証明書サービスを使用してワイヤレス LAN のセキュリティを保護する
第 8 章 : RADIUS インフラストラクチャを実装する
最終更新日: 2005年5月24日
トピック
はじめに
RADIUS インフラストラクチャ計画ワークシート
サーバーを構築する
IAS サーバーをインストールおよび構成する
プライマリ IAS サーバーを構成する
構成を複数の IAS サーバーに展開する
要約
はじめに
この章では、Microsoft® Windows Server™ 2003 Internet Authentication Service (IAS) に基づいて、ワイヤレス LAN (WAN) セキュリティ用のリモート認証ダイヤルイン ユーザー サービス (RADIUS) インフラストラクチャを構築する方法について詳しく説明します。 この章の内容には、RADIUS サーバーのインストールと構成、Active Directory® ディレクトリ サービスの準備、および IAS サーバー設定の構成が含まれます。 RADIUS インフラストラクチャは、完全なワイヤレス LAN ソリューションを構築するために次の章で使用します。
この章の目的は、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で説明した RADIUS 設計の実装ガイドを提供することです。この章では、RADIUS の一般的な概念または IAS での RADIUS プロトコルの具体的な実装方法は説明しません。
この章は、RADIUS および WLAN の設計ガイドおよび運用ガイドの各章の補足として利用できるように構成されています。 設計ガイドの各章では、この章での実装に関する決定の背後にある論理的な根拠について説明されています。運用ガイドの各章では、RADIUS インフラストラクチャを正常に保守するために必要なタスクとプロセスについて説明されています。 計画ガイドの章をまだ読んでいない場合は、この章を読む前に読むことをお勧めします。 さらに、この章のガイダンスを使用して RADIUS インフラストラクチャを実装する前に、運用ガイドのサポート要件を読んで内容を理解する必要があります。
章の前提条件
ここでは、組織で RADIUS インフラストラクチャを実装する準備を整えるために役立つチェックリストを記載しています ("準備" とは、ビジネス上の準備ではなくロジスティックス上の準備を意味します。このソリューションを実装するためのビジネス上の理由については、計画ガイドの前半の章で説明します)。
知識の前提条件
特に RADIUS と IAS の概念について詳しく知っている必要があります。 次の領域については、Windows 2000 Server または Windows Server 2003 に関する詳しい知識も必要です。
Microsoft Windows® オペレーティング システムのインストール。
Active Directory の概念 (Active Directory の構造とツール、ユーザーの操作、他の Active Directory オブジェクト、グループ ポリシーの使用など)。
Windows システム セキュリティ。ユーザー、グループ、監査、アクセス制御リスト (ACL) などのセキュリティの概念、セキュリティ テンプレートの使用、グループ ポリシーまたはコマンド ライン ツールを使用したセキュリティ テンプレートの適用。
バッチ ファイル スクリプトの概要。 Windows スクリプト ホストと Microsoft Visual Basic® Scripting Edition (VBScript) 言語に関する知識があると、提供されているスクリプトを最も有効に活用できますが、これは必須ではありません。
この章を読む前に、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を読み、ソリューションのアーキテクチャと設計を詳しく理解する必要があります。
組織の前提条件
このソリューションの実装に参加する必要がある、次のような組織の他のメンバに相談する必要があります。
企業のスポンサー。
セキュリティおよび監査の担当者。
Active Directory のエンジニアリング、管理、および運用の担当者。
DNS (ドメイン ネーム システム)、ネットワーク エンジニアリング、管理、および運用の担当者。
前提となる IT インフラストラクチャ
この章では、既存の IT インフラストラクチャについて次の事項を想定しています。
展開済みの Windows Server 2003 Active Directory ドメイン インフラストラクチャが存在している。 このソリューションの RADIUS インフラストラクチャのすべてのユーザーが、同じ Active Directory フォレスト内のドメインのメンバである。
注 : 以前のバージョンの Microsoft Windows との互換性の詳細については、「付録 A: Windows のバージョン サポート表」を参照してください。
このソリューションには、既存の RADIUS インフラストラクチャに統合するためのガイダンスは含まれていません。ただし、このソリューションを既存の RADIUS インフラストラクチャと共に展開できないわけではありません。
Windows Server 2003 IAS の実行に適したサーバー ハードウェアが利用できる。 このガイダンスには、推奨される構成が記載されています。
Windows Server 2003 Standard Edition および Enterprise Edition のライセンス、インストール メディア、およびプロダクト キーが利用できる。
章の概要
次の図に、この章で説明する RADIUS インフラストラクチャの構築プロセスを示します。
図 8.1: RADIUS インフラストラクチャ構築プロセスのフロー
これらの手順は、この章の構成と一致しています。それぞれの手順についての説明は次の一覧のとおりです。 各手順には、インストール タスクまたは構成タスクと、1 つ以上の確認処理があります。このため、実行した処理の結果を検査してから、次の処理に進むことができます。
IAS 計画用ワークシート。 この章で IAS をインストールおよび設定するときに使用する、設定情報の一覧です。 このワークシートには、実装を開始する前に準備しておくべき情報の一覧が含まれています。
サーバーを構築する。 ハードウェアの選定と設定、Windows Server 2003 のインストール、およびオプション コンポーネントのインストールについて説明します。 さらに、Active Directory 管理セキュリティ グループの作成、管理タスクを委任するための正しいアクセス許可の設定方法、およびセキュリティ テンプレートの適用によるオペレーティング システム レベルのセキュリティの実装についても説明します。 使用するテンプレートは、「Windows Server 2003 セキュリティ ガイド」から入手します。 このガイドの入手方法については、この章の最後を参照してください。 また、このセクションでは、サーバーの基本的なインストールに関する共通タスクについても説明します。
IAS サーバーをインストールおよび構成する。 準備作業、ソフトウェアのインストール、および IAS データ ディレクトリの作成とセキュリティ保護を含む IAS の構成について説明します。
プライマリ IAS サーバーを構成する。プライマリ IAS サーバーの構成について説明します。このサーバーは、同様のロールの IAS サーバーを環境に追加する際に構成テンプレートとして使われます。 また、他の IAS サーバー用に IAS の構成をエクスポートする方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。
セカンダリ IAS サーバーを構成する。 障害復旧や負荷分散を目的としてプライマリ RADIUS サーバーとペアで稼動するセカンダリ IAS サーバーの構成方法について説明します。 プライマリ IAS 構成をインポートして自動展開する方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。
支社オフィスの IAS サーバーを構成する。 分散環境の例として使用できるオプションの支社オフィスの IAS サーバーの構成について説明します。また、プライマリ IAS 構成をインポートして自動展開する方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。
RADIUS インフラストラクチャ計画ワークシート
このソリューションで使用する構成パラメータを次の表に示します。 この表は、計画の決定を行う際のチェックリストとして使用してください。
表のパラメータの多くは、この章で説明されている手順に従い手動で設定します。 他のパラメータは、手順の一部として実行されるスクリプトによって設定されます。他の構成や運用タスクを完了するために、スクリプトから参照されるパラメータもあります。
注 : 構築ガイドで使用されているスクリプトの詳細については、スクリプトに付属する ToolsReadme.txt ファイルを参照してください。
ユーザー定義の構成項目
次の表に、Woodgrove Bank という架空の組織に固有なパラメータの一覧を示します。 次の表のすべての項目に対応する自社の設定を収集または決定してから、セットアップ手順を開始してください。 この章では、次に示す架空の値をサンプル コマンドで使用しています。 これらの値は、自社に適した設定値に置き換える必要があります。 置き換える必要がある部分は斜体で表記されています。
表 8.1: ユーザー定義の構成項目
構成項目 | 設定 |
---|---|
Active Directory フォレストのルート ドメインの DNS 名 | woodgrovebank.com |
ドメインの NetBIOS (ネットワーク基本入出力システム) 名 | WOODGROVEBANK |
プライマリ IAS サーバーのサーバー名 | HQ-IAS-01 |
セカンダリ IAS サーバーのサーバー名 | HQ-IAS-02 |
セカンダリ IAS サーバーのサーバー名 | BO-IAS-03 |
構成項目 | 設定 |
---|---|
アカウント - IAS の構成を制御する管理グループの完全な名前 | IAS Admins |
アカウント - IAS の構成を管理する管理グループの Windows 2000 以前の名前 | IAS Admins |
アカウント - セキュリティ目的で IAS 認証とアカウンティング要求のログを確認するグループの完全な名前 | IAS Security Auditors |
アカウント - セキュリティ目的で IAS 認証とアカウンティング要求のログを確認するグループの Windows 2000 以前の名前 | IAS Security Auditors |
[スクリプト] インストール スクリプトのパス | C:\MSSScripts |
スクリプト - IAS 構成のエクスポート バッチ ファイル | IASExport.bat |
スクリプト - IAS 構成のインポート バッチ ファイル | IASImport.bat |
スクリプト - IAS RADIUS クライアント構成のエクスポート バッチ ファイル | IASClientExport.bat |
スクリプト - IAS RADIUS クライアント構成のインポート バッチ ファイル | IASClientImport.bat |
[構成] 構成バックアップ ファイルのパス | D:\IASConfig |
要求ログ - IAS 認証および監査要求ログの場所 | D:\IASLogs |
要求ログ - RADIUS 要求ログの共有名 | IASLogs |
リソース | 要件 |
---|---|
CPU | 850 MHz 以上のデュアル CPU |
メモリ | 512 MB |
ネットワーク インターフェイス | 障害からの復旧用に 2 枚のネットワーク インターフェイス カード (NIC) |
ディスク記憶域 | integrated device electronics (IDE) 規格または small computer system interface (SCSI) 規格の redundant array of independent disks (RAID) コントローラ RAID 1 ボリューム (ドライブ C) として設定された 2 台の 9 GB ハード ディスク ドライブ (SCSI または IDE) RAID 1 ボリューム (ドライブ D) として設定された 2 台の 18 GB ハード ディスク ドライブ (SCSI または IDE) (ネットワーク上でバックアップするしくみがない場合) ローカルのリムーバブル メディア ドライブ (CD-RW またはテープ) (バックアップ用) 1.44 MB のフロッピー ディスク ドライブ (データ移動用) |
ハードウェアを準備する
ハードウェア ベンダの推奨に従って、すべてのハードウェアを構成します。 この構成には、ハードウェア ベンダが提供する最新の BIOS (基本入出力システム) およびファームウェアへのアップデートも含まれます。
ハードウェアに付属するディスク コントローラ管理ソフトウェアで、上記の表を参照して RAID 1 ボリュームを作成します。
Windows Server 2003 をインストールする
ここでは、IAS サーバーへの Windows Server 2003 のインストールについて説明します。 既に多くの組織ではサーバーのインストール プロセスが自動化されています。 次の手順で使用されているパラメータが構築に含まれていれば、自動インストール プロセスを使用してサーバーを構築してもまったく問題ありません。 Windows Server 2003 Standard Edition または Windows Server 2003 Enterprise Edition のどちらを使用するかについては、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。
IAS サーバーに Windows Server 2003 をインストールするには、次の手順を実行します。
Windows Server 2003 をインストールするには
サーバーの BIOS 設定で、CD-ROM からの起動が有効になっていることを確認します。 Windows Server 2003 の CD を CD-ROM ドライブに挿入した状態でシステムを再起動します。
プライマリ ボリュームにパーティションを 1 つ作成し、NTFS としてフォーマットして、そのパーティションを Windows のインストール先として指定するオプションを選択します。
適切な地域設定を選択します。
Windows を登録するユーザー名と会社情報を入力します。
ローカル Administrator アカウント用の強力なパスワードを入力します (10 文字以上の大文字と小文字の英字、数字、および区切り記号の組み合わせ)。
コンピュータ名の入力を要求されたら、次のようなコンピュータ名を入力します (この値は、お使いのコンピュータの名前に置き換えてください)。
プライマリ IAS: HQ-IAS-01
セカンダリ IAS: HQ-IAS-02
支社オフィス IAS: BO-IAS-03
ワークグループまたはドメインの選択を要求されたら、ドメインに参加するように指定します。 サーバーが参加する Active Directory ドメイン名 (WOODGROVEBANK ) を入力します (このドメイン名は、RADIUS サーバーがインストールされるドメイン名で置き換えてください)。 コンピュータをこのドメインに参加させる承認を得たユーザーについて、その資格情報を入力するよう要求されたら、所定の欄に入力します。
注 : 複数のドメインで構成されているフォレストの場合、通常 IAS サーバーはフォレスト ルート ドメインにインストールされます。Kerberos の動作を最適化するためです。 この設定は必須ではありませんが、このソリューションではフォレスト ルート ドメインにインストールするものと想定して説明を続けます。
オプションのコンポーネントはインストールしないでください。
主要なセットアップ プロセスが終了すると、コンピュータが再起動されます。 次の処理に進んでください。
最新の Service Packとすべての必要な更新をインストールします。
CD-ROM/DVD ドライブのドライブ文字を R に変更します。
2 番目のハード ディスクのボリュームにパーティションを作成し、そのパーティションのドライブ文字として D を割り当て、NTFS でフォーマットします。
この Windows のコピーをアクティベートします。
ネットワークを設定する
IAS サーバーには 1 つのネットワーク インターフェイスが装備されています。ただし、障害回復性を高めるため、2 枚の NIC が装着されることもあります。 ネットワーク インターフェイスは、ネットワークに応じて、固定 IP アドレスおよびその他の IP 構成パラメータ (既定のゲートウェイや DNS の設定など) で構成されます。
インストールを確認する
オペレーティング システムのインストールが正常に完了したこと、およびパラメータが意図どおりに正しく構成されていることを確認する必要があります。
現在のシステム構成を表示するには
コマンド プロンプトで systeminfo プログラムを実行します。
systeminfo の出力結果について、次の項目を確認します (一部の項目については省略)。
ホスト名: HQ-IAS-01
OS 名: Microsoft® Windows® Server 2003, Enterprise Edition
...
OS 構成: メンバ サーバー
登録されている所有者: <YourOwnerName>
登録されている組織: <YourOwnerOrganization>
...
Windows ディレクトリ: C:\WINDOWS
システム ディレクトリ: C:\WINDOWS\System32
起動デバイス: \Device\HarddiskVolume1
システム ロケール: <YourSystemLocale>
入力ロケール: <YourInputLocale>
タイム ゾーン: <YourTimeZone>
...
ドメイン: <woodgrovebank.com>
ログオン サーバー: <\\DomainControllerName>
ホットフィックス: <X> ホットフィックスがインストールされています。
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
ネットワーク カード: 1 NIC(s) インストール済みです。
[01]: <ModelAndVendorofNetworkCard>
接続名: ローカル エリア接続
DHCP が有効: いいえ
IP アドレス
[01]: xxx.xxx.xxx.xxx
この設定が意図したものと異なる場合は、[コントロール パネル] でサーバーを再構成するか、もう一度インストールを実行してください。
構成スクリプトをサーバーにインストールする
構成および運用の一部を簡略化する目的で、このソリューションには多くのスクリプトおよび構成ファイルが含まれています。 これらのスクリプトおよび構成ファイルは、各サーバーにインストールする必要があります。 これらのスクリプトの一部は、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」で説明している運用作業で必要になるので、CA のインストールが完了しても削除しないでください。
各サーバーにセットアップ スクリプトをインストールするには
C:\MSSScripts という名前のフォルダを作成します。
配布されたメディアからこのフォルダにスクリプトをコピーします。
Service Pack とセキュリティ更新プログラムを確認する
この段階でインストールされている Service Pack と更新プログラムを再確認します。 Microsoft Baseline Security Analyzer (MBSA) などのツールを使って確認を行い、必要な更新プログラムを取得します。 適切なテストを実行した後で、それらをサーバーにインストールします。
MBSA の詳細については、この章の最後にある「関連情報」を参照してください。
追加ソフトウェアをインストールする
ここでは、IAS サーバーに追加する必要のあるソフトウェアのインストールについて説明します。
CAPICOM
このソリューションで提供されている一部のセットアップ スクリプトおよび管理スクリプトを実行するには、RADIUS サーバーに CAPICOM 2.0 をインストールする必要があります。 最新バージョンの CAPICOM の入手方法については、この章の最後の「関連情報」を参照してください。
このガイダンスを続行する前に、自己解凍型の実行可能ファイルの指示に従って、CAPICOM ダイナミック リンク ライブラリ (DLL) のインストールおよび登録を行います。
ネットワークと Active Directory の接続を検証する
IAS には、正しいネットワーク構成と Active Directory への接続が必要です。 そのため、IAS を展開する前に、サーバーに対するネットワーク診断を実行するようにしてください。
ネットワーク診断は、Windows Server 2003 CD に収録されている Windows Server 2003 サポート ツールの NETDIAG.EXE コマンドを使って実行できます。 Netdiag.exe は、次のコマンドで展開できます。
expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts
展開が完了したら、次のコマンドを入力して、ユーティリティを実行します。
C:\mssscripts\netdiag.exe
エラーや警告が出力された場合は、必ず原因を調査してください。
ドメインの機能レベルを確認する
ネットワーク アクセス制御の優先モデルは、Active Directory 内のユーザーアカウントへの [リモート アクセス ポリシーでアクセスを制御] を利用しています。 [リモート アクセス ポリシーでアクセスを制御] の設定は、Windows 2000 ネイティブモード以上で Active Directory を実行している場合にのみ使用可能です。 そのため、IAS にリモート アクセス ポリシー (RAP) を展開する前に、ドメインの機能レベルを確認する必要があります。
ドメインの機能レベルを確認するには、Active Directory ドメインと信頼関係ツールでドメインのプロパティを表示します。 IAS が属するドメインが Windows 2000 混在モードで構成されている場合は、Active Directory 管理者に連絡して、ネイティブモードへの移行ができるかどうか確認してください。
この問題の詳細については、この章の最後にある「関連情報」を参照してください。
Active Directory セキュリティ グループを構成する
IAS はネットワーク セキュリティ インフラストラクチャの一部です。 そのため、IAS の構成とログ ファイルへのアクセスの承認は厳格に管理する必要があります。 Active Directory のグローバル グループと Windows Server 2003 のローカル グループを組み合わせることにより、必要なアクセス制御を実装することができます。
IAS Administration グループを作成する
ドメイン管理者として次のスクリプトを実行し、IAS 管理セキュリティ グループを作成します。
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
このスクリプトは、ドメイン グローバル グループとして次のセキュリティ グループを作成します。
IAS Admins
IAS Security Auditors
マルチフォレスト ドメインで構成されている場合、IAS サーバーと同じドメイン内にこれらのグループを作成します。
注 : 複数の管理者が複数のドメインに配置されている組織では、ここで作成するグローバル グループの代わりにユニバーサル グループを使用することを検討する必要があります。 セキュリティ グループを作成するスクリプトは、次の章で Remote Access Policy – Wireless Access グループを作成するために使用する構文を使用して簡単に変更できます (第 9 章の「WLAN アクセスに必要な Active Directory グループを作成する」を参照してください)。
IAS Administrators グループを構成する
IAS は Windows Server 2003 オペレーティング システムの中核となるコンポーネントです。このため、IAS 構成タスクを実行するには、ローカル Administrators セキュリティ グループのメンバになる必要があります。
各 IAS サーバー上で、IAS Admins ドメイン グローバル グループをローカル Administrators グループに追加する必要があります。 IAS がドメイン コントローラにインストールされている場合、[Active Directory ユーザーとコンピュータ] Microsoft 管理コンソール (MMC) スナップインを使用して、IAS Admins をドメインの Administrators グループに追加する必要があります。
警告 : ビルトイン Administrators ドメイン グループにグループを追加するとセキュリティに重大な影響を与える可能性があります。 詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で、ドメイン コントローラへの IAS の配置に関する説明を参照してください。
IAS Admins と IAS Security Auditors グループに、社内の適切な管理担当者のアカウントを追加する必要があります。 これらのグループに IAS の管理役割を対応付ける方法の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で、管理者用アクセス許可についての説明を参照してください。
後述のセットアップ処理では、IAS Admins グループのメンバであるアカウントを使用する必要があります。
IAS 用に Windows Server 2003 をセキュリティで保護する
IAS サーバーを不正なアクセスから保護するために必要なすべての手順を実行する必要があります。 IAS サーバーはセキュリティ インフラストラクチャの中核なので、ファイアウォールやその他のセキュリティ アクセス インフラストラクチャと同様に慎重に扱う必要があります。
物理的なセキュリティ
IAS サーバーは物理的なアクセスを厳重に管理できる場所に設置する必要があります。 これらのサーバーは、継続的にオンライン状態である必要があるので、一般的なコンピュータ サーバー ルーム施設 (空調設備、防塵フィルタ、防火設備などが完備された部屋) に設置する必要があります。
可能であれば、サーバーの設置場所にはできるだけ外的な災害 (火災、洪水など) の心配がない場所を選んでください。
バックアップ、ドキュメント、およびその他の構成データへの物理的アクセスの管理および物理的な安全対策も同様に重要です。 これらの情報は、サーバーが設置されている場所とは物理的に別の場所に保管してください。
サーバーにシステムセキュリティ設定を適用する
IAS サーバーは、「Windows Server 2003 セキュリティ ガイド」で定義されている IAS サーバー ロールによってセキュリティで保護されます。 このガイドの詳細とセキュリティ テンプレートのダウンロード場所については、この章の最後にある「関連情報」を参照してください。
IAS サーバーはドメインのメンバなので、セキュリティ ポリシー設定は、ドメインベースのグループ ポリシーを使って適用されます。 セキュリティ設定を適用するには、IAS サーバー コンピュータ オブジェクトとグループ ポリシー オブジェクト (GPO) 構造を格納する適切な組織単位 (OU) の構成を作成する必要があります。 IAS を専用のサーバーで実行する場合 (つまりドメイン コントローラにインストールしない場合)、次の 2 つの GPO を作成します。
Enterprise Client – Member Server Baseline
Enterprise Client – Internet Authentication Service
一部またはすべての IAS サービスをドメイン コントローラ上で実行することを決定する前に、設計ガイドのモジュール「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を一読することをお勧めします。 ドメイン コントローラのセキュリティの強化は複雑であるため、このガイドではドメイン コントローラ セキュリティ テンプレートの適用方法については説明しません。 「Windows Server 2003 セキュリティ ガイド」にも、Member Server Baseline ポリシーと同様のロックダウンを実行するドメイン コントローラ用のテンプレートが含まれています。 ドメイン コントローラ セキュリティ テンプレートを既存のドメイン コントローラに適用する場合は、その前に必ず「Windows Server 2003 セキュリティ ガイド」をよく読み、ドメインのクライアントおよびアプリケーションに与える可能性がある影響を調べてください。
Enterprise Client – Domain Controller セキュリティ テンプレートを IAS とドメイン コントローラの両方の役割を持つサーバー上で使用する場合は、さらに Enterprise Client – IAS Server セキュリティ テンプレートをそれらのコンピュータに適用する必要があります。 このテンプレートは、IAS サービスを有効にする追加の設定を適用します (IAS サービスは、Enterprise Client – Domain Controller テンプレートでは無効になっています)。このテンプレートを適用するには、次の新しい GPO を 1 つ作成して、ドメインコントローラ OU の下の新しいサブ OU に適用します。
- Enterprise Client – IAS on Domain Controllers
この GPO に Enterprise Client - IAS Servers テンプレートをインポートするには、次の手順を実行します。 この手順では、OU および GPO を作成する方法を説明します。 GPO と OU の名前は単なる例です。組織でのドメイン OU と GPO の名前付け基準に従って置き換えてください。
IAS サーバーの OU および GPO を作成するには
「Windows Server 2003 セキュリティ ガイド」から次のセキュリティ テンプレートを入手します。
Enterprise Client – Domain
Enterprise Client – Member Server Baseline
Enterprise Client – IAS Server
Enterprise Client – Domain Controller
Domain Admins のメンバ、または次に示す OU を作成する権限を持つユーザーとしてログオンします。 GPO を作成するには、Domain Admins グループまたは Group Policy Creator Owners グループのメンバである必要があります。
[Active Directory ユーザーとコンピュータ] MMC スナップインを開きます。
次の OU 構造を作成します。
woodgrovebank.com
Member Servers
IAS
Domain Controllers
Domain Controllers with IAS
警告 : 手順 5 ~ 7 では、ドメイン内のすべてのコンピュータ上のローカル アカウント ポリシーを設定するドメイン ポリシーを適用します。 Enterprise Client – Domain セキュリティ テンプレートの設定を調べる必要があります。 このテンプレートをドメイン全体に適用する代わりに、IAS OU にリンクされたこの GPO を作成し、IAS サーバーのみに適用範囲を制限することもできます。
ドメイン コンテナのプロパティを開きます。 [グループ ポリシー] タブの [新規] をクリックして、新しい GPO を作成し、Domain Policy という名前を付けます。
作成した GPO を編集し、コンピュータの設定\Windows の設定\セキュリティの設定に移動します。 セキュリティの設定フォルダを右クリックして、[インポート] をクリックします。 Enterprise Client - Domain.inf を参照し、インポートするテンプレートとして選択します。
GPO を閉じます。
次の表に示す OU、GPO、およびセキュリティ テンプレートの組み合わせに対して、前の 3 つの手順を繰り返します (これらの GPO は、IAS サーバーにのみ適用されるので、前の警告は該当しません)。
表 8.4: グループ ポリシー オブジェクトとその場所
OU GPO セキュリティ テンプレート Member Servers Enterprise Client – Member Server Baseline Enterprise Client – Member Server Baseline.inf IAS Enterprise Client – Internet Authentication Service Enterprise Client – IAS Server.inf Domain Controllers with IAS Enterprise Client – IAS on Domain Controllers (IAS がドメイン コントローラで実行されている場合のオプション) Enterprise Client – IAS Server.inf
GPO を作成してテンプレートをインポートしたら、次の手順で GPO の設定をカスタマイズして IAS サーバーのコンピュータに適用する必要があります。
Enterprise Client-Internet Authentication Service GPO をカスタマイズして適用するには
[Active Directory ユーザーとコンピュータ] で Enterprise Client - Internet Authentication Service GPO を編集します。 コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションで、組織のセキュリティ標準に応じて次の項目を変更します。
アカウント : Administrator アカウント名の変更 : NewAdminName
アカウント : Guest アカウント名の変更 : NewGuestName
対話型ログオン : ログオン時のユーザーへのメッセージのテキスト : LegalNoticeText
対話型ログオン : ログオン時のユーザーへのメッセージのタイトル : LegalNoticeTitle
ローカル ポリシー\ユーザー権利の割り当てで、次のローカルおよびドメイン グループを "ローカル ログオンを許可する" 権限に追加します。
(ローカル) Administrators
(ローカル) Backup Operators
(ドメイン) IAS Security Auditors
システム サービス フォルダにある次のサービスのプロパティを表示し、[このポリシーの設定をテンプレートで定義する] をクリックします。 [OK] をクリックして、既定のアクセス許可を適用します。 [サービスのスタートアップ モード] の値を [自動] に設定します。
Removable Storage
Volume Shadow Copy
MS Software Shadow Copy Provider
Task Scheduler
注 : これらのサービスは Member Server Baseline セキュリティ テンプレートでは無効になっていますが、最初の 3 つは NTBackup.exe の実行に必要です。 タスク スケジューラ サービスは、一部の操作スクリプトの実行に必要です。
IAS サーバー コンピュータ アカウントを IAS OU に移動します。
IAS サーバーで、gpupdate コマンドを実行して GPO 設定をコンピュータに適用します。
注 : セキュリティ設定の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。 このガイドの入手方法については、この章の最後にある「関連情報」を参照してください。
Enterprise Client-IAS on Domain Controllers GPO をカスタマイズして適用するには
[Active Directory ユーザーとコンピュータ] で、Enterprise Client - IAS on Domain Controllers GPO を編集します。 コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションで、組織のセキュリティ標準に応じて次の項目を変更します。
アカウント : Administrator アカウント名の変更 : NewAdminName
アカウント : Guest アカウント名の変更 : NewGuestName
対話型ログオン : ログオン時のユーザーへのメッセージのテキスト : LegalNoticeText
対話型ログオン : ログオン時のユーザーへのメッセージのタイトル : LegalNoticeTitle
ローカル ポリシー\ユーザー権利の割り当てで、次のローカルおよびドメイン グループを "ローカル ログオンを許可する" 権限に追加します。
(ビルトイン) Administrators
(ビルトイン) Backup Operators
(ドメイン) IAS Security Auditors
システム サービス フォルダにある次のサービスのプロパティを表示し、[このポリシーの設定をテンプレートで定義する] をクリックします。 [OK] をクリックして、既定のアクセス許可を適用します。 [サービスのスタートアップ モード] の値を [自動] に設定します。
Removable Storage
Volume Shadow Copy
MS Software Shadow Copy Provider
Task Scheduler
注 : これらのサービスは Member Server Baseline セキュリティ テンプレートでは無効になっていますが、最初の 3 つは NTBackup.exe の実行に必要です。 タスク スケジューラ サービスは、一部の操作スクリプトの実行に必要です。
IAS サーバー コンピュータ アカウントを Domain Controllers with IAS OU に移動します。
IAS サーバーで、gpupdate コマンドを実行して GPO 設定をコンピュータに適用します。
注 : セキュリティ設定の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。 このガイドの入手方法については、この章の最後にある「関連情報」を参照してください。
セキュリティ設定を確認する
セキュリティ設定が正しく適用されていることを確認するには、次の手順を実行します。
IAS サーバーのセキュリティ設定を確認するには
アプリケーション イベント ログで SceCli ソースからのイベントを確認します。 gpupdate コマンドの後にイベント ID 1704 が出力されていることを確認します。 イベントのテキストは次のとおりです。
グループ ポリシー オブジェクトのセキュリティ ポリシーは正しく適用されました。
サーバーを再起動し、必要なサービスがすべて開始されていること、およびシステム イベント ログにエラーが記録されていないことを確認します。
ログオンするときに正規の通知が表示されます。
ターミナル サービスのセキュリティを確認する
RADIUS クライアントに使用するパスワード (RADIUS シークレット) の変更をスケジュールするには、ターミナル サービスが必要です。 ターミナル サービスのトラフィック暗号化機能は、ネットワーク経由で送信される RADIUS シークレットを保護します。
重要 : ネットワークから RADIUS クライアント シークレットを設定または変更する際に別の手段 (telnet または他の単純なリモート実行ツール) を使う場合は、転送中の情報を保護するためにインターネット プロトコル セキュリティ (IPSec) またはその他の適切なテクノロジを使用してください。
次のターミナル サービスの設定は、IAS サーバーに適用する Enterprise Client-IAS on Domain Controllers GPO および Enterprise Client-Internet Authentication Service GPO で構成します。
表 8.5: コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス構成の設定
パス | ポリシー | 設定 |
---|---|---|
コンソール セッションにログインしている管理者のログオフを拒否する | 有効 | |
ローカルの管理者によるアクセス許可のカスタマイズを許可しない | 有効 | |
ターミナル サービス ユーザー セッションのリモート制御のルールを設定する | リモート制御を許可しない | |
クライアント\サーバー データ リダイレクト | タイム ゾーン リダイレクトを許可する | 無効 |
クリップボードのリダイレクトを許可しない | 有効 | |
オーディオのリダイレクトを許可する | 無効 | |
COM ポートのリダイレクトを許可しない | 有効 | |
クライアント プリンタのリダイレクトを許可しない | 有効 | |
LPT ポートのリダイレクトを許可しない | 有効 | |
ドライブのリダイレクトを許可しない | 有効 | |
クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない | 有効 | |
暗号化とセキュリティ | クライアント接続の暗号化レベルを設定する | 高 |
クライアントが接続するたびにパスワードを要求する | 有効 | |
暗号化とセキュリティ\RPC セキュリティ | セキュリティで保護されたサーバー (セキュリティが必要) | 有効 |
セッション | 切断されたセッションの制限時間を設定する | 10 分 |
オリジナルのクライアントからの再接続のみを許可する | 有効 |
インストールするオプション コンポーネント | インストールの状態 |
---|---|
ネットワーク サービス | 選択する |
Internet Authentication Service | 選択する |