資格情報の保護と管理

  • [アーティクル]

 

適用対象: Windows Server 2012 R2

IT 担当者向けのこのトピックでは、資格情報の保護とドメイン認証制御で資格情報の盗用を減らすために Windows Server 2012 R2 と Windows 8.1 で導入された機能と方法について説明します。

リモート デスクトップ接続のための制限付き管理モード

制限付き管理モードでは、サーバーに資格情報を送信せずにリモート ホスト サーバーに対話的にログオンできます。 これにより、サーバーが侵害されていても、最初の接続処理の際に資格情報が回収されるのを防ぎます。

管理者資格情報と共にこのモードを使用することで、リモート デスクトップ クライアントは、このモードをサポートするホストに資格情報を送信せずに対話的にログオンを試みます。 ホストに接続するユーザー アカウントに管理者権限が割り当てられていることをホストが確認し、ホストが制限付きの管理モードをサポートしていると、接続が確立されます。 これ以外の場合は、接続の試行は失敗します。 制限付き管理モードでは、どの時点であっても資格情報がプレーンテキストまたは他の再利用可能な形式でリモート コンピューターに送信されることはありません。

詳細については、「Windows Server のリモート デスクトップ サービスの新機能」を参照してください。

LSA の保護

ローカル セキュリティ機関セキュリティ サービス (LSASS) プロセス内に存在するローカル セキュリティ機関 (LSA) は、ローカルおよびリモート サインインでユーザーを検証し、ローカル セキュリティ ポリシーを適用します。Windows 8.1 オペレーティング システムは、保護されていないプロセスによるコード インジェクションを防止できるよう LSA に追加の保護を提供します。 これにより、LSA が格納して管理する資格情報のセキュリティが強化されます。 この LSA の保護されたプロセス設定は Windows 8.1 では構成できますが、Windows RT 8.1 では既定で有効であって変更できません。

LSA 保護の構成の詳細については、「追加の LSA の保護の構成」を参照してください。

Protected Users セキュリティ グループ

この新しいドメイン グローバル グループによって、Windows Server 2012 R2 と Windows 8.1 が実行されているデバイスとホスト コンピューターで新しい保護が適用されます (構成不可)。 Protected Users グループでは、Windows Server 2012 R2 ドメイン内のドメイン コントローラーとドメインで追加の保護が有効になります。 これによって、ユーザーが侵害されていないコンピューターからネットワーク上のコンピューターにサインインするときに使用できる資格情報の種類が制限されます。

Protected Users グループのメンバーは、以下の認証方法によって更に制限を受けます。

  • Protected Users グループのメンバーは Kerberos プロトコルのみを使用してサインオンできます。 NTLM、ダイジェスト認証、または CredSSP を使用してアカウントを認証できません。Windows 8.1 を実行しているデバイスでは、パスワードはキャッシュされません。そのため、このようなセキュリティ サポート プロバイダー (SSP) のいずれかを使用しているデバイスは、アカウントが Protected Users グループのメンバーである場合、ドメインに対する認証に失敗します。

  • Kerberos プロトコルは、事前認証プロセスで強度の低い DES または RC4 暗号化タイプを使用しません。 つまり、少なくとも AES 暗号スイートをサポートするようにドメインを構成する必要があります。

  • Kerberos の制約付き委任または制約なしの委任で、ユーザーのアカウントを委任することはできません。 つまり、ユーザーが Protected Users グループのメンバーである場合、他のシステムへの以前の接続が失敗する可能性があります。

  • 既定の Kerberos Ticket Granting Ticket (TGT) の 4 時間という有効期間設定は、Active Directory 管理センター (ADAC) からアクセスする認証ポリシーとサイロを使用して構成できます。 つまり、4 時間が経過すると、ユーザーは再認証する必要があります。

警告

サービスとコンピューターのアカウントは、Protected Users グループのメンバーにしないでください。 パスワードまたは証明書は常にホストで使用できるので、このグループにローカルの保護機能はありません。 Protected Users グループに追加されているサービスまたはコンピューターについては、認証は失敗し、“ユーザー名またはパスワードが正しくありません” というエラーが返されます。

このグループの詳細については、「Protected Users セキュリティ グループ」を参照してください。

認証ポリシーと認証ポリシー サイロ

フォレストに基づいた Active Directory ポリシーが導入されていて、Windows Server 2012 R2 ドメインの機能レベルが設定されたドメインのアカウントに適用することができます。 これらの認証ポリシーによって、ユーザーがサインインに使用できるホストを管理できます。 ポリシーは Protect Users セキュリティ グループと連携して機能し、管理者は認証のアクセス制御条件をアカウントに適用できます。 これらの認証ポリシーは、関連アカウントを分離させてネットワークの範囲を制限します。

新しい Active Directory オブジェクト クラスである "認証ポリシー" を使用すると、Windows Server 2012 R2 ドメインの機能レベルが設定されたドメイン内のアカウント クラスに認証構成を適用できます。 認証ポリシーは、Kerberos AS または TGS の交換時に適用されます。 次の Active Directory アカウント クラスがあります。

  • User

  • コンピューター

  • 管理されたサービス アカウント

  • グループの管理されたサービス アカウント

詳細については、「認証ポリシーと認証ポリシー サイロ」を参照してください。

保護されたアカウントの構成方法の詳細については、「保護されるアカウントの構成方法」を参照してください。

関連項目

LSA と LSASS の詳細については、「Windows のログオンと認証の技術概要」を参照してください。

Windows による資格情報の管理方法の詳細については、「キャッシュおよび保存された資格情報の技術概要」を参照してください。