10月1日から順次配信が始まりました、 Windows 11 の更新プログラム「24H2」の検証を行っている情報システム部や SEの方も多いかと思いますがいかがでしょうか。
ソフトウェアメーカー各社の対応も徐々に進んでおり、 SKYSEA Client Viewもお待たせいたしましたが、 2024年12月16日公開のSKYSEA Client View 20.1にて対応しました。
「24H2」ではセキュリティ強化の機能として「認証レートリミッター」のポリシーが設けられており、 デフォルトで有効化されています。 ちなみに、新しいサーバーOSのWindows Server 2025でもデフォルトで有効化されています。
「認証レートリミッター」はログオン情報が漏洩してしまっている場合、 ファイルサーバーや端末への不正侵入を企てパスワードの ブルートフォース(総当たり)攻撃の緩和措置が期待できます。 初期値でNTLM認証に失敗すると、2,000ミリ秒(2秒)のディレイを 次の試行アクセスまでに挟むことができるため、 短い時間での連続した試行への緩和につながります(最大値は10,000ミリ秒です)。
設定に関するMicrosoft社の技術情報としては、下記URLをご参照ください。
本来はファイアウォールや各PC、及びネットワーク側で高レベルの認証を伴うシステム構成での防御が有効ですが 一時的にセキュリティレベルが意図せず低下している環境に外部から侵入された場合、 「認証レートリミッター」が有効化されている環境ではファイルサーバーや端末に対して、 ブルートフォース攻撃を仕掛ける攻撃者に対して、侵入に時間を要し、 効率が悪いとのネガティブな印象を与えることになり、 侵入をあきらめる判断に至る可能性を高くすることが期待できます。
SKYSEA Client Viewではエージェント導入済みのサーバーや 端末を経由してファイルサーバー等のファイル共有にアクセスされた場合、 「ファイルアクセス」ログを取得しており、 ファイルサーバー等の場合はアクセスされた端末の特定に有効なログとなり端末の場合も、 意図しないネットワーク内のPCからのローカルへの アクセスを確認するためのログとしても、確認いただけます。
例:コンピューター「W1124H2」へアクセス元の「TESTPC」のskyuserアカウントから 「W1124H2」のローカルhostsファイルへアクセスされた場合のログ
SKYSEA Client Viewで取得可能な操作ログに関する情報には一部オプション機能もございますが、 下記URLをご参照ください。
