🛡️ NTLM認証廃止後の新時代 - Kerberos認証への移行とその影響

このエントリはYoutube動画を自動で文字起こしし、ChatGPTで修正したものです。人間も少しだけ手を入れていますが最小限です。かなり省略されているので、Youtube動画内でどのようなことを解説しているのかをざっくりと把握するのにお使いください。気になる話題でしたら是非オリジナルのYoutube動画もご参照ください！

---

Windowsの認証が進化するという話

はい、どうも皆さんこんにちは胡田です。今日はWindowsの認証が進化するという話をやっていきたいと思います。Windowsの認証が進化するということは、Windows 11に関して新発表がなされているということです。そして、認証の話です。認証っていうのはユーザーを識別する、ということです。それをちゃんとWindowsが確認する。それは認証って言いますから、これは全てのWindowsを使っている人に関係があるんです。Windows 10も、もうすぐサポート終了になりますからね。Windowsを使っている人はもう全員が関係ある話ですということになります。ですので、是非最後まで聞いてください。

さらに特に、情報システム部に務めている人とか、企業のITを管理している人なんていうのは、もうこの話はしっかり分かっておかないとまずいということになりますので、そういう方は本当に要注意ですね。はい、で、このチャンネルでは企業の情報システム部で働く人なんかも1つのメインターゲットとして、チャンネルの中のコンテンツを作っていますので、今回みたいなWindowsの将来の話とかですね、そういうことも含めて色々やっておりますので、まだチャンネル登録していない方は、是非今すぐチャンネル登録した上で最後までご覧いただければという風に思います。

そして、お仕事の連絡も募集しております。会社にもつなぎますし、個人に仕事を頼みたいという人もいるかもしれませんね。はい、仕事の連絡はこちらのメールアドレスまでいただければと思います。

そして、今回の話の元ネタと言いますかね、ここに書いてありますよ、って
いうページがこちらです。

The evolution of Windows authentication

これ、タイトルがすごいですよね。「The Evolution of Windows Authenticator」という話なんですね。はい、この中に何が書かれていて、何を分かっておかないといけないのか、というところを解説していきたいと思います。

ntlm認証の廃止

はい、何が一体どうなるんですか、これ。まず端的に言いますと、こういうことになります。ntlm認証が将来的に廃止になりますよ、そこですね。発表されたということになるんですね。廃止される、っていうか、なんかまずそうですよね。何かね、認証の話っていうことですし、ntlm認証、いいんですか、みたいなですね。私、そんなの使ってるんですかね、みたいな方もいると思います。

簡単に解説していきますね。ntlm認証っていうのは、NT LAN Managerの略ですね。はい、これですね。歴史的にかなり古い話です。Windows NT 3.1で導入されましたよ、っていうものになってます。Windows NTなんて聞いたことない、と3.1何の話だ、っていう方もいると思いますが、まあね、あのおっさんは昔の話ですね、と懐かしいですね、って感じだと思いますけどね。

Windows NT 3.1は1993年7月に登場してますからもう30年ぐらい前の話です。30年前に出たものが将来的に廃止されますよ、っていうお話です。30年の長きにわたってずっと使われ続けてる認証、それがntlm認証だということなんですね。

このntlm認証っていうのは、ユーザー名とパスワードだけ知ってれば認証ができますよ、っていう非常にシンプルな認証方式になってます。だから、登場するのは主にネットワーク的に繋がってるところで、ネットワーク的にアクセスしてそこで認証が必要ですよ、って時に、IDとパスワード、ユーザー名とパスワードを入力して合ってたら繋がる、認証OK、繋がる、まそんな時に使われるものなんですね。

例えば、ファイルサーバーがあって、Windowsファイルサーバーがあって、そこにWindowsクライアントからアクセスして認証させますよ、そそ時に使われるもんなんですね。例えば、パソコンがあって、それをどこかの仕事場に持っていって、お客さんのとこでもいいでしょう、どっか違うネットワークに持ってて、友達の家に持ってって、ネットワークに繋がせてもらって、ファイルをちょっと共有したいな、っていう時に、じゃあこのIPアドレスにアクセスして、ここにIDパスワード入れて、そこにファイル置いといて、ここで共有しよう、っていうことがWindowsなら簡単にできるんですけど、この時、誰でももうネットワークに繋がってて、IDパスワードが分かってれば繋がるから、簡単に繋がるんですよね。

それが事前にこう、当サーバー、繋がる先を登録しなきゃいけないとか、なんか証明しやれし、なきゃいけないとかなんですかね、アクティブディレクトリに参加してあげなきゃいけないとか、そういうことになると、こう、難易度が一気にガーンと上がっちゃいますよね。そうすると、一般ユーザーがパッとやるにはちょっと難しすぎるな、みたいな話にもなっちゃうわけですよね。

で、こういうところでntlm認証じゃなきゃいけない、うん、NTLMが楽だな、っていうところがまあったわけですね。そして、アクティブディレクトリであれば、ntlm認証じゃない認証が使えるんですけど、その時って必ずドメインコントローラーに通信ができる状況じゃないと認証が通らないんですよね。で、ドメインコントローラにアクセスできなかったら、ntlm認証しか他に手段がないから、ntlm認証になるみたいですね。

他のものがうまくいかなかった時にntlm認証が最後に助けてくれるみたいな、なんかそんな位置づけに今はなっているわけですね。

への通信経路を持たないため、別の方法で認証を行います。それがイニシャルアパススルーオーセンティケータです。この方法では、クライアントがまず自分自身の認証情報を持っていて、それを使って自分自身を認証します。そして、その認証情報を使ってケルベロス認証を行います。この方法では、ドメインコントローラーにアクセスする必要がないため、ネットワーク的にドメインコントローラーに繋がっていなくても認証が可能です。

もう1つの方法は、ローカルキーディストリビューションセンター（KDC）を使用する方法です。これは、クライアントが自分自身のKDCを持ち、そのKDCを使ってケルベロス認証を行います。この方法では、ドメインコントローラーにアクセスする必要がなく、自分自身がKDCの役割を果たすことができます。

これらの方法を使うことで、ドメインコントローラーにアクセスできない状況でもケルベロス認証を行うことができます。これにより、ケルベロス認証のセキュリティと利便性を維持しながら、ドメインコントローラーへの依存を減らすことができます。

以上が、新しい認証方法であるイニシャルアパススルーオーセンティケータとローカルキーディストリビューションセンターの概要です。これらの方法を活用することで、ケルベロス認証の利便性とセキュリティを向上させることができます。

ケルベロス認証とローカルキーディストリビューションセンターforケレス

ケルベロス認証を利用したプロクシサーバー

時にアクセスできないサーバーがドメインコントローラーと繋がっている場合、サーバーを返してケルベロス認証を行う仕組みがあります。つまり、サーバーがプロクシとして機能し、チケットをやり取りすることで認証が可能です。ただし、チケットが盗まれたり悪用されたりしないように、適切なセキュリティ対策が必要です。

ローカルキーディストリビューションセンターforケルベロス

ローカルPCのセキュリティアカウントマネージャーには、ケルベロス認証を利用したリモート認証が可能な機能があります。これにより、ネットワーク越しに送られてきたリモートユーザーアカウントを、ローカルで、ケルベロス認証で認証することができます。

Windows11の認証方式の変更

ネゴシエイトによる認証方式の変更

Windows11では、従来のNTLM認証からケルベロス認証への移行が進められています。これにより、Windowsの機能やツールはすべてNegotiateに対応し、ケルベロス認証を優先的に試行するようになります。

注意点と対応策

将来的にWindows11のアップデートにより、NTLM認証が規定で無効化されることが計画されています。再度有効かも可能ではありますが、ケルベロス認証への移行が推奨です。このためNTLM認証に依存しているアプリケーションやサービスに影響が出る可能性があります。管理者は、組織内でどのサービスがNTLM認証を使用しているかを調査し、ケルベロス認証に対応させる必要があります。ログをモニタリングし、認証方式の変更によるトラブルを防ぐために注意が必要です。

対応策の実施

NTLM認証の使用状況の調査

まず、組織内でどのサービスやアプリケーションがNTLM認証を使用しているかを調査する必要があります。ログを分析し、NTLM認証が使用されている箇所を特定します。

NTLM認証のケルベロス認証への変更

NTLM認証を使用しているアプリケーションやサービスをケルベロス認証に対応させる必要があります。Microsoftのサポートやドキュメントを参考に、NTLM認証をケルベロス認証に変更する手順を実施します。

ログのモニタリングとトラブル対応

ログをモニタリングし、認証方式の変更によるトラブルを早期に発見・対応する必要があります。ログには、どの認証方式が使用されたかが記録されるため、NTLM認証方式の使用が検知された場合は、適切な対応を行います。

注意点と今後の展望

レガシーシステムの対応

特に古いシステムやレガシーアプリケーションでは、NTLM認証がハードコーディングされている場合があります。これらのシステムやアプリケーションについても、ケルベロス認証への対応が必要です。管理者は、自身が管理しているシステムやアプリケーションがNTLM認証に依存していないかを確認し、必要な対応を行う必要があります。

サービスレベルでの制御

Windows11では、サービスレベルでNTLM認証をブロックすることが可能になります。組織内でNTLM認証を使用しているサービスについて、ケルベロス認証への移行を進めることで、セキュリティを向上させることができます。

ログの改善とモニタリング

Windows11では、ログの改善が行われ、より詳細な認証方式の記録が可能になります。管理者は、ログをモニタリングし、認証方式の変更によるトラブルを防ぐために注意深く対応する必要があります。

以上が、Windows11における認証方式の変更と対応策についての説明です。今後はケルベロス認証への移行が進み、NTLM認証の使用は徐々に減少していくことが予想されます。管理者は、組織内の認証方式の状況を把握し、適切な対応を行うことが重要です。

まとめ

Windowsの認証に関して、現在はNTLM認証がハードコーディングされているシステムが存在し、これが危険性を持つ可能性があることが話されました。そのため、早めに対処する必要があり、NTLM認証を使わないようにすることが重要であると述べられました。また、Windowsの認証は進化し、新たにケルベロス認証が導入されることも紹介されました。今後もWindows関連やクラウド関連、AI関連の話題を取り上げる予定であり、役に立つ情報を提供していくとのことです。最後に、チャンネル登録を呼びかけて動画を終えました。次回の動画も楽しみに待っていてほしいと述べられました。