ニュース

NTLM廃止に向け「Windows Server 2025」「Exchange Server 2019」で既定のセキュリティ設定がより厳しく

Windows NT 3.1で導入されたユーザー認証方式

Microsoft Security Response Centerの公式ブログ

 「NT LAN Manager」(NTLM)は「Windows NT 3.1」で導入されたユーザー認証方式だが、現在のセキュリティ水準ではとうに時代遅れとなっており、NTLMリレー攻撃などのターゲットとなっているのが現状だ。米Microsoftは12月9日(現地時間)、セキュリティ部門Microsoft Security Response Centerの公式ブログで、「Windows Server」や「Exchange Server」におけるNTLMリレー攻撃緩和の取り組みを改めて説明している。

 同社は過去にNTLMリレー保護がないサービスを悪用した攻撃をいくつか確認しており、「EPA」(Extended Protection for Authentication)と呼ばれるセキュリティ保護技術を有効化するためのガイドラインを公表している。

  • CVE-2023-23397:「Exchange」サーバーを中継して「Outlook」を攻撃
  • CVE-2021-36942:「Active Directory」の証明書サービス(AD CS)を介してLSARPCを悪用
  • ADV190023:LDAP(Lightweight Directory Access Protocol)を中継してWPAD(Web Proxy Auto-Discovery Protocol)を攻撃

 しかし、ネットワーク管理者が手動で設定する必要があるため、すべての環境で実現できるとは限らない。そこで、デフォルトの設定を強化することでNTLMリレー保護を進める取り組みを行っているという。

  • Exchange Server 2019:今年初めにリリースされたアップデート「CU 14」で「EPA」がデフォルト有効に
  • Exchange Server 2016:延長サポート中のため、CUでの実施は未計画。スクリプトを利用して「EPA」を有効化できる
  • Windows Server 2025:AD CSとLDAPの両方で「EPA」がデフォルト有効に。現在はクライアントのサポートがある場合に限定されているが、将来的には常時有効へと強化される予定

 NTLMは将来的な廃止が決定されている。「Windows Server 2025」および「Windows 11 バージョン 24H2」では「NTLM v1」が削除されており、より一般的に用いられている「NTLM v2」も非推奨だ。管理者はNTLMをブロックするようにSMBを構成することも可能。

 NTLMリレー攻撃対策の強化は互換性問題を引き起こす可能性もあるが、もはやNTLMを使い続けるリスクの方が大きいといえる。できるだけ早めの対策を心掛けたい。