業務で利用するWindows PCのネットワークセキュリティ強化は、情報漏洩や不正アクセスを防ぐ上で非常に重要です。
特定の名前解決プロトコルが、ネットワーク内の安全上の欠陥となる場合があります。
この記事では、LLMNRやNetBIOS over TCP/IPといった名前解決の仕組みを無効化し、セキュリティリスクを低減する具体的な手順を解説します。
これらの設定変更により、ビジネス環境の安全性を高めることができるでしょう。
【要点】ネットワーク内の安全性を高めるための名前解決設定
- LLMNRの無効化: リンクローカルマルチキャスト名前解決による不正な情報取得リスクを低減できます。
- NetBIOS over TCP/IPの無効化: TCP/IP上のNetBIOSプロトコルが持つセキュリティリスクを排除できます。
- レジストリのバックアップ: システム設定データベースの変更前に、必ず現在の設定を保存できます。
ADVERTISEMENT
目次
LLMNRとNetBIOS over TCP/IPの無効化で向上するセキュリティ
Windowsのネットワーク環境では、デバイスやサービスの名前をIPアドレスに変換する「名前解決」の仕組みが利用されています。
しかし、その中にはセキュリティ上のリスクとなる特定のプロトコルが存在します。
LLMNRとNetBIOS over TCP/IPは、これらリスクの一部を構成するものです。
LLMNRとは何か、そのセキュリティリスク
LLMNRは、DNSサーバーが利用できない環境で、ローカルネットワーク内のデバイスが名前解決を行うためのプロトコルです。
特定のデバイスの名前解決要求に対して、ネットワーク内の他のデバイスが応答する仕組みです。
この仕組みは、攻撃者によって悪用される可能性があります。
例えば、攻撃者が不正な名前解決応答を送信し、正規のサーバーになりすますことで、ユーザーの認証情報を盗み取ることが考えられます。
このような攻撃は、NTLMリレー攻撃 エヌティーエルエムリレー攻撃 などと呼ばれ、ビジネス環境での情報漏洩に繋がる恐れがあります。
NetBIOS over TCP/IPとは何か、そのセキュリティリスク
NetBIOS over TCP/IPは、TCP/IPネットワーク上でNetBIOSプロトコルを利用するための仕組みです。
主にWindowsの初期バージョンでデバイスの名前解決やファイル共有に利用されていました。
NetBIOSは、ネットワーク内のデバイス情報を広範囲にブロードキャストする特性を持ちます。
これにより、ネットワーク内のデバイス名や共有リソースの情報が、意図しない第三者に知られるリスクがあります。
また、LLMNRと同様に、名前解決の応答を偽装されることで、認証情報の窃取や不正アクセスに悪用される可能性も指摘されています。
無効化によるセキュリティ効果
LLMNRとNetBIOS over TCP/IPを無効化することで、これらのプロトコルが持つ脆弱性を悪用した攻撃のリスクを大幅に低減できます。
特に、DNSサーバーが正しく設定されている企業ネットワークにおいては、これらのプロトコルは必須ではありません。
無効化することで、不正な名前解決応答による認証情報の窃取、ネットワーク情報の漏洩といった安全上の欠陥を塞ぐことに繋がります。
LLMNRを無効化する手順
LLMNRを無効化するには、グループポリシーエディター グループポリシー管理エディター を利用する方法が一般的です。
Windows 10 Homeエディションなど、グループポリシーエディターが利用できない場合は、レジストリ システム設定データベース を直接編集する方法で対応できます。
グループポリシーエディターでの設定
この手順はWindows 11 ProまたはEnterpriseエディションで利用できます。
- グループポリシーエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
「gpedit.msc」と入力し、Enterキーを押します。 - ポリシー設定の場所へ移動する
グループポリシーエディターの左側ペインで、「コンピューターの構成」を展開します。
「管理用テンプレート」を展開し、「ネットワーク」を展開します。
「DNS クライアント」をクリックします。 - LLMNRを無効にするポリシーを編集する
右側ペインで「リンクローカルマルチキャスト名前解決をオフにする」ポリシーを探し、ダブルクリックします。 - ポリシーを有効にする
開いたダイアログで、「有効」を選択します。
「適用」ボタンをクリックし、「OK」ボタンをクリックしてダイアログを閉じます。 - 設定を反映させる
コマンドプロンプトを管理者として実行し、「gpupdate /force」と入力してEnterキーを押します。
これにより、グループポリシーの変更が直ちに適用されます。
レジストリ編集での設定(Windows 10 Homeなど)
レジストリを直接編集する際は、誤った操作がシステムに深刻な影響を与える可能性があります。
必ず事前にレジストリのバックアップを取得してください。
レジストリのバックアップ手順
- レジストリエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
「regedit」と入力し、Enterキーを押します。 - レジストリ全体をバックアップする
レジストリエディターの左側ペインで、「コンピューター」を選択します。
メニューバーの「ファイル」をクリックし、「エクスポート」を選択します。 - バックアップファイルを保存する
「エクスポート範囲」で「すべて」が選択されていることを確認します。
任意のファイル名(例: registry_backup_日付)を入力し、保存場所を指定して「保存」ボタンをクリックします。
このファイルは、問題発生時にレジストリを元に戻すために使用できます。
LLMNRを無効化するレジストリ編集手順
- レジストリエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
「regedit」と入力し、Enterキーを押します。 - 指定のパスへ移動する
レジストリエディターの左側ペインで、以下のパスへ移動します。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
このキーが存在しない場合は、「DNSClient」キーを右クリックし、「新規」から「キー」を選択して作成します。 - 新しいDWORD値を作成する
「DNSClient」キーが選択された状態で、右側ペインの空白部分を右クリックします。
「新規」から「DWORD 32ビット値」を選択します。 - DWORD値の名前とデータを設定する
作成した値の名前を「EnableMulticast」と入力します。
「EnableMulticast」をダブルクリックし、「値のデータ」を「0」に設定します。
「OK」ボタンをクリックします。 - レジストリエディターを閉じる
レジストリエディターを閉じて、変更を適用するためにPCを再起動します。
NetBIOS over TCP/IPを無効化する手順
NetBIOS over TCP/IPは、ネットワークアダプターの設定から無効化できます。
この設定は、有線LAN接続とWi-Fi接続のそれぞれのアダプターに対して個別に行う必要があります。
- ネットワークとインターネット設定を開く
Windows 11の場合、スタートボタンを右クリックし、「設定」を選択します。
左側のナビゲーションペインで「ネットワークとインターネット」をクリックします。 - アダプターのオプション設定を開く
「ネットワークの詳細設定」をクリックし、「その他のネットワークアダプターのオプション」をクリックします。
Windows 10の場合、「設定」から「ネットワークとインターネット」を開き、左側の「状態」タブで「アダプターのオプションを変更する」をクリックします。 - 対象のアダプターのプロパティを開く
NetBIOS over TCP/IPを無効化したいネットワークアダプター(例: イーサネット、Wi-Fi)を右クリックし、「プロパティ」を選択します。 - NetBIOS over TCP/IPの設定を変更する
プロパティダイアログで、「インターネットプロトコルバージョン4 TCP/IPv4 」を選択し、「プロパティ」ボタンをクリックします。 - WINSタブで設定を行う
開いたダイアログで「詳細設定」ボタンをクリックします。
「WINS」タブをクリックします。
「NetBIOS over TCP/IPを無効にする」を選択します。
「OK」ボタンをクリックし、すべてのダイアログを閉じます。 - 変更を適用する
PCを再起動するか、ネットワークアダプターを無効にしてから再度有効にすることで、設定が適用されます。
ADVERTISEMENT
無効化時の注意点と発生しうる問題
LLMNRやNetBIOS over TCP/IPの無効化はセキュリティ向上に役立ちますが、同時に特定の機能に影響を与える可能性があります。
設定変更を行う前に、これらの注意点を理解することが重要です。
ネットワーク上のデバイス探索に影響が出る可能性
LLMNRやNetBIOS over TCP/IPは、ローカルネットワーク内でデバイスを自動的に検出する機能の一部として利用されることがあります。
これらのプロトコルを無効化すると、ネットワークエクスプローラーなどで他のPCやNAS ネットワークアタッチドストレージ が表示されにくくなる場合があります。
デバイスをIPアドレスで直接指定するか、DNSサーバーに登録することで対応できます。
共有フォルダーやプリンターアクセスに影響が出る可能性
古いバージョンのWindowsや、特定のレガシーなNASデバイスでは、共有フォルダーやプリンターへのアクセスにNetBIOSが利用されていることがあります。
NetBIOS over TCP/IPを無効化すると、これらの共有リソースに名前でアクセスできなくなる場合があります。
その場合は、IPアドレスで共有フォルダーやプリンターに接続を試す必要があります。
特定のレガシーアプリケーションが動作しなくなる可能性
一部の古いビジネスアプリケーションや、特殊なネットワークソフトウェアは、名前解決にLLMNRやNetBIOS over TCP/IPを前提としている場合があります。
無効化後にこれらのアプリケーションが正常に動作しなくなる恐れがあります。
設定変更前に、利用しているアプリケーションの要件を確認し、必要に応じてベンダーに問い合わせることが推奨されます。
無効化後の動作確認の重要性
これらの設定変更は、ネットワーク環境全体に影響を及ぼす可能性があります。
設定変更後は、業務で利用する共有フォルダーへのアクセス、プリンターの利用、業務アプリケーションの動作など、必要な機能が問題なく利用できるかを確認してください。
可能であれば、本番環境に適用する前に、テスト環境で影響を十分に評価することをお勧めします。
今回の記事では比較表の記載はございません。
まとめ
この記事では、Windows環境でLLMNRとNetBIOS over TCP/IPといった名前解決プロトコルを無効化する手順を詳しく解説しました。
これらの設定を実施することで、ネットワーク内の安全上の欠陥を塞ぎ、NTLMリレー攻撃などのリスクを低減できます。
ただし、設定変更は既存のネットワークサービスやアプリケーションに影響を与える可能性があるため、事前の影響調査と慎重な動作確認が不可欠です。
特にレジストリを編集する際は、必ずバックアップを取得してから作業を進めてください。
これらのセキュリティ強化策を適切に適用し、安全なビジネスネットワーク環境を構築しましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】イヤホンを挿してもスピーカーから音が出る!ジャックを認識しない時のRealtek設定と直し方