Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ

ターミナル・サービスの暗号化レベルを強化する

解説をスキップして操作方法を読む

デジタルアドバンテージ 小川 誉久
2005/05/07
 
対象OS
Windows Server 2003
サーバの管理や業務アプリケーション環境の一元化などにターミナル・サービスを利用すると便利である。
しかし企業機密に関わる情報を扱う場合には、セキュリティに配慮する必要がある。
ターミナル・サービスでやりとりされるデータはデフォルトで暗号化されるが、必要ならさらにセキュリティを強化することができる。
 
解説

Windows Server 2003完全ガイド:ターミナル・サービス
TIPS:ターミナル・サービスでアプリケーションが正しく動かない
TIPS:ターミナル・サービス接続のポート番号を変更する

 Windows 2000から標準でサポートされるようになったターミナル・サービスは、リモートからサーバに接続し、サーバ・コンソールのデスクトップをウィンドウの1つとして表示して、これをリモートから操作できるようにする便利な機能だ。サーバ・コンソールを直接操作するのとほとんど違いがないので、例えば管理者なら、遠隔地にある複数のサーバにターミナル・サービスで接続して、自分のクライアント・コンピュータから集中的に管理するなどが可能になる。また用途によっては、アプリケーション環境をサーバ側で構築しておき、各ユーザーにはターミナル・サービスでこれに接続させて、業務アプリケーションを利用させるなども考えられる。こうすれば、リッチなユーザー・インターフェイスを使いながら、アプリケーション管理を1台のサーバに集中させることができる。

 Windowsのターミナル・サービスでは、RDP(Remote Desktop Protocol)と呼ばれるプロトコルを使用して、サーバ側の画面表示をクライアントに送り、逆にクライアント側で操作されたキー入力やマウスの操作情報をサーバに送信する。RDPはTCPレベルでカプセル化されるので、TCP/IPベースのネットワークであれば、社内イントラネットはもちろん、インターネットを介して利用することも可能だ。

 非常に便利な機能であることは間違いなのだが、デスクトップの操作がネットワーク上を流れることになるので、個人情報や企業機密に関わる情報を扱う場合には、セキュリティには十分配慮する必要がある。

 基本的に、ターミナル・サービスでやりとりされるデータは暗号化され、途中でデータが盗まれても、簡単には内容を確認できないようになっている。一般に暗号化の強度は、暗号鍵のビット数が大きいほど解読が困難だ。しかしこの際には、サーバとクライアントの双方が同一ビット数の暗号化をサポートしている必要がある。いくらサーバ側の暗号化強度を高めても、クライアントがこれをサポートしなければサーバに接続できない。

 Windowsのターミナル・サービスでは、管理者が暗号化の強度とターミナル・クライアントの接続可能性の釣り合いをとれるように、暗号化レベルを管理者が設定できるようにしている。Windows 2000 Serverでは、「低」、「中」、「高」という3段階だったが、Windows Server 2003のターミナル・サービスでは、以下の暗号化レベルがサポートされる。

暗号化レベル 内容
クライアント側からターミナル・サーバ側に送信されるユーザー・ログオン情報およびデータは56bitで暗号化されるが、サーバ側からクライアント側に送信されるデータは暗号化されない(保護されない)。盗聴などの危険があるので、比較的安全性の高い社内イントラネットでのみ利用し、インターネットでは利用しないようにする
クライアントと互換 クライアント、サーバ間でやりとりされるデータが、クライアント側でサポートされている最大のキー強度で暗号化される。暗号化のサポート・レベルが異なる複数種のクライアントから接続する場合にこれを選択すれば、さまざまなクライアントからの接続可能性を向上させることができる。現実的なオプションだが、サポートされる暗号化レベルが低いクライアントから接続した場合には、セキュリティ・レベルも低下するので注意が必要
クライアント、サーバ間のデータは128bitで暗号化される。他の設定よりも安全性は高いが、128bitの暗号化をサポートしないクライアントは接続できない
FIPS準拠 米国政府が既定した暗号化規格のFIPS(Federal Information Processing Standard:連邦情報処理規格)に準拠した暗号化モジュールを使用してクライアント、サーバ間のデータを暗号化する
Windows Server 2003のターミナル・サービスがサポートする暗号化レベル

 このうち日本国内での利用なら、「クライアントと互換」または「高」のいずれかを選択すべきだろう。「低」では、サーバからクライアントに送信される画面データなどが暗号化されず、盗聴の危険がある。またクライアントから送信されるキー入力データは暗号化されるが(これにより、入力されたクレジット・カード番号などは保護される)、暗号化の強度は56bitと高くなく、解読される危険もある。

 編集部で調べたところ、Windows Server 2003のデフォルト設定は「クライアントと互換」だった。ただし米Microsoftの文献には、「高」がデフォルト設定だとするものもあった。

 表にあるとおり、さまざまなクライアントからの接続可能性を高めながら、可能な安全性を確保するという意味では「クライアントと互換」は悪くない選択だ。しかしセキュリティの強度が、クライアントまかせになってしまうという欠点がある。ケースによっては、安全性が確保されないクライアント(旧式で高度な暗号化レベルをサポートしないものなど)からの接続は拒否したいという場合もあるだろう。

 ターミナル・サービスの設定を変更すればこれが可能である。


操作方法

 Windows Server 2003ターミナル・サービスの暗号化レベルを変更するには、まず[スタート]メニューの[管理ツール]−[ターミナル サービス構成]を実行する。こうして表示される[ターミナル サービス構成]ダイアログの左側のツリー・コントロールから[接続]を選択する。するとターミナル・サービスとして構成されている接続一覧が右側のペインに表示されるので、暗号化レベルを変更したい接続項目をダブルクリックする(または右クリック・メニューの[プロパティ]を実行する)。通常は“RDP-Tcp”がターミナル・サービスの接続名である。こうして表示されるプロパティ・ダイアログの[全般]タブにある[暗号化レベル]から設定したい暗号化レベルを選択し[OK]をクリックする。

Windows Server 2003のターミナル・サービスの暗号化レベル設定
[管理ツール]−[ターミナル サービス構成]で設定を行う。
  これをクリックする。設定されているターミナル・サービス接続一覧が右側に表示される。
  設定したい接続の項目をダブルクリックする。するとプロパティ・ダイアログが表示される。
  暗号化レベルを選択する。

 暗号化レベルの変更は、クライアントが次回にログオンしたときから有効になる。また1台のターミナル・サーバで複数の暗号化レベルをサポートしたければ、複数のネットワーク・アダプタをサーバにインストールし、アダプタごとに異なる暗号化レベルを設定すればよい。End of Article

関連記事
  Windows Server 2003完全ガイド:ターミナル・サービス(Windows Server Insider)
  Windows TIPS:ターミナル・サービスでアプリケーションが正しく動かない(Windows Server Insider)
  Windows TIPS:ターミナル・サービス接続のポート番号を変更する(Windows Server Insider)
     
この記事と関連性の高い別の記事

このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

generated byJigsaw
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間