さて、マイクロソフトの見かけ上大盤振る舞いというウィンドウズアップグレードが水面下で行われているが、そのお陰か、セキュリティー情報は全てリセットされ、今まで接続できていたネットワーク上の共有フォルダ等に接続できなくなってしまう事が多発している。
実はWindows10でも同じ現象が起きていたが、今回はWindows11アップグレード時の自動設定変更が原因となる。
コニカミノルタの複合機で、スキャンボックスにアクセスすると、IDパスワードを要求されるようになった事例あり。これは、本記事の対策1で解決しました。
もし、対策1で解決しない場合、ダミーのボックスを作り、そのボックスに対してIDとパスワードを設定する事で、既存ボックスにも接続できるようになる。
作成時の注意点としては、ボックスNoが「ユーザ名」、ボックスパスワードが「パスワード」になる。ボックス名ではない事に注意する。
尚、ボックスNoを「1」に設定した場合、アクセス時のユーザ名は「000000001」となり、0で9桁を埋める必要がある。
また、空き番号を使った場合は、自動採番された番号を読み取り、ユーザ名に入力する必要がある。
Windows11の24H2バージョンは、今の所、ID、パスワード無しではアクセスできない仕様になっている。それが仕様なのか不具合なのかは現在の所わかっていない。
その他、ゾーン識別子[ads]でもバグ等が発生しており、数々のエラーもマイクロソフトから報告されている。なので、本記事の対策を行っても結果的に接続は出来ません。唯一の対策は接続先に認証ユーザ名、パスワードを設定する事となる。
NASの場合は、こちらを参照された方が早いかも。[バッファローQ&A]
https://www.buffalo.jp/support/faq/detail/124162295.html
原因
Windows11アップグレード時にグループポリシーの「安全でないゲスト ログオンを有効にする」が外れてしまう等、セキュリティー設定がリセットされる事が原因。基本はアクセス先にパスワードが設定されていない事がそもそもの要因。パスワードを設定しないまま運用を続ける場合は、次の対策を実行する。
対策1:「安全でないゲストログオン」を有効にする
- まずは、根本的にネットワーク参照がストップしている場合があるので、「ネットワーク」を有効化する必要がある。Windowsボタン+Eキーを押してファイルエキスプローラを表示し、左側のメニュー下部にある「ネットワーク」をクリックする。クリック後、有効化されていない場合は、画面上部かポップアップでネットワーク共有の有効化を求められるので、有効化を行う。有効化後、ネットワーク上にPCが表示されている事を確認する。
- ローカルグループポリシーエディターを起動する。(Homeエディション等でグループポリシーエディターが存在しない場合は別記事の「グループポリシーエディターを追加する方法」を参照し、インストールしてください。レジストリエディタを使える方は、下記に情報を記しておきます。)
検索用の虫メガネボタンをクリックし、上の空欄に「gp」と入力すると、「最も一致する検索結果」に「グループポリシーの編集」が表示されるので、クリックする。
- グループポリシーエディターを開き、左側ツリーの「ローカルコンピューターポリシー」 → 「コンピューターの構成」 → 「管理用テンプレート 」→ 「ネットワーク」 → 「Lanman ワークステーション」をクリックすると右側に表示される「安全でないゲストログオンを有効にする」をダブルクリックしてプロパティーを表示し、
「未構成」を「有効」側にチェックし、「OK」ボタンで閉じる。
- ローカルグループポリシーエディター自体を閉じて完了
この設定を行って接続が可能になった場合でも、次回のWindowsアップデートにより設定が上書きされ、同様の症状が再発する可能性がある。
接続先には、パスワード設定をしておくことをお勧めする。
上記設定をすると「ネットワークエラー」となった場合
今までユーザ名、パスワードが聞かれていたのに、「ネットワークエラー」が表示されるようになった場合、「安全でないゲストログオンを有効にする」を設定した事によって、ユーザ名パスワードを飛ばした処理が行われ、即ち、ユーザ名パスワード入力を「キャンセル」した形でアクセスされるので、このエラーが出るようになる。
そもそも、アクセスしようとするNAS等のデバイスに、ユーザ名未指定ログオンが許可されていない(Buffalo Terastasion等)場合にこの症状は発生する。
その場合は、「安全でないゲストログオンを有効にする」を「未構成」に戻し、ユーザ名、パスワードを指定し、資格情報を記憶するにチェックを入れてアクセスする。
(※対策3が行われていないと駄目な場合あり)
また、NASにアクセスできない場合は、ウィンドウズ側の現在サインインしているユーザ名をNASに登録する事で接続できるようなる。これは、ウィンドウズのアップデートによってセキュリティーが強化されている為。ウィンドウズのセキュリティーを下げず、接続できるようにする方法なので、面倒だがこれが一番の解決策。接続先が空白のパスワード無しになっている場合は、対策3を実行するとアクセスできるようになる。
対策2:「SMB 1.0/CIFS クライアント」を有効にする。
少し古い機器等では、SMB1.0で共有されている場合がある。その場合は、アップデートによりSMB1.0が削除されているので、復活させる必要がある。(これも脆弱性を復活させる事になるのでお勧めしない)
- 対策1でも紹介した、Windows11の検索ボタンをクリックし、「機能」と入力すると、「ウィンドウズの機能の有効化または無効化」が表示されるので、クリックする。
- ウィンドウズの機能の有効化または無効化の「SMB 1.0/CIFS ファイル共有サポート」→「SMB 1.0/CIFS クライアント」のチェックが無い場合はチェックし、「OK」をクリックする。
- インストールが始まり、再起動を求められたら再起動ボタンで再起動する。
対策3:接続先のPCが、パスワード無しログインが制限されている場合。
SMB1.0とLANMANワークステーションの設定を行っても「権限がありません」と表示される場合や、パスワードを空白にしても認証が通らない場合は、接続先のPCの設定でパス無しログオンが無効になっている場合がある。
対策1の手順でグループポリシーを起動し、「ローカルコンピュータ―ポリシー」→「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティーオプション」→『アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する』を「無効」にする。(※レジストリエディタを使える方は、下記に情報を記します。)
レジストリ情報
※レジストリインポート用ファイルをダウンロードするには、右クリックでリンク先を名前を付けて保存。
※レジストリ操作、レジストリインポートは自己責任でお願いします。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation
Value Name:AllowInsecureGuestAuth
Value Type:REG_DWORD
Enabled:1
Disabled:0
インポート用ファイル:AllowInsecureGuestAuth.reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value Name:LimitBlankPasswordUse
Value Type:REG_DWORD
Enabled:1
Disabled:0
インポート用ファイル:LimitBlankPasswordUse.reg
考察
確かにセキュリティー強化は重要だし、日本はUSBさえ知らない人物がサイバーセキュリティー担当大臣を担っていた程、デジタルセキュリティー脆弱王国なので気を付けて行く必要があるが、如何せん、業務に支障を浸すような強制感が拭えない。Pマークが重箱の隅をつつくようなセキュリティー対策をした結果、業務に多大な影響が出てしまう本末転倒な現象と同じ。重要なポリシーを強制的に変更するのであれば、アップグレード時に警告や注意点として対話の承認画面を出し、利用者に認知させる必要があるのではと考える。どこかの誰かと同じで、権力や支配力があれば聞こえても聞こえなくても声をとことん無視して、我儘な考えを貫き通す。それが組織の腐敗であり衰退につながる。
ブログ後記:一寸にも足らぬ戯言
今年は観測史上最速の梅雨明けだそうで、いつもは洗車をすると大雨になったりしていたが、今回は当面雨マークが出てない状態だった。おや、珍しいといつもなら喜ぶ筈なのだが、そうはいかない。先週、やっとの思いで雨水タンクを作り、さぁ、雨よ降れ!雨よ溜まれ!と雨ごいしていた所だったのだ。なのにこの史上最速の梅雨明けが起こってしまうという空前絶後の偶然。ついてない。なんと、雨男もこの雨水タンクのに水を溜めさせないという天の悪戯のお陰で晴れ男になってしまったという事実。これは喜ばしい事なのだろうか。
というか、そんなただの人間が日本全国の気象を変化できる程の力がある訳ないので、勿論偶然としか言いようがないのだが。
NASにアクセスすると、IDパスワードを要求されるようになった事例あり。
これは、本記事の対策1で解決しました。