さて「Windows 11 Ver.24H2 に更新したら共有フォルダにアクセスできなくなった Part 1」では、更新後 共有フォルダにアクセスできなくなったというその背景についてご紹介いたしました。
さて 「Windows 11 Ver.24H2 に更新したら共有フォルダにアクセスできなくなった Part 2」 からは、具体的な対策について確認していきたいと思います。
一言に ネットワークで共有 といっても、「NAS」 を介してフォルダなどを共有しているケースと、単に 同じネットワーク内の PC どうしでフォルダやファイルを共有 しているケースであったりといろいろです。 Part 2 では、「NAS 編」として、「NAS」をご利用のケースについて確認してみます。
※ NAS:Network Attached Strorage
ネットワークに接続できるハードディスク(HDD)や SSD のことをさします。
ネットワークに接続できるハードディスク(HDD)や SSD のことをさします。
【今すぐ以前の環境に戻したいなら】
具体的な対策に入る前に、とにかく 今すぐ以前のように共有できていた環境に戻したい 場合についてご紹介いたします。
Windows Update で、Ver.24H2 になってまだ 10日以内 であれば、更新を取り消して以前のバージョンに戻すことが可能です。
上記の画像ではすでに10日以上経過しているので、復元はできませんが、
スタートボタン>設定>Windows Update>詳細オプション>回復
と開くと、「回復オプション」のところに、"復元" という項目がありますので、ここの "戻す" をクリックすると、Ver.24H2 の Update が取り消されて、Update 前のバージョンに戻すことができます。
"戻す" を押すと、PCにもよりますがすぐに再起動がかかって復元の作業に入ります。再起動が完了して PC が起動してくれば、Update 前のバージョンに戻っているはずですので、コマンドプロンプトや Windows + "R" で「ファイル名を指定して実行」などを利用して、"winver" と入力し現在のバージョンを確認してみてください。そして、エクスプローラーなどを起動するなどして、共有フォルダへのアクセスが可能になったか? 確認してみてください。
いったん戻した場合には、やはり Windows Update の画面を表示させて「利用可能になったらすぐに最新の更新プログラムを入手する」の設定は「OFF」にしておきましょう。「ON」のままだと、また自動で更新されてしまいます。
そして大切なのはここから....。
いずれにしても、今後、Ver.24H2 にアップデートはしないといけない日が来るので、来るべき日に備えてご利用の環境に応じて Ver.24H2 にアップデートした場合のネットワーク環境の確認と、その対策についてしっかり確認しておいてください。
そして晴れて、Ver.24H2 にする際にはしっかりと対策を施してください。
※「SMB署名」の問題は、Ver.24H2 の不具合ではなくその仕様の変更に伴うものです。
【NASメーカーの情報】
さてでは、Part 2 の本題でもある 「NAS」 のある環境について確認してみましょう。
まず確認すべきは、何よりもご使用の 「NAS」メーカー各社の情報になります。今回、一般ユーザー向けの代表的なところとして Buffalo や IO-DATA のウェブサイトでも確認しましたが、メーカーではちゃんとその対象法について情報を公開されておりました。
【SMB署名の必須化が導入された理由】
「SMB セキュリティ強化」にもありますが、「データ、ユーザー、組織のセキュリティを強化すること」を目的としています。
これにより「SMB 機能は、環境内でのサイバー攻撃やデータ侵害のリスクを軽減すること」につながるわけです。
SMB署名:資格情報を盗むデータ改ざんとリレー攻撃の防御に役立ちます。また「SMB 署名を有効にすると、クライアントとサーバーは署名されたパケットのみを受け入れ、署名されていないパケットを拒否します。 ゲスト ユーザーからのパケットは拒否されます。つまり、ユーザーが資格情報を指定せずにサーバーに接続できる機能 (ゲスト フォールバック) が無効になります」ともあります。
※ SMB:Server Message Block
【SMB署名に対応していない製品】
「SMB 署名動作の制御」の「SMB 署名を無効にする」のところにもありますが、仮に 「NAS」自体 が、古いもので「SMB署名」をサポートしていないような場合には、必然的にリモート共有ができなくなってしまいます。この場合には、「SMB 署名を手動で無効化し、ゲスト アカウントのアクセスを復元する必要があります」とあるように、GPやレジストリなどを調整して「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」を開き、「無効」に設定を変更する必要があります。
そうでない場合には、これを機に セキュリティ強化のために「NAS」の買い替えを検討する必要もでてきます。
【問題の切り分けから】
では具体的な対処法についてみていきましょう。Windows 11 Ver.24H2 から必須になった「SMB署名」の問題ではありますが、「NAS」にアクセスできなくなるケースでは、
- SMB署名
- ゲストアカウント
2つの問題が関連してきます。ということで、まずはどういった点で問題を切り分けていくのか?
1) SMB署名:
これが問題の場合には、ネットーワークレベルで NAS へのアクセスが制限されてしまいます。
-- 対策
NAS での SMB 署名を有効化します
2) ゲストアカウント:
こちらのケースでは、NAS 自体にはアクセスできても、認証画⾯が表⽰されてはじかれ、認証エラーになります。
-- 対策
NAS と Windows 11 に資格情報を登録します
ゲストアカウントは、NASへのアクセスに認証情報を必要としません。気軽に利用できる反面、セキュリティ的には問題もあるわけです。
「SMB2 および SMB3 でセキュリティで保護されていないゲスト ログオンを有効にする方法」にもありますが、「Windows 2000 以降、Windows では受信ゲスト アクセスが無効となっており、Windows 10 以降は SMB2 および SMB3 のクライアント ゲスト認証が禁止されています」とあるように、基本的にはゲストアカウントでの接続は推奨されておりません。
【「SMB署名」の無効化について】
Web上をいろいろ見ていると、「SMB署名」を無効にする方法のみ対処法として紹介しているところも多々ありますが、あくまでも一時的な回避策としてご利用になるのであればまだしも、基本的には、セキュリティレベルを落とすことになるこの方法は推奨されません。
きちんと「SMB署名」が有効にした状態で、共有環境を整えていただくことを推奨いたします。
なお今回の「SMB署名」の問題は、Windows 11 Pro や法人向けの製品に限らず、Windows 11 Ver.24H2 全体の問題になります。つまり、Windows 11 Home でも、同様の問題が発生します。
ただし仮に無効化するにあたって、Windows 11 Home の場合には、Windows 11 Pro などのようなグループポリシーエディターは利用できません。Windows 11 Home の場合には、レジストリから設定を変更する必要があります。
【一般的な対応策】
さてでは具体的な対策について確認してみましょう。
今回ご紹介するその対策はご利用の 「NAS」 によっても異なるケースはあるので、具体的には、やはりご利用の「NAS」メーカーの情報を参考にしてください。
基本的には、「SMB セキュリティ強化」にもあるように、「Windows 11 24H2 と Windows Server 2025 以降では、すべての送受信 SMB 接続に既定で署名することが必須」となっています。
ということで、「NAS」の画面表示なども若干異なると思いますが、以下の2つの設定を行います。
- NAS 側: SMB署名を有効にし、さらにそこにログインするためのユーザーアカウントを追加します。
- PC 側: コントロールパネルから、ユーザーアカウントを開いて、さらに「資格情報マネージャー」を開き、資格情報を追加します。
設定が完了したら、PCを再起動します。
参考までに手元にある Buffalo の LinkStation で確認してみました。
1) NAS側の設定:
- NASの設定画面にログイン
- 「詳細設定」をひらいて「ファイル共有」に入ります
- 「SMB」はもちろん "ON" にすること、そしてさらに「ユーザー」をクリック
- 「ユーザーの作成」をクリックして、共有フォルダへのアクセス用のユーザー情報を登録
(最低限ユーザーIDとPWを追加します)
2) PC側の設定:
- スタート>設定 と開いて、検索のところに「資格情報」と入力し、「資格情報マネージャー」を選択します
- 「Windows資格情報」を開いて、「Windows資格情報の追加」をクリックします
- NASのIPアドレス、NASに先ほど設定したユーザーIDとPWを入力しOKで閉じます
登録が終わったら再度「Windows資格情報」の画面に戻るはずなので、きちんと登録されているか?確認しましょう。
そして最後にPCについてはいったん再起動します。
【「NAS」以外の機器】
「NAS」 以外にも、実はネットワークを介してデータを共有するような機器があります。IO-DATAのサポート情報を確認していたら、「RECBOXとオーディオサーバー製品」向けの情報として以下のようなものもありました。
この他にも、いわゆる業務用複合機(コピー機)にも共有フォルダへのアクセスするためのSMB機能があったりするものもありますので、今回の影響を受けるケースも出てきます。
詳細はご利用の機器のメーカーのWebサイトなどの情報をご確認ください。
例:
さて今回は 「NAS編」としてご紹介しましたが、当然ながら特別 NASのようなものを設置しておらず、単純に同じネットワークに接続されたPCどうしで、フォルダやファイルを共有しているケースもあるでしょう。
次回 Part 3 では、NANなど特別な機器がない場合についてご紹介いたします。
<参照>