接続できなくなった理由
Windows 11 Pro(Windows10 Proも同様です) を 24H2 にアップデートすると、これまでアクセスできていた共有フォルダに突然つながらなくなるケースがあります。エラーコードとしては 0x800704f8 が代表的です。
原因は、Microsoft がセキュリティを強化し、「認証なし(ゲスト)アクセス」を標準で拒否するようになったためです。
これまで古いNASや共有フォルダを「ゲストユーザー」で利用していた場合、アップデート後は接続できなくなります。つまり「誰でもアクセスできる」状態が安全ではないと判断され、OSレベルでブロックされるようになったのです。
グループポリシーを使って暫定対応する方法
すぐに利用を再開したい場合、グループポリシーを編集して「安全でないゲストログオンを有効にする」ことで回避できます。
- Win+R →
gpedit.mscと入力してローカルグループポリシーエディタを起動 - コンピューターの構成 → 管理用テンプレート → ネットワーク → Lanman Workstation を開く
- 「Enable insecure guest logons(安全でないゲスト ログオンを有効にする)」 を [有効] に設定
- PC を再起動して共有フォルダに再接続
⚠ 暫定対応の危険性
この設定は一時しのぎとしては有効ですが、組織環境においては非常にリスクが高い点を強調しておく必要があります。
- なりすましアクセスが容易
認証が不要なため、社内ネットワークに接続できる端末なら誰でもアクセス可能。マルウェア感染端末も侵入できてしまいます。 - アクセス制御が効かない
「誰が」「どのファイルに」アクセスしたかの証跡が残りません。監査やセキュリティ要求に耐えられません。 - Microsoftの意図に逆行
Microsoft は SMB1 廃止と同様、ゲストアクセス排除に進んでおり、今後さらに制限が強化される可能性があります。
したがって、この方法は 「どうしても業務を止められない場合の暫定処置」 にとどめるべきで、恒久対応には不向きです。
グループポリシーで設定する「Insecure Guest Logons」の意味
「Insecure Guest Logons」とは、文字通り 「認証なしでのアクセス(ゲストアクセス)」を許すかどうか を決めるポリシーです。
- 有効にする:パスワードなしでアクセスできるフォルダに接続可能になる
- 無効にする(既定値):セキュリティリスクを避けるため、ゲストアクセスを拒否する
セキュリティリスクとしては、社内ネットワークに入り込んだ不正な端末が自由に共有フォルダへアクセスできてしまう点が挙げられます。そのため Microsoft は無効化をデフォルトにしています。
恒久対応
ホスト側での対応
本来は、クライアント側で危険な設定を許可するのではなく、ホスト側で「認証あり共有」に切り替えるのが最も安全です。
- Windows Server や Windows PC なら、ユーザーアカウントを作成してアクセス権を付与する
- Linux の Samba サーバなら、
guest ok = noに設定し、Samba ユーザーを作って認証させる
これにより、クライアント側は標準設定のままでも接続可能になります。
機器の更新
古いNASなど、一部の機器は SMB 1.0 やゲストアクセスしか対応していない場合があります。
この場合は、機器そのものを更新し、SMB 2.0/3.0対応・ユーザー認証対応のNASやサーバに移行するのが現実的な解決策です。
セキュリティや将来的な互換性を考えると、この選択肢は長期的にメリットがあります。
ドメイン統合
もし Active Directory を利用しているなら、ホストをドメインに参加させるのが理想的です。
- Windows サーバや PC をドメイン参加させれば、ドメインユーザー/グループを ACL に設定可能
- Linux サーバ(Samba)も
realmdやwinbindを利用すれば AD ドメインに参加可能 - これにより、クライアントはドメイン資格情報でシームレスに共有フォルダへアクセスできます
まとめ
- 24H2 から「ゲストアクセス」が既定で無効化され、従来の共有設定では接続できなくなる
- 暫定対応としてグループポリシーで「Insecure Guest Logons」を有効化できるが、これは大きなセキュリティリスクを伴い、恒久対応には不向き
- 恒久対応は ホスト側の設定変更・機器更新・ドメイン統合 のいずれかが現実的で、安全性も高い
コメント