2025年9月のWindows更新プログラム(KB5065426)適用により、同一マシンSIDを持つデバイス同士でのネットワーク認証(NTLM認証およびKerberos認証)がブロックされるようになりました。
これは不具合ではなく、セキュリティ強化の一環として導入された仕様変更です。
対象となるWindowsバージョン:
- Windows 11 バージョン 24H2 および 25H2
- Windows Server 2025
マシンSIDとは
マシンSIDは、Windowsにおいて各コンピュータを一意に識別するための内部識別子です(PC名とは異なります)。
PSToolsに含まれるPsGetSidコマンドを使用すると、現在のマシンSIDを確認できます。
Windowsをインストールするときに一意のマシンSIDが生成され割り当てられますので、マシンSIDが重複することは通常ありません。
しかし、以下のような場合にマシンSIDが重複することがあります。
- OSマスタイメージを作成して複数のデバイスに展開した場合
- 仮想マシンを複数クローンした場合
Windowsでこのような複数デバイスへ展開・クローンするためのマスタイメージを作成する際には、Sysprepというツールを使用してマシンSIDをリセットする処理を行う必要があります。
ところが、SysprepツールはXML形式の設定ファイルを用意しなければならなかったり、実行途中でエラーが発生しやすいなど、いささか扱いが面倒なツールであることもあり、マスタイメージ作成時にSysprepを実行しないケースがあります。
また、一部のメジャーではないメーカー製PCでは出荷時の状態ですでにマシンSIDが重複している場合もあるようで、このようなPCを複数台購入して使用しているような場合にもマシンSIDが重複する可能性があります。
マシンSIDが重複していても問題は起きなかった(これまでは)
もちろんマシンSIDが重複した状態での利用はMicrosoftとしてはサポートされていない利用方法ですが、実際のところ動作上の支障が出ることはこれまでありませんでした。
マシン間でのネットワーク認証において、マシンSIDは認証要素としては使用されていなかったためです。
これは主にクライアントOSでの話であり、サーバOS、特にActive DirectoryのドメインコントローラーではマシンSIDの重複は問題を引き起こします
2025年9月の更新プログラム適用後の影響
2025年9月のWindows更新プログラム(KB5065426)によりネットワーク認証時にマシンSIDがチェックされるようになりました。これにより同一マシンSIDを持つデバイス同士でのネットワーク認証(NTLM認証およびKerberos認証)がブロックされます。具体的には以下のような影響が発生します。
- 共有フォルダ(SMB)へのアクセスができない
- リモートデスクトップ接続(RDP)ができない
- その他、ネットワーク認証を必要とするサービスが利用できない
この影響は、同一マシンSIDを持つデバイス同士での通信時のみ発生します。
そのためサーバで実行されている共有フォルダにクライアントPCからアクセスするような場合や、クライアントPCからサーバに対してリモートデスクトップ接続を行うような場合には問題は発生しません。
ただ、小規模な組織ではクライアントPCで共有フォルダを公開してユーザ間でデータ共有していたり、会議室PCから自席PCへリモートデスクトップしていたりといったケースもあるかと思います。
そのような場合、組織内のクライアントPCが同一のマスタイメージから展開されていてマシンSIDが重複していると、大きな影響が発生する可能性があります。
なお、影響を受けるのはKerberos認証およびNTLM認証を使用するサービスに限られます。
認証を伴わない通信や、別の認証方式を使用するサービス(WebサービスでのBasic認証など)には影響はありません。
実際に動作を見てみる
2025年8月以前のWindowsの場合
まずは2025年9月の更新プログラム適用前のWindows 11での動作を確認します。
マシンSIDが重複した2台のWindows 11(SID-PC-1、SID-PC-2)を用意し、同一のネットワークに接続します
PsGetSidでマシンSIDを確認すると、2台のPCは全く同じSIDを持っています。
共有フォルダ(SMB)へのアクセス
サーバ役のSID-PC-1で共有フォルダを作成し、クライアント役のSID-PC-2からアクセスしてみます。
アクセス時に資格情報(ユーザ名とパスワード)の入力を求められますが、正しい資格情報を入力するとアクセスできました。
リモートデスクトップ接続(RDP)
次に、SID-PC-1に対してSID-PC-2からリモートデスクトップ接続を試みます。
こちらも接続時に資格情報の入力を求められますが、正しい資格情報を入力すると接続できました。
WinRM接続(PowerShellリモートセッション)
あまり一般的には使われていないかもしれませんが、WinRM接続(PowerShellリモートセッション)も試してみます。
PowerShellでEnter-PSSession SID-PC-1 -Credential (Get-Credential)を実行し、資格情報を入力すると、SID-PC-2からSID-PC-1へリモート接続できました。
2025年9月の更新プログラム適用後
次に、2025年9月の更新プログラム(KB5065426)を適用したWindows 11で同じことを試してみます。
今回の検証はWORKGROUP環境(NTLM認証)で行っていますが、
PCがドメインに参加している場合(Kerberos認証)でも結果は同じです。
共有フォルダ(SMB)へのアクセス
SID-PC-2からSID-PC-1の共有フォルダへアクセスを試みると資格情報の入力を求められますが、正しい資格情報を入力しても「指定されたネットワーク パスワードが間違っています。」と表示されアクセスができません。
リモートデスクトップ接続(RDP)
リモートデスクトップ接続の場合も同様に資格情報の入力を求められますが、正しい資格情報を入力しても「お使いの資格情報は機能しませんでした」と表示され接続ができません。
WinRM接続(PowerShellリモートセッション)
WinRM接続も同様に、アクセスが拒否されます。
対処方法
一時しのぎとしては2025年9月の更新プログラムをアンインストールする方法がありますが、セキュリティ上のリスクが高まるため長期的な運用には適しません。
詳細は不明ですが、Microsoftの法人向けサポート契約を結んでいる場合は、Microsoftビジネスサポートに問い合わせると一時的に対処できる「特別なグループポリシー」なるものを提供してもらえるらしいです。
ただ、やはり永続的な対策としてはSysprepツールを使用してマシンSIDをリセットし、一意のマシンSIDを再生成する必要があります。
SIDをリセットする非公式ツールも存在するようですが、Microsoftが公式にサポートしているものではないので、自己責任での利用となります。
個人的には、MicrosoftがマシンSIDをリセットするためのより簡単で確実な公式ツールを提供するべきではないかと思いますけどね。