Windows サーバー セキュリティ徹底解説
- Windows Server 2003 & Windows 2000 Server 対応 -

第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム)

吉田 かおる/岩見 和浩
2004/5/11


 
5-1 認証とは? 


本記事は、@ITハイブックスシリーズ『Windows サーバー セキュリティ徹底解説』(インプレス発行)を、許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。

 「認証」とは、ひと言で説明すれば「本人であることを確認する作業」のことです。実社会においても、いたるところで認証が行われています。例えば、会員制のスポーツクラブに入館する際には、その受け付けにおいて会員証を提示しますし、海外に旅行する際には、その入国審査においてパスポートを提示します。これは、何者かが自分を偽ることを防ぐためです。同様にコンピュータのセキュリティにおいても認証は重要です。適切な認証を行わなければ、偽者が本人のふりをしてシステムを利用するおそれがあるからです。

 Windows Server 2003では、ユーザー名とパスワードにより認証を行います。これが「ログオン」です。このとき、コンピュータの前に座り、直接、ユーザー名とパスワードを入力してログオンすることを「対話型ログオン(ローカルログオン)」といいます。このとき、アカウントデータベースとしてローカルコンピュータのSAM、またはドメインコントローラのActive Directoryが使用されます。

 すでにログオンしたユーザーがファイルサーバなどのネットワークのリソースにアクセスする場合には、「ネットワークログオン」が行われます。ネットワークログオンは、ローカルログオンしたユーザーの資格情報がそのまま利用されるため、ユーザーはログオンに気が付きません。

 ローカルログオン、ネットワークログオンのどちらでもユーザー名とパスワードによる認証が行われていますが、特にネットワークログオンではネットワークの盗聴により、パスワードが盗まれる危険性があります。そのため、ネットワークログオンではパスワードを保護するための認証システム(認証プロトコル)が使用されています。Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムを用意しています。

 これらの認証システムの中には、現在では安全とは呼べない認証システムも含まれています。しかし、レガシーのOSやアプリケーションとの互換性のために安全とは呼べない認証システムも使用しなければならない場合があります。よって、管理者は、互換性を考慮しつつ、最も高度なセキュリティが実現できるように認証システムを選択していかなければなりません。この章では、Windows Server 2003がサポートする認証システムの特徴を紹介し、必要な認証システムのみを有効化する手順を紹介していきます。

5-2 Windows Server 2003の認証システム

 Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムをサポートしています。ここでは、Kerberos認証を除く、各認証システムの特徴と関連のあるセキュリティポリシーを紹介していきます。

5-2-1 平文認証

 平文認証は、その名前のとおり、パスワードを暗号化せずに、ネットワークに送信する方法です。ネットワークを介したログオンにおいて、サーバがユーザー名とパスワードを要求すると、クライアントはユーザー名とパスワードを平文(クリアテキスト)のまま、送信します。そのため、ネットワークの盗聴により、容易にパスワードを盗まれるおそれがあります。

5-2-2 LM認証

 LM(LAN Manager)認証は、LAN Managerで採用されたWindowsにおける標準的な認証方法で、Windows 95以降のすべてのOSでサポートされています。LM認証は、チャレンジ・レスポンスにより、ネットワークに直接、パスワードを送信することなく認証を行います。以下に、LM認証の仕組みを紹介します(図5-1)。

図5-1 LM認証

ユーザーがローカルログオンすることで、ローカルコンピュータに16バイトのLMハッシュが作成されます。LMハッシュは、パスワードをすべて大文字に変換した文字列を暗号化キーとして特定のフレーズ("KGS!@#$%")に対し、DES暗号化を行ったものです。
クライアントからサーバにネットワークログオンを試みると、サーバはクライアントに16バイトのチャレンジを送信します。
クライアントでは、受信したチャレンジに対して、LMハッシュを暗号化キーとして、DES暗号化を行います。これがLMレスポンスとなります。LMレスポンスは24バイトです。クライアントはLMレスポンスをサーバに送信します。
サーバは、アカウントデータベースに格納されたユーザーのLMハッシュを使用し、独自にLMレスポンスを作成します。そして、クライアントから受信したLMレスポンスと比較することで、正しいパスワードであるかを確認します。

 平文認証と比較すると、LM認証は直接、ネットワークにパスワードが送信されないため、ネットワークの盗聴による不正なパスワードの取得からシステムを保護することができます。しかし、チャレンジとレスポンス自体は盗聴が可能であるため、これらの情報を手がかりにパスワードを推測することは可能です。特にLM認証では、パスワードが大文字に限定されたり、現在では安全とはいえないDESアルゴリズムが使用されているなどの脆弱性があります。

POINT

チャレンジ・レスポンスとは?

 チャレンジ・レスポンスは、ネットワークを介した認証において、クライアントとサーバ間で安全にユーザー名とパスワードを交換する仕組みです。チャレンジ・レスポンスでは、クライアントからサーバへの認証の要求が行われると、サーバがランダムな文字列を作成し、クライアントに送信します。このランダムな文字列を「チャレンジ」といいます。

 クライアントではチャレンジを受け取り、これを暗号化します。このとき、暗号化キーとして、パスワードを使用します。暗号化されたチャレンジは「レスポンス」と呼ばれます。クライアントはサーバにレスポンスを送信します。

 次にサーバは、ユーザーのパスワードを知っているため、独自にレスポンスを作成し、クライアントから送られてきたレスポンスと比較します。これが一致していれば、パスワードは正しいことが証明され、ユーザーは認証されることになります。

 このようにチャレンジ・レスポンスでは、パスワード自体はネットワークに送信されないため、ネットワークが盗聴されても簡単にパスワードが盗まれることはありません。

 なお、Windows Server 2003では、LM認証、NTLM認証、NTLMv2認証において、チャレンジ・レスポンスを使用しています。

5-2-3 NTLM認証

  NTLM(NT LAN Manager)認証は、LM認証と同様にチャレンジ・レスポンスにより認証を行いますが、LM認証より安全な認証が実現できるように改良が行われています。LM認証とNTLM認証の大きな違いは、暗号化キーとしてLMハッシュではなく、NTLMハッシュが使用されることです。

 NTLMハッシュは、図5-2のようにパスワードをUNICODE文字列に変換した後、MD4アルゴリズムでハッシュ化した文字列となっています。さらにNTLMハッシュでは、LMハッシュと異なり、大文字と小文字が区別されたり、パスワード長は128文字まで可能であったりするなどの工夫により推測が難しくなっています。

図5-2 NTLMハッシュ

 なお、NTLM認証は、Windows NT/2000/XP/2003でサポートされていますが、Windows 95/98ではサポートされていません。

5-2-4 NTLMv2認証

 NTLMv2認証は、NTLM認証を改良した認証システムです(図5-3)。NTLMv2認証では、NTLM認証と同様にNTLMハッシュを暗号化キーとして使用したチャレンジ・レスポンスを行います。ただし、チャレンジに対するレスポンスの作成方法が大きく異なります。NTLMv2認証では、その暗号化にDESアルゴリズムではなく、HMAC-MD5アルゴリズムが使用されます。DESアルゴリズムのキー長は56ビットであるのに対して、HMAC-MD5アルゴリズムのキー長は128ビットとなるため、さらにキーの推測は難しくなります。

図5-3 NTLMv2認証

 NTLMv2認証は、標準でWindows Me/2000/XP/2003においてサポートされています。また、Windows 95/98でもディレクトリサービス(DS)クライアントをインストールすることでサポートされます。Windows NT 4.0では、Service Pack 4(SP4)以降でサポートされます。

POINT

ディレクトリサービスクライアントとは?

 ディレクトリサービスクライアントは、Windows 95/98専用のActive Directory拡張機能です。Windows 95/98にディレクトリサービスクライアントをインストールすることで、NTLMv2認証やActive Directoryへの検索やサイトの認識などの新しい機能がサポートされます。なお、ディレクトリサービスクライアントはWindows 2000 ServerのCD-ROMのClients\ Win9x\Dsclient.exeに含まれています。


 
1/2

Index
Windows サーバー セキュリティ徹底解説
Page1
5-1 認証とは?
5-2 Windows Server 2003の認証システム
5-2-1 平文認証
5-2-2 LM認証
5-2-3 NTLM認証
5-2-4 NTLMv2認証
   Page2
5-2-5 関連するセキュリティポリシー

Windows サーバー セキュリティ徹底解説
第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム)
  第7章 データレイヤの保護(EFSによるファイルの暗号化)
  第10章 境界部レイヤの保護(インターネット接続ファイアウォール)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間