表示名をここに入力する 説明をここに入力する LAN Manager サーバー ハッシュの発行を BranchCache が有効になっている共有フォルダーにのみ許可する ハッシュの発行をすべての共有フォルダーで許可しない ハッシュの発行をすべての共有フォルダーで許可する BranchCache のハッシュの発行 このポリシー設定では、共有フォルダーに格納されているデータのハッシュ (コンテンツ情報とも呼ばれます) をハッシュ生成サービスが生成するかどうかを指定します。このポリシー設定は、ファイル サービスの役割を担うとともに、ファイル サーバーの役割とネットワーク ファイル用 BranchCache の役割サービスの両方がインストールされているサーバー コンピューターに適用する必要があります。 ポリシー構成 次のいずれかを選択します: - 構成しない。これを選択した場合、ハッシュ発行の設定がファイル サーバーに適用されません。ファイル サーバーがドメイン メンバーである場合に、必ずしもすべてのファイル サーバーに対して BranchCache を有効にする必要がないときには、このドメイン グループ ポリシー設定に対して [構成しない] を指定し、ローカル コンピューターのポリシーを構成して個々のサーバーの BranchCache を有効にします。ドメイン グループ ポリシー設定は構成しないため、BranchCache を有効にする必要がある個々のサーバー上で使用するために有効にした設定が上書きされることはありません。 - 有効にする。これを選択した場合、グループ ポリシーが適用さえるすべてのファイル サーバーでハッシュ発行が有効になります。たとえば、ドメインのグループ ポリシーで [BranchCache のハッシュの発行] が有効にされている場合、ポリシーが適用されるドメイン メンバーのファイル サーバーでは、ハッシュ発行が有効になります。このため、BranchCache が有効なファイル共有に格納されるすべてのコンテンツのコンテンツ情報を、ファイル サーバーが作成できます。 - 無効にする。これを選択した場合、グループ ポリシーが適用されるすべてのファイル サーバーでハッシュ発行が無効になります。 このポリシー設定を有効にすると、以下の構成オプションも選択できます。 - ハッシュの発行をすべての共有フォルダーで許可する。このオプションを使用すると、BranchCache を使用して、ファイル サーバー上のすべての共有のすべてのコンテンツのコンテンツ情報を生成できます。 - ハッシュの発行を BranchCache が有効になっている共有フォルダーにのみ許可する。このオプションを使用すると、BranchCache が有効にされている共有フォルダーのコンテンツ情報のみが生成されます。この設定を使用する場合、ファイル サーバーの [共有と記憶域の管理] で、個々の共有の BranchCache を有効にする必要があります。 - ハッシュの発行をすべての共有フォルダーで許可しない。このオプションを使用すると、BranchCache では、コンピューター上のすべての共有のコンテンツ情報が生成されません。また、コンテンツを要求したクライアント コンピューターに対して、コンテンツ情報が送信されることもありません。 V1 ハッシュ バージョンのみをサポートする V2 ハッシュ バージョンのみをサポートする V1 バージョンと V2 バージョンをサポートする BranchCache のハッシュ バージョン サポート このポリシー設定では、BranchCache ハッシュ生成サービスがサポートするバージョン (バージョン 1 (V1) ハッシュ、バージョン 2 (V2) ハッシュ、V1 ハッシュと V2 ハッシュの両方) を指定します。ハッシュ (コンテンツ情報とも呼ばれます) は、BranchCache が有効にされている共有フォルダー内のデータに基づいて作成されます。 サポートするバージョンを 1 つだけ指定した場合、そのバージョンのコンテンツ情報だけが BranchCache によって生成されます。また、クライアント コンピューターはこのタイプのコンテンツ情報のみを取得できます。たとえば、V1 ハッシュのサポートを有効にすると、BranchCache は V1 ハッシュのみを生成し、クライアント コンピューターは V1 ハッシュのみを取得できます。 ポリシー構成 次のいずれかを選択します: - 構成しない。これを選択した場合、このポリシー設定によって BranchCache 設定がクライアント コンピューターに適用されることはありません。この場合には、V1 ハッシュと V2 ハッシュの両方の生成と取得がサポートされます。これは既定の設定です。 - 有効にする。これを選択した場合、ポリシー設定が適用され、[サポートするハッシュ バージョン] で指定したハッシュ バージョンが生成および取得されます。 - 無効にする。これを選択した場合、V1 ハッシュと V2 ハッシュの両方の生成と取得がサポートされます。 このポリシー設定を有効にする場合、以下のオプションを選択し、構成できます。 - サポートするハッシュ バージョン: - V1 のコンテンツ情報のみをサポートするには、[サポートするハッシュ バージョン] の値を 1 に構成します。 - V2 のコンテンツ情報のみをサポートするには、[サポートするハッシュ バージョン] の値を 2 に構成します。 - V1 と V2 の両方のコンテンツ情報をサポートするには、[サポートするハッシュ バージョン] の値を 3 に構成します。 暗号の順位 このポリシー設定では、SMB サーバーで使用する暗号を決定します。 このポリシー設定を有効にした場合、指定されている順位で暗号が優先されます。 このポリシー設定を有効にしても、サポートされている暗号を 1 つも指定しなかった場合、またはこのポリシー設定を無効にした場合や構成しなかった場合は、既定の暗号の順位が使用されます。 SMB 3.11 の暗号: AES_128_GCM AES_128_CCM AES_256_GCM AES_256_CCM SMB 3.0 および 3.02 暗号: AES_128_CCM この設定の変更方法: 編集ボックスで、希望する暗号を、優先順位が高い方から 1 行に 1 つずつ配置します (優先順位の最も高い暗号が一番上になります)。使用しない暗号は削除します。 注: このセキュリティ設定を構成した場合、変更は Windows を再起動するまで有効になりません。 暗号の順位を遵守する このポリシー設定では、SMB サーバーが SMB クライアントと新しい接続をネゴシエートするときに暗号を選択する方法を決定します。 このポリシー設定を有効にした場合、SMB サーバーは、SMB クライアントの暗号の基本設定を無視して、最も優先する暗号をそのクライアントの暗号から選択します。 このポリシー設定を無効にした場合、または構成しなかった場合、SMB サーバーは、SMB クライアントが最も優先する暗号をサーバーの暗号から選択します。 注: このセキュリティ設定を構成した場合、変更は Windows を再起動するまで有効になりません。 暗号の順位を遵守する このポリシー設定では、SMB サーバーが SMB クライアントと新しい接続をネゴシエートするときにどのように暗号を選択するかを決定します。 このポリシー設定を有効にした場合、SMB サーバーは、クライアントの暗号の優先設定を無視して、最も優先する暗号をクライアントでサポートされている暗号のリストから選択します。 このポリシー設定を無効にした場合、または構成しなかった場合、SMB サーバーは、クライアントが最も優先する暗号をサーバーでサポートされている暗号のリストから選択します。 注: このセキュリティ設定を構成する場合、変更は Windows を再起動するまで有効になりません。 Windows Server 2022 以降または Windows 11 以降 Windows Server 2025 以降または Windows 11 以降 Windows Server 2025、Windows 11 24H2 以降 すべての共有のトラフィック圧縮を要求する このポリシーでは、SMB サーバーが SMB クライアントに対して、すべての SMB 共有にトラフィック圧縮の使用を要求するかどうかを制御します。 このポリシー設定を有効にした場合、SMB 圧縮が有効な場合、SMB サーバーは既定で SMB クライアントにトラフィックの圧縮を要求します。以下のメモを参照してください。 このポリシー設定を無効にした場合、または構成しなかった場合、SMB サーバーは既定で SMB クライアントにトラフィックの圧縮を要求しません。ただし、トラフィックの圧縮は他の方法で要求される可能性があります。以下のメモを参照してください。 注: このポリシーを無効にした場合、トラフィック圧縮はサーバー側の共有ごとのプロパティまたは SMB クライアントによって要求される可能性があります。これが望ましくない場合で、圧縮を完全に無効にしたい場合は、代わりに付随する 'SMB 圧縮を無効にする' ポリシーを構成します。 注: トラフィック圧縮は、SMB クライアントと SMB サーバーの両方がトラフィック圧縮をサポートし、有効にしている場合にのみ使用できます。 SMB 圧縮を無効にする このポリシーは、SMB サーバーがトラフィック圧縮を無効にする (完全に禁止する) かどうかを制御します。 このポリシー設定を有効にした場合、他のポリシー ([既定で SMB 圧縮を使用する] ポリシーや共有ごとのプロパティなど) に関係なく、SMB サーバーはデータを圧縮しません。 このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはトラフィックを圧縮する可能性があります (他のポリシーと条件の組み合わせによって異なります)。 SMB の最大バージョンを義務付ける このポリシーは、SMB プロトコルの最大バージョンを制御します 注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 SMB の最小バージョンを義務付ける このポリシーは、SMB プロトコルの最小バージョンを制御します 注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 SMB 2.0.2 SMB 2.1.0 SMB 3.0.0 SMB3.0.2 SMB 3.1.1 リモート メールスロットを有効にする このポリシーでは、SMB サーバーがコンピューター ブラウザー サービス経由のリモート メールスロットを有効または無効にするかどうかを制御します。 このポリシー設定を無効にすると、コンピューター ブラウザー サービスは予期したとおりに実行されなくなります。 このポリシー設定を構成しなかった場合でも、コンピューターブラウザーはリモート メールスロットを有効にして動作している可能性があります。 注: このポリシーを有効にするには、Windows の再起動が必要です。 認証レート リミッターを有効にする このポリシーでは、SMB サーバーが認証レートリミッタを有効または無効にするかどうかを制御します。 このポリシー設定を無効にした場合、認証レートリミッタは有効になりません。 このポリシー設定を構成しなかった場合、遅延設定によっては、認証レート リミッタが動作している可能性があります (推奨される遅延値は 2000 ミリ秒です)。 監査クライアントは暗号化をサポートしていません このポリシーでは、SMB クライアントが暗号化をサポートしていない場合に SMB サーバーがイベントをログに記録するかどうかを制御します。 このポリシー設定を有効にした場合、SMB クライアントが暗号化をサポートしていない場合、SMB サーバーはイベントをログに記録します。 このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。 監査クライアントが署名をサポートしていない このポリシーは、SMB クライアントが署名をサポートしていない場合に、SMB サーバーがイベントをログに記録するかどうかを制御します。 このポリシー設定を有効にすると、SMB クライアントが署名をサポートしていない場合に、SMB サーバーはイベントをログに記録します。 安全でないゲスト ログオンを監査する このポリシーでは、クライアントがゲスト アカウントとしてログオンしたときに SMB サーバーが監査イベントを有効にするかどうかを制御します。 このポリシー設定を有効にした場合、SMB サーバーはクライアントがゲスト アカウントとしてログオンしたときにイベントをログに記録します。 このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。 QUIC 経由で SMB を有効にする このポリシー設定では、SMB サーバーで SMB over QUIC を有効にするかどうかを制御します。 このポリシー設定を無効にすると、SMB サーバーは QUIC 経由の接続を受け付けなくなります。 このポリシー設定を構成しなかった場合、SMB サーバーは QUIC 経由の接続を受け入れる可能性があります。 認証レート リミッターの遅延を設定する (ミリ秒) このポリシーは、SMB サーバーが無効な認証の遅延にミリ秒単位の既定値を使用するかどうかを制御します。 このポリシー設定を構成した場合、認証レート リミッターは、無効な認証試行を遅延するために指定された値を使用します。 このポリシー設定を構成しない場合、認証レート リミッターは、HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters の下のローカル レジストリの既定値または値を使用します。 SMB クライアントの SPN サポートを監査する このポリシーは、認証中に SMB クライアントによって提供されるサービス プリンシパル名 (SPN) を SMB サーバーが監査するかどうかを制御します。 このポリシー設定を有効にすると、認証中に SMB クライアントが SPN を送信しないか、無効な SPN を送信するたびに、SMB サーバーはイベントをログに記録します。この監査データは、SMB サーバーで強制が有効になる前に SPN 検証と互換性がない可能性のあるクライアントを特定するのに役立ちます。 このポリシー設定を無効にするか構成しなかった場合、SMB サーバーはイベントをログに記録しません。 値: 0 = ハッシュの発行を BranchCache が有効になっている共有フォルダーにのみ許可する 1 = ハッシュの発行をすべての共有フォルダーで許可しない 2 = ハッシュの発行をすべての共有フォルダーで許可する ハッシュの発行の動作: 値: 1= V1 ハッシュをサポートする 2= V2 ハッシュをサポートする 3= V1 ハッシュと V2 ハッシュをサポートする サポートするハッシュ バージョン: 暗号: SMB バージョンを選択します: バージョン: SMB バージョンを選択します: バージョン: 値 (ミリ秒):