Marketplace内のWindows仮想マシンイメージのSMB v1が「既定で無効」にMicrosoft Azure最新機能フォローアップ(40)

Azure Marketplaceで利用可能なWindows Serverイメージで「SMB v1」が既定で無効化される措置が行われました。SMB v1の無効化は、2017年8月以降にMarketplaceのイメージを使用して作成されたWindows Server仮想マシンに適用されます。

» 2017年09月01日 05時00分 公開
[山市良テクニカルライター]
「Microsoft Azure最新機能フォローアップ」のインデックス

連載目次

以前から指摘されていたSMB v1の脆弱性

 「サーバメッセージブロック(Server Message Block:SMB)」のバージョン1.0(SMB v1)は、Windowsのレガシーなファイル共有プロトコルであり、「SMB 1.0/CIFS」と呼ばれることもあります。SMB v1の脆弱(ぜいじゃく)性については、US-CERT(United States Computer Emergency Readiness Team)やJPCERT/CC(JPCERTコーディネーションセンター)といった公的なセキュリティ機関やMicrosoft自身により、以前から指摘されていました。

 そして、2017年5月、SMB v1の脆弱性などを利用して世界規模で感染を広げたランサムウェア「WannaCry」(WanaCrypt、Wanna Cryptor、Wcrypt、Wcryなどの別称があります)によって、SMB v1の脆弱性対策は緊急を要するものとして広く知られるようになりました。筆者の別連載でも、SMB v1の脆弱性対策を何度も取り上げています。

 Microsoftは、Microsoft Azureの「Marketplace(およびクラシックポータルのギャラリー)」で公開しているWindows仮想マシン用のほぼ全てのWindows Serverイメージを更新し、「既定でSMB v1を無効化」する措置を講じました(本稿執筆時点では一部更新が完了していないイメージもありました)。2017年8月以降にMarketplaceイメージからデプロイされたWindows Server仮想マシンは、デプロイ直後の状態でSMB v1が無効になります。

 Marketplaceでは以下に示すWindows Serverイメージ(Windows Server 2008 R2 Service Pack(SP)1以降)が利用可能です。各バージョンがサポートしているSMBのバージョンは、以下の通りです。

Windows Serverイメージ サポートされるSMB
Windows Server 2008 R2 SP1(注1) SMB 1.0/SMB 2.0/SMB 2.1
Windows Server 2012 SMB 1.0/SMB 2.0/SMB 2.1/SMB 3.0
Windows Server 2012 R2 SMB 1.0/SMB 2.0/SMB 2.1/SMB 3.0/SMB 3.0.2
Windows Server 2016(注2) SMB 1.0/SMB 2.0/SMB 2.1/SMB 3.0/SMB 3.0.2/SMB 3.1.1

【注1】筆者が確認した限り、2017年8月29日にデプロイしたWindows Server 2008 R2 SP1仮想マシンでは、SMB 1.0の無効化措置を確認できませんでした。レジストリ設定や「SC」コマンドでSMB v1の無効化状況を確認の上、無効化されていない場合は、マニュアルで無効化することをお勧めします。



【注2】Microsoftのアナウンスによると、Windows Server 2016 Server Coreイメージについては、SMB v1の無効化は行われていません。



 SMB 2.0以上のプロトコルは、SMB 2.xとSMB 3.x(SMB v3)の両方を含めて「SMB v2」と呼ばれることもあります。Marketplaceの更新されたWindows Serverイメージ(イメージ作成日が2017年7月12日以降のイメージ)は、このうちSMB v1(SMB 1.0)について既定で無効化されます(画面1画面2)。

画面1 画面1 2017年8月以降にデプロイしたWindows Server 2016の仮想マシン。「SMB 1.0/CIFSファイル共有のサポート」(SMB 1.0/CIFS File Sharing Support)の機能が既定で削除されている
画面2 画面2 2017年8月以降にデプロイしたWindows Server 2012の仮想マシン。SMBサーバとSMBクライアントの両方でSMB v1が無効化されている

 SMB v1の無効化措置は、2017年7月以前にMarketplaceイメージから作成されたWindows仮想マシン、およびオンプレミスで準備してアップロードしたカスタムイメージには影響しません。また、筆者が確認した限りでは、MSDN(Microsoft Developer Network)サブスクリプション契約者が利用可能なWindows 7/8.1/10 Enterpriseイメージ、およびボリュームライセンス契約の「Windows 10マルチテナントホスティング」の権利に基づいて提供されるWindows 10 RS2 Proイメージについては、SMB v1の無効化措置は行われていないようです。これらの仮想マシンでは、手動でSMB v1を無効化することを強くお勧めします。

 SMB v1の無効化は、SMBのTCPポートをインターネットとの境界のエンドポイントとして公開していない場合でも重要です(SMBのTCPポートのインターネットへの公開は、暗号化を有効にしたSMB v3を除き、本来行うべきではありません)。SMBクライアントが意図せず、あるいは悪意のあるプログラムによって、SMB v1を使用してインターネットと通信する可能性があるからです。

 Windows Server 2012 R2、Windows Server 2016、Windows 8.1、Windows 10については、「SMB 1.0/CIFSファイル共有のサポート」(英語環境では「SMB 1.0/CIFS File Sharing Support」、DISMコマンドやWindows PowerShellで指定する場合の機能名は「FS-SMB1」または「SMB1Protocol」)の機能を削除することで、SMBサーバ/SMBクライアントからSMB v1のサポートを無効化できます(画面3)。

画面3 画面3 Windows Server 2012 R2以降およびWindows 8.1以降は、「SMB 1.0/CIFSファイル共有のサポート」(SMB 1.0/CIFS File Sharing Support)の機能を削除することで、SMB v1のサポートを簡単に無効化できる

 それ以外のWindowsにおけるSMB v1の無効化および有効化の手順は、以下のMicrosoftのサポート技術情報で説明されています。

 Windows Server 2012以前およびWindows 8以前は、Windowsのバージョンによって、SMB v1の無効化手順が異なることに注意してください。また、SMBサーバとSMBクライアントの両方で、SMB v1の無効化が必要です。

 なお、このサポート技術情報では、SMB v2やSMB v3を無効化する方法とその影響についても説明されていますが、Windowsのコア機能に大きく影響するため、SMB v2/SMB v3は無効化しないことをお勧めします。Windows Server 2003 R2以前(サポートライフサイクルは既に終了)およびWindows 7以前は、SMB v1のみを搭載しているため、SMB v1の無効化は事実上できません(Windowsの多くの機能に影響します)。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。