Windows サーバー セキュリティ徹底解説
|
|
5-1 認証とは?
|
「認証」とは、ひと言で説明すれば「本人であることを確認する作業」のことです。実社会においても、いたるところで認証が行われています。例えば、会員制のスポーツクラブに入館する際には、その受け付けにおいて会員証を提示しますし、海外に旅行する際には、その入国審査においてパスポートを提示します。これは、何者かが自分を偽ることを防ぐためです。同様にコンピュータのセキュリティにおいても認証は重要です。適切な認証を行わなければ、偽者が本人のふりをしてシステムを利用するおそれがあるからです。
Windows Server 2003では、ユーザー名とパスワードにより認証を行います。これが「ログオン」です。このとき、コンピュータの前に座り、直接、ユーザー名とパスワードを入力してログオンすることを「対話型ログオン(ローカルログオン)」といいます。このとき、アカウントデータベースとしてローカルコンピュータのSAM、またはドメインコントローラのActive Directoryが使用されます。
すでにログオンしたユーザーがファイルサーバなどのネットワークのリソースにアクセスする場合には、「ネットワークログオン」が行われます。ネットワークログオンは、ローカルログオンしたユーザーの資格情報がそのまま利用されるため、ユーザーはログオンに気が付きません。
ローカルログオン、ネットワークログオンのどちらでもユーザー名とパスワードによる認証が行われていますが、特にネットワークログオンではネットワークの盗聴により、パスワードが盗まれる危険性があります。そのため、ネットワークログオンではパスワードを保護するための認証システム(認証プロトコル)が使用されています。Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムを用意しています。
これらの認証システムの中には、現在では安全とは呼べない認証システムも含まれています。しかし、レガシーのOSやアプリケーションとの互換性のために安全とは呼べない認証システムも使用しなければならない場合があります。よって、管理者は、互換性を考慮しつつ、最も高度なセキュリティが実現できるように認証システムを選択していかなければなりません。この章では、Windows Server 2003がサポートする認証システムの特徴を紹介し、必要な認証システムのみを有効化する手順を紹介していきます。
5-2 Windows Server 2003の認証システム
Windows Server 2003では、「平文認証」、「LM認証」、「NTLM認証」、「NTLMv2認証」、「Kerberos認証」の5種類の認証システムをサポートしています。ここでは、Kerberos認証を除く、各認証システムの特徴と関連のあるセキュリティポリシーを紹介していきます。
5-2-1 平文認証
平文認証は、その名前のとおり、パスワードを暗号化せずに、ネットワークに送信する方法です。ネットワークを介したログオンにおいて、サーバがユーザー名とパスワードを要求すると、クライアントはユーザー名とパスワードを平文(クリアテキスト)のまま、送信します。そのため、ネットワークの盗聴により、容易にパスワードを盗まれるおそれがあります。
5-2-2 LM認証
LM(LAN Manager)認証は、LAN Managerで採用されたWindowsにおける標準的な認証方法で、Windows 95以降のすべてのOSでサポートされています。LM認証は、チャレンジ・レスポンスにより、ネットワークに直接、パスワードを送信することなく認証を行います。以下に、LM認証の仕組みを紹介します(図5-1)。
図5-1 LM認証 |
ユーザーがローカルログオンすることで、ローカルコンピュータに16バイトのLMハッシュが作成されます。LMハッシュは、パスワードをすべて大文字に変換した文字列を暗号化キーとして特定のフレーズ("KGS!@#$%")に対し、DES暗号化を行ったものです。 | |
クライアントからサーバにネットワークログオンを試みると、サーバはクライアントに16バイトのチャレンジを送信します。 | |
クライアントでは、受信したチャレンジに対して、LMハッシュを暗号化キーとして、DES暗号化を行います。これがLMレスポンスとなります。LMレスポンスは24バイトです。クライアントはLMレスポンスをサーバに送信します。 | |
サーバは、アカウントデータベースに格納されたユーザーのLMハッシュを使用し、独自にLMレスポンスを作成します。そして、クライアントから受信したLMレスポンスと比較することで、正しいパスワードであるかを確認します。 |
平文認証と比較すると、LM認証は直接、ネットワークにパスワードが送信されないため、ネットワークの盗聴による不正なパスワードの取得からシステムを保護することができます。しかし、チャレンジとレスポンス自体は盗聴が可能であるため、これらの情報を手がかりにパスワードを推測することは可能です。特にLM認証では、パスワードが大文字に限定されたり、現在では安全とはいえないDESアルゴリズムが使用されているなどの脆弱性があります。
POINT
|
■ チャレンジ・レスポンスとは? チャレンジ・レスポンスは、ネットワークを介した認証において、クライアントとサーバ間で安全にユーザー名とパスワードを交換する仕組みです。チャレンジ・レスポンスでは、クライアントからサーバへの認証の要求が行われると、サーバがランダムな文字列を作成し、クライアントに送信します。このランダムな文字列を「チャレンジ」といいます。 クライアントではチャレンジを受け取り、これを暗号化します。このとき、暗号化キーとして、パスワードを使用します。暗号化されたチャレンジは「レスポンス」と呼ばれます。クライアントはサーバにレスポンスを送信します。 次にサーバは、ユーザーのパスワードを知っているため、独自にレスポンスを作成し、クライアントから送られてきたレスポンスと比較します。これが一致していれば、パスワードは正しいことが証明され、ユーザーは認証されることになります。 このようにチャレンジ・レスポンスでは、パスワード自体はネットワークに送信されないため、ネットワークが盗聴されても簡単にパスワードが盗まれることはありません。 なお、Windows Server 2003では、LM認証、NTLM認証、NTLMv2認証において、チャレンジ・レスポンスを使用しています。 |
5-2-3 NTLM認証
NTLM(NT LAN Manager)認証は、LM認証と同様にチャレンジ・レスポンスにより認証を行いますが、LM認証より安全な認証が実現できるように改良が行われています。LM認証とNTLM認証の大きな違いは、暗号化キーとしてLMハッシュではなく、NTLMハッシュが使用されることです。
NTLMハッシュは、図5-2のようにパスワードをUNICODE文字列に変換した後、MD4アルゴリズムでハッシュ化した文字列となっています。さらにNTLMハッシュでは、LMハッシュと異なり、大文字と小文字が区別されたり、パスワード長は128文字まで可能であったりするなどの工夫により推測が難しくなっています。
図5-2 NTLMハッシュ |
なお、NTLM認証は、Windows NT/2000/XP/2003でサポートされていますが、Windows 95/98ではサポートされていません。
5-2-4 NTLMv2認証
NTLMv2認証は、NTLM認証を改良した認証システムです(図5-3)。NTLMv2認証では、NTLM認証と同様にNTLMハッシュを暗号化キーとして使用したチャレンジ・レスポンスを行います。ただし、チャレンジに対するレスポンスの作成方法が大きく異なります。NTLMv2認証では、その暗号化にDESアルゴリズムではなく、HMAC-MD5アルゴリズムが使用されます。DESアルゴリズムのキー長は56ビットであるのに対して、HMAC-MD5アルゴリズムのキー長は128ビットとなるため、さらにキーの推測は難しくなります。
図5-3 NTLMv2認証 |
NTLMv2認証は、標準でWindows Me/2000/XP/2003においてサポートされています。また、Windows 95/98でもディレクトリサービス(DS)クライアントをインストールすることでサポートされます。Windows NT 4.0では、Service Pack 4(SP4)以降でサポートされます。
POINT
|
■ ディレクトリサービスクライアントとは? ディレクトリサービスクライアントは、Windows 95/98専用のActive Directory拡張機能です。Windows 95/98にディレクトリサービスクライアントをインストールすることで、NTLMv2認証やActive Directoryへの検索やサイトの認識などの新しい機能がサポートされます。なお、ディレクトリサービスクライアントはWindows 2000 ServerのCD-ROMのClients\ Win9x\Dsclient.exeに含まれています。 |
1/2
|
Index | |
Windows サーバー セキュリティ徹底解説 | |
Page1 5-1 認証とは? 5-2 Windows Server 2003の認証システム 5-2-1 平文認証 5-2-2 LM認証 5-2-3 NTLM認証 5-2-4 NTLMv2認証 |
|
Page2 5-2-5 関連するセキュリティポリシー |
Windows サーバー セキュリティ徹底解説 | |
第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム) | |
第7章 データレイヤの保護(EFSによるファイルの暗号化) | |
第10章 境界部レイヤの保護(インターネット接続ファイアウォール) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|