 |
Windows サーバー セキュリティ徹底解説
|
|
|
5-1 認証とは?
|
「認証」とは、ひと言で説明すれば「本人であることを確認する作業」のことです。実社会においても、いたるところで認証が行われています。例えば、会員制のスポーツクラブに入館する際には、その受け付けにおいて会員証を提示しますし、海外に旅行する際には、その入国審査においてパスポートを提示します。これは、何者かが自分を偽ることを防ぐためです。同様にコンピュータのセキュリティにおいても認証は重要です。適切な認証を行わなければ、偽者が本人のふりをしてシステムを利用するおそれがあるからです。
Windows Server 2003では、ユーザー名とパスワードにより認証を行います。これが「ログオン」です。このとき、コンピュータの前に座り、直接、ユーザー名とパスワードを入力してログオンすることを「対話型ログオン(ローカルログオン)」といいます。このとき、アカウントデータベースとしてローカルコンピュータのSAM、またはドメインコントローラのActive Directoryが使用されます。
すでにログオンしたユーザーがファイルサーバなどのネットワークのリソースにアクセスする場合には、「ネットワークログオン」が行われます。ネットワークログオンは、ローカルログオンしたユーザーの資格情報がそのまま利用されるため、ユーザーはログオンに気が付きません。
ローカルログオン、ネットワークログオンのどちらでもユーザー名とパスワードによる認証が行われていますが、特にネットワークログオンではネットワークの盗聴により、パスワードが盗まれる危険性があります。そのため、ネットワークログオンではパスワードを保護するための認証システム(認証プロトコル)が使用されています。Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムを用意しています。
これらの認証システムの中には、現在では安全とは呼べない認証システムも含まれています。しかし、レガシーのOSやアプリケーションとの互換性のために安全とは呼べない認証システムも使用しなければならない場合があります。よって、管理者は、互換性を考慮しつつ、最も高度なセキュリティが実現できるように認証システムを選択していかなければなりません。この章では、Windows Server 2003がサポートする認証システムの特徴を紹介し、必要な認証システムのみを有効化する手順を紹介していきます。
5-2 Windows Server 2003の認証システム
Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムをサポートしています。ここでは、Kerberos認証を除く、各認証システムの特徴と関連のあるセキュリティポリシーを紹介していきます。
5-2-1 平文認証
平文認証は、その名前のとおり、パスワードを暗号化せずに、ネットワークに送信する方法です。ネットワークを介したログオンにおいて、サーバがユーザー名とパスワードを要求すると、クライアントはユーザー名とパスワードを平文(クリアテキスト)のまま、送信します。そのため、ネットワークの盗聴により、容易にパスワードを盗まれるおそれがあります。
5-2-2 LM認証
LM(LAN Manager)認証は、LAN Managerで採用されたWindowsにおける標準的な認証方法で、Windows 95以降のすべてのOSでサポートされています。LM認証は、チャレンジ・レスポンスにより、ネットワークに直接、パスワードを送信することなく認証を行います。以下に、LM認証の仕組みを紹介します(図5-1)。
 |
| 図5-1 LM認証 |
 |
ユーザーがローカルログオンすることで、ローカルコンピュータに16バイトのLMハッシュが作成されます。LMハッシュは、パスワードをすべて大文字に変換した文字列を暗号化キーとして特定のフレーズ("KGS!@#$%")に対し、DES暗号化を行ったものです。 |
 |
クライアントからサーバにネットワークログオンを試みると、サーバはクライアントに16バイトのチャレンジを送信します。 |
 |
クライアントでは、受信したチャレンジに対して、LMハッシュを暗号化キーとして、DES暗号化を行います。これがLMレスポンスとなります。LMレスポンスは24バイトです。クライアントはLMレスポンスをサーバに送信します。 |
 |
サーバは、アカウントデータベースに格納されたユーザーのLMハッシュを使用し、独自にLMレスポンスを作成します。そして、クライアントから受信したLMレスポンスと比較することで、正しいパスワードであるかを確認します。 |
平文認証と比較すると、LM認証は直接、ネットワークにパスワードが送信されないため、ネットワークの盗聴による不正なパスワードの取得からシステムを保護することができます。しかし、チャレンジとレスポンス自体は盗聴が可能であるため、これらの情報を手がかりにパスワードを推測することは可能です。特にLM認証では、パスワードが大文字に限定されたり、現在では安全とはいえないDESアルゴリズムが使用されているなどの脆弱性があります。
|
POINT
|
|
■ チャレンジ・レスポンスとは? チャレンジ・レスポンスは、ネットワークを介した認証において、クライアントとサーバ間で安全にユーザー名とパスワードを交換する仕組みです。チャレンジ・レスポンスでは、クライアントからサーバへの認証の要求が行われると、サーバがランダムな文字列を作成し、クライアントに送信します。このランダムな文字列を「チャレンジ」といいます。 クライアントではチャレンジを受け取り、これを暗号化します。このとき、暗号化キーとして、パスワードを使用します。暗号化されたチャレンジは「レスポンス」と呼ばれます。クライアントはサーバにレスポンスを送信します。 次にサーバは、ユーザーのパスワードを知っているため、独自にレスポンスを作成し、クライアントから送られてきたレスポンスと比較します。これが一致していれば、パスワードは正しいことが証明され、ユーザーは認証されることになります。 このようにチャレンジ・レスポンスでは、パスワード自体はネットワークに送信されないため、ネットワークが盗聴されても簡単にパスワードが盗まれることはありません。 なお、Windows Server 2003では、LM認証、NTLM認証、NTLMv2認証において、チャレンジ・レスポンスを使用しています。 |
5-2-3 NTLM認証
NTLM(NT LAN Manager)認証は、LM認証と同様にチャレンジ・レスポンスにより認証を行いますが、LM認証より安全な認証が実現できるように改良が行われています。LM認証とNTLM認証の大きな違いは、暗号化キーとしてLMハッシュではなく、NTLMハッシュが使用されることです。
NTLMハッシュは、図5-2のようにパスワードをUNICODE文字列に変換した後、MD4アルゴリズムでハッシュ化した文字列となっています。さらにNTLMハッシュでは、LMハッシュと異なり、大文字と小文字が区別されたり、パスワード長は128文字まで可能であったりするなどの工夫により推測が難しくなっています。
 |
| 図5-2 NTLMハッシュ |
なお、NTLM認証は、Windows NT/2000/XP/2003でサポートされていますが、Windows 95/98ではサポートされていません。
5-2-4 NTLMv2認証
NTLMv2認証は、NTLM認証を改良した認証システムです(図5-3)。NTLMv2認証では、NTLM認証と同様にNTLMハッシュを暗号化キーとして使用したチャレンジ・レスポンスを行います。ただし、チャレンジに対するレスポンスの作成方法が大きく異なります。NTLMv2認証では、その暗号化にDESアルゴリズムではなく、HMAC-MD5アルゴリズムが使用されます。DESアルゴリズムのキー長は56ビットであるのに対して、HMAC-MD5アルゴリズムのキー長は128ビットとなるため、さらにキーの推測は難しくなります。
 |
| 図5-3 NTLMv2認証 |
NTLMv2認証は、標準でWindows Me/2000/XP/2003においてサポートされています。また、Windows 95/98でもディレクトリサービス(DS)クライアントをインストールすることでサポートされます。Windows NT 4.0では、Service Pack 4(SP4)以降でサポートされます。
|
POINT
|
|
■ ディレクトリサービスクライアントとは? ディレクトリサービスクライアントは、Windows 95/98専用のActive Directory拡張機能です。Windows 95/98にディレクトリサービスクライアントをインストールすることで、NTLMv2認証やActive Directoryへの検索やサイトの認識などの新しい機能がサポートされます。なお、ディレクトリサービスクライアントはWindows 2000 ServerのCD-ROMのClients\ Win9x\Dsclient.exeに含まれています。 |
|
1/2
|
 |
| Index | |
| Windows サーバー セキュリティ徹底解説 | |
 |
Page1 5-1 認証とは? 5-2 Windows Server 2003の認証システム 5-2-1 平文認証 5-2-2 LM認証 5-2-3 NTLM認証 5-2-4 NTLMv2認証 |
| Page2 5-2-5 関連するセキュリティポリシー |
|
| Windows サーバー セキュリティ徹底解説 | |
 |
第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム) |
| 第7章 データレイヤの保護(EFSによるファイルの暗号化) | |
| 第10章 境界部レイヤの保護(インターネット接続ファイアウォール) | |
 |
Security&Trust記事一覧 |
TechTargetジャパン
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。