本日、Microsoft が Windows 11 Insider Preview Build 25381 を Canary Channel にリリースしました。
Build 25381の新機能
SMB 署名の要件が変更されました
Windows 11 Insider Preview Build 25381 Enterprise エディションから、すべての接続で SMB 署名がデフォルトで要求されるようになりました。これは、Windows 10および11では、SYSVOLおよびNETLOGONという名前の共有に接続する場合にのみデフォルトでSMB署名が必要で、Active Directoryドメインコントローラは、どのクライアントが接続してもSMB署名が必要だったという従来の動作を変更します。これは、現代の環境に対応したWindowsとWindows Serverのセキュリティを向上させるキャンペーンの一環です。
WindowsとWindows Serverのすべてのバージョンは、SMB署名をサポートしています。しかし、サードパーティがそれを無効にしたり、サポートしなかったりする場合があります。SMB署名を許可していないサードパーティのSMBサーバー上のリモート共有に接続しようとすると、次のいずれかのエラーメッセージが表示されることがあります:
- 0xc000a000
- -1073700864
- ステータス_invalid_signature
- 暗号化された署名が無効です。
この問題を解決するには、サードパーティーのSMBサーバーをSMB署名をサポートするように設定してください。これは、マイクロソフトの公式な推奨ガイダンスです。WindowsでSMB署名を無効にしたり、SMB1を使用してこの動作を回避したりしないでください(SMB1は署名をサポートしますが、強制はしません)。署名をサポートしていないSMBデバイスは、悪意のある者からの傍受や中継攻撃を可能にします。
SMB署名は、SMBコピー操作のパフォーマンスを低下させる可能性があります。より多くの物理CPUコアまたは仮想CPU、およびより新しい高速なCPUを使用して、これを軽減することができます。
現在のSMB署名の設定を確認するには、次のPowerShellコマンドを実行します。
Get-SmbServerConfiguration | fl requiresecuritysignature Get-SmbClientConfiguration | fl requiresecuritysignature
クライアント(他のデバイスへの送信)接続でSMB署名の要件を無効にするには、昇格した管理者として次のPowerShellコマンドを実行します。
Set-SmbClientConfiguration -RequireSecuritySignature $false
サーバーでのSMB署名の要件を無効にするには(Windows 11 Insider Preview Build 25381以上のEnterpriseエディションのデバイスで)、昇格した管理者として次のPowerShellコマンドを実行します。
Set-SmbServerConfiguration -RequireSecuritySignature $false
再起動は必要ありませんが、既存のSMB接続は閉じられるまで署名が使用されます。
変更・改善点
一般
カメラが起動しない、カメラのシャッターが閉じているなど、カメラストリーミングの問題が検出された場合、ポップアップダイアログが表示され、自動ヘルプトラブルシューターを起動して問題を解決することが推奨されます。
