Windows環境において、ネットワークセキュリティの強化はビジネス上の重要な課題です。LLMNRが有効なままだと、中間者攻撃やなりすまし攻撃のリスクを高める可能性があります。
特に企業ネットワークでは、情報漏えいの潜在的な経路となりかねません。この記事では、Windows 11およびWindows 10でLLMNRを無効化し、ネットワークセキュリティを向上させる具体的な手順を解説します。
この設定を行うことで、セキュリティリスクを軽減し、より安全なネットワーク運用を実現できます。
【要点】LLMNRを無効化しネットワークセキュリティを強化する
- グループポリシーエディターでの設定: 企業環境でLLMNRを無効にし、セキュリティリスクを低減できます。
- レジストリエディターでの設定: Windows Homeエディションを含む全てのWindowsバージョンでLLMNRを無効にできます。
- レジストリのバックアップ: レジストリ編集前にシステムの状態を保護し、予期せぬ問題に備えられます。
ADVERTISEMENT
目次
LLMNRとは何か、なぜ無効化するのか
LLMNR Link-Local Multicast Name Resolutionは、DNS Domain Name Systemサーバーが利用できない環境で、ローカルネットワーク上のデバイスの名前解決を行うプロトコルです。Windowsの機能として標準で有効化されています。この機能により、小規模なネットワークやアドホックネットワーク環境でも、IPアドレスを直接知らなくてもコンピューター名で通信できます。
しかし、LLMNRは認証なしで名前解決要求に応答する特性を持っています。この特性が悪用されると、攻撃者がネットワーク上で偽の名前解決応答を送りつけ、正規のサーバーになりすます中間者攻撃や、ユーザーの認証情報を窃取する攻撃に利用される可能性があります。そのため、DNSサーバーが適切に設定され機能している企業ネットワークなどの環境では、LLMNRを無効化することがセキュリティ強化策として推奨されます。
LLMNRの仕組みとセキュリティリスク
LLMNRは、名前解決したいコンピューターが、ネットワーク全体にマルチキャストで問い合わせを行うことで機能します。問い合わせを受けたコンピューターは、自身の名前であれば応答を返します。この応答が認証されないため、悪意のある攻撃者が偽の応答を返すことで、正規のコンピューターと誤認させることが可能です。これにより、ユーザーの通信が攻撃者を経由して盗聴されたり、偽のサービスに誘導されたりする危険性があります。
LLMNRを無効化する操作手順
LLMNRを無効化するには、主にグループポリシーエディターを使用する方法と、レジストリエディターを直接編集する方法があります。Windows 11を基準に手順を説明します。Windows 10でも同様の操作で設定できますが、一部メニューの表示が異なる場合があります。
方法1: グループポリシーエディターを使用する手順
この方法はWindows 11 Pro、Enterprise、Educationエディションで利用できます。Windows 10でも同様のエディションで利用可能です。Windows Homeエディションではグループポリシーエディターは利用できません。
- 「ファイル名を指定して実行」を開く
スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。 - グループポリシーエディターを起動する
「名前」欄にgpedit.mscと入力し、「OK」をクリックします。 - ユーザーアカウント制御の許可
「ユーザーアカウント制御」のダイアログが表示されたら、「はい」をクリックして許可します。 - ポリシーの場所へ移動する
グループポリシーエディターの左ペインで、「コンピューターの構成」を展開します。次に「管理用テンプレート」を展開し、「ネットワーク」を展開します。さらに「DNS クライアント」をクリックします。 - 「Link-Local Multicast Name Resolution をオフにする」設定を探す
右ペインで「Link-Local Multicast Name Resolution をオフにする」というポリシー設定をダブルクリックします。 - ポリシー設定を変更する
開いたダイアログで「有効」を選択します。この設定を「有効」にすることで、LLMNR機能が無効になります。 - 設定を適用する
「適用」をクリックし、続いて「OK」をクリックしてダイアログを閉じます。 - グループポリシーを更新する
設定をすぐに反映させるため、コマンドプロンプトを管理者として実行します。スタートボタンを右クリックし、「ターミナル 管理者」または「Windows PowerShell 管理者」を選択します。 - ポリシー更新コマンドを実行する
コマンドプロンプト画面でgpupdate /forceと入力し、Enterキーを押します。 - 更新の完了を待つ
ポリシーの更新が完了するまで待ちます。完了メッセージが表示されたら、コマンドプロンプトを閉じます。
方法2: レジストリエディターを使用する手順
この方法はWindows 11およびWindows 10の全てのバージョンで利用できます。レジストリの編集はシステムに影響を与える可能性があるため、慎重に行ってください。事前にレジストリのバックアップを取ることを強く推奨します。
レジストリのバックアップ手順
- 「ファイル名を指定して実行」を開く
スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。 - レジストリエディターを起動する
「名前」欄にregeditと入力し、「OK」をクリックします。 - ユーザーアカウント制御の許可
「ユーザーアカウント制御」のダイアログが表示されたら、「はい」をクリックして許可します。 - レジストリ全体をバックアップする
レジストリエディターの左上にある「ファイル」メニューをクリックし、「エクスポート」を選択します。 - バックアップファイルの保存
「エクスポート範囲」で「すべて」を選択し、任意の場所にわかりやすい名前 例:registry_backup_yyyymmddを付けて保存します。
LLMNR無効化のレジストリ編集手順
- レジストリエディターを開く
上記のバックアップ手順と同様に、レジストリエディターを起動します。 - キーの場所へ移動する
レジストリエディターの左ペインで、以下のパスへ移動します。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient - 新しいキーを作成する
もし「DNSClient」キーが存在しない場合、「Windows NT」キーを右クリックし、「新規」から「キー」を選択します。キーの名前をDNSClientと入力します。 - 新しいDWORD値を作成する
右ペインの空白部分を右クリックし、「新規」から「DWORD 32ビット値」を選択します。 - 値の名前を設定する
新しい値の名前をEnableMulticastと入力します。 - 値のデータを設定する
作成したEnableMulticastをダブルクリックします。 - 値のデータを「0」に設定する
「値のデータ」欄に0を入力し、「OK」をクリックします。値が0の場合、LLMNRは無効化されます。 - レジストリエディターを閉じる
すべての設定が完了したら、レジストリエディターを閉じます。 - コンピューターを再起動する
変更を完全に適用するため、コンピューターを再起動します。
LLMNR無効化時の注意点と確認事項
LLMNRを無効化することでセキュリティは向上しますが、いくつかの注意点があります。特にネットワーク環境によっては、予期せぬ問題が発生する可能性も考慮しておく必要があります。
名前解決に問題が発生する可能性
LLMNRはDNSサーバーが利用できない場合に補助的な名前解決手段として機能します。そのため、DNSサーバーが正しく設定されていない環境や、小規模なピアツーピアネットワークでLLMNRを無効化すると、ネットワーク上の他のコンピューターやデバイスの名前解決ができなくなる可能性があります。
この問題に対処するには、ネットワークに適切なDNSサーバーが設定されていることを確認してください。または、IPアドレスを直接指定してアクセスする方法を検討してください。
設定が反映されない場合の確認点
グループポリシーで設定した場合、gpupdate /forceコマンドを実行しないとすぐに反映されないことがあります。また、レジストリを編集した場合は、コンピューターの再起動が必要です。これらの手順を忘れていないか確認してください。
レジストリ値の入力ミスも考えられます。EnableMulticastという名前や、値のデータが0になっているか再確認してください。DWORD 32ビット値として作成されているかも重要です。
Windows 10での操作の違い
Windows 10でのLLMNR無効化手順は、基本的にWindows 11と同一です。グループポリシーエディターやレジストリエディターの操作、設定項目の名称も同じです。しかし、一部のメニューやウィンドウのレイアウト、アイコンのデザインがWindows 11とは異なる場合があります。
例えば、「ファイル名を指定して実行」やコマンドプロンプトの起動方法が若干異なることがありますが、本質的な手順に変更はありません。表示される画面に合わせて、適切な選択肢を選んで操作を進めてください。
ADVERTISEMENT
グループポリシーとレジストリによる設定方法の比較
LLMNRを無効化する二つの主要な方法には、それぞれ特徴があります。環境や管理体制に応じて最適な方法を選択することが重要です。
| 項目 | グループポリシーエディター | レジストリエディター |
|---|---|---|
| 対象OSエディション | Windows Pro、Enterprise、Education | 全てのWindowsエディション |
| 適用範囲 | システム全体または特定のユーザーグループ | システム全体または現在のユーザー |
| 難易度 | 比較的容易 | やや注意が必要 |
| 推奨される場面 | 組織での複数PCの一括管理、設定の一元化 | Homeエディションでの設定、個別のPC設定 |
| 設定の反映 | gpupdate /forceまたは再起動 |
再起動 |
まとめ
この記事で解説した手順により、Windows 11およびWindows 10でLLMNRを無効化し、中間者攻撃やなりすまし攻撃といったセキュリティリスクを軽減できるようになります。
グループポリシーエディターまたはレジストリエディターのどちらかの方法で、ご自身の環境に合わせた設定が可能です。特に企業ネットワークにおいては、DNSサーバーの適切な運用と合わせて、LLMNRの無効化を検討することが重要です。
設定後は、ネットワーク上の名前解決に問題がないか確認し、安全なシステム運用を継続してください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】イヤホンを挿してもスピーカーから音が出る!ジャックを認識しない時のRealtek設定と直し方