このページには、選択したサーバーへの認証を行うユーザーの、アクセス元であるコンピューターに関する情報が収集されます。
これらのセキュリティの設定で、ネットワーク ログオンにどのチャレンジ/レスポンス認証プロトコルを使用するかを決定します。これを選択すると、クライアントが使用する認証プロトコル、ネゴシエートされるセッション セキュリティ、およびサーバーで受け付けられる認証レベルが影響を受けます。
これらのセキュリティの設定で、次回パスワードを変更する際に、新しいパスワードの LAN Manager (LM) ハッシュ値を格納するかどうかも決定されます。LM ハッシュは、暗号化方式がより強力な NTLM ハッシュと比べて攻撃に弱い傾向があります。LM ハッシュはローカル コンピューターのセキュリティ データベースに格納されるため、セキュリティ データベースが攻撃された場合にパスワードが侵害される可能性があります。
 | 重要 |
|
この設定は、ネットワークを介して Windows NT Server 4.0 以前のバージョンを実行しているコンピューターと通信する場合に影響が出る場合があります。たとえば、コンピューターが Windows NT Server 4.0 Service Pack 4 (SP4) 以前のバージョンを実行し、NTLM version 2 (NTLMv2) をサポートしていない場合です。Windows 95 および Windows 98 を実行しているコンピューターでは、NTLM をサポートしていません。 |
レジストリ キー
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
関連するセキュリティの設定
-
ネットワーク セキュリティ : LAN Manager 認証レベル
-
ネットワーク セキュリティ : 次のパスワードの変更で LAN Manager のハッシュ値を保存しない
間違った情報が指定されると、ネットワーク上のコンピューター間の通信が中断される可能性があります。
セキュリティの設定の詳細については、次の項目を参照してください。
-
ネットワーク セキュリティの LAN Manager 認証レベルに関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=17765 )
-
ネットワークセキュリティの次のパスワードの変更で LAN Manager のハッシュ値を保存しない方法に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=17766 )
ドメイン コントローラーのみの場合
[サーバーの役割の選択] ページで [ドメイン コントローラー (Active Directory)] の役割を選択すると、追加のオプションが表示されます。ドメイン コントローラー固有のオプションは次のとおりです。
Windows Server 2003 Service Pack 1 およびそれ以降のバージョンが実行されていない RAS サーバーへの接続に RAS または VPN を使用しているコンピューター
インターネット認証サービス (IAS) サーバーおよびルーティングとリモート アクセスを実行しているサーバーでは、NTLMv2 のみが使用可能なドメイン コントローラーを持つユーザーの認証のため、Windows Server 2003 Service Pack 1 (SP1) が稼動しており、PEAP-MSCHAPv2 のみの認証をサポートしている必要があります。
IAS サーバーおよびルーティングとリモート アクセスを実行しているサーバーでは、クライアントのドメイン資格情報の認証に NTLM を使用します。つまり、IAS またはルーティングとリモート アクセスを実行しているクライアントを認証するドメイン コントローラーは、NTLMv2 認証のみを受け入れるようには構成できません。しかし、Windows Server 2003 SP1 以降、ドメイン コントローラーが IAS サーバーおよびルーティングとリモート アクセスを実行しているサーバーからは NTLM 認証を受け入れ、それ以外のサーバーからは NTLMv2 認証を受け入れる可能性があります。既定では、Windows Server 2003 SP1 上で IAS またはルーティングとリモート アクセスを実行する環境で、PEAP-MSCHAPv2 を使用する場合、サーバーでこの状態が発生します。PEAP-MSCHAPv2 が NTLMv2 と同等のセキュリティの保護を提供するためです。この例外は、Windows Server 2003 SP1 上で IAS またはルーティングとリモート アクセスを実行し、クライアントの認証に PPP-MSCHAPv2 を使用しているサーバーの既定の設定では発生しません。
Windows Server 2003 SP1 上で IAS またはルーティングとリモート アクセスを実行しているサーバーの場合、既定で発生する例外を防ぐには、次のレジストリ値をドメイン コントローラーに設定します。
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
このレジストリ値をドメイン コントローラーに設定し、ドメイン コントローラーでは NTLMv2 のみを受け入れるように設定すると、これらのサーバーすべてが Windows Server 2003 SP1 を実行している場合でも、ドメイン コントローラーは IAS またはルーティングとリモート アクセスを実行しているクライアントを認証できなくなります。このため、DisallowMsvChapv2 レジストリ値がドメイン コントローラーに設定され、ドメイン コントローラーが IAS またはルーティングとリモート アクセスを実行しているクライアントを認証する必要がある場合、IAS またはルーティングとリモート アクセスを実行しているサーバーがすべて Windows Server 2003 SP1 の場合でも、[受信の認証方法] ページで [Windows Server 2003 Service Pack 1 およびそれ以降のバージョンが実行されていない RAS サーバーへ接続するために RAS または VPN を使用しているコンピューター] チェック ボックスをオンにする必要があります。このチェック ボックスをオンにすると、ドメイン コントローラーが NTLMv2 のみを受け入れるように構成できなくなるため、DisallowMsvChapv2 レジストリ値を設定しないことをお勧めします。