IPsec とグループ ポリシーを使用したサーバーおよびドメインの分離

  • [アーティクル]

第 6 章 : サーバーおよびドメインの分離環境を管理する

最終更新日: 2005年5月30日

この章では、運用環境への展開が正常に完了した後の、サーバー/ドメイン分離ソリューションの管理方法について説明します。

分離ソリューションによってセキュリティ層が追加される点、したがってホストがリソースに正常に接続するためにはネットワーク接続や IP アドレス以外のものが必要になる点を、サポート スタッフがきちんと理解しておくことが重要です。 同様に、IPsec ポリシーおよびグループ ポリシーを担当するスタッフは、1 つでも正しくない設定があるとそのポリシーを利用するホストの機能が大幅に制限されることを理解する必要があります。 このような理由から、一連の管理プロセスと手順については詳細に文書化したうえで適切に通達し、サポート チームがソリューションの運用環境への移行後に使用できるようにしておく必要があります。

この章では、このようなソリューション管理プロセスを策定する方法について説明します。 ここで説明する内容は、各自の実装ニーズに合わせて可能な限りカスタマイズする必要があります。 サーバ/ドメイン分離ソリューションを適切に管理する秘訣は、前倒しで計画することです。

トピック

章の前提条件
変更管理
バックアップ/復元に関する考慮事項
ネットワーク経由の感染への対策
要約

章の前提条件

この章で説明している内容を実行するには、その前に Microsoft® Operations Framework (MOF) で使用されている概念と IPsec の概念を理解する必要があります。 また、Microsoft Windows® 2000 Server 以降に関する次の項目についても、理解している必要があります。

  • Microsoft Windows Server™ 2003 の基本的な操作および保守方法。これには、イベント ビューア、コンピュータの管理、NTBackup などのツールの使用方法も含まれます。

  • Active Directory® ディレクトリ サービス。Active Directory の構造とツール、ユーザー、グループ、およびその他の Active Directory オブジェクトの操作方法、グループ ポリシーの使用方法などです。

  • Windows システムのセキュリティの概念。これには、ユーザー、グループ、監査、アクセス制御のリスト、セキュリティ テンプレートの使用方法、グループ ポリシーまたはコマンドライン ツールを使用したセキュリティ テンプレートの適用などが含まれます。

  • 特に IPsec と TCP/IP に関する、コア ネットワーキング概念の理解。

  • Windows Scripting Host に関する理解および Microsoft Visual Basic® Scripting Edition (VBScript) に関する知識。これがあると、提供されるスクリプトを最大限に活用できます。ただしこの知識は必須ではありません。

この章の先に進む前に、このガイドのここ以前の章を読み、ソリューションのアーキテクチャと設計に関して十分に理解しておくことをお勧めします。

ページのトップへ

変更管理

変更管理プロセスの主要な目標は、差し迫った変更によって影響を受ける関係者が、そのような変更の影響を認識し理解できるようにすることです。 ほとんどのシステムは相互に密接に関連しているので、システムの一部を変更すると、別のシステムが深刻な影響を受けることがあります。 悪影響を軽減または排除するには、変更管理において、変更の実施前に、影響されるすべてのシステムおよびプロセスを特定します。 一般に、ターゲット環境 (管理対象環境) とは運用環境のことですが、これにはキーの統合環境、テスト環境、およびステージング環境も含まれます。

IPsec 環境に対してどのような変更を実施した場合も、その後、次に示す標準的な MOF 変更管理プロセスを実施する必要があります。

  1. 変更の要求: 変更の要求 (RFC) を発行して変更を正式に開始します。

  2. 変更の分類: 緊急度、およびインフラストラクチャまたはユーザーに対する影響を基準にした変更に、優先度およびカテゴリを割り当てます。 この割り当ては、実装のスピードとルートに影響します。

  3. 変更の承認: 変更マネージャおよび変更承認委員会 (CAB) が変更を検討し、承認/非承認を決定します。CAB には IT および運営の担当者が参加します。

  4. 変更の開発: 変更を計画および開発します。このプロセスはそれぞれの目的によって大きく異なります。主な中間マイルストーンでのレビューも含まれます。

  5. 変更のリリース: 変更を運用環境にリリースおよび実装します。

  6. 変更のレビュー: 変更の実装後、当初の目的を達成したか、変更を有効にするかどうかを決定するプロセスです。

以降のセクションでは、IPsec 環境で日常的に必要になる主な変更のいくつかの、変更開発手順の概要について説明します。 変更開発手順には、それぞれに応じた変更リリース手順があります。変更リリース手順は、変更をどのような方法で運用環境に展開する必要があるかを示します。

IPsec ポリシーを変更する

IPsec ポリシーの変更が通信に与える影響の程度を理解することは重要です。 初期公開時と同様、最初に考慮すべき点は変更のタイミングです。このタイミングは、実装の変更能力や変更を展開する時間の枠組みに影響します。

ポリシー適用の遅延

グループ ポリシー オブジェクト (GPO) 内の IPsec ポリシーの割り当てが新しい IPsec ポリシーに変更された場合は、遅延が発生します。 ドメインでは、割り当てを含む GPO 属性を Active Directory が複製する際に遅延が発生し、ドメイン メンバであるグループ ポリシー クライアントがポーリングを行って GPO 内の変更を検出する際にも遅延が発生します。 これらの遅延は、小規模な環境では 1 分未満で済みますが、グローバル エンタープライズでは数時間に及ぶことがあります。 マイクロソフトでは、テストを行って遅延結果 (最小値、最大値、中間値) を文書化しておくことをお勧めします。こうしておくと、変更を導入したときに、最初の影響としてかかる時間と完全な公開を行う際に必要な時間を予測することができます。

既に割り当てられている IPsec ポリシーを変更した場合も、同様の遅延が発生します。 Active Directory が IPsec ポリシー オブジェクトを複製する際に遅延が発生し、メンバ コンピュータ上の IPsec ポリシー サービスがポーリングを行う際にも遅延が発生します。 GPO のポリシー割り当てが IPsec ポリシーよりも前に複製されるように、条件を作成することができます。これを作成した場合、クライアントはドメインベースの IPsec ポリシーが割り当てられている場合と同様に動作しますが、そのポリシーを取得することはできません。 このような場合、Windows 2000 および Windows XP のホストは、ドメインベースのポリシーの適用に失敗します。 また、割り当てられる可能性のあるローカル ポリシーは一切適用しません。

Active Directory の複製による遅延に適切に対応するには、まずすべてのオブジェクト (GPO、IPsec ポリシーなど) を作成して、その後に IPsec ポリシーの割り当てを GPO 内に作成します。

IPsec の接続性に影響を与える変更

IPsec ソリューションを構成するポリシーおよびグループ内の接続性に影響する可能性のある領域は数多くあります。 ここでは、クライアントに最新の更新プログラムがインストールされていない可能性があるときにサーバー ポリシーを変更した場合を例に挙げて、通常の変更が IPsec の接続性に与える影響の内容について説明します。 変更によってインターネット キー交換 (IKE) メイン モードまたはクイック モードが失敗するようになった場合は、現在の IPsec セキュリティ アソシエーション (SA) がアイドルになるか、またはその有効期間 (バイト数または秒数単位) が終了した直後にトラフィック フローは停止します。

ここで説明した影響は、IPsec クライアント/サーバー機能のほとんどの変更作業で発生します。 Woodgrove Bank の IPsec ポリシー設計を前提としたものではありません。 クライアントに Woodgrove Bank の設計と似たポリシーが適用されている場合も (クライアントにサーバーへの IKE を開始するフィルタを適用)、またはクライアントが既定の応答規則のみを使用している場合も、ここで説明した事態が発生します。

メイン モードの変更

認証方法またはメイン モードのセキュリティ メソッドを変更した場合、IKE は既存のメイン モードを削除します。この動作は、確立されているクイック モード IPsec SA には影響しません。 次のクイック モードのキー更新が行われたときに、新しいメイン モード SA が生成されます。

一般的には、サーバー ポリシーを変更しても、既存のクライアントがメイン モードのキーを更新する機能に影響はありません。 ただし、サーバー側で次のような変更を行うと、クライアントとの IKE メイン モード ネゴシエーションが失敗する可能性があります。

  • クライアントが使用できる古い認証方法を含めずに新しい認証方法 (証明書のみ) に変更する。

  • クライアントが DES/SHA1/DH1 だけを使用するように構成されている場合に、メイン モードのセキュリティ メソッドを 3DES/SHA1/DH1 または DH2 に変更する。

  • メイン モード PFS (Perfect Forward Secrecy) を使用するようにクライアントとサーバーの両方のポリシーを更新しないまま、メイン モード PFS をアクティブにする。

  • クイック モード PFS を使用するようにクライアントとサーバーの両方のポリシーを更新しないまま、クイック モード PFS をアクティブにする。

次のサーバー ポリシーの変更は、クライアントのメイン モード SA のキー更新機能に影響を与えません。

  • ポリシーの変更をポーリングする間隔 (メイン モード IKE 設定ではないため)。

  • 同じマスタ キーを使用するセッション キー (IKE メイン モード 1 回に対してクイック モードを使用する回数など)。

  • クライアントが認識していない新しいセキュリティ メソッドを追加する。

  • IKE メイン モード SA の [新しいキーを認証して生成する間隔] パラメータで、IPsec ポリシーのキー交換の詳細設定を変更する。

クイック モードの変更

IPsec SA 用に使用されていたフィルタ操作を変更すると、このポリシー設定に基づいて確立された既存の IPsec SA が削除されます。 そのため、トラフィック フローがある場合は、新しいクイック モードが試行されます。 この変更プロセスで一部のトラフィックが失われることがありますが、TCP 接続は回復します。 ただし、高速データ転送の場合、IPsec SA が即座に削除されると、新しいクイック モードが確立されるまで送信トラフィックは破棄されます。 たとえば、TCP によって回復できないビデオ データ ストリームの大量のパケットがあると、ビデオ アプリケーションの接続がリセットされます。

次のようなサーバー ポリシーの変更を行うと、アクティブな IPsec クライアントのクイック モードのキー更新能力に影響します。

  • 一般的なフィルタを詳細に指定されたフィルタに変更する。 このような変更の例としては、最初は "全トラフィック" を対象にしたフィルタをサーバーに適用し、次にこれを削除して、"TCP のみ" を対象にしたフィルタを残した場合があります。 問題の発生を防ぐには、詳細に指定されたフィルタを追加するときに、汎用フィルタもそのまま残すようにします。 たとえば、クライアントには既定の応答ポリシーが適用され、サーバーに適用されるポリシーは "全トラフィック" から "TCP のみ" に変更されるものとします。詳細に指定されたフィルタは、サーバー上の送信トラフィックに左右されることになり、クライアントから既定の応答がある場合にのみ TCP の新しい IPsec SA が確立されます。 すべてのクライアント上の "全トラフィック" フィルタはいずれ削除される予定になり (2 時間後)、その後サーバー ポリシーで安全に削除できます。

    許可の操作を含む詳細に指定されたフィルタがサーバーに追加されると、そのトラフィックは直ちに許可されるようになりますが、クライアントの一般的な IPsec 既定応答フィルタで破棄される可能性があります。 たとえば、Internet Control Message Protocol (ICMP) 適用除外フィルタがサーバーに追加されますが、クライアントは既に、サーバー宛てのすべてのトラフィックに対してセキュリティ保護されています。 この場合、クライアントは送信 ICMP をセキュリティ保護し、プレーンテキスト ICMP を返信で受け取り、パケットを破棄します。これは、現在の IPsec 既定応答フィルタでは、すべてのトラフィックがセキュリティ保護されている必要があるためです。 この例は特殊なもので、サーバーとクライアント間の ICMP トラフィック以外のトラフィックには影響しません。また、これは予期された設計動作であり、クライアントでの全トラフィックのセキュリティ保護をサーバーが要求した後、必ず ICMP トラフィックが失われます。 これは、運用上の重要な問題になる場合とならない場合があります。

  • 互換性のないセキュリティ メソッドまたはカプセル化タイプを別のものに変更する。 たとえば、ESP トランスポート モードでの 3DES/SHA1 のみの設定を、ESP トランスポート モードでの 3DES/MD5 のみの設定に変更する場合です。 このような変更を行った場合に発生する IKE クイック モード ネゴシエーションの失敗を回避するには、古いセキュリティ メソッドまたはカプセル化タイプを、新しいセキュリティ メソッドの最後の選択肢として含めます。 すべての IPsec SA で新しいカプセル化方法が使用されていることを確認したら、セキュリティ メソッド リストの一番下にある古いメソッドを削除できます。

  • クライアントが IKE メイン モードまたはクイック モードを確立するのに必要な規則を完全に無効にする。 クイック モードではフィルタは削除されるため、別のフィルタが IKE メイン モードおよびクイック モードのネゴシエーションを管理します。または、どのフィルタも管理しません。

  • フィルタ操作を、セキュリティのネゴシエートから許可またはブロックに完全に変更する。 明示的に許可またはブロックされるトラフィックは、IPsec によって保護された通信チャネルに参加しないため、キー更新を必要としません。

  • クリアテキストへのフォールバックを許可するチェック ボックスをオフにする。 この操作を行うと、現在接続されているクライアントは、ソフト SA が存在する限り接続されたままになります。 SA が期限切れになるかアイドル状態になると、サーバー送信トラフィックが増えるため IKE による新しいメイン モード ネゴシエーションが試行され、フォールバックしないという新しい設定が認識されます。 IKE ネゴシエーションに正常に応答できないクライアントは、接続に失敗します。 これは所定の動作です。

  • セキュリティ保護されていない通信を許可するチェック ボックスをオフにする。 この操作を行うと、送信 IKE メイン モードの開始をトリガする IPsec フィルタがクライアントに適用されていない場合、クライアントは接続を切断されます。 既定の応答規則があるクライアントは、サーバーにトラフィックが送信されない状態が 2 時間続いて既定の動的応答フィルタがアイドル状態になるまで、接続されたままの状態になります。いったん切断されると再接続はできません。

次のサーバー ポリシーの変更は、クライアントのクイック モード SA のキー更新機能に影響を与えません。

  • 現在の IPsec SA に既に含まれているトラフィックに一致しないフィルタを追加しても、そのトラフィックに影響はありません。 たとえば、新しいドメイン コントローラの IP アドレス用の許可フィルタをサーバーのポリシーに追加する場合などです。

  • フィルタ操作の IPsec SA 有効期間 (バイト数または時間) を変更する。

  • フィルタ操作を "許可" から "セキュリティのネゴシエート" に変更する。 クライアントが応答できる場合は、クライアントはそのトラフィックのセキュリティ保護された接続をネゴシエートできます。

IPsec ポリシーの変更手順

以降のセクションでは、GPO を使用して配信する IPsec ポリシーを変更する手順について説明します。 ここで説明する手順では、IP セキュリティ ポリシーの Microsoft 管理コンソール (MMC) スナップインを使用していますが、Windows Server 2003 システムの Netsh コマンドライン ツールでも同じ作業を行うことができます。

マイクロソフトでは、最高のスクリプト作成および監視機能を利用できるという理由から、ポリシー管理ステーションに Windows Server 2003 プラットフォームを使用することをお勧めしています。

Windows IPsec ポリシーのエクスポートおよびインポート機能は、バックアップ/復元用に用意されたものです。 エクスポート機能を使用すると、すべての IPsec ポリシー オブジェクトを保存場所にコピーして、関連するすべてのオブジェクトをバックアップに取り込むことができます。 現在のすべてのドメイン ポリシーをテスト用のローカルの保存場所に移動する場合は、エクスポートを使用することをお勧めします。 エクスポート機能を使用する前に、ローカルの保存場所から不要なすべてのオブジェクト (ポリシー、フィルタ一覧、フィルタ操作など) を念入りに削除して、エラーの原因を取り除くようにしてください。 マイクロソフトでは、エクスポートされたローカル ストアをドメインへのインポートに使用することはお勧めしていません。これは、古いバージョンのオブジェクトが最新バージョンのドメインを上書きして、オブジェクト間のリンクを壊す可能性があるためです。

IPsec ポリシーを作成したり、既存のフィルタ一覧にフィルタを追加するなど、既存のオブジェクトに大幅な追加を行う場合は、コマンド ライン スクリプトを使用することをお勧めします。 通常、IPsec ポリシーでそのような大幅な変更を行う場合は、新しいバージョンの IPsec ポリシーを作成します。

ポリシーを作成したら、スクリプトまたは [IP セキュリティ ポリシーの管理] MMC スナップインを使用して変更を行います。 IPsec ポリシーを作成して実際に利用を始めた後に小さな変更を行う場合は、[IP セキュリティ ポリシーの管理] MMC スナップインを使用することをお勧めします。

Windows 2000 のコマンドライン ツールである Ipsecpol.exe ではポリシーの作成しかできないため、Windows 2000 Active Directory の変更管理には MMC スナップインを使用します。 同じ名前の新しいオブジェクトの追加は、Netsh の add コマンドでは許可されていません。 そのため、またスクリプトは多くの場合何度も実行されるため、Netsh スクリプトには、まず既存のポリシー オブジェクトを削除してそれから新しいポリシー オブジェクトを追加する初期ステップを含める必要があります。 存在しないオブジェクトを削除すると、予期しないエラー メッセージが返され、スクリプトの実行が停止しなくなります。

既に GPO に割り当てられている ドメイン IPsec ポリシーを削除すると、GPO リンクが無効になります。 GPO を編集して、IPsec ポリシーの最新バージョンを再割り当てする必要があります。

注 : 以降のセクションでは、Active Directory で直接 IPsec ポリシーを変更する方法について説明していますが、すべての変更は、運用環境に展開する前にローカル システムまたはテスト環境でテストされているものと想定しています。

分離グループの IPsec ポリシー割り当てを変更する

分離グループに割り当てられている IPsec ポリシーを変更するには、現在の IPsec ポリシーを新しい IPsec ポリシーに置き換えます。

特定の GPO が配布している IPsec ポリシーを変更するには、グループ ポリシー管理コンソール (GPMC) を使用します。 新しい IPsec ポリシーと現在のポリシーを配布している GPO を特定したら、次の手順に従います。

分離グループに割り当てられている IPsec ポリシーを変更するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. GPMC を起動します。

  3. [フォレスト: <ドメイン名>][ドメイン][<ドメイン名>] を展開します。

  4. GPO 名を右クリックして、[編集] を選択します。

  5. [コンピュータの構成][Windows の設定][セキュリティの設定] を展開し、[Active Directory の IP セキュリティ ポリシー (ドメイン名)] をクリックします。

  6. 右ペインで <IPsec ポリシー名> を右クリックして、[割り当て] を選択します。

  7. <IPsec ポリシー名> が割り当てられていることを確認したら、GPO エディタを閉じて GPMC を閉じます。

ドメイン内の既存の IPsec ポリシーを変更する

IPsec の機能は Windows XP で拡張され、Windows Server 2003 でさらに拡張されたため、IPsec ポリシーのストレージ形式は、これらの拡張機能の設定が含まれるように変更されています。 以前のリリースの [IP セキュリティ ポリシーの管理] MMC スナップインを使用して、これらの拡張機能が含まれているポリシーを表示または編集しないようにしてください。 ポリシー コンポーネントの表示中に [OK] をクリックすると、変更を行わなかった場合でも、現在のメモリに含まれている設定で既存の設定が上書きされます。 Windows XP の各サービス パック、および Windows 2000 Service Pack 4 (SP4) では、新しいバージョンのポリシーを検出するように更新されているため、この問題の発生を回避することができます。 ただし、MMC スナップインの動作は、変更アクセスが拒否された場合と同様に変更の保存に失敗したようにしか見えません。また、製品がリリースされたときに存在したエラー メッセージが返されます。 同様に、MMC スナップインを実行しているユーザーが IPsec ポリシー オブジェクトの読み取りアクセス許可しか持っていない場合、アクセス拒否エラーが発生すると変更内容が失われます。 変更を行わない場合は、Windows Server 2003 で [IP セキュリティ ポリシーの管理] MMC スナップインの読み取り専用モードを使用してください。 また、MMC スナップインには、リモート コンピュータまたはドメインへの接続時に異なるユーザー ID およびパスワードを入力する機能は備わっていません。 変更するには、適切な許可を持つユーザーのアカウントでデスクトップにログオンする必要があります。

既存の規則フィルタ一覧を変更する

場合によっては、既存の規則フィルタ一覧を変更して、フィルタ項目の追加、削除、または変更を行う必要があります。 この変更を行うには、[IP セキュリティ ポリシーの管理] MMC スナップインを使用します。 フィルタ一覧内のフィルタの順番は、IPsec ドライバがパケットを処理する順序に影響しません。 IPsec ポリシーのすべての規則のすべてのフィルタ一覧のフィルタは、重要度に関する内部アルゴリズムによって順序付けされます。 変更するには、IPsec ポリシーで使用している他のフィルタと重複するフィルタを作成していないことを手動で確認する必要があります。 変更テスト処理の一部として、ポリシーはコンピュータにローカルに割り当て、[IP セキュリティ モニタ] MMC スナップインまたはコマンドライン出力を使用してフィルタの順序の正確な表示や重複するフィルタの検出を実施できるようにする必要があります。

コンピュータをフィルタ一覧に追加するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. [Active Directory の IP セキュリティ ポリシー] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] を選択します。

  4. [IP フィルタ一覧とフィルタ操作の管理] ウィンドウの [IP フィルタ一覧の管理] タブで、適用除外フィルタ一覧をクリックして [編集] をクリックします。

  5. [追加ウィザードを使用] チェック ボックスがオフになっていることを確認します。

  6. [IP フィルタ一覧] ダイアログ ボックスで [追加] をクリックします。

  7. [ソース アドレス] ドロップダウン ボックスで [任意の IP アドレス] をクリックします。

  8. [宛先アドレス] ドロップダウン ボックスで [特定の IP アドレス] をクリックします。

  9. [IP アドレス] テキスト ボックスに、特定の IP アドレスを入力します。

  10. [ミラー化] チェック ボックスがオンになっていることを確認します。

  11. [説明] タブで、フィルタ項目の説明を入力します。

  12. [OK] をクリックし、もう一度 [OK] をクリックします。

  13. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

    注 : 適用除外フィルタ一覧に新しいシステムを追加した場合は、非 IPsec セキュリティ グループにそのコンピュータのアカウントを追加する必要があります。

フィルタ一覧のコンピュータのエントリを編集するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. [Active Directory の IP セキュリティ ポリシー] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] を選択します。

  4. [IP フィルタ一覧とフィルタ操作の管理] ウィンドウの [IP フィルタ一覧の管理] タブで、適用除外フィルタ一覧をクリックして [編集] をクリックします。

  5. [追加ウィザードを使用] チェック ボックスがオフになっていることを確認します。

  6. [IP フィルタ] リストで <computer name> システムに対応するフィルタをクリックして、[編集] をクリックします。

  7. [IP アドレス] テキスト ボックスのエントリを新しい IP アドレスに変更します。

  8. [OK] をクリックし、もう一度 [OK] をクリックします。

  9. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

フィルタ一覧からエントリを削除するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. [Active Directory の IP セキュリティ ポリシー] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] を選択します。

  4. [IP フィルタ一覧とフィルタ操作の管理] ウィンドウの [IP フィルタ一覧の管理] タブで、適用除外フィルタ一覧をクリックして [編集] をクリックします。

  5. [IP フィルタ] リストで <computer name> システムに対応するフィルタをクリックします。

  6. [IP フィルタ一覧] ダイアログ ボックスで [削除] をクリックします。

  7. [はい] をクリックしてフィルタ項目を削除します。

  8. [OK] をクリックし、もう一度 [OK] をクリックします。

  9. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

    注 : 適用除外フィルタ一覧からシステムを削除した場合は、非 IPsec セキュリティ グループからそのコンピュータのアカウントを削除する必要があります。

既存の規則フィルタ操作を変更する

IPsec ポリシー内の各規則には、規則が一致したときに実行される、対応するフィルタ操作が含まれます。 新しい規則とフィルタ操作が組み合わせで適用されているコンピュータに新しい IPsec ポリシーを割り当てることもできますが、既に存在している IPsec ポリシー内の規則のフィルタ操作を変更する方が簡単です。 たとえば、一組のコンピュータ用のカスタム IPsec ポリシーが存在する場合は、新しい IPsec ポリシーを作成するよりも、規則に割り当てられているフィルタ操作を変更する方が簡単です。

[IP セキュリティ ポリシーの管理] MMC スナップインを使用して、新しいフィルタ操作を使用するように IPsec ポリシーに規則を設定できます。

既存の規則フィルタ操作を変更するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. 右ペインで **<IPsec ポリシー名>を右クリックして、[プロパティ] を選択します。

  4. [IP セキュリティの規則] リストで <規則名> をクリックして、[編集] をクリックします。

  5. [フィルタ操作] タブの [フィルタ操作] リストで、<新しいフィルタ操作> をクリックして隣接するボタンを選択します。

  6. [OK] をクリックし、もう一度 [OK] をクリックします。

  7. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

既存の規則認証方法を変更する

IPsec ポリシーの既定の認証方法では、Kerberos バージョン 5 プロトコルを使用しています。 後で、既存の規則に関連付けられている認証方法を変更する必要が出てくることがあります。 たとえば、コンピュータの認証に証明書を使用できるように、公開キー基盤 (PKI) を展開する可能性があります。

選択可能な認証方法ごとにそれぞれ異なる情報を入力する必要がありますが、認証方法を追加する手順は同じです。 たとえば、事前共有キーを使用する場合は、キーを特定する必要があります。証明書を使用する場合は、証明期間 (CA) を認識する必要があります。 新しい認証オプションを既存の IPsec 規則に追加するためには、次の手順に従います。

既存の規則にオプションを追加するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. 右ペインで <IPsec ポリシー名> を右クリックして、[プロパティ] を選択します。

  4. [IP セキュリティの規則] リストで <規則名> をクリックして、[編集] をクリックします。

  5. [認証方法] タブで [追加] をクリックします。

  6. 選択する新しい認証オプションの隣にあるボタンをクリックして、必要な場合は設定を行います。

  7. [OK] をクリックします。

  8. [認証方法の優先順位] リストで、[上へ移動]/[下へ移動] ボタンを使用して認証方法の優先順位を決定します。

    注 : 認証方法を削除するには、[認証方法の優先順位] リストで削除する認証方法をクリックして、[削除] をクリックします。

  9. [OK] をクリックし、もう一度 [OK] をクリックします。

  10. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

新しい規則を既存の IPsec ポリシーに追加する

既存の IPsec ポリシーに新しい規則を追加して、環境内のコンピュータ間で行われる通信をさらに詳細に制限または許可することができます。 たとえば、IPsec 対応システムが特定の分離グループ内のシステムと通信する必要があるにもかかわらず、IPsec インフラストラクチャからそのポリシーを取得していない場合、分離グループのポリシーを変更して通信を許可することができます。

この例の場合、管理対象ではない IPsec ホストには、通信を許可するポリシーが適用される必要があります。 さらに、証明書または事前共有キーのいずれかから、共有する認証方法を決定する必要があります。 適切な認証方法に関する合意がなされたら、分離グループ用の既存の IPsec ポリシーで、トラフィックの発生を許可する新しい規則を作成できます。

必要な手順として、新しいフィルタ一覧をディレクトリに作成し、新しいフィルタ一覧を既存のポリシーに関連付け、認証メカニズムの構成を行って選択した新しい認証方法が含まれるようにします。

特定のコンピュータに送信されたすべてのトラフィックを許可する新しいフィルタ一覧を作成するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. [Active Directory の IP セキュリティ ポリシー] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] を選択します。

  4. [IP フィルタ一覧の管理] タブで [追加] をクリックします。

  5. [名前] テキスト ボックスに、フィルタ一覧の名前を入力します。

  6. [説明] テキスト ボックスに、フィルタ一覧の説明を入力します。

  7. [追加ウィザードを使用] チェック ボックスがオフになっていることを確認します。

  8. [IP フィルタ一覧] ダイアログ ボックスで [追加] をクリックします。

  9. [ソース アドレス] ドロップダウン ボックスで [任意の IP アドレス] をクリックします。

  10. [宛先アドレス] ドロップダウン ボックスで [特定の IP アドレス] をクリックします。

  11. [IP アドレス] テキスト ボックスに、特定のコンピュータの IP アドレスを入力します。

  12. [ミラー化] チェック ボックスがオンになっていることを確認します。

    注 : 既定では、この手順を実行すると、任意の IP アドレスから特定の IP アドレスに送信されるすべてのトラフィックを照合する規則が作成されます。 特定のポートまたはプロトコルに基づいて照合を行う必要がある場合は、[プロトコル] タブで追加設定を行う必要があります。

  13. [説明] タブで、フィルタ項目の説明を入力します。

  14. [OK] をクリックし、もう一度 [OK] をクリックします。

IPsec ポリシーを変更して、新しいフィルタ一覧とフィルタ操作を使用できるようにするには

  1. <IPsec ポリシー名> を右クリックして [プロパティ] を選択します。

  2. [追加ウィザードを使用] チェック ボックスがオフになっていることを確認します。

  3. [追加] をクリックします。

  4. [IP フィルタ一覧] タブの [IP フィルタ] リストで、新しいフィルタ一覧オプションのボタンをクリックします。

  5. [フィルタ操作] タブの [フィルタ操作] リストで、フィルタ操作のオプション ボタンをクリックします。

  6. [認証方法] タブで [追加] をクリックします。

  7. 選択する認証方法の隣にあるボタンをクリックして、必要な場合は設定を行います。

    注 : 選択する認証方法は、事前共有キーや証明書など、開始側と応答側の両方からネゴシエートできるものである必要があります。 必要な場合は、リストで選択して [削除] ボタンをクリックすると、Kerberos プロトコルをリストから削除できます。

  8. [OK] をクリックします。

  9. [認証方法の優先順位] リストに複数の認証方法が表示されている場合は、[上へ移動]/[下へ移動] ボタンを使用して、認証方法の優先順位を選択します。

  10. [OK] をクリックし、もう一度 [OK] をクリックします。

  11. [IP セキュリティ ポリシーの管理] MMC スナップインを閉じます。

分離グループ間でホストを移動する

さまざまな理由から、ホストを特定のグループから別のグループに定期的に移動しなければならない場合があります。 グループ メンバシップを変更することでトラフィックの通信にどのような影響があるかを理解しておくことは重要です。 以降のセクションでは、ホストをグループに追加する手順、およびグループから削除する手順について説明します。

ホストを適用除外リストに追加する、またはリストから削除する

ホストを適用除外リストに追加するか、またはリストから削除するには、IPsec 適用除外フィルタ一覧と IPsec 未対応のセキュリティ グループを変更します。 それには、この章の「既存の規則フィルタ一覧を変更する」の手順に従ってください。

この作業を行うには、適用除外フィルタ一覧、ホストの名前、およびその IP アドレスを知っている必要があります。

ホストとユーザーを既存のグループに追加する、またはそこから削除する

ホストをネットワーク アクセス グループ (NAG) に追加する手順とそこから削除する手順は、グループでのホストの役割によって異なります。 ホストが開始側としてのみ機能する場合は、関連付けられている NAG にホストを追加するかまたはそこから削除するだけで済みますが、 ホストが応答側として機能する場合は、"ネットワーク経由でコンピュータへアクセス" 権限の更新を制御するポリシーを適用するか削除する必要があります。 システムが開始側と応答側の両方として機能する場合は、両方の手順を実行する必要があります。

既存のネットワーク アクセス グループで開始側コンピュータを追加または削除する

ネットワーク アクセス グループで開始側コンピュータを追加または削除するには、標準のグループ管理ツールを使用して関連付けられているセキュリティ グループを変更します。

特定のコンピュータに関連する NAG を変更するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. ドメインを展開して、[ユーザー] をクリックします。

  3. 右ペインで <NAG> を右クリックして、[プロパティ] を選択します。

  4. コンピュータをグループに追加するには

    1. 1.  [メンバ] タブをクリックして、[追加] をクリックします。

    2. 2.  [オブジェクトの種類] ボタンをクリックして [コンピュータ] チェック ボックスをオンにし、[OK] をクリックします。

    3. 3.  [選択するオブジェクト名を入力してください] テキスト ボックスに <コンピュータ名> を入力して、[OK] をクリックします。

    4. 4.  [OK] をクリックします。

  5. コンピュータをグループから削除するには

    1. 1.  [メンバ] タブをクリックします。

    2. 2.  [メンバ] リストで <コンピュータ名> をクリックして、[削除] をクリックします。

    3. 3.  [はい] をクリックして <コンピュータ名> アカウントを削除します。

    4. 4.  [OK] をクリックします。

    5. 注 : ホスト アカウントをグループに追加してから、制限されたリソースにホストがアクセスできるようになるまでには、一定の時間がかかります。 これは、複製作業による遅延があるためと、制限されたリソースをホストしているサーバー上のセッション チケットの更新 (チケットがキャッシュされている場合) が一定の間隔をおいて行われるためです。

既存のネットワーク アクセス グループでユーザーを追加または削除する

分離グループは、制限されたリソースに対して通信を開始できるホストを制限するために作成されたグループですが、リソースにアクセスできるユーザーを制限するためにも使用できます。 NAG と同様の方法でリソースを制限する必要がない場合、ドメイン ユーザー グループの応答側コンピュータに "ネットワーク経由でコンピュータへアクセス" 権限が与えられます。 リソースを制限する必要がある場合は、NAG ユーザー グループを作成します。

制限されたユーザーを NAG ユーザー グループに追加するか、またはそこから削除するには、標準のグループ管理ツールを使用して関連付けられているセキュリティ グループを変更します。 NAG ユーザー グループを作成して NAG に割り当てている場合に限り、この手順を実行する必要があります。ドメイン ユーザー グループを使用している場合は、この手順は必要ありません。

特定のユーザーに関連する NAG ユーザー グループを変更するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. ドメインを展開して、[ユーザー] をクリックします。

  3. 右ペインで NAG ユーザー セキュリティ グループを右クリックして、[プロパティ] を選択します。

  4. ユーザーを NAG に追加するには

      1. [メンバ] タブをクリックして、[追加] をクリックします。
      1. [選択するオブジェクト名を入力してください] テキスト ボックスに <ユーザー名> を入力して、[OK] をクリックします。
      1. [OK] をクリックします。

  5. ユーザーを NAG から削除するには

      1. [メンバ] タブをクリックします。
      1. [メンバ] リストで <ユーザー名> をクリックして、[削除] をクリックします。
      1. [はい] をクリックして <ユーザー名> アカウントを削除します。
      1. [OK] をクリックします。

    • 注 : ユーザー アカウントをグループに追加してから、制限されたリソースにユーザーがアクセスできるようになるまでには、一定の時間がかかります。 これは、複製作業による遅延があるためと、制限されたリソースをホストしているサーバー上のセッション チケットの更新 (チケットがキャッシュされている場合) が一定の間隔をおいて行われるためです。

既存のネットワーク アクセス グループで応答側コンピュータを追加または削除する

応答するホスト (応答側) を既存の NAG から削除するには、応答側に "ネットワーク経由でコンピュータへアクセス" 権限を設定する GPO 割り当てを削除します。 GPO アプリケーションは、Active Directory でポリシー アプリケーションを保証する標準的な任意の方法で制御できます。 ただし、このガイドで採用している方法では、応答側のドメイン コンピュータのアカウントを保持するように作成された組織単位 (OU) に GPO を割り当てています。 コンピュータ アカウントを応答側の OU から削除するだけで、そのコンピュータは割り当てられている GPO を受信できなくなり、アクセスが制限されなくなります。 コンピュータは分離ドメイン ポリシーに戻ります (コンピュータ アカウントがネットワーク アクセス グループで構成されたドメイン ローカル セキュリティ グループのメンバでもある場合、そのグループからも削除する必要があります)。

複数の NAG のメンバであるホストをその NAG のいずれかから削除した場合は、そのホストが他の NAG と通信できることを確認する必要があります。

新しいネットワーク アクセス グループを追加する

新しい NAG の作成手順は比較的単純です。 まず、リソースへのアクセスを制御するドメイン ローカル グループと、NAG のサーバーとして機能するホストの "ネットワーク経由でコンピュータへアクセス" 権限を更新する GPO を作成します。 次に、その GPO をサーバーに適用し、そのグループに属しているホストを特定します。

開始側のみ、NAG のメンバである必要があります。 つまり、同じ分離グループにある 2 台のサーバーが互いに対して通信を開始しない場合、そのサーバーをその分離グループの NAG に追加する必要はありません。 ただし、この 2 台のサーバーが通信する必要がある場合は、他の開始側コンピュータと同様に NAG に追加する必要があります。

サーバーが複数の NAG 内で応答側として機能する場合は、GPO を適用した後に、サーバーが参加しているすべての NAG セキュリティ グループがそのシステムの "ネットワーク経由でコンピュータへアクセス" 権限の対象となっていることを確認する必要があります。 必要に応じて、特定のコンピュータがこの要件を満たすように GPO を追加します。

開始側コンピュータ用の新しいネットワーク アクセス グループを作成する

新しい NAG を作成するには、次の手順に従います。

開始側コンピュータ用の新しい NAG を作成するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. [ユーザー] コンテナを右クリックして、[新規作成][グループ] の順にクリックします。

  3. [グループ名] テキスト ボックスに、グループの名前を入力します。

  4. [ドメイン ローカル] セキュリティ グループをクリックして、[OK] をクリックします。

  5. 新たに作成したグループを右クリックして、[プロパティ] を選択します。

  6. [説明] テキスト ボックスに、グループの説明を入力します。

  7. [OK] をクリックします。

開始側コンピュータのアカウントをネットワーク アクセス グループに追加する

新しい NAG に開始側アカウントを追加するには、次の手順に従います。

開始側コンピュータ用の新しい NAG に開始側アカウントを入力するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. ドメインを展開して、[ユーザー] をクリックします。

  3. 右ペインで NAG 開始側コンピュータグループを右クリックして、[プロパティ]** を選択します。

  4. [メンバ] タブをクリックして、[追加] をクリックします。

  5. [オブジェクトの種類] ボタンをクリックして [コンピュータ] チェック ボックスをオンにし、[OK] をクリックします。

  6. [選択するオブジェクト名を入力してください] テキスト ボックスに <開始側コンピュータ名> を入力して、[OK] をクリックします。

  7. [OK] をクリックします。

制限されたリソースへのアクセスを許可するドメイン内のユーザーをさらに制限する必要がある場合は、制限された NAG ユーザー用のグループを作成する必要があります。 または、代わりにドメイン ユーザー グループを使用することもできます。

制限されたユーザー用の新しいネットワーク アクセス グループを作成する

制限されたユーザー用の新しい NAG を作成するには、次の手順に従います。

ユーザー アカウント用の新しい NAG を作成するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. [ユーザー] コンテナを右クリックして、[新規作成][グループ] の順にクリックします。

  3. [グループ名] テキスト ボックスに、グループの名前を入力します。

  4. [ドメイン ローカル] セキュリティ グループをクリックして、[OK] をクリックします。

  5. 新たに作成したグループを右クリックして、[プロパティ] を選択します。

  6. [説明] テキスト ボックスに、グループの説明を入力します。

  7. [OK] をクリックします。

制限されたユーザーのアカウントをネットワーク アクセス グループに追加する

新しい NAG に制限されたユーザーを追加するには、次の手順に従います。

新しい NAG にユーザー アカウントを入力するには

  1. ドメイン コントローラにドメイン管理者としてログオンし、[Active Directory ユーザーとコンピュータ] を起動します。

  2. ドメインを展開して、[ユーザー] をクリックします。

  3. 右ペインで NAG ユーザーグループを右クリックして、[プロパティ]** を選択します。

  4. [メンバ] タブをクリックして、[追加] をクリックします。

  5. [選択するオブジェクト名を入力してください] テキスト ボックスに <ユーザー名> を入力して、[OK] をクリックします。

  6. [OK] をクリックします。

GPO を作成して、"ネットワーク経由でコンピュータへアクセス" 権限を与える

"ネットワーク経由でコンピュータへアクセス" 権限を適切な NAG に割り当てるには、GPO を使用します。

次の表に、NAG を実装する GPO と、GPO に関連付ける "ネットワーク経由でコンピュータへアクセス" 権限を与える必要があるグループ名の例を示します。

表 6.1: NAG ポリシーの定義の例

GPO 名 グループ名
<NAG を実装するポリシー名> <NAG 名> Administrators Backup Operators NAG Users または Domain Users

注 : 上の表に挙げたグループは、最低限追加する必要があるグループです。 管理者は、この権限を与える必要があるグループが他に存在していないかどうかを確認する必要があります。 Domain Users グループは既定で追加されます。 コンピュータだけでなくユーザーも制限する場合は、選択したユーザー アカウントを含む NAG Users グループを、コンピュータ アカウントの場合と同様に作成する必要があります。

GPO を作成して "ネットワーク経由でコンピュータへアクセス" 権限を与えるには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. GPMC を起動します。

  3. [フォレスト: <ドメイン名>][ドメイン][<ドメイン名>] を展開します。

  4. [グループ ポリシー オブジェクト] を右クリックして [新規作成] を選択します。

  5. [名前] テキスト ボックスに <GPO 名> を入力して、[OK] をクリックします。

  6. <GPO 名> を右クリックして、[編集] を選択します。

  7. [コンピュータの構成][Windows の設定][セキュリティの設定][ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。

  8. 右ペインで [ネットワーク経由でコンピュータへアクセス] を右クリックして、[プロパティ] を選択します。

  9. [このポリシーの設定を定義する] チェック ボックスをオンにします。

  10. [ユーザーまたはグループの追加] ボタンをクリックします。

  11. [参照] ボタンをクリックします。

  12. [選択するオブジェクト名を入力してください] テキスト ボックスに、上の表で挙げている各グループの名前を、セミコロンで区切って入力します。 次に、[OK] をクリックします。

  13. [OK] をクリックします。

  14. GPO エディタを閉じ、GPMC を閉じます。

ネットワーク アクセス グループ GPO を展開する

NAG GPO を展開するには、まず GPO をドメイン環境内の特定の場所にリンクして、NAG 内の適切な応答側コンピュータに適用されるようにする必要があります。 GPO アプリケーションは、Active Directory でポリシー アプリケーションを保証する標準的な任意の方法で制御できます。 その方法は OU の構造と組織で採用している管理方法によって異なるため、このガイドでは具体的な手順については説明しません。

分離グループの IPsec を無効にする

ポリシーを配信する GPO を変更することで、IPsec ポリシーを無効にすることができます。 IPsec ポリシーを無効にするには、コンピュータの設定が無効になるように GPO を構成します。

GPO のコンピュータ設定を無効にするには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. GPMC を起動します。

  3. [フォレスト:<ドメイン名>][ドメイン]<ドメイン名>[グループ ポリシー オブジェクト] を展開します。

  4. <GPO 名> を右クリックして、[GPO Status][Computer Configuration Settings Disabled] の順に選択します。

  5. GPMC を閉じます。

分離グループの IPsec を再度有効にする

ポリシーを配信する GPO を変更することで、無効にした IPsec ポリシーを再度有効にすることができます。 無効になっている IPsec ポリシーを再度有効にするには、コンピュータの設定が有効になるように GPO を構成します。

GPO のコンピュータ設定を有効にするには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. GPMC を起動します。

  3. [フォレスト:<ドメイン名>][ドメイン]<ドメイン名>[グループ ポリシー オブジェクト] を展開します。

  4. <GPO 名> を右クリックして、[GPO Status][有効] の順に選択します。

  5. GPMC を閉じます。

IPsec を分離グループから削除する

ポリシーを配信する GPO を変更することで、IPsec ポリシーを削除することができます。 IPsec ポリシーを削除するには、IPsec ポリシーが割り当てられないように GPO を構成します。

GPO の IPsec ポリシーの割り当てを解除するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. GPMC を起動します。

  3. [フォレスト: <ドメイン名>][ドメイン][<ドメイン名>] を展開します。

  4. <GPO 名> を右クリックして、[編集] を選択します。

  5. [コンピュータの構成][Windows の設定][セキュリティの設定] を展開し、[Active Directory の IP セキュリティ ポリシー (ドメイン名)] をクリックします。

  6. 右ペインで <IPsec ポリシー名> を右クリックして、[割り当ての解除] を選択します。

  7. <IPsec ポリシー名> の割り当てが解除されていることを確認したら、GPO エディタを閉じ、GPMC を閉じます。

ページのトップへ

バックアップ/復元に関する考慮事項

ここでは、サーバー/ドメイン分離ソリューションのコンポーネントをバックアップ/復元する具体的な手順を評価する方法について説明します。

Active Directory のバックアップ

IPsec ポリシーは、ポリシーの配信に使用されるグループ ポリシー オブジェクトには格納されていません。 グループ ポリシーのバックアップ/復元機能では、実際の IPsec ポリシー情報ではなく、どの IPsec ポリシーがグループ ポリシー オブジェクトに割り当てられているかという情報のみが保管対象になります。

ドメイン コントローラのシステム状態の完全バックアップを利用すれば、IPsec ポリシー情報を保管対象にすることができますが、[IP セキュリティ ポリシーの管理] MMC スナップインの [ポリシーのエクスポート] および [ポリシーのインポート] メニュー コマンドを使用しても、IPsec ポリシーをバックアップ/復元することができます。

注 : IPsec ポリシーのバックアップをセキュリティ保護することは重要です。 ただし、バックアップ ファイルは格納先ディレクトリの NTFS ファイル システムの権限を継承するため、ファイル内のデータは暗号化または署名されません。 適切な権限またはセキュリティ手順を使用して、バックアップ ファイル内の IPsec 構成情報を保護してください。 これらのバックアップ ファイルにアクセスするのは、権限のある IPsec 管理者のみにすることをお勧めします。

Windows Server 2003 を実行しているコンピュータのシステム状態データのバックアップを作成する方法については、マイクロソフト Web サイトの「システム状態データのバックアップを作成するには」を参照してください。

ホストの復元

バックアップ (テープ バックアップまたはイメージベースのバックアップ) から IPsec ポリシーを復元したコンピュータでは、適用される IPsec ポリシーは Active Directory ベースの IPsec ポリシーまたはローカルの IPsec ポリシーのキャッシュ コピーになります。

コンピュータに Active Directory ベースの IPsec ポリシーが割り当てられている場合、IPsec サービスは、Active Directory ベースのポリシーのキャッシュ コピーを適用する前に、割り当てられた IPsec ポリシーの最新コピーを Active Directory から取得することを試みます。 その際には、IPsec サービスはまずドメイン ネーム システム (DNS) に対して、すべてのドメイン コントローラの IP アドレスの最新リストを照会します。 IPsec ポリシー オブジェクトが Active Directory から削除されている場合は、Active Directory ベースのポリシーのキャッシュ コピーが代わりに適用されます。

Active Directory ベースの IPsec ポリシーのキャッシュ コピーに含まれているドメイン コントローラの IP アドレスのリストは、IPsec ポリシーのバックアップの作成以後に大幅に変更されている可能性があります (たとえば、新しいドメイン コントローラが追加された場合など)。 その場合は、現在のドメイン コントローラで通信がブロックされる可能性があり、そのため、IPsec でセキュリティ保護された接続をリモートで確立しようとすると Kerberos プロトコルを使用する認証は失敗します。 また、コンピュータがグループ ポリシーの更新を受信できない可能性もあります。 この問題を解決するには、次の手順に従います。

  1. コンピュータにローカルでアクセスして、そのコンピュータ上の IPsec サービスを停止します。

  2. [セーフ モードとネットワーク] でコンピュータを再起動し、IPsec サービスを手動で起動するように構成するか IPsec サービスを無効にして、新しいドメイン コントローラの IP アドレスによる IPsec でセキュリティ保護された通信を許可します。

ページのトップへ

ネットワーク経由の感染への対策

ウイルス感染やセキュリティ侵害が発生したときなど、場合によっては通信を迅速に中断して、環境を安全な状態に保たなければならないことがあります。 以降のセクションでは、認証された通信に参加するホストを分離するためのさまざまな方法について説明します。 設計上、これらの方法ではインフラストラクチャ サーバーまたは適用除外されたサーバーは分離されません。インフラストラクチャ サーバーは分離されないようにして、システムがドメインから IPsec ポリシーを更新できなくなるような事態を避ける必要があるためです。

注 : これらの分離方法は技術的には妥当なものですが、ラボ環境でのテストは実施されていません。 これらの方法を使用する前に、ラボ環境でテストすることを強くお勧めします。

分離ドメインの分離

分離ドメイン内のホストは、信頼されていないホストと通信を開始することを許可されています。 この種類のトラフィックを迅速にブロックする必要がある場合は、IPSEC - Secure Request Mode (Ignore Inbound, Allow Outbound) フィルタ操作を変更して、"IPSec に対応していないコンピュータとセキュリティで保護されていない通信を許可" 権限を無効にします。 IPsec のポーリング期間が経過すると、分離ドメイン内のすべてのホストは、IPsec 環境に参加していないシステムと通信できなくなります。

IPSEC - Secure Request Mode (Ignore Inbound, Allow Outbound) フィルタ操作を変更するには

  1. ドメイン コントローラにドメイン管理者としてログオンします。

  2. [IP セキュリティ ポリシーの管理] MMC スナップインを起動して、ドメインを表示します。

  3. [Active Directory の IP セキュリティ ポリシー] を右クリックして、[IP フィルタ一覧とフィルタ操作の管理] を選択します。

  4. [フィルタ操作の管理] タブで、[IPSEC - Secure Request Mode (Ignore Inbound, Allow Outbound)] フィルタ操作をクリックして、[編集] をクリックします。

  5. [IPSec に対応していないコンピュータとセキュリティで保護されていない通信を許可] チェック ボックスをオンまたはオフにします。

  6. [OK] をクリックします。

  7. [OK] をクリックします。

このオプションを設定すると、信頼されていないホストに送信されるすべてのネットワーク トラフィックが、ポリシーによってブロックされます。 問題が解決したら、オプションを再度有効にして通信を回復することができます。

ポートをブロックする

内部の組織的なローカル エリア ネットワーク (LAN) に展開されている IPsec ポリシーは、すべてのポートですべての通信が許可されるように構成されています。 この設定により、環境の構成と管理が簡略化されています。 ただし、IPsec を使用しているホストがウイルスやワームなどのマルウェアに感染すると、ホストが他のコンピュータに感染を広める可能性があります。 コンピュータが使用しているポリシーによっては、信頼されたホストと信頼されていないホストの両方に感染が広まります。

IPsec ポリシーを使用してマルウェアが使用するポートを明示的にブロックし、感染の拡大を抑えることができます。 この方法の主な欠点は、ブロックするフィルタを追加するポリシーの変更がすべてのコンピュータによって検出されるのに一定の時間がかかることです。 また、一部のワームにネットワークが占拠されて、IPsec ポリシーの変更の取得が困難になることがあります。 しかも、DNS などの重要なサービスで使用されるポートが一部のワームによっても使用されている場合、ブロックするフィルタがホストに適用された後のポリシーの更新が困難になります。 ブロックを行うには、任意の IP アドレスから特定の形式のマルウェアが使用する特定のポートに送信されるトラフィックをブロックするという規則を作成します。 この規則を環境内のすべてのポリシーに追加します。 マルウェアを駆除したら、この規則はポリシーから削除することができます。

特定の形式のマルウェアが使用するポートとプロトコルを特定したら、マルウェアの通信の条件を照合するフィルタ一覧を作成します。作成手順については、この章の「IPsec ポリシーを変更する」セクションの「新しい規則を既存の IPsec ポリシーに追加する」を参照してください。 ドメイン ポリシーでポートのブロックを使用することを決定したら、即刻 IPsec ポリシーのポーリング間隔を短くする必要があります。 脅威が排除されたら、ポーリング間隔はまた元の長さにすることができます。

ただし、Any IP Address (任意の IP アドレス) -> Specific IP Address (特定の IP アドレス) を使用するフィルタではなく、My IP Address (このコンピュータの IP アドレス) -> Any IP Address (任意の IP アドレス) を使用するフィルタを作成してください。 通常、ミラー化されたフィルタは使用しません。 必要なのは、既知のポートに送信されてくる受信トラフィック用と送信トラフィック用の、2 種類の一方向フィルタを含むフィルタ一覧です。 たとえば、次のフィルタは、SQLSlammer ワームが悪用する SQL ポート 1433 をブロックします。

From Any IP Address -> My IP address, TCP, src *, dst 1433, not mirrored

From My IP Address -> Any IP address, TCP, src *, dst 1433, not mirrored

これらのフィルタは SQL アプリケーション接続もブロックするため、ワームの脅威が排除されたら削除します。 どうしても必要な場合を除いて、DNS などの重要なインフラストラクチャ ポートへのアクセスはブロックしないように注意してください。 これらのフィルタには特定の IP アドレスが定義されているため、内部ネットワーク上のすべてのトラフィックに対して IPsec をネゴシエートする Woodgrove Bank のサブネット フィルタよりも設定内容が具体的です。

フィルタを作成したら、分離ドメインおよびグループのすべての IPsec ポリシーに規則を追加して、IPsec - Block フィルタ操作にフィルタ一覧を関連付けます。 ポリシーには、ブロック対象ポートに使用する空の IPsec フィルタ一覧を既にブロック操作に関連付けている規則を含めることもできます。 この空のフィルタ一覧は、すべての IPsec ポリシー内の規則で使用でき、これを有効にするとすべてのドメイン メンバが各ポーリング間隔でこのフィルタ一覧をチェックします。 または規則を無効にすることもできます。その場合、各分離グループ ポリシーで規則が有効になると、IPsec サービスのポーリングによってそのことが検出されます。

何らかの理由により、ポートをブロックすると IPsec が Active Directory にアクセスして更新ポリシーを取得できなくなる場合は、コンピュータ上で IPsec サービスを管理者権限で停止して再起動するか、コンピュータを再起動します。 開始された IPsec サービスは、キャッシュ内の古いバージョンを適用する前に、割り当てられている IPsec ポリシーの最新バージョンのダウンロードを試行します。

子ドメイン内のみの分離

あるドメイン全体を、フォレスト内の他のすべてのドメインから分離する必要がある場合は、Kerberos プロトコルではなく事前共有キーを使用するように、そのドメインのポリシーを構成します。 このようにすると、子ドメイン内のコンピュータは同じドメイン内の他のシステムとの通信を維持できますが、通常ならアクセスできるドメインの外部にあるシステムとの通信はブロックされます。

子ドメイン内の各ポリシーは、IPsec - Secure Organization Subnets 規則に事前共有キーのみが使用されるように変更する必要があります。 Kerberos プロトコルなどの既存の認証方法は削除する必要があります。 認証方法を構成するには、この章の「既存の規則認証方法を変更する」で説明している手順に従ってください。

ポリシー内に認証を行う他の規則が存在する場合は、それらも事前共有キーを使用するように構成する必要があります。 分離する子ドメイン内のすべてのポリシーを、このように構成します。 ポリシーの展開時に IKE メイン モード認証が失敗する可能性を最小限に抑えるには、事前共有キー認証方法を認証方法リストの先頭に移動して、その次に Kerberos 認証方法が来るようにします。 すべてのコンピュータに更新されたポリシーを適用したら、Kerberos 認証方法を削除できます。 同様の手順で、脅威が排除されたら Kerberos プロトコルの認証を復元して、事前共有キーを削除します。

定義済みグループの分離

ネットワーク アクセス グループは、コンピュータの定義済みグループの分離に使用できる実装の 1 つですが、事前共有キーまたは証明書を使用しても同じ分離を実行できます。 ネットワーク アクセス グループとの主な違いは、各コンピュータ グループ用のポリシーを個別に作成して、事前共有キーまたは証明書を持つコンピュータ間のトラフィックをセキュリティ保護する必要があることです。 特にシステムが複数のグループに属している場合、このソリューションではトラフィック通信計画を追加する必要があります。

事前共有キーの主な短所は、ポリシーにプレーンテキストで格納されるため、ドメイン内のクライアントで容易に検出される (機密性が侵害される) 点です。 事前共有キーの値を、ワームに感染している間の一時的な分離を行うためだけに使用する場合は、この短所はそれほど問題になりません。

発行 CA ではなくルート CA で証明書の制約のチェックを行う場合、IKE のチェック方法には制限があるため、グループごとに固有のルート CA を展開する必要があります。

ページのトップへ

要約

この章では、サーバー/ドメイン分離ソリューションが正常に展開されて運用できる状態になった後、ソリューションの管理、保守、および変更を行うための情報、プロセス、および手順について説明しました。

このプロセスと手順については詳細に文書化したうえで、環境内のホストの日常的管理を担当するスタッフ全員に通達してください。 IPsec ポリシーを多少変更したために保護されている通信パスが無効になる可能性は常に存在します。したがって、プロセスと手順を作成して、ポリシーの変更による結果を担当者が理解していなかったことが原因でエラーが発生するような事態が起こらないようにしてください。

ページのトップへ