Windows サーバー セキュリティ徹底解説
- Windows Server 2003 & Windows 2000 Server 対応 -

第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム)

吉田 かおる/岩見 和浩
2004/5/11



5-2-5 関連するセキュリティポリシー

 認証に関するポリシー項目は、ポリシーの[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカルポリシー]−[セキュリティオプション]に用意されています。ここで設定するポリシー項目はドメインコントローラだけでなく、そのドメインのメンバサーバやクライアントでも必要となります。

サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する
 平文認証では、ネットワークの盗聴により、容易にパスワードを取得されてしまいます。そのため、Windows Server 2003では、既定で平文認証は無効化されています。ただし、MS-DOS、Windows for Workgroup 3.1、およびWindows 95aなどの一部のレガシーOSやアプリケーションでは平文認証のみをサポートすることがあります。また、古いバージョンのSAMBAなどのサードパーティ製のSMBサーバの一部には、平文認証を要求するものもあります。このような互換性の問題を解決するために、セキュリティポリシーには[Microsoftネットワーククライアント:サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する]が用意されています(図5-4)。このポリシーを[有効]に変更すると、平文認証が可能となります。なお、平文認証は、ネットワークの盗聴の危険性のない信頼されたネットワークでのみ使用してください。

図5-4 サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する

LAN Manager認証レベル
 セキュリティポリシーではサポートする認証システムを[ネットワークセキュリティ:LAN Manager認証レベル]により選択することができます(図5-5)。このポリシー項目は、クライアントが認証を要求する際、およびサーバが認証に応答する際に使用する認証システムを決定します(表5-1)。なお、Windows Server 2003の既定では、[NTLM応答のみを送信する]が設定されています。これはWindows Server 2003がクライアントとして認証される場合、NTLMまたはNTLMv2認証が使用されることを意味します。また、サーバとして認証する場合、LM認証、NTLM認証、NTLMv2認証を許可することを意味します。

図5-5 LAN Manager 認証レベル

設定 認証システム
クライアント サーバ/DC
LMとNTLM応答を送信する LM/NTLM LM/NTLM/NTLMv2
LMとNTLMを送信するネゴシエーションの場合、NTLMv2セッションセキュリティを使う LM/NTLM/NTLMv2 LM/NTLM/NTLMv2
NTLM応答のみを送信する NTLM/NTLMv2 LM/NTLM/NTLMv2
NTLMv2応答のみを送信する NTLMv2 LM/NTLM/NTLMv2
NTLMv2応答のみを送信(LMを拒否する) NTLMv2 NTLM/NTLMv2
NTLMv2応答のみを送信(LMとNTLMを拒否する) NTLMv2 NTLMv2
表5-1 LAN Manager 認証レベル

次のパスワードの変更でLAN Managerのハッシュ値を保存しない
  [ネットワークセキュリティ:次のパスワードの変更でLAN Managerのハッシュ値を保存しない]を[有効]に設定することで、アカウントデータベースにユーザーのLMハッシュを保存しないようになります(図5-6)。

 このポリシーを有効にした場合、ユーザーが次回にパスワードを変更したタイミングでアカウントデータベースからそのユーザーのLMハッシュが削除されます(NTLMハッシュは記録されます)。これによって、物理攻撃により、アカウントデータベースが盗まれた場合でも、そのデータベースからユーザーのパスワードを推測することが難しくなります。当然、LMハッシュを削除した場合、LM認証は行えなくなります。

図5-6 次のパスワードの変更でLAN Managerのハッシュ値を保存しない

セキュアRPCを含むNTLM SSP最小のセッションセキュリティ
  NTLM認証ではチャレンジとパスワードハッシュからセッションキーを作成することで、認証後にやりとりされるリモートプロシージャコール(RPC)やNTLM SSP(セキュリティサポートプロバイダ)を使用するアプリケーションのメッセージに対して機密性と整合性を実現することができます。これを「セッションセキュリティ」と呼んでいます。セッションセキュリティでは、メッセージの暗号化とデジタル署名が可能であり、盗聴や改ざんからメッセージを保護することができます。NTLM認証におけるメッセージの機密性と整合性の有効化は、クライアントとサーバに対してそれぞれポリシー項目として用意されています。これは[ネットワークセキュリティ:セキュアRPCを含むクライアントベースのNTLM SSP 最小のセッションセキュリティ]と[ネットワークセキュリティ:セキュアRPCを含むサーバベースのNTLM SSP最小のセッションセキュリティ]になります(図5-7)。

図5-7 セキュアRPCを含むサーバベースのNTLM SSP最小のセッションセキュリティ

 このポリシー項目では、メッセージに署名を追加する[メッセージの整合性が必要]、メッセージに56ビット暗号化を行う[メッセージの暗号化が必要]、より強力なセッションセキュリティを実現する[NTLMv2セッションセキュリティが必要]、メッセージに128ビット暗号化を行う[128ビット暗号化が必要]の各設定をチェックすることができます。なお、この設定により、サーバとクライアントの両方でこれらの機能を有効化されていない場合には、接続が失敗することになります。

NOTICE

そのほかのネットワーク関連のセキュリティポリシー

 ここで紹介した以外にも、ネットワーク関連のセキュリティポリシーはいくつか用意されています。例えば、「SMB署名」のポリシーがあります。SMB署名とは、ファイル共有やプリンタ共有などで使用されているSMB(Server Message Block)プロトコルにデジタル署名を付加することで、データの改ざんやなりすましを防ぐセキュリティ機能です。SMB署名は、クライアント側の設定である[Microsoftネットワーククライアント:常に通信にデジタル署名を行う]と[Microsoftネットワーククライアント:サーバが同意すれば、通信にデジタル署名を行う]およびサーバ側の設定である[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]と[Microsoftネットワークサーバ: クライアントが同意すれば、通信にデジタル署名を行う]で構成可能です。なお、Windows Server 2003では、ドメンイコントローラにアップグレードしたタイミングで、[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]が有効になります。そのため、SMB署名をサポートしていないクライアントとの通信ができなくなりますので注意してください。


2/2

Index
Windows サーバー セキュリティ徹底解説
  Page1
5-1 認証とは?
5-2 Windows Server 2003の認証システム
5-2-1 平文認証
5-2-2 LM認証
5-2-3 NTLM認証
5-2-4 NTLMv2認証
  Page2
5-2-5 関連するセキュリティポリシー


Windows サーバー セキュリティ徹底解説
第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム)
  第7章 データレイヤの保護(EFSによるファイルの暗号化)
  第10章 境界部レイヤの保護(インターネット接続ファイアウォール)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間