表示名をここに入力する 説明をここに入力する Lanman ワークステーション 暗号の順位 このポリシー設定では、SMB クライアントで使用する暗号を決定します。 このポリシー設定を有効にした場合、指定されている順位で暗号が優先されます。 このポリシー設定を有効にしても、サポートされている暗号を 1 つも指定しなかった場合、またはこのポリシー設定を無効にした場合や構成しなかった場合は、既定の暗号の順位が使用されます。 SMB 3.11 の暗号: AES_128_GCM AES_128_CCM AES_256_GCM AES_256_CCM SMB 3.0 および 3.02 暗号: AES_128_CCM この設定の変更方法: 編集ボックスで、希望する暗号を、優先順位が高い方から 1 行に 1 つずつ配置します (優先順位の最も高い暗号が一番上になります)。使用しない暗号は削除します。 注: このセキュリティ設定を構成した場合、変更は Windows を再起動するまで有効になりません。 安全でないゲスト ログオンを有効にする このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。 このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。 このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。 署名を有効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。 安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。Windows ファイル サーバーでは認証を要求し、既定では安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな man-in-the-middle 攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスが要求されるようにファイル サーバーを構成することをお勧めします。 継続的可用性共有上のオフライン ファイルの可用性 このポリシー設定は、SMB 共有の継続的可用性 (CA) フラグが有効になっている場合に、SMB 共有に接続するクライアントのオフライン ファイルの動作を決定します。 このポリシー設定を有効にした場合、CA が有効な共有に接続するときに、"常にオフラインで使用する" オプションが Windows コンピューターのエクスプローラーのメニューに表示されます。クライアント側のキャッシュを使用して、CA が有効な共有にファイルを固定することも可能になります。 このポリシー設定を無効にした場合、または構成しなかった場合、CA が有効な共有でオフライン ファイルを使用することはできません。 注: このグループ ポリシーを有効にすることは推奨されません。オフライン ファイルでの CA の使用は、オンライン状態とオフライン状態の切り替え時間が非常に長くなることにつながります。 継続的可用性共有でのキャッシュを処理します このポリシー設定は、SMB 共有の継続的可用性 (CA) フラグが有効になっている場合、その SMB 共有に接続するクライアントに対する SMB ハンドル キャッシュの動作を決定します。 このポリシー設定を有効にした場合、SMB クライアントで CA 共有のファイルへのキャッシュされたハンドルが許可されます。これにより、Microsoft Azure Files で実行されている CA 共有で多数の非構造化データ ファイルに繰り返しアクセスする場合に、パフォーマンスが向上する可能性があります。 このポリシー設定を無効にした場合、または構成しなかった場合、CA 共有を経由して開かれるファイルへのキャッシュされたハンドルは使用できません。 注: このポリシーは、Windows Server によって提供されるスケールアウト ファイル サーバーに接続する場合には、影響しません。汎用ファイル サーバーの役割を持つ Windows フェールオーバー クラスターでホストされるファイルに定期的に接続するクライアントに対しては、このポリシーを有効にしないことをお勧めします。有効にすると、フェールオーバー回数、メモリ使用率、CPU 使用率が不当に増える可能性があります。 Windows Server 2022 以降または Windows 11 以降 Windows Server 2025 以降または Windows 11 以降 既定で SMB 圧縮を使用する このポリシーは、SMB クライアントが既定でトラフィック圧縮を使用するかどうかを制御します。 このポリシー設定を有効にした場合、SMB 圧縮が有効になっている場合、SMB クライアントは既定でトラフィックの圧縮を試みます。 このポリシー設定を無効にするか、または構成しなかった場合、SMB クライアントは既定でトラフィックの圧縮を試みません。ただし、トラフィックの圧縮は他の方法で要求される可能性があります。以下のメモを参照してください。 注: このポリシーは、共有ごとのプロパティとファイルごとのハンドル プロパティで組み合わされ、それを通じてトラフィックの圧縮が要求される場合があります。また、SMB サーバーは圧縮をサポートし、有効にする必要があります。たとえば、このポリシーを無効にした (または構成しなかった) 場合、SMB サーバー共有が圧縮を要求されていると、SMB クライアントは圧縮を実行できます。これが望ましくない場合で、圧縮を完全に無効にしたい場合は、代わりに付随する 'SMB 圧縮を無効にする' ポリシーを構成します。 SMB 圧縮を無効にする このポリシーは、SMB クライアントがトラフィック圧縮を無効にする (完全に禁止する) かどうかを制御します。 このポリシー設定を有効にした場合、他のポリシー ([既定で SMB 圧縮を使用する] ポリシーや共有ごとのプロパティなど) に関係なく、SMB クライアントはデータを圧縮しません。 このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはトラフィックを圧縮する可能性があります (他のポリシーと条件の組み合わせによって異なります)。 SMB の最大バージョンを義務付ける このポリシーは、SMB プロトコルの最大バージョンを制御します 注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 SMB の最小バージョンを義務付ける このポリシーは、SMB プロトコルの最小バージョンを制御します 注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 SMB 2.0.2 SMB 2.1.0 SMB 3.0.0 SMB3.0.2 SMB 3.1.1 NTLM (LM、NTLM、NTLMv2) をブロックする このポリシーは、SMB クライアントがリモート接続認証のために NTLM をブロックするかどうかを制御します。 このポリシー設定を有効にした場合、SMB クライアントはリモート接続認証に NTLM を使用しません。 このポリシー設定を無効にした場合、または構成しなかった場合でも、SMB クライアントは NTLM を使用できます。 NTLM サーバー禁止例外一覧 このポリシー設定により、指定されたサーバーへのアクセスに NTLM を使用できるかどうかが決定されます。 このポリシー設定を有効にすると (NTLM (LM、NTLM、NTLMv2) がブロックされている場合にのみ有効)、指定されたサーバーへのアクセスに NTLM を使用できます。編集ボックスに目的のサーバー (DNS 名、IP アドレス、または NetBIOS 名) を 1 行に 1 サーバー名ずつ入力してください。 このポリシー設定を無効にした場合、または構成しなかった場合、サーバーへの NTLM アクセスは他の設定によって決定されます。 リモート メールスロットを有効にする このポリシーでは、SMB クライアントが MUP 経由のリモート メールスロットを有効または無効にするかどうかを制御します。 このポリシー設定を無効にした場合、リモート メールスロットは MUP 経由で機能しないため、SMB クライアント リダイレクターを経由しません。 このポリシー設定を構成しなかった場合、リモート メールスロットは MUP 経由で許可される可能性があります。 暗号化が必要 このポリシーでは、SMB クライアントで暗号化を要求するかどうかを制御します。 このポリシー設定を有効にした場合、SMB クライアントでは、暗号化とデータの暗号化をサポートするために SMB サーバーが必要になります。 このポリシー設定を無効にするか、未構成にした場合、SMB クライアントは暗号化を要求しません。ただし、SMB 暗号化がまだ必要な可能性があります。以下のメモを参照してください。 注: このポリシーは、共有単位、サーバー単位、マップされたドライブごとの接続プロパティと組み合わされ、SMB 暗号化が必要になる場合があります。SMB サーバーは SMB 暗号化をサポートし、有効にする必要があります。たとえば、このポリシーを無効にした場合 (または構成しなかった場合)、SMB サーバー共有に必要な暗号化がある場合でも、SMB クライアントは暗号化を実行できます。 重要: SMB 暗号化には SMB 3.0 以降が必要です 代替ポートを有効にする このポリシーは、SMB クライアントが代替ポートを有効または無効にするかどうかを制御します。 このポリシー設定を無効にした場合、代替ポートは SMB クライアントで使用されません。 このポリシー設定を構成しなかった場合、SMB クライアントで代替ポートが使用される可能性があります。 監査サーバーは暗号化をサポートしていません このポリシーは、SMB サーバーが暗号化をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。 このポリシー設定を有効にした場合、SMB サーバーが暗号化をサポートしていない場合、SMB クライアントはイベントをログに記録します。 このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。 監査サーバーが署名をサポートしていない このポリシーは、SMB サーバーが署名をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。 このポリシー設定を有効にすると、SMB サーバーが署名をサポートしていない場合に、SMB クライアントはイベントをログに記録します。 このポリシー設定を無効にするか構成しなかった場合、SMB クライアントはイベントをログに記録しません。 安全でないゲスト ログオンを監査する このポリシーでは、SMB クライアントがゲスト アカウントとしてログオンしたときに、SMB クライアントが監査イベントを有効にするかどうかを制御します。 このポリシー設定を有効にした場合、SMB クライアントはクライアントがゲスト アカウントとしてログオンしたときにイベントをログに記録します。 このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。 代替ポート マッピング このポリシー設定は、SMB クライアントが使用する代替ポート レジストリ マッピングを決定します。 このポリシー設定を有効にした場合、マッピングのサーバー名が接続の対象サーバー名と一致する場合、最初の有効なマッピングが使用されます。 このポリシー設定を有効にして、有効なマッピングを少なくとも 1 つ指定しない場合、またはこのポリシー設定を無効にした場合、または構成しなかった場合、SMB クライアントは、NET USE コマンドや New-SmbMapping コマンドなど、別のポート使用法を決定する他の方法を参照します。 例： contososa.file.core.windows.net:tcp:448 edgesrv1.corp.contoso.com:quic:450 この設定を変更する方法: 編集ボックスで必要な代替ポート マッピングを 1 行に 1 つのマッピング エントリで配置します。 各マッピング エントリの形式は、上記の例で行われたように、サーバー名、トランスポートの種類、ポート番号をコロンで区切って指定します。 注: このポリシーを有効にするには、Windows の再起動は必要ありません。 QUIC 経由で SMB を有効にする このポリシー設定では、SMB クライアントで SMB over QUIC を有効にするかどうかを制御します。 このポリシー設定を無効にすると、SMB クライアントは QUIC 経由の接続の開始を許可しません。この場合、ユーザーが QUIC 経由で接続しようとすると、SMB クライアントは TCP 経由で接続を試みます。 このポリシー設定を構成しなかった場合、SMB クライアントは QUIC 経由の接続の開始を許可する可能性があります。 SMB over QUIC サーバー例外リストを無効にしました このポリシー設定により、SMB クライアントが QUIC 経由で接続できるサーバーを指定します。 このポリシー設定を有効にした場合 (SMB over QUIC が無効になっている場合にのみ有効)、SMB クライアントは、QUIC 経由で指定されたサーバーに接続できます。編集ボックスに目的のサーバー (DNS 名、IP アドレス、または NetBIOS 名) を 1 行に 1 サーバー名ずつ入力してください。 このポリシー設定を無効にした場合、または構成しなかった場合、QUIC 経由でサーバーに接続する SMB クライアントの機能は他の設定によって決定されます。 暗号: SMB バージョンを選択します: バージョン: SMB バージョンを選択します: バージョン: NTLM サーバー例外一覧をブロックする: 代替ポート レジストリ マッピング: SMB over QUIC サーバー例外リストを無効にしました。