Windows 10でNTLM認証を無効化する方法

by Brendan Smith
5月 10, 2026

NTLM認証を無効化する前に互換性を確認。ローカルポリシー、監査、LM/NTLM制限、問題発生時の戻し方を解説。

このチュートリアルでは、「NTLM認証Windows10を非アクティブ化する方法」について説明します。 そうするための簡単な推奨事項が案内されます。 話を始めましょう。

2026年更新:NTLMを無効化する前に確認すべきこと

NTLM認証は古い互換性のために残っている認証方式で、現在のActive Directory環境ではKerberosを優先するのが一般的です。ただし、NTLMを急に無効化すると、古いNAS、プリンター、業務アプリ、スキャナー、古いWindowsサーバーへの接続が失敗することがあります。

安全性を上げる目的なら、最初に監査を有効にして、どの端末やサービスがNTLMを使っているか確認してください。その後、例外が必要なシステムを洗い出し、段階的に制限する方が安全です。

推奨される進め方

  1. ローカルPCだけでなく、ドメインポリシーの影響範囲を確認します。
  2. イベントログでNTLM使用状況を監査し、古い機器やアプリを特定します。
  3. 業務に必要な接続がKerberosまたはより新しい方式に対応しているか確認します。
  4. いきなり拒否せず、まず監査モードから段階的に制限します。
  5. 変更前に復旧手順と管理者アカウントの代替ログイン方法を用意します。

よくある質問

家庭用PCでもNTLMを無効化すべきですか? 通常は必須ではありません。企業ネットワークや古い共有機器を使う環境では、影響確認が重要です。

NTLMを無効化すると安全になりますか? 攻撃面を減らせますが、互換性への影響があります。監査してから段階的に適用するのが現実的です。

Windows 10の「NTLM認証」の目的は何ですか?

Windows 10でのNTLM1 認証:NTLMは新しいテクノロジーのLANManagerです。これは、顧客のIDを認証し、顧客の行動の完全性と機密性を守るためにMicrosoftが提供するセキュリティプロトコル用の特別なパッケージです。このテクノロジーは、パスワードを入力せずに顧客を確認するためのチャレンジレスポンスプロトコルに基づいています。

NTLMは、チャレンジレスポンス方式を使用して顧客を認証します。このようなプロセスには、顧客からのネゴシエーションメッセージ、サーバーからのチャレンジメッセージ、ユーザーからの認証メッセージの3つのメッセージがあります。それにもかかわらず、既知の脆弱性のために、NTLMは、レガシーの顧客やサーバーとの互換性を維持する目的で、新しいシステムにも広く展開されています。

NLTMは、それでもMicrosoftによってサポートされていますが、「Kerberos」2をメインとしてWindows2000およびそれ以降のすべてのActiveDirectory(AD)ドメインの認証プロトコル。聞いたことがない方のために説明すると、「Kerberos」は、Windowsバージョン2000以降のすべてのバージョンでメイン/共通の認証ユーティリティとしてNTLMを置き換えた認証プロトコルです。 「Kerberos」プロトコルと「NTLM」プロトコルの一般的な違いは、パスワードがハッシュ化されているか暗号化されているかです。 NTLMは、入力ファイルにテキストの文字列を生成する一方向の機能である「パスワードハッシュ」に基づいていますが、「Kerberos」は暗号化に基づいています。暗号化と復号化キーを使用してデータをスクランブルおよびロック解除する双方向の機能です。

NTLMプロトコルの問題:

  • 保持されたパスワードLSAサービスのメモリ内のハッシュは、mimikatzなどのさまざまなユーティリティを使用して簡単に取得でき、その後の攻撃にハッシュパスワードを適用できます。
  • 弱いパスワードまたは些細なパスワードは、NTLMプロトコルの問題のもう1つの要因です。
  • サーバーと顧客の間の相互認証の欠如は、データ傍受攻撃やネットワークデータへの不正アクセスにつながります。
  • その他のNTLMリークまたはトラブル。

さらに、NTLMは、顧客を認証するために顧客とサーバー間の3方向ハンドシェイクに基づいていますが、Kerberosは、チケット生成サービスまたはキー配布機能によって提供される双方向手順に基づいています。 NTLMプロトコルは、特定のセキュリティリスク、既知のセキュリティリーク、またはパスワードのハッシュとソルティングに関連する問題の前に公開されていました。

代わりに、NLTMプロトコルは、サーバーとドメインコントローラーのパスワードが「ソルト」されていないことを確認します。 これは、最終的にパスワードが解読されるのを防ぐために、ハッシュされたパスワードにランダムな文字列を追加できないことを意味します。 このような脆弱性により、攻撃者やオンライン詐欺は複数のログイン試行を介してパスワードを解読する可能性があり、パスワードが弱いか些細なため、最終的にはアカウントにアクセスできる可能性があります。

グループポリシー管理エディターを使用してNTLM認証Windows10を非アクティブ化するためのガイド。

NTLM認証セキュリティLANManager認証レベルを無効にする

そもそも、ドメイン管理者は、NTLMおよびLMプロトコルがドメインでの認証に適用されることを許可されていないことを確認したいと考えています。 ドメイン(またはローカル)ポリシーを使用して、要求された認証方法を定義できます。

  1. キーボードに「Windows + R」ホットキーを適用し、開いた「実行」ダイアログボックスで「gpmc.msc」を指定し、「OK」ボタンをクリックして「グループポリシー管理エディター」を起動します。
    Windows 10-gpmcを実行する
  2. [コンピューターの構成]-> [ポリシー]-> [Windowsの設定]-> [セキュリティの設定]-> [ローカルポリシー]-> [セキュリティオプション]に進みます。
  3. 「ネットワークセキュリティ:LAN Manager認証レベル」ポリシーを見つけて、ダブルクリックします。
  4. [NTLMv2応答のみを送信する]を選択します。 [LMとNTLMの応答を送信する]領域/ドロップダウンの下にある[LMとNTLMを拒否する]機能を使用して、すべてのLMとNTLMの要求を拒否します。

レジストリエディタを使用してNTLM認証Windows10を非アクティブ化するためのガイド。

  1. キーボードに「Windows + R」ホットキーを適用し、表示された「実行」ダイアログボックスで「regedit」を指定し、「OK」ボタンをクリックして「レジストリエディタ」を起動します 3.
  2. 以下の目的地に進みます 
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
  3. この時点で、右側のセクションの空の領域を右クリックして[新規]> [DWORD]を選択し、[lmCompatibilityLevel]に指定し、パラメーターを[0から5]に定義し、[OK]を押して選択内容を保存します。
    レジストリエディタlmCompatibilityLevel
  4. この時点で、オプション5の値データは「NTLM応答のみを送信し、LMとNTLMを拒否する」に対応します。 すべての修正を保存します。

このガイドに注意してください: Advanced Windows Managerを削除するにはどうすればよいですか?

NTLM認証監査ログをアクティブ化するためのガイド。

ドメインでNTLMを完全に非アクティブ化し、「Kerberos」プロトコルを取得する前に、NTLMのアプリケーションを要求するプログラムがドメインに残っていないことを確認する必要があります。

  1. 上記の推奨事項に従って「グループポリシー管理エディター」を起動し、「コンピューターの構成」->「ポリシー」->「Windowsの設定」->「セキュリティの設定」->「ローカルポリシー」->「セキュリティオプション」のパスに進みます。
  2. 「ネットワークセキュリティ:NTLMの制限:このドメインでのNTLM認証の監査」ポリシーを見つけてアクティブにし、その値を「すべて有効」に定義します。
    ネットワークセキュリティは、このドメインでNTLM監査NTLM認証を制限します
  3. 同じプロセスを繰り返して、「ネットワークセキュリティ:NTLMの制限:着信NTLMトラフィックの監査」ポリシーをアクティブにします。

NTLM認証を適用するイベントを調べるためのガイド。

NTLM認証は、アプリケーションとサービスのログに表示されます。

  1. 「サービスログ」に進み、「Microsoft> Windows」を参照してください。
    NTLM認証を使用したイベントを確認する
  2. イベントビューアのNTLM領域を取得します。 この時点で、各サーバーのイベントを分析するか、中央のWindowsイベントログコレクターにそれらをもたらすことができます。
  3. ドメインでNTLMを使用しているアプリを見つけ、おそらくSPNを使用して「Kerberos」を適用するようにアプリを切り替える必要があります。

読むことを検討してください: 望ましくない可能性のあるプログラムを削除する.

ActiveDirectoryドメインでNTLMを完全に制限するためのガイド。

NTLMを使用しない認証は、ドメイン内のプログラムごとに動作が異なります。「保護されたユーザー」ドメイングループに顧客アカウントを追加できます。 検証が終了するとすぐに、WindowsドメインでNTLM認証を完全に無効にすることができます。

概要

このチュートリアルが、さまざまな簡単なソリューション/アプローチでNTLM認証Windows10を非アクティブ化する方法に役立つことを確信しています。 あなたはそれを可能にするために私たちのガイドラインを読んでそれに従うことができます。 チュートリアルが間違いなく役に立った場合は、他の顧客と記事を共有して支援することができます。 提案や質問がある場合は、下のコメントセクションで自由に共有してください。

Brendan Smith
Brendan Smith
ITセキュリティ専門家
修復と後悔するよりも予防する方が良いです!
我々がコンピュータの作業に不慣れなプログラムが侵入する話をするとき、「事前に警告することは武装することである」ということわざができるだけ正確に状況を説明しています。Gridinsoft Anti-Malwareは、常に武器庫に持っておくと役立つツールです:高速、効率的、最新の情報です。感染のわずかな疑いがある場合には、緊急のヘルプとして使用することが適切です。
GridinSoft logo
今すぐダウンロード
Anti-Malwareの6日間のトライアルが利用可能です。
利用規約 | プライバシーポリシー | 10% Off Coupon
Telegramチャンネルに登録して、情報セキュリティに関するニュースと当社の独占素材を最初に知ることができます。

References

  1. NT LAN Manager: https://en.wikipedia.org/wiki/NT_LAN_Manager
  2. Kerberos(プロトコル)に置き換えられています:https://en.wikipedia.org/wiki/Kerberos_(protocol)
  3. レジストリ: https://ja.wikipedia.org/wiki/%E3%83%AC%E3%82%B8%E3%82%B9%E3%83%88%E3%83%AA

英語 スペイン語 繁体中国語

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment