IPsec とグループ ポリシーを使用したサーバーおよびドメインの分離
[アーティクル]
12/06/2019
4 人の共同作成者
フィードバック
この記事の内容
付録 C: ラボ構築ガイド
Updated : 5月 30, 2005
この章では、IPsec を使用する分離グループのサポートに必要なインフラストラクチャを構築するための詳細なガイダンスを提供します。 このガイダンスでは、Microsoft® Windows Server™ 2003 のインストールと構成、Active Directory® ディレクトリ サービスの準備、および IPsec ポリシーの構成について説明します。
また、Woodgrove Bank のシナリオでベースライン IPsec ポリシーの公開に使用した実装手順についても説明します。Woodgrove Bank のシナリオについては、これまでの章で説明されています。
この章は、この章で使用する設計プロセスと、実装に関する決定の背後にある論理的根拠について説明している他の章と併せてお読みください。 ここでは、ベースライン IPsec ポリシー インフラストラクチャを正常に作成し実装するために必要なタスクとプロセスについても説明します。 これまでの章をまだ読んでいない場合は、この章を読み進める前に読むことをお勧めします。 また、この章のガイダンスを実装する前 に、「第 6 章 : サーバーおよびドメインの分離環境を管理する」を読み、記載されているサポート要件の影響を理解してください。
トピック
前提条件 ベースライン ポリシーの展開 IPsec ポリシーを実装する ポリシーの構築ごとの展開方法を使用してベースライン IPsec ポリシーを有効にする 機能テスト用のテスト ツールとスクリプト 組織のセキュリティ保護サブネット フィルタ一覧を残りのポリシーで有効にする ネットワーク アクセス グループの構成を有効にする 分離ドメインを有効にする フォールバックを行わない分離グループを有効にする 暗号化分離グループを有効にする 境界分離グループを有効にする 分離ドメインを既定の分離グループとして構成する 最終的な機能テスト – すべての分離グループの有効化 要約
前提条件
ここでは、組織でソリューションを実装する準備ができているかどうかを決定するのに役立つ情報を記載しています。
知識の前提条件
IPsec、ネットワーキング、およびネットワーク アーキテクチャの概念を理解している必要があります。 また、Windows Server 2003 の次の領域について理解している必要もあります。
オペレーティング システムのインストール
Active Directory の概念 (Active Directory の構造とツール。ユーザー、グループ、その他の Active Directory オブジェクトの操作。グループ ポリシーの使用法)
Windows システム セキュリティ (ユーザー、グループ、監査、アクセス制御リスト (ACL) などのセキュリティ概念、セキュリティ テンプレートの使用、グループ ポリシーまたはコマンドライン ツールを使用するセキュリティ テンプレートの適用など)
この章を読み進める前に、これまでの章で説明されている計画ガイダンスに目を通し、ソリューションのアーキテクチャと設計について完全に理解しておいてください。
組織の前提条件
このソリューションの実装に参加する必要がある、組織の他のメンバとよく話し合ってください。 たとえば次のような人が考えられます。
企業のスポンサー。
セキュリティおよび監査の担当者。
Active Directory のエンジニアリング、管理、および運用の担当者
ドメイン ネーム システム (DNS)、Web サーバー、ネットワーク エンジニアリングの管理および運営の担当者
注 : IT 組織の構造によっては、これらの役割を何人かで分担している場合もあれば、少人数で複数の役割を兼任している場合もあります。
前提となる IT インフラストラクチャ
この章では、次のような IT インフラストラクチャがあることも前提としています。
混合モードまたはネイティブ モードで実行されている Windows Server 2003 Active Directory ドメイン。 このソリューションでは、グループ ポリシー オブジェクト (GPO) の適用にユニバーサル グループを使用します。 混合モードまたはネイティブ モードで実行していない場合は、標準のグローバル グループおよびローカル グループ構成を使用して GPO を適用することも可能です。 ただしこの方法は管理が複雑になるため、このソリューションでは使用しません。
注 : Windows Server 2003 に加えられた改良には、IPsec ポリシーに影響するものがいくつかあります。 このソリューションは、Windows Server 2003 に固有ではなく、Windows 2000 でも動作します。 ただし、このソリューションのテストは Windows Server 2003 Active Directory でのみ行われています。 Windows Server 2003 で IPsec に加えられた拡張機能の詳細については、マイクロソフト Web サイトの「IPsec の新機能 」ページを参照してください。
Windows Server 2003 の実行に適したサーバー ハードウェア。
Windows Server 2003 Standard Edition および Enterprise Edition のライセンス、インストール メディア、およびプロダクト キー。
基本実装の前提条件
この章のタスクを実行する前に、正常な展開を確実に行えるようにいくつか準備を整えておく必要があります。
ハードウェア要件
ベースライン IPsec インフラストラクチャを公開する前に、現在のインフラストラクチャが IPsec 実装のオーバーヘッドを物理的にサポートできるかどうかを確認してください。 この確認の方法については、このガイドの「第 3 章 : IT インフラストラクチャの現在の状態を把握する」を参照してください。
ツール
主に 4 つのツールを使用して、IPsec ポリシーを構成し、それらのポリシーを Active Directory GPO を通して有効にします。 そのツールは次のとおりです。
Netsh 。 このコマンド ライン ツールは、Windows Server 2003 で提供されます。 このツールを使用して、ドメイン ポリシーと Windows Server 2003 システムのローカル ポリシーの両方を構成できます。 このソリューションでは、Netsh スクリプトを使用してドメイン ポリシーを構成します。
グループ ポリシー管理コンソール (GPMC)。 このツールは、グループ ポリシー管理ツールのアドオンです。企業全体でのグループ ポリシーの管理を容易にします。 このツールは、Microsoft ダウンロード センターの「グループ ポリシー管理コンソール (GPMC) Service Pack 1 」ページからダウンロードできます。
IP セキュリティ ポリシーの管理コンソール 。 管理者は、このツールを使用して、IPsec ポリシー、フィルタ操作、およびフィルタ一覧を作成、表示、または変更できます。 これは Microsoft 管理コンソール (MMC) のスナップインですが、既定ではコンピュータの [管理ツール] に表示されません。 このツールを使用するには、コマンド プロンプトで mmc.exe を実行し、スナップインを手動で追加します。
IP セキュリティ モニタ管理コンソール 。 管理者は、このツールを使用して、コンピュータに適用されているさまざまな規則や関連付けられているメイン モードおよびクイック モードのセキュリティ アソシエーション (SA) を表示できます。 IP セキュリティ ポリシーの管理コンソールと同様に、このツールも既定では [管理ツール] メニューに表示されません。mmc.exe プログラムを使用して手動でロードする必要があります。
実装開始前にチーム メンバが時間をかけて各ツールに習熟できるように、これらのツールを入手して実装チームのワークステーションにインストールすることをお勧めします。
ページのトップへ
ベースライン ポリシーの展開
Woodgrove Bank では、展開を実装するのに、まず構築ごとの方法ですべてのコンピュータを境界分離グループに移動することを選択しました。 この方法では、管理者は、コンピュータ間の通信に大きな影響を与えることなく、徐々に実装を進めて未解決の問題を解決することができました。 まずセキュリティ保護サブネットなしでポリシーを展開することにより、管理チームはローカル IPsec ポリシーが割り当てられているコンピュータを特定し、その情報を検討することができました。 サブネットがポリシーに追加されると、それまでに発見された追加の競合が解決されました。
コンピュータが境界分離グループ ポリシーで運用されるようになった後、チームは標準分離グループ、送信時に IPsec のクリアを許可する分離グループ、および暗号化分離グループの実装に移りました。 これらの分離グループは、このガイドの「第 4 章 : 分離グループを設計および計画する」で説明されている「グループごとの展開」方法を使用して展開されました。 一連のコンピュータがパイロット用に選択され、新しいポリシーを制御する適切なグループに追加されました。 問題があった場合は解決され、分離グループがいっぱいになるまで追加のコンピュータがグループに追加されました。
ページのトップへ
IPsec ポリシーを実装する
適切な IPsec ポリシーを目的の各コンピュータに適用するプロセスは、大規模な組織ではすぐに複雑になる可能性があります。 Active Directory のポリシー メカニズムでは、このプロセスを大幅に簡略化できます。 ここからは、IPsec ポリシーの実装に必要な情報を提供します。
構成スクリプトをコピーする
IPsec ポリシーを設定するには、まず必要な構成スクリプトを保存先のドメイン コントローラにコピーします。 ソリューションに付属の構成スクリプトは、Woodgrove Bank ラボの構成に使用されました。 Woodgrove Bank のシナリオでは、次の手順に従いました。
構成スクリプトをコピーするには
IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
C:\IPsec Scripts フォルダを作成します。
スクリプト ファイルをこのソリューションの Tools and Templates フォルダから C:\IPsec Scripts フォルダにコピーします。
グループ ポリシー管理コンソールをインストールする
GPMC では、このソリューションで使用する GPO のインストールと構成を行います。 GPMC を必ずインストールしなければならないのは IPS-CH-DC-01 のみです。残りのサーバーへのインストールは任意です。
注 : GPMC をインストールすると、そのコンピュータの [Active Directory ユーザーとコンピュータ] MMC のユーザー インターフェイスが少し変化します。 GPMC の使用とインストール ファイルのダウンロードの詳細については、Microsoft ダウンロード センターの「グループ ポリシー管理コンソール (GPMC) Service Pack 1 」ページを参照してください。
グループ ポリシー管理コンソールをインストールするには
Microsoft ダウンロード センターから Gpmc.msi インストール ファイルをダウンロードします。
ドメインの Administrators グループのメンバとして IPS-CH-DC-01 にログオンしていることを確認します。
Windows エクスプローラ で Gpmc.msi インストール ファイルをダブルクリックします。
セットアップ ウィザードの指示に従って、GPMC をインストールします。既定値はすべてそのまま使用します。
重要 : GPMC は Program Files フォルダにインストールしてください。フォルダのドライブはどこでもかまいません。 また、Program Files フォルダ内の既定のインストール フォルダ (GPMC) を使用してください。 フォルダ名を変更した場合は、Constants.txt ファイルに記述されているフォルダ名も変更する必要があります。 以降の手順で、GPMC によってインストールされたツールの一部を使用します。ツールを既定以外の場所にインストールした場合、このファイルを更新しないと、GPMC ツールを見つけられなくなります。
IPsec フィルタ一覧とフィルタ操作を実装する
IPsec フィルタ一覧とフィルタ操作を作成するには、Netsh ツールまたは [IP セキュリティ ポリシーの管理] MMC スナップインを使用します。
[IP セキュリティ ポリシーの管理] MMC スナップインには IPsec のグラフィカル インターフェイスが用意されていますが、多くの管理者には Netsh コマンド ライン ツールを使用したスクリプトの管理および更新のほうが簡単かもしれません。 また、スクリプトはドメイン間やフォレスト間で簡単に移植できます。 このソリューションでは、Netsh スクリプトを使用して IPsec フィルタ一覧とフィルタ操作を実装しました。
注 : ストア フォーカスをローカルに設定して、Windows Server 2003 を実行しているコンピュータのローカル ポリシー ストアに対してスクリプトをテストしてください。 スクリプトをデバッグした後、ストア構成を変更して、最終インポートのドメインにフォーカスを設定します。
IPsec フィルタ一覧とフィルタ操作を作成するには
IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
コマンド プロンプトを開き、
「netsh –f "c:\IPsec Scripts\PacketFilters.txt" 」と入力し、Enter キーを押します。
注 : スクリプトによって空のフィルタ一覧が作成された場合は、コマンド ラインに "ERR IPsec [05022] : 名前が '<フィルタ一覧名>'の FilterList 内にフィルタは存在しません " というエラー メッセージが表示されます。このメッセージは無視しても問題ありません。
[IP セキュリティ ポリシーの管理] MMC スナップインを起動し、Active Directory にフィルタ一覧とフィルタ操作が作成されていることを確認します。
注 : ローカル ポリシーに対してテストするには、手順 2 で実行したスクリプトに set store location=local が構成されているかどうかを確認します。 手順 3 では、MMC スナップインがドメインではなくローカル コンピュータでフォーカスされていることを確認します。
IPsec ポリシーを実装する
フィルタ一覧とフィルタ操作を作成したら、IPsec ポリシーを作成するスクリプトを実行できます。
注 : スクリプトで作成したポリシーには、テストのために 5 分間のポーリング間隔を構成できます。
次の表は、ポリシー名とそのポリシーを作成するスクリプト ファイルを示しています。 このスクリプト ファイル名は、次の手順 2 で使用します。
表 C.1: IPsec ポリシーおよび対応するスクリプト ファイル
IPSEC – Boundary Isolation Group IPsec Policy (1.0.041001.1600)
BoundaryIGPolicy.txt
IPSEC – No Fallback Isolation Group IPsec Policy (1.0.041001.1600)
NoFallbackIGPolicy.txt
IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)
IsolationDomainPolicy.txt
IPSEC – Encryption Isolation Group IPsec Policy (1.0.041001.1600)
EncryptionIGPolicy.txt
**IPsec ポリシーを作成するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. コマンド プロンプトを開きます。 ポリシーごとに、次のように入力します。
```
netsh –f "c:\IPsec Scripts\
IPSEC – Boundary Isolation Group Policy
IPSEC – Boundary Isolation Group IPsec Policy (1.0.041001.1600)
IPSEC – No Fallback Isolation Group Policy
IPSEC – No Fallback Isolation Group IPsec Policy (1.0.041001.1600)
IPSEC – Isolation Domain Policy
IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)
IPSEC – Encryption Isolation Group Policy
IPSEC – Encryption Isolation Group IPsec Policy (1.0.041001.1600)
**IPsec ポリシー の GPO を作成するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. GPMC を起動します。
3. **\[フォレスト : corp.woodgrovebank.com\]**、ドメイン、**\[americas.corp.woodgrovebank.com\]** の順に展開します。
4. **\[グループ ポリシー オブジェクト\]** を右クリックし、**\[新規作成\]** をクリックします。
5. **\[名前\]** ボックスに *<GPO 名>* を入力し、**\[OK\]** をクリックします。
6. ***\[<GPO 名>\]*** を右クリックし、**\[編集\]** をクリックします。
7. **\[コンピュータの構成\]**、**\[Windows の設定\]**、**\[セキュリティの設定\]** の順に展開し、**\[Active Directory の IP セキュリティ ポリシー (corp.woodgrovebank.com)\]** をクリックします。
8. 右側のペインで、***\[<IPsec ポリシー名>\]*** を右クリックし、**\[割り当て\]** をクリックします。
9. *<IPsec ポリシー名>* が割り当てられていることを確認し、GPO エディタを閉じます。
10. 上記の表の *<GPO 名>* と *<IPsec ポリシー名>* の各組み合わせについて、手順 4 ~ 9 を繰り返します。
#### IPsec グループ ポリシーにセキュリティを設定する
Woodgrove Bank では、IPsec ポリシーを含む GPO にセキュリティ ACL を使用して、ポリシーの適用を制御しました。 この方法の主な利点は、ポリシーを複数の組織単位 (OU) ではなくドメイン レベルでリンクできることです。これにより、ポリシーの適用が管理しやすくなります。 さらに、コンピュータ アカウントを特別な OU に移動することなく、段階的な公開が実装されました。 代わりに、パイロットに参加しているコンピュータ アカウントが適切なグループに追加されました。 欠点は、適切なグループ管理ツールが組織に必要なことです。
##### グループを作成する
Woodgrove Bank 組織へのポリシーの適用方法を制御する一連のグループが作成されました。 Woodgrove Bank フォレストはネイティブ モードなので、ユニバーサル グループを使用してすべてのドメインのポリシーを制御します。
**表 C.3: Woodgrove Bank のユニバーサル グループ**
CG_NoIPsec_computers
IPsec 環境に参加していないコンピュータ アカウント (通常はインフラストラクチャ コンピュータ アカウント) で構成されるユニバーサル グループ
CG_BoundaryIG_computers
信頼されていないコンピュータとの通信を許可されたコンピュータ アカウントで構成されるユニバーサル グループ
CG_ EncryptionIG_computers
暗号化分離グループのコンピュータ アカウントで構成されるユニバーサル グループ
CG_ IsolationDomain_computers
分離ドメインの一部であるコンピュータ アカウントで構成されるユニバーサル グループ
CG_NoFallbackIG_computers
フォールバックを行わない分離グループの一部であるコンピュータ アカウントで構成されるユニバーサル グループ
**Woodgrove Bank のユニバーサル グループを作成するには**
1. IPS-CH-DC-01 で \[Active Directory ユーザーとコンピュータ\] を起動します。
2. **\[Users\]** コンテナを右クリックし、**\[新規作成\]**、**\[グループ\]** の順にクリックします。
3. **\[グループ名\]** ボックスに上記の表の最初の *<グループ名>* を入力します。
4. **\[ユニバーサル\] セキュリティ グループ**をクリックし、**\[OK\]** をクリックします。
5. 各グループについて、手順 2 ~ 4 を繰り返します。
6. 最初の ***\[<グループ名>\]*** を右クリックし、**\[プロパティ\]** をクリックします。
7. **\[説明\]** ボックスに上記の表の最初の *<説明>* を入力します。
8. **\[OK\]** をクリックします。
9. 上記の表の各グループについて、手順 6 ~ 8 を繰り返します。
##### GPO セキュリティを構成する
グループを使用して、IPsec に参加させるにはどのコンピュータにどのポリシーを適用するかを制御します。 新規作成された各 IPsec ポリシーにセキュリティ ACL を構成する必要があります。これにより、適切なグループが構成されます。 次の表は、各 GPO に追加される ACL を示しています。
**注 :** 組織で IPsec ポリシーを管理する管理者権限を Domain Admins グループ以外に委任する場合は、委任した管理グループに Active Directory の IP セキュリティ コンテナへのフル コントロールを付与する必要があります。
**表 C.4: Woodgrove Bank のポリシー グループのアクセス許可**
IPSEC - Boundary Isolation Group Policy
CG_NoIPsec_computers
グループ ポリシーの適用拒否
CG_BoundaryIG_computers
グループ ポリシーの読み取りおよび適用許可
IPSEC – No Fallback Isolation Group Policy
CG_NoIPsec_computers
グループ ポリシーの適用拒否
CG_NoFallbackIG_computers
グループ ポリシーの読み取りおよび適用許可
IPSEC – Isolation Domain Policy
CG_NoIPsec_computers
グループ ポリシーの適用拒否
CG_ IsolationDomain_computers
グループ ポリシーの読み取りおよび適用許可
IPSEC – Encryption Isolation Group Policy
CG_NoIPsec_computers
グループ ポリシーの適用拒否
CG_ EncryptionIG_computers
グループ ポリシーの読み取りおよび適用許可
**注 :** 境界分離グループのポリシーは、Domain Computers グループを CG\_BoundaryIG\_computers グループに配置することにより Domain Computers グループで初期の構築プロセスのポリシーを適用できるように構成されています。 すべてのコンピュータがそれぞれのグループに移動されると、ドメイン コンピュータが CG\_BoundaryIG\_computers グループから削除されます。
**グループのアクセス許可を GPO に設定するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、GPMC を起動します。
2. **\[フォレスト : corp.woodgrovebank.com\]**、ドメイン、**\[americas.corp.woodgrovebank.com\]**、**\[グループ ポリシー オブジェクト\]** の順に展開します。
3. 上記の表の最初にある ***\[<GPO 名>\]*** を右クリックし、**\[委任\]** タブをクリックします。
4. **\[詳細設定\]** ボタンをクリックします。
5. **\[グループ名またはユーザ名\]** ボックスのリストから **\[Authenticated Users\]** をクリックし、**\[グループ ポリシーの適用\]** チェック ボックスの \[許可\] 権利をオフにします。
6. **\[追加\]** ボタンをクリックします。
7. **\[選択するオブジェクト名を入力してください\]** ボックスに上記の表の各 *<グループまたはアカウント名>* をセミコロンで区切って入力し、**\[OK\]** をクリックします。
8. **\[グループ名またはユーザ名\]** ボックスで ***\[<グループまたはアカウント名>\]*****をクリックし、**\[アクセス許可\]** チェック ボックスで *<割り当てられている権利>* を設定します。
9. *<GPO 名>* に関連付けられている各 *<グループまたはアカウント名>* について、手順 8 を繰り返します。
10. **\[OK\]** をクリックします。
11. 割り当てられている権利が拒否の場合は、表示されるメッセージ ボックスで **\[はい\]** をクリックします。それ以外の場合は、手順 12 に進みます。
12. 各 *<GPO 名>* について、手順 3 ~ 11 を繰り返します。
**注 :** Authenticated Users のエントリに、各ポリシーのセキュリティ ACL で読み取りアクセス許可のみが付与されていることを確認してください。 適用アクセス許可も付与されている場合は、ポリシーがすべてのコンピュータに展開されます。
#### 境界分離グループ コンピュータから暗号化分離グループ コンピュータへの接続をブロックする
Woodgrove Bank では、境界分離グループのコンピュータから暗号化分離グループのコンピュータへの通信が開始されないようにする必要がありました。 この制限を実装するには、DNAG\_EncryptionIG\_computers というグループを作成し、このグループのメンバが暗号化分離グループのコンピュータにアクセスできないようにします。 暗号化分離グループ ポリシーの構成によって、DNAG\_EncryptionIG\_computers に "ネットワーク経由でコンピュータへアクセスを拒否する" 権利が付与され、CG\_BoundaryIG\_computers グループが DNAG\_EncryptionIG\_computers グループに配置されました。 この構成は、IPSEC – Encryption Isolation Group Policy GPO を変更することにより完了しました。
**DNAG\_EncryptionIG\_computers グループを作成するには**
1. IPS-CH-DC-01 で \[Active Directory ユーザーとコンピュータ\] を起動します。
2. **\[Users\]** コンテナを右クリックし、**\[新規作成\]**、**\[グループ\]** の順にクリックします。
3. **\[グループ名\]** ボックスに「DNAG\_EncryptionIG\_computers」と入力します。
4. **\[ドメイン ローカル\] セキュリティ グループ** をクリックし、**\[OK\]** をクリックします。
5. **\[DNAG\_EncryptionIG\_computers\]** を右クリックし、**\[プロパティ\]** をクリックします。
6. **\[説明\]** ボックスに「暗号化分離グループへのアクセスを拒否するために使用」と入力します。
7. **\[OK\]** をクリックします。
**DNAG\_EncryptionIG\_computers のメンバをブロックするように IPSEC – Encryption Isolation Group Policy を構成するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、GPMC を起動します。
2. **\[フォレスト : corp.woodgrovebank.com\]**、ドメイン、**\[americas.corp.woodgrovebank.com\]**、**\[グループ ポリシー オブジェクト\]** の順に展開します。
3. **\[IPSEC – Encryption Isolation Group Policy\]** を右クリックし、**\[編集\]** をクリックします。
4. **\[コンピュータの構成\]**、**\[Windows の設定\]**、**\[セキュリティの設定\]**、**\[ローカル ポリシー\]**、**\[ユーザー権利の割り当て\]** の順に展開します。
5. **\[ネットワーク経由でコンピュータへアクセスを拒否する\]** を右クリックし、**\[プロパティ\]** をクリックします。
6. **\[これらのポリシーの設定を定義する\]** チェック ボックスをオンにします。
7. **\[ユーザーまたはグループの追加\]** ボタンをクリックします。
8. **\[参照\]** ボタンをクリックします。
9. テキスト ボックスに「DNAG\_EncryptionIG\_computers」と入力し、**\[OK\]** をクリックします。
10. もう一度 **\[OK\]** をクリックします。
11. **\[OK\]** をクリックし、**\[プロパティ\]** ページを閉じます。
12. グループ ポリシー エディタを閉じます。
13. GPMC を閉じます。
**DNAG\_EncryptionIG\_computers グループに CG\_BoundaryIG\_computers グループを含めるには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[DNAG\_EncryptionIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[選択するオブジェクト名を入力してください\]** ボックスに「CG\_BoundaryIG\_computers」と入力し、**\[OK\]** をクリックします。
6. **\[OK\]** をクリックします。
#### ドメイン コンピュータを境界グループに追加する
初期展開では、境界分離グループを組織内の IPsec 対応クライアントの既定の分離グループとして使用します。 ドメイン コンピュータ グループを CG\_BoundaryIG\_computers グループに追加して、この計画を実装します。
**ドメイン コンピュータを CG\_BoundaryIG\_computers グループに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_BoundaryIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[選択するオブジェクト名を入力してください\]** ボックスに「ドメイン コンピュータ」と入力し、**\[OK\]** をクリックします。
6. もう一度 **\[OK\]** をクリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、ドメイン コンピュータ グループが CG\_BoundaryIG\_computers グループに追加されてから、境界分離グループのポリシーが適用されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
#### インフラストラクチャ サーバーを CG\_NoIPSec\_Computers グループに追加する
サーバーの IP アドレスが変更された場合などに通信を中断する可能性のあるポリシーがインフラストラクチャ サーバーに適用されないようにするために、次のインフラストラクチャ サーバー コンピュータ アカウントを CG\_NoIPsec\_computers セキュリティ グループに追加しました。
- IPS-RT-DC-01
- IPS-CH-DC-01
**インフラストラクチャ サーバーを CG\_NoIPsec\_computers グループに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_NoIPsec\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[オブジェクトの種類\]** ボタンをクリックし、**\[コンピュータ\]** チェック ボックスをオンにして、**\[OK\]** をクリックします。
6. **\[選択するオブジェクト名を入力してください\]** ボックスに上記の一覧の各コンピュータ名をセミコロンで区切って入力し、**\[OK\]** をクリックします。
7. もう一度 **\[OK\]** をクリックします。
#### IPsec ポリシーと GPO をドメイン環境でリンクさせる
IPsec ポリシーは、配布する前に、ドメイン環境内の場所にリンクさせる必要があります。 Woodgrove Bank ではセキュリティ グループを使用して GPO を管理することを選択したので、OU 構造はポリシーの配布にはあまり重要ではありません。 ただし、ポリシーの適用を妨げる OU がある場合は、IPsec GPO を OU に直接リンクさせて、ポリシーが正常に適用されるようにする必要があります。 他の方法では、ドメインの IPsec ポリシー GPO でのポリシーの強制が有効になる可能性があります。
**IPsec ポリシーを既存の GPO にリンクさせるには**
1. ドメインの管理者としてログオンし、GPMC を起動します。
2. ドメインを展開します。
3. ドメイン名を右クリックし、**\[Link an Existing GPO\]** をクリックします。
4. **\[グループ ポリシー オブジェクト\]** のリストで IPSEC が付いたポリシー名をすべてクリックし、**\[OK\]** をクリックします。
5. 右側のペインで、矢印ボタンを使用してポリシーを次の表の順序に並べます。
**表 C.5: ドメイン レベルでのグループ ポリシー オブジェクトのリンク順序**
1
IPSEC – Encryption Isolation Group Policy
2
IPSEC – No Fallback Isolation Group Policy
3
4
IPSEC – Boundary isolation Group Policy
5
既定のドメイン ポリシー
[](#mainsection)[ページのトップへ](#mainsection)
### ポリシーの構築ごとの展開方法を使用してベースライン IPsec ポリシーを有効にする
IPsec インフラストラクチャ公開の最初のタスクは、ポリシーの構築ごとの展開方法を使用して境界分離グループのポリシーを展開することです。 境界分離グループは、Woodgrove Bank の環境内にあるすべてのコンピュータの分離ドメインになることを目的にしていませんが、展開の最初の段階ですべてのコンピュータに適用されるように構成されています。
境界分離グループ ポリシーは非 IPsec 通信を許可して受け入れているので、環境に徐々に展開するには最も安全なポリシーと見なされました。 ポリシーの初期の展開では、セキュリティ保護サブネットは定義されていませんでした。 これにより、Woodgrove Bank 管理者は既存の IPsec ポリシーを修正することができました。 その後、サブネットが 1 つずつ追加され、IPsec ネゴシエーションが正常に行われるかどうかがテストされます。
#### サブネットをセキュリティ保護サブネット フィルタ一覧に追加する
空の境界分離グループ ポリシーが組織のコンピュータに適用され、既存のローカル IPsec ポリシーとの競合が解決された後、Woodgrove Bank の管理者はポリシーの構築を開始しました。
ポリシーの構築では、組織のサブネットがセキュリティ保護されているかどうかが特定されました。 特定されたサブネットは、1 つずつポリシーに追加されました。 最初のエントリがフィルタ一覧に追加された後、フィルタ一覧がポリシーに追加されます。
各サブネットが追加された後、一定時間後にポリシーが組織のコンピュータに適用され、競合があった場合は解決されました。 セキュリティ保護サブネット フィルタ一覧全体が展開されるまで、このプロセスが繰り返されました。
次の表は、特定されたセキュリティ保護サブネットを示しています。これらは Woodgrove Bank のラボで使用され、運用ネットワークをほぼ再現しています。
**表 C.6: Woodgrove Bank のテスト ラボのセキュリティ保護サブネット一覧**
192.168.1.0
255.255.255.0
組織の LAN サブネット 192.168.1.0/24
172.10.1.0
255.255.255.0
組織の LAN サブネット 172.10.1.0/24
**セキュリティ保護サブネット フィルタ一覧の最初のエントリを作成するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ ポリシーの管理\] MMC スナップインを起動します。
3. **\[Active Directory の IP セキュリティ ポリシー\]** を右クリックし、**\[IP フィルタ一覧とフィルタ操作の管理\]** をクリックします。
4. **\[IP フィルタ一覧の管理\]** タブで、**\[IPSEC –Organization Secure Subnets\]** をクリックし、**\[編集\]** をクリックします。
5. **\[追加ウィザードを使用\]** チェック ボックスがオフになっていることを確認します。
6. **\[追加\]** をクリックします。
7. **\[アドレス\]** タブで、**\[発信元アドレス\]** ボックスの一覧の **\[任意の IP アドレス\]** をクリックします。
8. **\[宛先アドレス\]** ボックスの一覧の **\[特定の IP サブネット\]** をクリックし、**\[IP アドレス\]** ボックスと **\[サブネット マスク\]** ボックスに上記の表の情報を入力します。
9. **\[ミラー化\]** チェック ボックスがオンになっていることを確認します。
10. **\[説明\]** タブで、上記の表から対応する説明を入力します。
11. **\[OK\]** をクリックし、**\[IP フィルタのプロパティ\]** ダイアログ ボックスを閉じます。
12. **\[OK\]** をクリックし、**\[IP フィルタ一覧\]** ダイアログ ボックスを閉じます。
13. **\[閉じる\]** をクリックして **\[IP フィルタ一覧とフィルタ操作の管理\]** ダイアログ ボックスを閉じます。
**セキュリティ保護サブネット フィルタ一覧を境界分離グループのポリシーに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ ポリシーの管理\] MMC スナップインを起動します。
3. **\[IPSEC – Boundary Isolation Group IPsec Policy (1.0.041001.1600)\]** を右クリックし、**\[プロパティ\]** をクリックします。
4. **\[規則\]** タブで、**\[追加ウィザードを使用\]** チェック ボックスがオフになっていることを確認し、**\[追加\]** を**クリック**します。
5. **\[IP フィルタ一覧\]** タブで、**\[IPSEC –Organization Secure Subnets\]** をクリックします。
6. **\[フィルタ操作\]** タブで、**\[IPSEC – Request Mode (Accept Inbound, Allow Outbound)\]** をクリックします。
7. **\[接続の種類\]** タブで、**\[すべてのネットワーク接続\]** チェック ボックスがオンになっていることを確認します。
8. **\[トンネルの設定\]** タブで、**\[この規則では IPSec トンネルを指定しない\]** チェック ボックスがオンになっていることを確認します。
9. **\[認証方法\]** タブで、\[Kerberos\] 方法のみが表示されていることを確認します。
10. **\[OK\]** をクリックし、**\[規則の編集のプロパティ\]** ダイアログ ボックスを閉じます。
11. **\[OK\]** をクリックし、**\[IPSEC – Boundary isolation group IPsec Policy (1.0.041001.1600) のプロパティ\]** ダイアログ ボックスを閉じます。
12. ポリシーを適用し、この章で後述する「ベースラインの展開を確認する」の手順に従って確認を行います。
**残りのサブネットをセキュリティ保護サブネット フィルタ一覧に追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ ポリシーの管理\] MMC スナップインを起動します。
3. **\[Active Directory の IP セキュリティ ポリシー\]** を右クリックし、**\[IP フィルタ一覧とフィルタ操作の管理\]** をクリックします。
4. **\[IP フィルタ一覧の管理\]** タブで、**\[IPSEC –Organization Secure Networks\]** をクリックし、**\[編集\]** をクリックします。
5. **\[追加ウィザードを使用\]** チェック ボックスがオフになっていることを確認します。
6. **\[追加\]** をクリックします。
7. **\[アドレス\]** タブで、**\[発信元アドレス\]** ボックスの一覧の **\[任意の IP アドレス\]** をクリックします。
8. **\[宛先アドレス\]** ボックスの一覧の **\[特定の IP サブネット\]** をクリックし、\[IP アドレス\] ボックスと \[サブネット マスク\] ボックスに上記の表の情報を入力します。
9. **\[ミラー化\]** チェック ボックスがオンになっていることを確認します。
10. **\[説明\]** タブで、上記の表から対応する説明を入力します。
11. **\[OK\]** をクリックし、**\[IP フィルタのプロパティ\]** ダイアログ ボックスを閉じます。
12. **\[OK\]** をクリックし、**\[IP フィルタ一覧\]** ダイアログ ボックスを閉じます。
13. **\[閉じる\]** をクリックして **\[IP フィルタ一覧とフィルタ操作の管理\]** ダイアログ ボックスを閉じます。
14. ポリシーを適用し、この章で後述する「ベースラインの展開を確認する」の手順に従って確認を行います。
15. 各サブネットについて、手順 2 ~ 14 を繰り返します。
#### ベースラインの展開を確認する
ポリシー オブジェクトを作成し、非アクティブ状態で Active Directory に展開した後は、組織のすべてのコンピュータにベースライン分離グループを適用するベースライン ポリシーを構成する前に、確認プロセスを行う必要があります。 確認を行うと、ベースライン構成にエラーがあった場合に参加ホストが受ける影響を最小限に抑えることができます。
##### 実装の機能テスト
最も簡単なテストで IPsec の機能を確認するには、セキュリティ保護された組織ネットワーク内にあるコンピュータと、セキュリティ保護された組織ネットワークに表示されるサブネット内にないコンピュータに対して、**net view** コマンドを実行します。
セキュリティ保護サブネット内のコンピュータは、\[IP セキュリティ モニタ\] MMC スナップインに表示されるハード SA をネゴシエートする必要があります。 ソフト SA は、IPsec 参加コンピュータと、セキュリティ保護された組織ネットワークに表示されるサブネット内にないコンピュータとの間に作成される必要があります。
**適用される IPsec ポリシーの機能をテストするには**
1. セキュリティ保護されたサブネット コンピュータで、コマンド プロンプトを開き、
「net view \\\\<コンピュータ名>」と入力し、Enter キーを押します。 *<コンピュータ名>* には、セキュリティ保護されたサブネット コンピュータの名前と、セキュリティ保護サブネット内にないコンピュータの名前を使用します。
2. **net view** コマンドを実行したコンピュータで、\[IP セキュリティ モニタ\] MMC スナップインを起動します。
3. **\[IP セキュリティ モニタ\]**、***\[<コンピュータ名>\]***、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
4. **net view** コマンドを実行した各コンピュータについて、次のことを確認します。
- セキュリティ保護された組織ネットワーク参加コンピュータがハード SA をネゴシエートした。 **\[ESP 整合性\]** 列が <なし> に設定されて*いない*。
- 不参加コンピュータがソフト SA をネゴシエートした。 **\[ESP 整合性\]** 列が <なし> に設定されている。
[](#mainsection)[ページのトップへ](#mainsection)
### 機能テスト用のテスト ツールとスクリプト
機能テスト中は、多くの構成設定を監視する必要があります。 ほとんどの設定は標準のツールを使用して監視できますが、標準の管理者にとって一般的でないツールを必要とするタスクが 2 つあります。 このようなタスクには、コンピュータ上で現在アクティブになっている IPsec ポリシーの特定と、ネゴシエートされた SA の種類の確認があります。
#### IPsec ポリシーの適用を確認する
コンピュータ上でアクティブになっている IPsec ポリシーを確認することは困難です。各プラットフォームで共通して使用できる方法がないからです。 IPsec ポリシーの特定に、グラフィカル ユーザー インターフェイス (GUI) を使用できる場合もあれば、コマンド ライン ツールが必要な場合もあります。また、必要なコマンド ライン ツールがオペレーティング システムにインストールされていない場合もあります。
##### Windows 2000
Windows 2000 Server を実行しているコンピュータでは、管理者は現在適用されている IPsec ポリシーの特定に Netdiag コマンドを使用できます。 ポリシー名と情報を取得するには、管理者がコンピュータにログオンし、コマンド プロンプトを起動して次のコマンドを入力します。
```
Netdiag /test:IPsec
```
このコマンドから、次のように出力されます。
IP Security test . . . . . . . . . : Passed
Directory IPsec Policy Active: ' IPSEC – Isolation
Domain IPsec Policy (1.0.041001.1600)'
Windows XP
Windows XP を実行しているコンピュータでは、管理者は現在適用されている IPsec ポリシーの特定に IPseccmd.exe コマンド ライン ツールを使用できます。 ポリシー名と情報を取得するには、管理者がコンピュータにログオンし、コマンド プロンプトを起動して次のコマンドを入力します。
IPseccmd show gpo
このコマンドから、次のように出力されます。
Active Directory Policy
-----------------------
Directory Policy Name: IPSEC – Isolation Domain IPsec
Policy (1.0.041001.1600)
Description: Isolation Domain Policy (Allow Outbound)
Last Change: Fri Sep 03 15:20:29 2004
Group Policy Object: IPSEC – Isolation Domain Policy
Organizational Unit:
LDAP://DC=americas,DC=woodgrovebank,DC=com
Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Windows Server 2003
Windows Server 2003 を実行しているコンピュータでは、管理者は現在適用されている IPsec ポリシーの特定に Netsh コマンド ライン ツールを使用できます。 ポリシー名と情報を取得するには、管理者がコンピュータにログオンし、コマンド プロンプトを起動して次のコマンドを入力します。
netsh IPsec static show gpoassignedpolicy
このコマンドから、次のように出力されます。
Source Machine : Local Computer GPO
for <IPS-TZ-W2K-02>
GPO Name : IPSEC – Isolation Domain Policy
Local IPsec Policy Name : NONE
AD IPsec Policy Name : IPSEC – Isolation
Domain IPsec Policy
(1.0.041001.1600)
AD Policy DN : LDAP://CN=IPsecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPsec Policy Assigned: Yes, but AD Policy is
Overriding
IP セキュリティ モニタを使用して SA の種類を確認する
[IP セキュリティ モニタ] MMC スナップインでは、メイン モードとクイック モードの SA、関連付けられているフィルタ、インターネット キー交換 (IKE) ポリシー、およびネゴシエーション ポリシーを調べることができます。 トラブルシューティングの際に、[IP セキュリティ モニタ] MMC スナップインを使用して、ピア間でネゴシエートされた SA の種類を確認できます。 システム管理者は、[クイック モード] ツリーで SA を調べることにより、ツールを実行しているコンピュータへの IPsec ピアを特定できます。
コンピュータが IPsec 接続をネゴシエートすると、ハード SA が作成されます。 ハード SA では、[認証] 、[ESP 機密性] 、または [ESP 整合性] の 1 つまたは複数のフィールドに <なし> 以外の値が表示されます。 たとえば、SHA1 を使用する ESP で認証が行われない場合は、[ESP 整合性] フィールドに HMAC-SHA1 が表示され、他の 2 つのフィールドには <なし> が表示されます。 ハード SA が暗号化もネゴシエートした場合は、[ESP 機密性] フィールドに DES または 3DES が表示されます。
ソフト SA では、3 つのフィールドすべてに <なし> が表示されます。これは、応答側がクリアテキストにフォールバックしたことを示します。
ページのトップへ
組織のセキュリティ保護サブネット フィルタ一覧を残りのポリシーで有効にする
残りの IPsec ポリシー を有効にする前に、セキュリティ保護された組織ネットワーク フィルタ一覧を各ポリシーに追加する必要があります。 セキュリティ保護された組織ネットワーク フィルタ一覧は、ポリシーの作成時に空だったためポリシーに追加できませんでした。
この章で前述したように、セキュリティ保護された組織ネットワーク フィルタ一覧は実装されており、残りのポリシーに追加できます。 次の表は、セキュリティ保護された組織ネットワーク フィルタ一覧に割り当てられているポリシー名と関連フィルタ操作を示しています。
表 C.7: ポリシーおよび対応するフィルタ操作
IPSEC – No Fallback Isolation Group IPsec Policy (1.0.041001.1600)
IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound)
IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)
IPSEC – Secure Request Mode (Ignore Inbound, Allow Outbound)
IPSEC – Encryption Isolation Group IPsec Policy (1.0.041001.1600)
IPSEC – Require Encryption Mode (Ignore Inbound, Disallow Outbound)
**セキュリティ保護された組織ネットワーク フィルタ一覧を IPsec ポリシーに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ ポリシーの管理\] MMC スナップインを起動します。
3. **\[<*ポリシー名*>\]** を右クリックし、**\[プロパティ\]** をクリックします。
4. **\[規則\]** タブで、**\[追加\]** をクリックします。
5. **\[IP フィルタ一覧\]** タブで、**\[IPSEC –Organization Secure Subnets\]** をクリックします。
6. **\[フィルタ操作\]** タブで、表 C.7 に対応する **\[<*フィルタ操作*>\]** をクリックします。
7. **\[接続の種類\]** タブで、**\[すべてのネットワーク接続\]** チェック ボックスがオンになっていることを確認します。
8. **\[トンネルの設定\]** タブで、**\[この規則では IPSec トンネルを指定しない\]** チェック ボックスがオンになっていることを確認します。
9. **\[認証方法\]** タブで、\[Kerberos\] 方法のみが表示されていることを確認します。
10. **\[OK\]** をクリックし、**\[規則の編集のプロパティ\]** ダイアログ ボックスを閉じます。
11. **\[OK\]** をクリックし、**\[<*ポリシー名*>のプロパティ\]** ダイアログ ボックスを閉じます。
12. 上記の表の各ポリシーについて、手順 3 ~ 11 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### ネットワーク アクセス グループの構成を有効にする
ネットワーク アクセス グループを使用して、IPsec 応答側をさらに制限し、開始側コンピュータと特定ユーザーの選ばれたグループからの接続のみを受け入れるようにします。 たとえば、管理者はネットワーク アクセス グループを使用して、エグゼクティブ クライアント コンピュータを、エグゼクティブ コンピュータから開始された着信トラフィックのみを受け入れるが、他のリソースへのトラフィックは開始できるように構成できます。
**注 :** このオプションを定義する場合は注意が必要です。ネットワーク アクセス グループ内のコンピュータと通信する必要があるコンピュータ (ポーリングを使用するモニタ システムなど) は、ネットワーク アクセス グループに含まれていないと通信できません。
#### ネットワーク アクセス グループを実装する
Woodgrove Bank の設計者は、ネットワーク アクセス グループの実装にドメイン ローカル グループを使用することを選択しました。 その後、これらのグループを使用して開始側を定義しました。 開始側グループに応答側の "ネットワーク経由でコンピュータへアクセス" 権利を付与し、この権利から Authenticated Users グループを削除しました。 Woodgrove Bank がネットワーク アクセス グループの実装にドメイン ローカル グループを使用した理由は、これらのグループが 60 分ごとに更新されるセッション チケットに保存されるからです。 グローバル グループまたはユニバーサル グループを使用した場合、ネットワーク アクセス グループは 8 時間有効なチケット許可チケット (TGT) に保存されます。 ドメイン ローカル グループを使用すると、グループの変更がよりタイムリーに反映されます。
**注 :** このソリューションではドメイン ローカル グループを "ネットワーク経由でコンピュータへアクセス" 権利で使用してネットワーク アクセス グループを実装しますが、事前共有キーまたは証明書を使用して個々のネットワーク アクセス グループを実装することも可能です。
Woodgrove Bank の設計者は、暗号化分離グループでのアクセス制御に使用するネットワーク グループを 1 つ特定しました。
##### アクセスを制御するセキュリティ グループを作成する
**表 C.8: Woodgrove Bank のネットワーク アクセス グループのセキュリティ グループ**
ANAG _EncryptedResourceAccess_computers
暗号化リソースにアクセスできるコンピュータを制限するドメイン ローカル グループ
ANAG _EncryptedResourceAccess_users
制限された暗号化リソースとの通信を開始できるユーザーを制限するドメイン ローカル グループ
**上記の表のグループを作成するには**
1. IPS-CH-DC-01 で \[Active Directory ユーザーとコンピュータ\] を起動します。
2. **\[Users\]** コンテナを右クリックし、**\[新規作成\]**、**\[グループ\]** の順にクリックします。
3. **\[グループ名\]** ボックスに上記の表の *<グループ名>* を入力します。
4. **\[グループのスコープ\]** で **\[ドメイン ローカル\]** をクリックし、**\[OK\]** をクリックします。
5. 各グループについて、手順 2 ~ 4 を繰り返します。
6. **\[<*グループ名*>\]** を右クリックし、**\[プロパティ\]** をクリックします。
7. **\[説明\]** ボックスに上記の表の *<説明>* を入力します。
8. **\[OK\]** をクリックします。
9. 上記の表の各グループについて、手順 6 ~ 8 を繰り返します。
##### アカウントをネットワーク アクセス グループのセキュリティ グループに追加する
Woodgrove Bank では、ネットワーク アクセス グループ内でトラフィックの発信側として動作するコンピュータを特定し、それらを適切なドメイン ローカル グループに追加しました。これらのグループは、ネットワーク アクセス グループの実装に使用されます。
次の表は、Woodgrove Bank が特定したネットワーク アクセス グループのメンバを示しています。
**表 C.9: Woodgrove Bank の分離グループのメンバシップ**
ANAG _EncryptedResourceAccess_computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
上記の表のグループにメンバを追加するには
IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。
ドメインを展開し、[Users] をクリックします。
右側のペインで、[<グループ名 >] セキュリティ グループを右クリックし、[プロパティ] をクリックします。
[メンバ] タブをクリックし、[追加] をクリックします。
[オブジェクトの種類] ボタンをクリックし、[コンピュータ] チェック ボックスをオンにして、[OK] をクリックします。
[選択するオブジェクト名を入力してください] ボックスに、上記の表の [メンバ] 列のコンピュータ名をセミコロンで区切って入力します。 [OK] をクリックします。
[OK] をクリックします。
ユーザー アカウントをネットワーク アクセス グループのセキュリティ グループに追加する
Woodgrove Bank では、ネットワーク アクセス グループ内でトラフィックの開始を許可されたユーザー アカウントを特定し、それらを適切なドメイン ローカル グループに追加しました。これらのグループは、ネットワーク アクセス グループの実装に使用されます。
次の表は、Woodgrove Bank が特定したネットワーク アクセス グループのメンバを示しています。
表 C.10: Woodgrove Bank のネットワーク アクセス グループのメンバシップ
ANAG _EncryptedResourceAccess_users
User7
**上記の表のグループにメンバを追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[<*グループ名*>\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[選択するオブジェクト名を入力してください\]** ボックスに、上記の表の \[メンバ\] 列のユーザ名を入力します。 複数のユーザ名を入力する場合は、セミコロンで区切ります。 **次に、**\[OK\] をクリックします。
6. **\[OK\]** をクリックします。
##### グループ ポリシー オブジェクトを作成し、"ネットワーク経由でコンピュータへアクセス" 権利を付与する
Woodgrove Bank では、GPO を作成して、定義されたネットワーク アクセス グループを適用しました。 具体的には、GPO を使用して、応答側として動作している適切なコンピュータの "ネットワーク経由でコンピュータへアクセス" 権利を適切なネットワーク アクセス グループのセキュリティ グループに割り当てました。
管理者は次の表を作成しました。この表は、ネットワーク アクセス グループの実装に使用される GPO 名と関連グループ名を示しています。
**表 C.11: Woodgrove Bank の分離グループ ポリシーの定義**
暗号化リソース アクセス分離グループ ポリシー
ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
Administrators
Backup Operators
注 : 上記は最低限追加するグループです。 管理者は、他にもこの権利を付与しなければならないグループがあるかどうかを確認する必要があります。
"ネットワーク経由でコンピュータへアクセス" 権利を割り当てるには
IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
GPMC を起動します。
[フォレスト : corp.woodgrovebank.com] 、ドメイン、[americas.corp.woodgrovebank.com] の順に展開します。
[グループ ポリシー オブジェクト] を右クリックし、[新規作成] をクリックします。
[名前] ボックスに <GPO 名> を入力し、[OK] をクリックします。
[<GPO 名 >] を右クリックし、[編集] をクリックします。
[コンピュータの構成] 、[Windows の設定] 、[セキュリティの設定] 、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
右側のペインで、[ネットワーク経由でコンピュータへアクセス] を右クリックし、[プロパティ] をクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
[ユーザーまたはグループの追加] ボタンをクリックします。
[参照] ボタンをクリックします。
[選択するオブジェクト名を入力してください] ボックスに、上記の表の各グループの <グループ名> をセミコロンで区切って入力します。 [OK] をクリックします。
もう一度 [OK] をクリックします。
GPMC を閉じます。
ネットワーク アクセス グループ ポリシー オブジェクトをリンクさせる
ネットワーク アクセス グループ ポリシーを配布する前に、GPO をドメイン環境内の場所にリンクさせる必要があります。 Woodgrove Bank では、次の表に示すように、GPO を Active Directory 内の適切な OU にリンクさせて配布することを選択しました。
表 C.12: ネットワーク アクセス グループの GPO 名と対象 OU
Encrypted Network Access Group Policy
データベース サーバー
**GPO ポリシーを対象 OU にリンクさせるには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンします。
2. GPMC を起動します。
3. **\[フォレスト : corp.woodgrovebank.com\]**、ドメイン、**\[americas.corp.woodgrovebank.com\]** の順に展開し、<*対象 OU*> を見つけます。
4. **\[<*対象 OU*>\]** を右クリックし、**\[Link an Existing GPO\]** をクリックします。
5. **\[グループ ポリシー オブジェクト\]** ボックスの一覧で <*ネットワーク アクセス グループの GPO 名*> をクリックし、**\[OK\]** をクリックします。
#### ネットワーク アクセス グループの展開を確認する
ネットワーク アクセス グループとポリシー オブジェクトを作成して展開した後、管理者はネットワーク アクセス グループ内のコンピュータの機能をテストしました。
##### 実装テストの前に必要な処理
ネットワーク アクセス グループ内のコンピュータの機能をテストする前に、Woodgrove Bank ではユーザー権利の割り当てが適切に更新されていることを確認しました。 レプリケーションとポリシー更新が処理される時間を十分に取った後、次の表のコンピュータを次の手順に従って確認しました。
**表 C.13: ネットワーク アクセス グループのメンバシップ**
IPS-SQL-DFS-01
ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
IPS-SQL-DFS-02
ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
ネットワーク アクセス グループ内のグループ メンバシップが適切かどうかを確認するには
<コンピュータ名 > に Americas ドメインの管理者としてログオンします。
[ローカル セキュリティ ポリシー] ツールを起動します。
[ローカル ポリシー] 、[ユーザー権利の割り当て] の順に展開し、右側のペインで [ネットワーク経由でコンピュータへアクセス] をダブルクリックします。
Authenticated Users グループが表示されていないことを確認します。
<ユーザー権利に表示されるグループ > グループが表示されていることを確認します。
[ローカル セキュリティ ポリシー] ツールを終了します。
上記の表の各 <コンピュータ名> について、手順 1 ~ 6 を繰り返します。
実装の機能テスト
Woodgrove Bank では、セキュリティ グループに適切なユーザー権利が付与されていることを確認した後、ネットワーク アクセス グループに所属するコンピュータどうしで機能をテストしました。 この情報を使用して、アクセス権の制限が適用されて機能していることを確認しました。 開始側と応答側のさまざまな組み合わせに対して net view コマンドを実行しました。 このテストに加えて、[IP セキュリティ モニタ] MMC スナップインを使用して、適切な SA が作成されていることを確認しました。 次の表は、開始側と応答側の各組み合わせに net view を実行した場合の成否とネゴシエートされた SA を示しています。
表 C.14: ネットワーク アクセス グループの機能テストと予測される結果
IPS-TZ-XP-06
IPS-SQL-DFS-01
失敗
なし
IPS-TZ-XP-06
IPS-SQL-DFS-02
失敗
なし
IPS-TZ-XP-06
IPS-ST-XP-05
成功
ハード SA
IPS-SQL-DFS-01
IPS-SQL-DFS-02
成功
ハード SA
IPS-SQL-DFS-01
IPS-ST-XP-05
成功
ハード SA
IPS-SQL-DFS-02
IPS-SQL-DFS-01
成功
ハード SA
IPS-ST-XP-05
IPS-SQL-DFS-01
成功
ハード SA
IPS-ST-XP-05
IPS-SQL-DFS-02
成功
ハード SA
**機能テストを完了するには**
1. <*開始側*> に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動します。
3. **\[IP セキュリティ モニタ\]**、*\[<開始側>\]*、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
4. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Responder>
```
5. \[IP セキュリティ モニタ\] MMC スナップインを使用して、成功した各接続で適切な SA がネゴシエートされたことを確認します。
6. 上記の表の各 <*開始側*> について、手順 1 ~ 5 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### 分離ドメインを有効にする
分離ドメイン ポリシーを公開する前に、管理者はパイロット テストに使用するコンピュータ グループを特定する必要があります。 理想は、このコンピュータ グループが組織の IT インフラストラクチャの代表例であり、そこにクライアントとサーバーの両方が含まれていることです。
特定されたコンピュータ アカウントは、CG\_IsolationDomain\_computers グループに追加されます。 レプリケートのための時間を十分に取った後、分離ドメイン ポリシーをパイロット コンピュータに適用して有効にする必要があります。
#### 分離ドメインを実装する
Woodgrove Bank では、次のコンピュータをパイロット用に特定しました。
- IPS-TZ-XP-01
- IPS-TZ-W2K-02
- IPS-TZ-XP-06
- IPS-WEB-DFS-01
**パイロット コンピュータを CG\_IsolationDomain\_computers グループに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]**をクリックします。
3. 右側のペインで、**\[CG\_IsolationDomain\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[オブジェクトの種類\]** ボタンをクリックし、**\[コンピュータ\]** チェック ボックスをオンにして、**\[OK\]** をクリックします。
6. **\[選択するオブジェクト名を入力してください\]** ボックスに上記の一覧の各コンピュータ名をセミコロンで区切って入力し、**\[OK\]** をクリックします。
7. もう一度 **\[OK\]** をクリックします。
**注 :** コンピュータを CG\_IsolationDomain\_computers ユニバーサル グループに追加した後、時間を十分に取って、フォレスト全体にグループ メンバシップの変更をレプリケートさせ、ポリシーをホストに適用させます。
#### 分離ドメインの展開を確認する
ポリシー オブジェクトを作成し、非アクティブ状態で Active Directory に展開した後は、分離グループ内でコンピュータが正常に機能していることを確認するプロセスを行う必要があります。
##### 実装テストの前に必要な処理
Woodgrove Bank では、分離ドメイン内のコンピュータの機能をテストする前に、レプリケーションとポリシー更新が処理される時間を十分に取り、適切な IPsec ポリシーが適用されたことを確認しました。
**適切な IPsec ポリシーが IPS-TZ-XP-06 に適用されたことを確認するには**
1. IPS-TZ-XP-06 に Americas ドメインの管理者としてログオンします。
2. コマンド プロンプトを起動し、次のコマンドを実行します。
```
IPseccmd show gpo
```
3. 出力を調べて、ディレクトリ ポリシー名が "IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)" であることを確認します。
##### 実装の機能テスト
Woodgrove Bank では、ポリシーが IPS-TZ-XP-06 に適用されたことを確認した後、基本的な機能テストをいくつか行って、ポリシーが予期したとおりに動作していることを確認しました。 IPS-TZ-XP-06 から他の分離グループ内にあるさまざまなコンピュータに **net view** コマンドを実行しました。 このテストに加えて、\[IP セキュリティ モニタ\] MMC スナップインを使用して、適切な SA が作成されていることを確認しました。 次の表は、対象コンピュータに **net view** を実行した場合の成否とネゴシエートされた SA を示しています。
**注 :** 信頼されていないコンピュータに対して **net view** コマンドを実行する場合は、対象コンピュータのローカル管理者の資格情報を渡す必要があります。
**表 C.15: 分離ドメインで実行された機能テストの結果**
IPS-TZ-W2K-02
成功
ハード SA
IPS-WEB-DFS-01
成功
ハード SA
IPS-UT-XP-03
成功
ソフト SA
IPS-PRINTS-01
成功
ハード SA
**各対象コンピュータに機能テストを実行するには**
1. IPS-TZ-XP-06 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-TZ-XP-06\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### フォールバックを行わない分離グループを有効にする
フォールバックを行わない分離グループに配置されたコンピュータは、信頼されていないコンピュータへの未認証トラフィックを開始できません。
#### フォールバックを行わない分離グループを実装する
Woodgrove Bank では、信頼されていないコンピュータへの未認証通信を開始できないこれらのコンピュータを CG\_NoFallbackIG\_computers universal グループに配置しました。
**CG\_NoFallbackIG\_computers グループにメンバを追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_NoFallbackIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[オブジェクトの種類\]** ボタンをクリックし、**\[コンピュータ\]** チェック ボックスをオンにして、**\[OK\]** をクリックします。
6. **\[選択するオブジェクト名を入力してください\]** ボックスに「**IPS-LT-XP-01**」と入力し、**\[OK\]** をクリックします。
7. もう一度 **\[OK\]** をクリックし、さらにもう一度クリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、コンピュータが CG\_NoFallbackIG\_computers グループに追加されてから、フォールバックを行わない分離グループ ポリシーが適用されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
#### フォールバックを行わない分離グループの展開を確認する
ポリシー オブジェクトを作成し、非アクティブ状態で Active Directory に展開した後は、分離グループ内でコンピュータが正常に機能していることを確認するプロセスを行う必要があります。
##### 実装テストの前に必要な処理
Woodgrove Bank では、フォールバックを行わない分離グループ内のコンピュータの機能をテストする前に、レプリケーションとポリシー更新が処理される時間を十分に取り、適切な IPsec ポリシーが適用されたことを確認しました。
**適切な IPsec ポリシーが IPS-LT-XP-01 に適用されたことを確認するには**
1. IPS-LT-XP-01 に Americas ドメインの管理者としてログオンします。
2. コマンド プロンプトを起動し、次のコマンドを実行します。
```
IPseccmd show gpo
```
3. 出力を調べて、ディレクトリ ポリシー名が "Outbound Clear Allowed" であることを確認します。
##### 実装の機能テスト
Woodgrove Bank では、ポリシーが IPS-LT-XP-01 に適用されたことを確認した後、基本的な機能テストをいくつか行って、ポリシーが予期したとおりに動作していることを確認しました。 IPS-LT-XP-01 から他の分離グループ内にあるさまざまなコンピュータに **net view** コマンドを実行しました。 このテストに加えて、\[IP セキュリティ モニタ\] MMC スナップインを使用して、適切な SA が作成されていることを確認しました。 次の表は、対象コンピュータに **net view** を実行した場合の成否とネゴシエートされた SA を示しています。
**注 :** 信頼されていないコンピュータに対して **net view** コマンドを実行する場合は、対象コンピュータのローカル管理者の資格情報を渡す必要があります。
**表 C.16: 送信時に IPsec のクリアを許可で実行された機能テストの結果**
IPS-PRINTS-01
成功
ハード SA
IPS-TZ-XP-01
成功
ハード SA
IPS-UT-XP-03
失敗
なし
**各対象コンピュータに機能テストを実行するには**
1. IPS-LT-XP-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-LT-XP-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### 暗号化分離グループを有効にする
暗号化分離グループに配置されているコンピュータのトラフィックは、暗号化する必要があります。 また、データをホストするサーバーは、選択されたサーバーの分離グループを実装してサーバーへのネットワーク アクセスを制限するように構成されています。
追加のグループ ポリシーとセキュリティ グループの使用により、"ネットワーク経由でコンピュータへアクセス" 権利を変更してサーバーへのアクセスを制御できます。 サーバーの権利を変更する場合は、正当なユーザーのアクセスをブロックしないように注意する必要があります。
**注 :** ここで使用する分離グループは、前述の「分離ドメインを有効にする」で実装されたものです。
#### 暗号化分離グループを実装する
Woodgrove Bank の実装チームは、IPsec 暗号化 が必要なコンピュータを特定して要暗号化ユニバーサル グループに配置しました。
**要暗号化グループにメンバを追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_EncryptionIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[オブジェクトの種類\]** ボタンをクリックし、**\[コンピュータ\]** チェック ボックスをオンにして、**\[OK\]** をクリックします。
6. **\[選択するオブジェクト名を入力してください\]** ボックスに「IPS-SQL-DFS-01; IPS-SQL-DFS-02」と入力し、**\[OK\]** をクリックします。
7. **\[OK\]** をクリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、コンピュータが CG\_EncryptionIG\_computers グループに追加されてから、暗号化分離グループ ポリシーが適用されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
#### 暗号化分離グループの展開を確認する
ポリシー オブジェクトを作成し、非アクティブ状態で Active Directory に展開した後は、分離グループ内でコンピュータが正常に機能していることを確認するプロセスを行う必要があります。
##### 実装テストの前に必要な処理
Woodgrove Bank では、暗号化分離グループ内のコンピュータの機能をテストする前に、レプリケーションとポリシー更新が処理される時間を十分に取り、適切な IPsec ポリシーが IPS-SQL-DFS-01 コンピュータと IPS-SQL-DFS-02 コンピュータに適用されたことを確認しました。
**適切な IPsec ポリシーが適用されたことを確認するには**
1. IPS-SQL-DFS-01 に Americas ドメインの管理者としてログオンします。
2. コマンド プロンプトを起動し、次のコマンドを実行します。
```
netsh IPsec static show gpoassignedpolicy
```
3. 出力を調べて、ディレクトリ ポリシー名が "IPSEC - Encryption Isolation Group IPsec Policy (1.0.041001.1600)" であることを確認します。
4. \[ローカル セキュリティ ポリシー\] ツールを起動します。
5. **\[ローカル ポリシー\]**、**\[ユーザー権利の割り当て\]** の順に展開し、右側のペインで **\[ネットワーク経由でコンピュータへアクセス\]** をダブルクリックします。
6. Authenticated Users グループが表示されていないことを確認します。
7. ANAG\_EncryptedResourceAccess\_computers グループと ANAG\_EncryptedResourceAccess\_users グループが表示されていることを確認します。
8. \[ローカル セキュリティ ポリシー\] ツールを終了します。
9. IPS-SQL-DFS-02 についても、手順 1 ~ 8 を繰り返します。
##### 実装の機能テスト
Woodgrove Bank では、ポリシーが IPS-SQL-DFS-01 および IPS-SQL-DFS-02 に適用されたことを確認した後、基本的な機能テストをいくつか行って、ポリシーが予期したとおりに動作していることを確認しました。 IPS-SQL-DFS-01 と IPS-SQL-DFS-02 に対して **net view** コマンドを実行しました。 このテストに加えて、\[IP セキュリティ モニタ\] MMC スナップインを使用して、適切な SA が作成されていることを確認しました。 次の表は、対象コンピュータに **net view** を実行した場合の成否とネゴシエートされた SA を示しています。
**注 :** 信頼されていないコンピュータに対して **net view** コマンドを実行する場合は、コンピュータにローカル管理者の資格情報を渡す必要があります。
**表 C.17: IPS-SQL-DFS-01 で実行された機能テストの結果**
IPS-SQL-DFS-02
成功
ハード SA
IPS-TZ-XP-01
成功
ハード SA
IPS-PRINTS-01
成功
ハード SA
IPS-UT-XP-03
失敗
なし
**対象コンピュータで実装の機能をテストするには**
1. IPS-SQL-DFS-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-SQL-DFS-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### 境界分離グループを有効にする
Woodgrove Bank では、信頼されていないコンピュータとの未認証通信を送受信する必要があるコンピュータを CG\_BoundaryIG\_computers ユニバーサル グループに配置しました。
#### 境界分離グループを実装にする
Woodgrove Bank の実装チームは、境界分離グループに所属するコンピュータを特定して CG\_BoundaryIG\_computers ユニバーサル グループに配置しました。
**CG\_BoundaryIG\_computers グループにメンバを追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_BoundaryIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[オブジェクトの種類\]** ボタンをクリックし、**\[コンピュータ\]** チェック ボックスをオンにして、**\[OK\]** をクリックします。
6. **\[選択するオブジェクト名を入力してください\]** ボックスに「IPS-PRINTS-01」と入力し、**\[OK\]** をクリックします。
7. **\[OK\]** をクリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、グループが CG\_BoundaryIG\_computers グループに追加されてから、境界分離グループ ポリシーが適用されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
#### 境界分離グループの展開を確認する
ポリシー オブジェクトを作成し、非アクティブ状態で Active Directory に展開した後は、分離グループ内でコンピュータが正常に機能していることを確認するプロセスを行う必要があります。
##### 実装テストの前に必要な処理
Woodgrove Bank では、境界分離グループ内のコンピュータの機能をテストする前に、レプリケーションとポリシー更新が処理される時間を十分に取り、適切な IPsec ポリシーがコンピュータに適用されたことを確認しました。
**適切な IPsec ポリシーが IPS-PRINTS-01 に適用されたことを確認するには**
1. IPS-PRINTS-01 に Americas ドメインの管理者としてログオンします。
2. コマンド プロンプトを起動し、次のコマンドを実行します。
```
netsh IPsec static show gpoassignedpolicy
```
3. 出力を調べて、ディレクトリ ポリシー名が "IPSEC – Boundary Isolation Group IPsec Policy (1.0.041001.1600)" であることを確認します。
##### 実装の機能テスト
Woodgrove Bank では、ポリシーが IPS-PRINTS-01 に適用されたことを確認した後、基本的な機能テストをいくつか行って、ポリシーが予期したとおりに動作していることを確認しました。 次の表のコンピュータに対して **net view** コマンドを実行しました。 このテストに加えて、\[IP セキュリティ モニタ\] MMC スナップインを使用して、適切な SA が作成されていることを確認しました。 次の表は、対象コンピュータに **net view** を実行した場合の成否と、暗号化リソース アクセス グループに参加している各コンピュータでネゴシエートされた SA を示しています。
**注 :** 信頼されていないコンピュータに対して **net view** コマンドを実行する場合は、コンピュータにローカル管理者の資格情報を渡す必要があります。
**表 C.18: IPS-PRINTS-01 で実行された機能テストの結果**
IPS-UT-XP-03
成功
ソフト SA
IPS-TZ-XP-01
成功
ハード SA
IPS-SQL-DFS-01
失敗
なし
**対象コンピュータで実装の機能をテストするには**
1. IPS-PRINTS-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-PRINTS-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### 分離ドメインを既定の分離グループとして構成する
Woodgrove Bank の管理者は、最終的な機能テストを行う前に、分離ドメインのセキュリティを構成してすべてのドメイン コンピュータに適用されるようにしました。 この方法では、新しいコンピュータをドメインに追加すると、そのコンピュータが分離ドメインにも自動的に追加されます (他の分離グループに配置する要件を持っている場合を除きます)。
さらに、ドメイン コンピュータ グループを CG\_BoundaryIG\_computers グループから削除しました。
**ドメイン コンピュータを CG\_BoundaryIG\_computers グループから削除するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_BoundaryIG\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[ドメイン コンピュータ\]** グループをクリックして、**\[削除\]** をクリックします。
5. **\[はい\]** をクリックしてグループを削除します。
6. **\[OK\]** をクリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、グループが CG\_BoundaryIG\_computers グループから削除されてから、境界分離グループ ポリシーが削除されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
**ドメイン コンピュータを CG\_IsolationDomain\_computers グループに追加するには**
1. IPS-CH-DC-01 に Americas ドメインの管理者としてログオンし、\[Active Directory ユーザーとコンピュータ\] を起動します。
2. ドメインを展開し、**\[Users\]** をクリックします。
3. 右側のペインで、**\[CG\_IsolationDomain\_computers\]** セキュリティ グループを右クリックし、**\[プロパティ\]** をクリックします。
4. **\[メンバ\]** タブをクリックし、**\[追加\]** をクリックします。
5. **\[選択するオブジェクト名を入力してください\]** ボックスに「ドメイン コンピュータ」と入力し、**\[OK\]** をクリックします。
6. もう一度 **\[OK\]** をクリックします。
**注 :** レプリケーションの遅延や IPsec ポリシーのポーリング間隔により、ドメイン コンピュータ グループが CG\_IsolationDomain\_computers グループに追加されてから、分離ドメイン グループ ポリシーが適用されるまで、時間がかかることがあります。 IPsec ポリシーをすぐに適用する必要がある場合は、ここでコンピュータを再起動します。 再起動しなかった場合は、セッション チケットがタイムアウトして新しいローカル グループ メンバシップ情報で更新された後に、ポリシーが適用されます。
#### IPsec ポリシーのリンク順序を並べ替える
適切なポリシーがホストに適用されるようにするには、IPsec ポリシーのリンク順序を更新する必要があります。 標準分離グループ ポリシーが境界分離グループ ポリシーではなく既定のポリシーとして表示され、初期の展開中に既定のポリシーとして使用されたので、このタスクが必要になりました。
**IPsec ポリシーを既存の GPO にリンクさせるには**
1. ドメインの管理者としてログオンし、GPMC を起動します。
2. ドメインを展開します。
3. ドメイン名をクリックします。
4. **\[リンクされたグループ ポリシー オブジェクト\]** リストで、矢印ボタンを使用してポリシーを次の表の順序に並べます。
**表 C.19: ドメイン レベルでのグループ ポリシー オブジェクトのリンク順序**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >リンク順序</th>
<th style="border:1px solid black;" >グループ ポリシー オブジェクト名</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">1</td>
<td style="border:1px solid black;">IPSEC – Encryption Isolation Group Policy</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">2</td>
<td style="border:1px solid black;">IPSEC – No Fallback Isolation Group Policy</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">3</td>
<td style="border:1px solid black;">IPSEC – Boundary Isolation Group Policy</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">4</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">5</td>
<td style="border:1px solid black;">既定のドメイン ポリシー</td>
</tr>
</tbody>
</table>
ページのトップへ
最終的な機能テスト – すべての分離グループの有効化
Woodgrove Bank では、すべての分離グループを有効にした後、基本的な機能テストをいくつか行って、ポリシーが予期したとおりに動作していることを確認しました。 Woodgrove Bank の管理者は、各ポリシーの実装時に基本的な機能テストを行いましたが、分離グループを 1 つずつ有効にしていたので、完全な機能テストは行えませんでした。 管理者は、各分離グループ内の 1 つまたは複数のコンピュータから他の分離グループ内のコンピュータに対して net view コマンドを実行して、適切な接続が確立されているかどうかを確認しました。 一部の分離グループの複数のコンピュータが選択されました。これらのコンピュータには、応答側であるか開始側であるかによって異なるトラフィック パターンがありました。 また、管理者は、[IP セキュリティ モニタ] MMC スナップインを使用して、適切な SA が作成されたことを確認しました。
次の表は、対象コンピュータに net view を実行した場合の成否と、テスト用に選択されたコンピュータでネゴシエートされた SA を示しています。
注 : 信頼されていないコンピュータに対して net view コマンドを実行する場合は、コンピュータにローカル管理者の資格情報を渡す必要があります。
次の手順では、IPS-SQL-DFS-01 (開始側として動作) から他の分離グループおよびネットワーク アクセス グループ内にあるさまざまなコンピュータへの接続をテストします。
表 C.20: IPS-SQL-DFS-01 で実行された機能テストの結果
IPS-ST-XP-05
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA (暗号化あり)
IPS-TZ-XP-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA (暗号化あり)
IPS-PRINTS-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA (暗号化あり)
IPS-UT-XP-03
失敗
開始側はクリアテキストへのフォールバックをサポートしていない。
なし
**対象コンピュータからの接続をテストするには**
1. IPS-SQL-DFS-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-SQL-DFS-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-TX-XP-06 (開始側として動作) から他の分離グループおよびネットワーク アクセス グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.21: IPS-TZ-XP-06 で実行された機能テストの結果**
IPS-SQL-DFS-01
失敗
応答側が暗号化リソース アクセス の一部である。
なし
IPS-ST-XP-05
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-TZ-XP-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-PRINTS-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-UT-XP-03
成功
コンピュータは IPsec を正常にネゴシエートできる。
ソフト SA
**対象コンピュータからの接続をテストするには**
1. IPS-TZ-XP-06 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-TZ-XP-06\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-ST-XP-06 (開始側として動作) から他の分離グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.22: IPS-ST-XP-05 で実行された機能テストの結果**
IPS-SQL-DFS-01
成功
発信側が暗号化リソース アクセス グループの一部である。
ハード SA (暗号化あり)
IPS-TZ-XP-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-PRINTS-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-UT-XP-03
成功
コンピュータは IPsec を正常にネゴシエートできる。
ソフト SA
**対象コンピュータからの接続をテストするには**
1. IPS-ST-XP-05 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-ST-XP-05\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-TZ-XP-01 (開始側として動作) から他の分離グループおよびネットワーク アクセス グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.23: IPS-TZ-XP-01 で実行された機能テストの結果**
IPS-SQL-DFS-01
失敗
応答側が暗号化リソース アクセス グループの一部である。
なし
IPS-ST-XP-05
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-PRINTS-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-UT-XP-03
成功
開始側はクリアテキストへのフォールバックをサポートしている。
ソフト SA
**対象コンピュータからの接続をテストするには**
1. IPS-TZ-XP-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-TZ-XP-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-LT-XP-01 (開始側として動作) から他の分離グループおよびネットワーク アクセス グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.24: IPS-LT-XP-01 で実行された機能テストの結果**
IPS-SQL-DFS-01
失敗
応答側が暗号化リソース アクセス グループの一部である。
なし
IPS-ST-XP-05
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-TZ-XP-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-UT-XP-03
失敗
開始側はクリアテキストへのフォールバックをサポートしていない。
なし
**対象コンピュータからの接続をテストするには**
1. IPS-LT-XP-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-LT-XP-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-PRINTS-01 (開始側として動作) から他の分離グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.25: IPS-PRINTS-01 で実行された機能テストの結果**
IPS-SQL-DFS-01
失敗
応答側が境界ホストへのアクセスを明示的に拒否する。 応答側が暗号化リソース アクセス グループの一部である。
なし
IPS-ST-XP-05
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-TZ-XP-01
成功
コンピュータは IPsec を正常にネゴシエートできる。
ハード SA
IPS-UT-XP-03
成功
開始側はクリアテキストへのフォールバックをサポートしている。
ソフト SA
**対象コンピュータからの接続をテストするには**
1. IPS-PRINTS-01 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-PRINTS-01\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** IPS-UT-XP-03 の場合は、ローカル管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
次の手順では、IPS-UT-XP-03 (開始側として動作) から他の分離グループおよびネットワーク アクセス グループ内にあるさまざまなコンピュータへの接続をテストします。
**表 C.26: IPS-UT-XP-03 で実行された機能テストの結果**
IPS-SQL-DFS-01
失敗
応答側はクリアテキストへのフォールバックと受信パススルーをサポートしていない。 応答側が暗号化リソース アクセス グループの一部である。
なし
IPS-ST-XP-05
失敗
応答側はクリアテキストへのフォールバックと受信パススルーをサポートしていない。
なし
IPS-TZ-XP-01
失敗
応答側はクリアテキストへのフォールバックと受信パススルーをサポートしていない。
なし
IPS-PRINTS-01
成功
応答側はクリアテキストへのフォールバックと受信パススルーをサポートしている。
ソフト SA
**対象コンピュータからの接続をテストするには**
1. IPS-UT-XP-03 に Americas ドメインの管理者としてログオンします。
2. \[IP セキュリティ モニタ\] MMC スナップインを起動し、**\[IP セキュリティ モニタ\]**、**\[IPS-UT-XP-03\]**、**\[クイック モード\]** の順に展開し、**\[セキュリティ アソシエーション\]** をクリックします。
3. コマンド プロンプトを起動し、次のコマンドを実行します。
```
net view \\\\<Target Computer>
```
**注 :** ドメインベースのコンピュータの場合は、ドメイン管理者の資格情報を **net view** コマンドで渡してください。
4. \[IP セキュリティ モニタ\] MMC スナップインの **\[セキュリティ アソシエーション\]** で、成功した各接続を調べて、適切な SA がネゴシエートされたことを確認します。
5. 上記の表の各 <*対象コンピュータ*> について、手順 3 ~ 4 を繰り返します。
[](#mainsection)[ページのトップへ](#mainsection)
### 要約
この章のタスクを完了すると、次の作業を完了したことになります。
- Active Directory でフィルタ一覧、フィルタ操作、規則、および IPsec ポリシーを作成しました。
- Active Directory で GPO を構成して、IPsec ポリシーを適切に適用しました。
- 境界分離グループと分離ドメインを組織全体に段階的に公開しました。
- 複数の分離グループを構成して、応答側のアクセスを制御しました。
- 分離ドメインを有効にし、テストしました。
- フォールバックを行わない分離グループを有効にし、テストしました。
- 暗号化分離グループを有効にし、テストしました。
- 境界分離グループを有効にし、テストしました。
[](#mainsection)[ページのトップへ](#mainsection)