【CV達成27%⤴ 】月間80万人に読まれるオウンドメディア「データのじかん」サイト改善の裏側
2025 年春のWindows 11 24H2/Windows Server 2025 では、SMB 署名がデフォルトで「必須」に引き上げられました。これにより署名をサポートしない古い NAS や Samba 4.13 未満の Linux サーバーへ接続すると、「ネットワーク エラー 0x80070035 – パスが見つかりません」などのメッセージが表示され、共有できない状態になります。
| 内容 | 例 | |
|---|---|---|
| 1. | 重要データ? | 署名を有効化(推奨) |
| 2. | 機器が署名対応か? | NAS ファーム更新/Samba 4.18 以上 |
| 3. | 社内LANのみ? | 一時的に無効化可/ゼロトラストは不可 |
| 内容 | 例(期待結果) |
|---|---|
| Samba バージョン確認 | smbd --version → 4.13 以上 |
| デフォルト署名設定確認 | testparm -s \| grep "server signing" → 未設定 |
| アップグレード可否 | 4.18 以降推奨/古い RHEL 系は注意 |
sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.bak_$(date +%F)sudo nano /etc/samba/smb.conf|
1 2 3 4 |
[global] server signing = mandatory ; ★核心設定 smb encrypt = if_required ; 将来の暗号化要請に備える |
server signing = mandatory: 署名無しパケットを拒否して改ざんを防止。
smb encrypt = if_required: クライアントが暗号化を要求した場合のみ SMB 暗号化を有効。
testparm を実行し OK を確認server signing = mandatory が表示されていることsudo systemctl restart smb nmbsudo systemctl restart smb.serviceGet-SmbConnection を実行klist purge 後に再接続gpedit.msc 起動 ★キャプチャコンピューターの構成 > Windows の設定 > セキュリティ設定 > ローカル ポリシー > セキュリティ オプション へ移動
gpupdate /force で即時反映|
1 |
Set-SmbClientConfiguration -RequireSecuritySignature $false |
Windows 11 Home でも GUI 不要で即座に切り替えられます。★キャプチャ
注意:ドメイン環境では再起動後に GPO で上書きされる場合があります。署名を完全無効化するとセッションハイジャックのリスクが上昇します。
オフライン用途ならクライアント側無効化で凌げます。インターネット同居 LAN では VLAN 分割を推奨。
署名有効化で 5–15 % 低下の報告あり。AES-NI 対応 NIC なら影響は軽微です。
その PC のポリシーだけ「必須」になっている可能性があります。手順 5-1 を確認してください。
SMB1 は既定で無効化済みかつ脆弱性多数。最終手段としても推奨しません。
SMB署名の強制は「攻めのセキュリティ」を実現するための不可避な流れです。しかし業務が止まっては本末転倒なので、まずはサーバー/NAS 側をアップデートし、それが難しい場合のみクライアントで署名必須を緩和するステップを踏み、安全性と業務継続性を両立しましょう。
こちらがトラブル解決のお役に立てれば幸いです😊
KOHIMOTOではWebサイトで最大の成果を出すことを目的に、クライアントと伴走していきます。Webサイトを使った改善などをお考えでしたら、お気軽にご連絡ください!
編集者:コウ
年間20万人が訪れるKOHIMOTO Laboの 広報・編集・AIアシスタント⛄を担当しています。興味→Web・AI・ソーシャル・映画・読書|テクノロジー × ヒューマニティのpositiveな未来🌍
INDEX
PICK UP
