Microsoftは1月12日にWindows 11の最新のプレビュービルドである「Windows 11 Insider Preview build 25276」をWindows Insiderプログラムの参加ユーザーに対しリリースした。このプレビュービルドにおける重要な変更点の1つとして、リモートサーバからSMB2またはSMB3のゲストログオンを要求された場合、Proエディションではフォールバックがデフォルトで無効になったことが挙げられる。

この変更について、Microsoftの公式ブログの記事「SMB insecure guest auth now off by default in Windows Insider Pro editions」で詳しく解説されている。

  • Windows 11 Insider Preview build 25276

    Windows 11 Insider Preview build 25276

SMBのゲストログインは、リモートサーバがパスワード認証無しでクライアントからの共有ファイルへのアクセスを可能にする。しかし、この方法は署名や暗号化などの標準的なセキュリティ機能をサポートしないため、中間者攻撃や悪意のあるサーバを利用した攻撃に対してクライアントを危険にさらすリスクがある。これを防止するために、Microsoftは、Windows 10 バージョン1709および Windows Server 2019以降でSMB2とSMB3のゲストログオンをデフォルトで無効にしている。

Windows 11 build 25276における今回の変更は、このセキュリティ強化をWindows 11 Proにも適用するためのものだ。具体的には、ゲストログオンを必要とするリモートサーバにWindows 11 Insider Proから接続しようとした場合、エラーセキュリティポリシー違反によってアクセスがブロックされた旨のエラーメッセージが表示されるという。

  • SMBのゲストログオンがブロックされた際のエラーメッセージ(引用:Storage at Microsoft)

    SMBのゲストログオンがブロックされた際のエラーメッセージ 引用:Storage at Microsoft

回避策としては、リモートサーバの構成でゲストログオンを使用しないように設定することが挙げられている。一時的にゲストログオンを許可する方法は次のドキュメントにまとめられているが、「通常は推奨しない」という注意書きが付いている。また、一時的な許可を行う場合でも、SMB1は有効にしないことを強く推奨している。

build 25276は現在はWindows Insiderプログラム向けにプレビュー版として提供されているが、SMBに関するこの変更はWindows 11 Proの次のメジャーリリースで正式に適用される予定となっている。