Windows サーバー セキュリティ徹底解説
|
|
5-2-5 関連するセキュリティポリシー
認証に関するポリシー項目は、ポリシーの[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカルポリシー]−[セキュリティオプション]に用意されています。ここで設定するポリシー項目はドメインコントローラだけでなく、そのドメインのメンバサーバやクライアントでも必要となります。
サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する
平文認証では、ネットワークの盗聴により、容易にパスワードを取得されてしまいます。そのため、Windows Server 2003では、既定で平文認証は無効化されています。ただし、MS-DOS、Windows
for Workgroup 3.1、およびWindows 95aなどの一部のレガシーOSやアプリケーションでは平文認証のみをサポートすることがあります。また、古いバージョンのSAMBAなどのサードパーティ製のSMBサーバの一部には、平文認証を要求するものもあります。このような互換性の問題を解決するために、セキュリティポリシーには[Microsoftネットワーククライアント:サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する]が用意されています(図5-4)。このポリシーを[有効]に変更すると、平文認証が可能となります。なお、平文認証は、ネットワークの盗聴の危険性のない信頼されたネットワークでのみ使用してください。
図5-4 サードパーティ製のSMBサーバへのパスワードを暗号化しないで送信する |
LAN Manager認証レベル
セキュリティポリシーではサポートする認証システムを[ネットワークセキュリティ:LAN Manager認証レベル]により選択することができます(図5-5)。このポリシー項目は、クライアントが認証を要求する際、およびサーバが認証に応答する際に使用する認証システムを決定します(表5-1)。なお、Windows
Server 2003の既定では、[NTLM応答のみを送信する]が設定されています。これはWindows Server 2003がクライアントとして認証される場合、NTLMまたはNTLMv2認証が使用されることを意味します。また、サーバとして認証する場合、LM認証、NTLM認証、NTLMv2認証を許可することを意味します。
図5-5 LAN Manager 認証レベル |
|
|||||||||||||||||||||||
表5-1 LAN Manager 認証レベル |
次のパスワードの変更でLAN
Managerのハッシュ値を保存しない
[ネットワークセキュリティ:次のパスワードの変更でLAN Managerのハッシュ値を保存しない]を[有効]に設定することで、アカウントデータベースにユーザーのLMハッシュを保存しないようになります(図5-6)。
このポリシーを有効にした場合、ユーザーが次回にパスワードを変更したタイミングでアカウントデータベースからそのユーザーのLMハッシュが削除されます(NTLMハッシュは記録されます)。これによって、物理攻撃により、アカウントデータベースが盗まれた場合でも、そのデータベースからユーザーのパスワードを推測することが難しくなります。当然、LMハッシュを削除した場合、LM認証は行えなくなります。
図5-6 次のパスワードの変更でLAN Managerのハッシュ値を保存しない |
セキュアRPCを含むNTLM
SSP最小のセッションセキュリティ
NTLM認証ではチャレンジとパスワードハッシュからセッションキーを作成することで、認証後にやりとりされるリモートプロシージャコール(RPC)やNTLM
SSP(セキュリティサポートプロバイダ)を使用するアプリケーションのメッセージに対して機密性と整合性を実現することができます。これを「セッションセキュリティ」と呼んでいます。セッションセキュリティでは、メッセージの暗号化とデジタル署名が可能であり、盗聴や改ざんからメッセージを保護することができます。NTLM認証におけるメッセージの機密性と整合性の有効化は、クライアントとサーバに対してそれぞれポリシー項目として用意されています。これは[ネットワークセキュリティ:セキュアRPCを含むクライアントベースのNTLM
SSP 最小のセッションセキュリティ]と[ネットワークセキュリティ:セキュアRPCを含むサーバベースのNTLM SSP最小のセッションセキュリティ]になります(図5-7)。
図5-7 セキュアRPCを含むサーバベースのNTLM SSP最小のセッションセキュリティ
|
このポリシー項目では、メッセージに署名を追加する[メッセージの整合性が必要]、メッセージに56ビット暗号化を行う[メッセージの暗号化が必要]、より強力なセッションセキュリティを実現する[NTLMv2セッションセキュリティが必要]、メッセージに128ビット暗号化を行う[128ビット暗号化が必要]の各設定をチェックすることができます。なお、この設定により、サーバとクライアントの両方でこれらの機能を有効化されていない場合には、接続が失敗することになります。
NOTICE
|
■ そのほかのネットワーク関連のセキュリティポリシー ここで紹介した以外にも、ネットワーク関連のセキュリティポリシーはいくつか用意されています。例えば、「SMB署名」のポリシーがあります。SMB署名とは、ファイル共有やプリンタ共有などで使用されているSMB(Server Message Block)プロトコルにデジタル署名を付加することで、データの改ざんやなりすましを防ぐセキュリティ機能です。SMB署名は、クライアント側の設定である[Microsoftネットワーククライアント:常に通信にデジタル署名を行う]と[Microsoftネットワーククライアント:サーバが同意すれば、通信にデジタル署名を行う]およびサーバ側の設定である[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]と[Microsoftネットワークサーバ: クライアントが同意すれば、通信にデジタル署名を行う]で構成可能です。なお、Windows Server 2003では、ドメンイコントローラにアップグレードしたタイミングで、[Microsoftネットワークサーバ:常に通信にデジタル署名を行う]が有効になります。そのため、SMB署名をサポートしていないクライアントとの通信ができなくなりますので注意してください。 |
2/2
|
Index | |
Windows サーバー セキュリティ徹底解説 | |
Page1 5-1 認証とは? 5-2 Windows Server 2003の認証システム 5-2-1 平文認証 5-2-2 LM認証 5-2-3 NTLM認証 5-2-4 NTLMv2認証 |
|
Page2 5-2-5 関連するセキュリティポリシー |
Windows サーバー セキュリティ徹底解説 | |
第5章 内部ネットワークレイヤの保護 (Windows Server 2003の認証システム) | |
第7章 データレイヤの保護(EFSによるファイルの暗号化) | |
第10章 境界部レイヤの保護(インターネット接続ファイアウォール) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|