCKNTLM
これにより、SMB クライアントが SPNEGO 経由で認証プロトコルをネゴシエートした後、より安全な Kerberos プロトコルを使用する代わりに NTLM にフォールバックするのを防ぎます (たとえば、これは、FQDN ではなく IP アドレスで共有ドライブをマッピングする場合、またはローカル アカウントで接続する場合に発生する可能性があります)。
特定のデバイスに対してのみ NTLM 認証の使用を許可するには、そのアドレスを例外リストに追加します。
Set-SmbClientConfiguration-BlockNTLMServerExceptionList "192.168.123.12,*.woshub.com"
これらの設定は、コンピューターの構成 -> 管理用テンプレート -> ネットワーク -> Lanman ワークステーション のグループ ポリシー オプションを介して適用できます。
-
NTLM をブロック (LM、NTLM、NTLMv2)
-
ブロック NTLM サーバー例外リスト

新しい GPO オプションが導入され、ネットワーク フォルダーにアクセスするときに NTLM 認証試行が失敗する間隔を制限できるようになりました。このパラメーターは、「認証レート リミッターを有効にする」と呼ばれます (コンピューターの構成-> 管理用テンプレート-> ネットワーク-> Lanman サーバー)。このオプションは、NTLM 認証試行の失敗ごとにデフォルトで 2 秒 (2000 ミリ秒) の遅延を導入することにより、共有フォルダーに対するブルート フォース攻撃や辞書攻撃から SMB サーバーを保護し、攻撃の試みを大幅に遅らせます。

*️⃣ 出典リンク:
削除 、CredSSP 暗号化オラクル修復、 ロードマップ、Credential Guard が無効になっています、 、NTLM が完全に無効になっています、 共有ネットワークフォルダーとプリンター、