2020年5月31日以降、AWS Managed Microsoft ADはSMB 1.0をサポートしなくなります
しばたです。
今日現在マネジメントコンソールからAWS Managed Microsoft AD(以後Microsoft AD)を新規に作成したり、既存のディレクトリ設定を変更しようとすると以下の様な警告が表示されます。
AWS は、このディレクトリのドメインコントローラーの SYSVOL および NETLOGON 共有にアクセスする場合、サーバーメッセージブロックのバージョン 2.0 プロトコル (SMBv2) 以降のクライアントだけを使用することを推奨いたします。2020 年 5 月 31 日以降、AWS は SMBv2 以降のクライアントだけをサポートします。
分かる人にとっては見た通りの内容ではありますが、本記事では改めてこの内容について解説していきます。
2020年5月31日以降、AWS Managed Microsoft ADはSMB 1.0をサポートしなくなります
先述の図の詳細はAWS Managed Microsoft AD のベストプラクティスへのリンクとなっており、こちらによると、
の2つの勧告に従いMicrosoft ADにおいてもSMB 1.0のサポートを廃止してセキュリティの強化を図る意図が表明されています。
SMB 1.0自体は既にレガシーなバージョンとなっており、2017年頃にWannaCryといったランサムウェアの流行もあり以前から使わない様にすることが推奨されていました。
この様な事情がありSMB 1.0のサポートは廃止されます。
ただ、正直、私個人としてはとっくにMicrosoft ADではSMB 1.0のサポートは廃止されているものと思いこんでおり、今回の警告を見て未だSMB 1.0をサポートしていたことは逆に驚きでもありました。
誰が影響を受けるのか?
本件の影響を受けるのは「 ドメインコントローラーの共有フォルダ(SYSVOLおよびNETLOGON)にSMB 1.0でアクセスするクライアント 」になります。
ではSMB 1.0を使うクライアントはどの様なOSになるかというと、Windows OSデフォルトでSMB 1.0を使うのはWindows XPやWindows Server 2003といった世代のOSです。
今年の1月に延長サポートが切れたWindows 7やWindows Server 2008 R2でもデフォルトではSMB 2.1を使います。
このため本件の影響を受ける対象は総数としては非常に少ないものと思われますが、
- Windows XP / Windows Server 2003 R2以前のOSがドメインに参加している
- Windows Vista / Windows Server 2008以降のOSでも明示的にSMB 1.0を使う様に設定変更している
場合は本件の影響を受けるので注意が必要です。
ちなみに各OSがデフォルトで使用するSMBのバージョンについては@ITの以下の記事が参考になりますのでご覧ください。
どの様な影響があるのか?
この変更での影響を厳密に回答するのは難しく、正直なところやってみないとわからないと思います。
ただ、SYSVOLおよびNETLOGON共有を使う一番のケースは
- グループポリシーの適用 (registry.pol へのアクセス)
- ログオン・ログオフスクリプトへのアクセス
ですので、SMB 1.0しか使えないクライアントにおいて
- グループポリシーが正しく適用されなくなる
- ログオン・ログオンスクリプトが期待した動作をしなくなる
といった影響が出ると思われます。
対処法
セキュリティ上の理由によりSMB 1.0のサポートを廃止する形ですのでこの変更を回避する方法はありません。
ドメインに参加するクライアントではSMB 2.0以降のプロトコルを使用する様にしてください。
既存環境に対する更新タイミング
今回の変更が既存の環境に対していつ実施されるか具体的に明記はされていませんが、恐らくは2020年5月31日以降のメンテナンス時に変更が適用されるものと推測されます。
Microsoft ADのメンテナンスは完全にAWS側で管理されユーザーはそのタイミングを知ることはできませんが、メンテナンス中にドメインが停止することはありませんのであまり気にしなくても良いのではないかと思います。
最後に
以上となります。
SMB 1.0は使用すべきでないとされる様になってから結構な日が経っていますので多くの方は今回の変更の影響を受けることは無いと思いますが、影響を受けそうな環境な方は早めに対処するとよいでしょう。
