Windows EC2 インスタンスのネットワークレベル認証（NLA）を手動でレジストリの変更をオフラインで行うことで無効化する方法

こんにちは。情シス＠アノテーションの飯島です。

「接続しようとしているリモート コンピューターには ネットワーク レベル認証 (NLA) が必要ですが、お使いの Windows のドメイン コントローラーに接続して NLA を実行することができません。」

EC2のWindowsインスタンスにRemote Desktopで接続しようとした場合に、上記のエラーが出た場合の対処方法について、AWSの以下ページに具体的なトラブルシューティング方法が2パターン記載されております。

1. システムマネージャ AWS-runPowerShellScript ドキュメントを使用して NLA を無効にする方法
2. 手動でレジストリの変更をオフラインで行う方法

今回、手動でのレジストリ変更による無効化を実施する機会があったので、その手順をご紹介いたします。

Windows EC2 インスタンスのネットワークレベル認証（NLA）を SSM オートメーションドキュメント AWSSupport-TroubleshootRDP で無効化してみた

手動でのレジストリ変更手順

（１）rootボリュームのデタッチ

Remote Desktopで接続できない（NLAの実行エラーが出力した）EC2インスタンスが起動している場合は停止し、rootボリュームをデタッチします。

（２）新しいインスタンス（レスキューインスタンス）の作成

レスキュー用のEC2を準備します。

注意事項として、この時選択するWindowsのバージョンを、先ほど停止した対象インスタンスとは別のものにします。

最小限の構成とRDP接続できるだけのセキュリティグループで作成しました。

（３）レスキューインスタンスにアタッチ

デタッチしたボリュームを「ボリュームのアタッチ」でレスキューインスタンスに紐づけします。

（４）レスキューインスタンスへのRDP接続

（５）ハイブの読み込み（他のPCのレジストリを編集）

・タスク バーの検索ボックスに 「regedit」と入力し、レジストリエディタを開きます。

（６）レジストリ編集

※ レジストリの編集は慎重に行ってください。

・［badsys］配下の以下階層から［SecurityLayer］をダブルクリックし、値を０に設定

・同じ階層にある［UserAuthentication］を選択し値を０に設定

（７）ハイブのアンロード

（８）対象インスタンスの起動と接続確認

・レスキューインスタンスのディスクマネージャを開き、ディスクをオフラインに変更する

・レスキューインスタンスからボリュームをデタッチし、ルートボリュームとして接続できないインスタンスにアタッチ

・対象のインスタンスを起動し、Remote Desktopで接続できることを確認