アカウント ポリシー
最終更新日: 2002年12月18日
Windows 2000 ドメインでは、相互の正当性を判断するために、クライアントとサーバーの両方が Kerberos 認証を使用します。Kerberos は秘密キーによる暗号化と共に実行されます。すなわち、Kerberos 対応クライアントとサーバーの両方が秘密キーを共有することになります。Kerberos 認証は以下のように機能します (クライアントがサーバーへの問い合わせを開始した場合)。
クライアントはクライアントに関する一意な情報 (クライアント名、クライアント領域、クライアントの有効期間、認証メッセージ内のデータのチェックサムなど) を含む認証子を生成します。時間に関する情報が含まれているため、各認証子は一意です。
クライアント側で秘密キーのコピーを使って認証子を暗号化します。
暗号化された認証子がサーバーへ送信されます。
サーバー側で秘密キーのコピーを使って認証子を復号化します。
サーバーは、クライアントの認証子の一部が含まれた固有の一意な認証子を作成します。この方法で、サーバーはクライアントの認証子を受け取ったことを証明し、秘密キーにアクセスした適切なサーバーであることを示すことでメッセージを復号化することができます。
すべての認証子は常に一意であり、1 回に限って有効であることがわかります。Kerberos はこの方法でリプレイ攻撃を防止しています。(通常のユーザー ID/パスワード認証を使った) リプレイ攻撃は、外部のユーザーがネットワーク外部から認証データを収集し、サーバーへの攻撃を繰り返した場合に発生します。ユーザー ID とパスワードの組み合わせは何度使用しても有効なので、サーバーは、2 回目の認証要求が別のセッションを試みる有効なユーザーによるものであるか、ユーザーをかたってシステムへの侵入を試みるものであるか判断できません。再試行されたユーザー ID/パスワードの情報が適切である場合、ユーザーをかたる侵入者のアクセスを許すことになります。
セッション キーと呼ばれる Kerberos 認証で使用される秘密キーも、認証子同様 1 回だけ使用されます。Kerberos のキーは、Kerberos キー配布センター (KDC: Key Distribution Center) と呼ばれる信用された機関で発行されます。KDC は各クライアントとサーバーに長期キーを発行します。このキーは長期的に有効であるためそのように呼ばれています。ただし、このキーはクライアントまたはサーバーが KDC と通信する必要がある場合にだけ使用されます。クライアント-サーバー間の認証では、クライアントとサーバーの両方が KDC からセッション キーを取得する必要があります。セッション キーは 1 回のログオン セッションにのみ有効です。(理由に関係なく) セッションが終了すると、使用されたセッション キーは無効になります。同じクライアントが同じサーバーへ再度認証を求める場合、クライアントとサーバーの双方が新しいセッション キーを KDC に要求する必要があります。
Kerberos ポリシーはドメイン レベルに設定され、Active Directory に格納されます。これは、2 つのことを意味しています。まず Kerberos ポリシーを変更するには、ドメイン管理者グループのメンバーでなければなりません。次に、通常の Active Directory リプリケーションを使って、1 つのドメイン コントローラで実行された変更を別のドメイン コントローラに複製できます。
[Kerberos ポリシー] 設定を調整することで、チケットの継続時間、更新、強制を制御することができます。このポリシーについては今後のサブセクションで説明します。
警告 : Kerberos セキュリティの詳細を理解している管理者のみ、このポリシーを変更するようにしてください。このポリシーが非効率な設定に変更された場合、ネットワークに重大な問題が生じる場合があります。ほとんどの場合、既定の Kerberos ポリシー設定で問題なく動作することができます。また、評価された構成への準拠を維持するには、『Windows 2000 セキュリティ設定ガイド』 に示したように、[ユーザー ログオンの制限を強制する] と [コンピュータの時計の同期の最長トレランス] の既定の設定を変更しないでください。
ユーザー ログオンの制限を強制する : [ユーザー ログオンの制限を強制する] によって、ユーザー アカウントに設定された制限を確実に強制することができます。ユーザー権利ポリシーをチェックし、ローカル ログオンやネットワークからのコンピュータへのアクセスを許可されているかどうか確認することで、すべての要求を検証します。また、アカウントが有効であるかも確認します。たとえば、ユーザーのログオン時間が制限されている場合、このポリシーが制限を強制します。マイナス面はサービスへのネットワーク アクセスが低速になる場合があることです。このポリシーは既定で有効に設定されています。ごくまれな状況を除いては無効にする必要はありません。
サービス チケットの最長有効期間 : [サービス チケットの最長有効期間] と [チケットの最長有効期間] では、サービス チケットまたはユーザー チケットの最長有効期間を設定します。既定では、サービス チケットの最長有効期間は 600 分に、ユーザー チケットの最長有効期間は 10 時間に設定されています。チケット有効期間はいずれも変更することができます (ただしこれはお勧めしません)。サービス チケットの有効範囲は 0 ~ 99,999 分で、ユーザー チケットの有効範囲は 0 ~ 99,999 時間です。ゼロ値は有効期間を実質的にオフにすることを意味します。それ以外の値の場合、固有の有効期間が定められます。
ユーザー チケットを更新できる最長有効期間 : [ユーザー チケットを更新できる最長有効期間] に設定された期間内に書き換えが実行された場合、有効期間を経過したチケットを更新することができます。既定では、最長更新期間は 7 日間に設定されています。更新期間は 0 ~ 99,999 日までの値に変更できます (ただしこれはお勧めしません)。ゼロ値は最長更新期間を実質的にオフにすることを意味します。それ以外の値の場合、指定した更新期間が定められます。
コンピュータの時計の同期の最長トレランス :[コンピュータの時計の同期の最長トレランス] は、場合によって変更が必要となるごく一部の Kerberos ポリシーのひとつです。既定では、ドメイン内のコンピュータが 5 分以内に相互同期される必要があります。クライアント時計とサーバー時計が密に同期されていない場合、クライアント チケットが発行されません。既定の値は 5 分間で、分単位の設定が可能です。ネットワーク タイムサーバーと時計を同期せずにドメインへログオンするリモート ユーザーがいる場合、この値を調整する必要があります。ただし、この値の幅を増やすと、リプレイ攻撃にさらされるおそれが生じます。そのため評価された構成では既定値のままにしておく必要があります。