PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

第 3 章: 環境を準備する

公開日: 2004年9月7日

トピック

概要
章の前提条件
IT インフラストラクチャの前提条件と仮定
実装の準備をする
ソリューション ツールをインストールする
ネットワークおよびディレクトリ インフラストラクチャを設定する
サーバーを準備する
要約
参照情報

概要

この章では、ワイヤレス ローカル エリア ネットワーク (WLAN) 用のセキュリティ インフラストラクチャを展開するための情報技術 (IT) 環境の準備に役立つ情報を提供します。環境の準備の主要なタスクには、以下があります。

  • 必要なセキュリティ グループを作成することにより、Microsoft® Active Directory® ディレクトリ サービスのドメインを準備する。

  • インターネット認証サービス (IAS) と証明書サービスをインストールするためのサーバーを準備する。このタスクには、次の 3 つのサブタスクがあります。

    • セキュリティ設定をサーバーに適用する。

    • 必要なツールをサーバーにインストールする。

    • サーバーを更新して、既知のセキュリティに関する脆弱性をすべて解消する。

ページのトップへ

章の前提条件

この章に進む前に、このソリューションのアーキテクチャと設計について全体的に理解しておいてください。これらについては、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」に説明があります。さらに、Microsoft Windows® 2000 Server または Microsoft Windows Server 2003 のインストールと管理についても理解しておいてください。次に示すトピックについての理解も有益です。

  • Active Directory の概念。これには、Active Directory の構造と管理ツール、Active Directory オブジェクト (ユーザー、グループ、およびその他)、およびグループ ポリシーの使用が含まれます。

  • Windows システムのセキュリティに関連するトピック。これには、ユーザーとグループ、アクセス制御リスト (ACL) の監査、グループ ポリシーを使用したセキュリティ設定の適用などのセキュリティ概念が含まれます。

  • Windows スクリプティング ホストおよび Microsoft Visual Basic® Scripting Edition (VBScript) 言語。

ページのトップへ

IT インフラストラクチャの前提条件と仮定

この章およびこのガイドの残りの章は、対象の IT インフラストラクチャに対する次の仮定に基づいています。ただし、これらの中にはこのソリューションの一部として実装されるものもあります。これらの仮定の多くは厳格な要件ではありません。有効な別の構成が存在する箇所では、ガイド内にそのことを示しています。

  • Windows 2000 Server または Windows Server 2003 のドメイン コントローラを使用する Active Directory フォレストが存在し、WLAN ユーザーはすべて同一フォレスト内のドメインのメンバである。

    注: IAS および証明書サービスがインストールされるドメイン コントローラでは、Windows Server 2003 が稼動している必要があります。

  • ソリューションのコンポーネントのインストール先となる、Windows Server 2003, Standard Edition が稼動する複数のサーバー (Windows Server 2003, Enterprise Edition もサポートされる) が存在する。

  • これらのサーバーに、既存のサービスとアプリケーションに加えて、IAS および 証明書サービスを実行するのに十分な容量がある。証明書サービスは最初のサーバーにだけインストールされる。

  • IAS は既存のドメイン コントローラ上にインストールされる。これは必須ではありません。IAS をドメインのメンバ サーバー上にインストールすることも選択できます。

  • 証明書サービスはドメイン コントローラ上にインストールされる。これは必須ではありません。証明書サービスをドメインのメンバ サーバー上にインストールすることも選択できます。

  • Windows Server 2003 のインストール メディアにアクセスできる。

  • IAS のインストール先のドメインが Windows 2000 ネイティブ モードで稼動している。これは必須ではありません。

  • インストールまたは計画されたワイヤレス LAN インフラストラクチャに、複数のワイヤレス アクセス ポイント (AP) が存在する。WLAN インフラストラクチャの設計、およびワイヤレス AP の配置、チャネル選択などの関連事項は、このガイドの対象範囲外です。

  • 組織全体で、存在する AP の数が 50 未満である。

  • ローカル ドメイン コントローラを持たない (および IAS サーバーを持たない) が WLAN への接続を必要とするクライアントを保持する外部オフィスが 1 つまたは複数存在する。

ソリューションはこの特定の構成に合わせて構築されていますが、基本的な設計はその他の多くの構成、たとえば、ローカルなドメイン コントローラを持つ支店、マルチドメイン フォレストへのインストールなどにも適合させることができます。ガイドでは、別の有効な構成が適用可能なすべての箇所で、その影響について説明しています。

ページのトップへ

実装の準備をする

必要なアクセス許可

この章に記載されている手順を実行するには、サーバーが存在するドメインの Administrators グループのメンバであるアカウントを使用する必要があります。既定で、ドメインのビルトイン Administrator アカウントは Administrators グループのメンバですが、このグループのメンバであれば任意の他のアカウントも使用できます。

注: このガイドは、証明書サービスと IAS をドメイン コントローラ上にインストールするという仮定に基づいています。これらをドメイン コントローラ以外のサーバー上にインストールする場合、使用するアカウントの必要条件は、各サーバー上のローカル Administrators グループのメンバであるということのみとなります。

必要なツール

この章に記載されている手順を実行するには、次のツールが必要です。

表 3.1: 必要なツール

ツール 説明 ソース
WLAN ソリューション スクリプト このソリューションで提供されるスクリプトおよびツールのセット。 この章のインストール詳細を参照してください。
グループ ポリシー管理コンソール グループ ポリシー オブジェクト (GPO) 用の新しい管理ツール。GPO のインポートとエクスポートを実行できます。 Microsoft.com サイトからダウンロード可能。
この章のインストール詳細を参照してください。
CAPICOM 証明書およびセキュリティに関する操作のスクリプト化を可能にするシステム ライブラリ。 Microsoft.com サイトからダウンロード可能。
この章のインストール詳細を参照してください。
DSACLs.exe コマンドライン ツール。Active Directory オブジェクトに対するアクセス許可の設定を可能にします。 Windows Server 2003 インストール CD。
この章のインストール詳細を参照してください。
Active Directory ユーザーとコンピュータ Active Directory ユーザー、グループ、コンピュータ、およびその他の Active Directory オブジェクトの管理に使用する Microsoft 管理コンソール (MMC) ツール。 Windows Server 2003 の一部としてインストールされます。
[](#mainsection)[ページのトップへ](#mainsection) ### ソリューション ツールをインストールする このソリューションの構成および運用の簡素化に役立ついくつかのスクリプトおよびツールが、このガイドに付属しています。これらのスクリプトおよびツールを各 IAS サーバー上にインストールする必要があります。これらのスクリプトのいくつかは運用中に必要になるため (「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」を参照)、インストールの完了後もこれらを削除しないでください。既定では、スクリプトは C:\\Program Files\\Microsoft\\Microsoft WLAN-PEAP Tools フォルダにインストールされます。 **スクリプトとツールを各サーバーにインストールするには** 1. ソリューションに付属の Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords.msi ファイルをサーバー上にコピーします。 2. エクスプローラで Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords.msi ファイルをダブルクリックし、次に \[Next\] をクリックしてインストールを開始します。 3. スクリプトを既定の C:\\Documents and Settings\\<ユーザー名>\\My Documents\\Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords フォルダ以外の場所にインストールする場合は、その場所を指定します。 スクリプトを現在のアカウント用にだけインストールするのか、すべてのユーザー用にインストールするのかが尋ねられます。\[Everyone\] をクリックし、\[Next\] をクリックして次へ進み、\[I agree\]を選択して、\[Next\] をクリックします。再度 \[Next\] をクリックしてインストールします。 4. \[Close\] をクリックしてインストールを完了します。セットアップにより C:\\Documents and Settings\\<ユーザー名>\\My Documents\\Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords フォルダに "Readme.txt" ファイルが作成されます。このファイルには、重要な免責事項とインストールされたスクリプトについての簡単な説明が記載されています。 これらのスクリプトへのアクセスを容易にするために、スクリプトが存在するフォルダでコマンド シェルを開くためのショートカットを作成できます。 **MSS WLAN Tools へのショートカットを作成するには** 1. エクスプローラで MSS WLAN Tools のフォルダに移動します。このフォルダの既定の場所は、C:\\Documents and Settings\\<ユーザー名>\\My Documents\\Tools and Templates です。 2. バッチ スクリプト ファイル CreateShortcut.cmd をダブルクリックします。この操作により、"MSS WLAN Tools" という名前のショートカットがデスクトップ上に作成されます。 3. このショートカットを \[スタート\] メニューにコピーまたは移動することも可能です。 #### スクリプトを使用する スクリプトは VBScript 言語を使用して Windows スクリプティング ホスト環境用に記述されています。スクリプトはすべて同じように機能します。これらのスクリプトは、直接実行するのではなく、2 つのバッチ ファイル (MSSSetup.cmd と MSSTools.cmd) を使用して実行してください。バッチ ファイルによって、スクリプトの構文は簡略化されます。 ほとんどのスクリプトはパラメータを 1 つだけ受け取ります。このパラメータは実行する機能を指定するものです。さらに別のパラメータを受け取るスクリプトもいくつかあります (これらについては、ガイド内で必要に応じて説明します)。スクリプトはそれらがインストールされているフォルダから、つまり、現在の作業ディレクトリがツールのインストール フォルダに設定されているコマンド シェルから実行します。 スクリプトによって、次のさまざまな種類の出力が生成されます。 - 情報または警告メッセージを表示する、または指示や入力を要求するメッセージ ボックス。 - スクリプトの実行中に進行状況の詳細を表示するスクロール可能なウィンドウ。スクリプトの実行中にエラーが発生した場合、このウィンドウにエラーについての情報が表示されます。スクリプトの実行が完了したとき、ウィンドウを閉じるか、または以降の調査のために開いたままにしておくかを選択するよう要求されます (たとえば、エラーの調査のためにウィンドウを開いたままにしておきます)。 - 多くのタスクで、進行状況の詳細はログ ファイル (%systemroot%\\debug\\MSSWLAN-Setup.log) にも書き込まれます。これは、トラブルシューティングおよびインストールの監査で使用する目的のためです。インストールと構成のすべてのタスク、および IAS 設定のエクスポートとインポートは、このログに記録されます。セキュリティ上の理由から、ワイヤレス AP 用の RADIUS シークレット (パスワード) を生成するタスクは記録の対象にはなりません。 [](#mainsection)[ページのトップへ](#mainsection) ### ネットワークおよびディレクトリ インフラストラクチャを設定する #### ネットワークを構成する 次の図に示されているように、または使用するネットワークの特定の要件に従って、各コンポーネントをネットワークに接続してください。 ![](images/Dd362891.PEAP_301(ja-jp,TechNet.10).gif) **図 3.1 単純な WLAN ネットワーク構成** [拡大表示する](https://technet.microsoft.com/ja-jp/dd362891.peap_301_big(ja-jp,technet.10).gif) この図に示されているのは、IAS サーバー、AP、および内部ネットワークの残りの部分が同一の LAN に接続されている構成として考えられる、最も単純な構成です。大規模なインストールでは通常、ネットワークはルーターまたはレイヤ 3 スイッチを使用して接続される複数の仮想 LAN (VLAN) にセグメント化されます。構成の詳細な部分は個々の組織の要件によって大きく異なります。このトピックに関する詳細な説明は、このガイドの対象範囲外です。 詳細については、「*Windows Server 2003 Deployment Kit*」の「Deploying a Wireless LAN」(英語) の章を参照してください。 ##### IP ネットワークを構成する ソリューションは、VLAN およびサブネットの配置にはほとんど依存しません。「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で説明したように、ワイヤレス クライアントをネットワークの残りの部分とは異なる VLAN 上に置くことができます。しかし、このソリューションは最も単純な構成でしかテストされていません。つまり、テストで想定されたのは、ワイヤレス クライアントがネットワークの残りの部分と同一の LAN 上に置かれ、同一の IP サブネットを共有するサイトだけです。 ワイヤレス クライアントを別の VLAN 上に置くことを選択する場合、ワイヤレス クライアント用に別の IP サブネットを割り当て、そのワイヤレス VLAN をルーターまたはレイヤ 3 スイッチを使用してネットワークの残りの部分とリンクさせる必要があります。より複雑な環境では、各物理サイトで WLAN クライアント用に別のサブネットを構成することで得られる長所がいくつかあります。それらの長所を以下に示します。 - ワイヤード (有線) とワイヤレス (無線) のクライアントで、動的ホスト構成プロトコル (DHCP) のスコープを別にすることができます。これにより、WLAN クライアント用に特別に短いリース時間を設定することが可能になります。 - 同一サイト内で複数のサブネットをルーターで介して接続する環境では、そのサイトのすべての WLAN クライアントに対して単一のサブネットを割り当てることにより、それらのクライアントが同一の IP アドレスを維持したまま AP 間を移動することを可能にします。 - WLAN サブネットを使用して Active Directory サイトを定義し、特定のグループ ポリシー設定をそのサイトに関連付けることができます。ただし、「第 6 章: ワイヤレス LAN クライアントを構成する」にて説明されている GPO WLAN クライアント設定を適用するのに、このメカニズムを使用することはできません。これらの設定をクライアントに適用した後でのみ、クライアントの WLAN への接続が可能になるためです。 #### DHCP IP アドレスと IP ネットワーク情報を WLAN クライアントに割り当てる必要があります。このソリューションでは、この割り当てに Windows DHCP サービスを使用します。したがって、DHCP サービスが WLAN クライアントから使用可能である必要があります。 クライアントを配置する各サブネットに対して、それぞれ別の DHCP スコープを割り当てる必要があります。たとえば、ルーターを介してワイド エリア ネットワーク (WAN) 接続される 2 つの分離したサイトがある場合、各サブネットに対して DHCP スコープを作成する必要があります。WLAN クライアントおよびワイヤード (有線) LAN クライアントに対して別のサブネットを割り当てる場合、各 WLAN サブネットに対して別のスコープを構成する必要があります。さらに、AP と DHCP サーバーをルーターで介して接続している場合、ルーター上で DHCP リレー エージェントを構成するか、AP と同一のサブネットにあるサーバー上に Windows DHCP Relay Agent をインストールする必要があります。 高可用性を実現するためには、スコープの分割、DHCP のクラスタ化 、またはスタンバイ DHCP を使用する障害回復力のある DHCP 構成を検討してください。詳細については、「*Windows Server 2003 Deployment Kit*」の「Deploying DHCP」(英語) の章を参照してください。 #### DNS Active Directory には、適切に機能するドメイン ネーム システム (DNS) サービスが必要です。このソリューションは、DNS サービスが配備され、運用されているという仮定に基づいています。DNS は Active Directory のインストール プロセスの一部としてインストールすることも、個別に構成することもできます。 #### Active Directory このソリューションは、次の Active Directory 構成を使用して設計およびテストされています。 - 単一ドメイン Active Directory フォレスト。 - Windows Server 2003 ドメイン コントローラ (新規にインストールされたもので Windows 2000 ドメイン コントローラからのアップグレードではない)。 - ドメインの機能レベルは Windows 2000 ネイティブ モード。 多くの場合で、Active Directory のその他の構成を使用できます。たとえば、複数ドメインの使用や Windows 2000 ドメイン コントローラの使用などです。これらの構成のうちマイクロソフトがサポートするものについては、使用に関するガイダンスを、ガイド内の該当箇所にて提供しています。ただし、これらの代わりの構成は、核となる、テスト済みのソリューションには含まれていません。 ##### すべてのバージョンの Active Directory に共通する要件 ネイティブ モードのドメインでは、Active Directory ユニバーサル セキュリティ グループを作成できます。ユニバーサル グループを使用することで、マルチドメイン ネットワーク アクセス ポリシーの管理が容易になります。しかし、単一ドメインの展開では、この設定は意味がありません。インストール スクリプトは、ドメインがネイティブ モードであるかどうかを確認します。ドメインがネイティブ モードの場合、スクリプトはユニバーサル グループを使用しますが、それ以外の場合は、グローバル グループだけを使用します。 Active Directory は Windows Server 2003 スキーマを持つ必要があります。これは、ワイヤレス ネットワーク ポリシー GPO 設定をサポートするのに必要です。Active Directory フォレストの機能レベルに関する要件はありません。このソリューションでは、Windows 2000 フォレストの既定の機能レベルが想定されています。 ドメインおよびフォレスト モードの概念の詳細については、この章の最後の「参照情報」を参照してください。 ##### Windows 2000 ドメイン コントローラを使用する このソリューションでは、IAS と証明書サービスは Windows Server 2003 システム上にインストールされます。これらのコンポーネントの Windows 2000 バージョンの使用についてのガイダンスは提供されません。複数の Windows 2000 ドメイン コントローラを使用していて、いずれも Windows Server 2003 へのアップグレードを計画していない場合、スキーマを Windows Server 2003 レベルにアップグレードする必要があります。スキーマのアップグレードの詳細については、この章の最後に記載されている「参照情報」を参照してください。 Windows 2000 ドメイン コントローラを使用するドメインまたはフォレストでこのソリューションを使用する場合、それらのドメイン コントローラには Windows 2000 Service Pack 3 (SP3) 以降が適用されている必要があります。この Service Pack は、ドメイン コントローラで LDAP (Lightweight Directory Access Protocol) 署名をサポートするのに必要です。これは、証明書の自動登録を使用する Windows Server 2003 CA と Windows XP クライアントによって必要とされるセキュリティ強化機能です。 ##### ドメイン アカウント ポリシーのセキュリティを確認する このソリューションでは、WLAN におけるユーザーとコンピュータの認証を、ユーザーおよびコンピュータのパスワードに依存しています。したがって、推測の容易なパスワードや空白のパスワードの使用を禁止することは非常に重要です。推測の容易なパスワードの使用は、攻撃者による WLAN への侵入を容易にします。同一のパスワードがユーザーまたはコンピュータのドメインでの認証にも使用されるため、このようなパスワードの使用は、攻撃者にすべてのネットワーク リソースへのアクセスを許すことにもなります。 推測の容易なパスワードを排除する最も簡単な方法は、既定のドメイン ポリシー GPO で強固なパスワード ポリシーを設定することです。パスワードの有効期間と変更禁止期間の設定、およびパスワード履歴の確認 (ユーザーが同じパスワードを再使用しないようにする) も行ってください。 **警告:** ドメインのパスワード ポリシーを変更する前に、ユーザーと管理者に警告してください。ユーザーのフラストレーションと混乱を避けるために、採用を計画している新しいパスワード ポリシーについて、適切なパスワードの選択についての指示と共に、早期に通知しておくのは良い方法です。 ドメインのパスワード ポリシーのベスト プラクティスに関する推奨事項については、「Windows Server 2003 セキュリティ ガイド」を参照してください。このドキュメントの参照情報は、この章の最後に記載されています。 ##### セキュリティ グループを作成する ここに記載されている手順を使用して、このソリューション用に、Active Directory 内にセキュリティ グループを作成します。作成されるグループの一覧を次の表に示します。メンバが示されているグループでは、メンバシップが登録されます。既定では、これらのグループは Users コンテナ内に作成されます。 **表 3.2: セキュリティ グループとメンバシップ**
セキュリティ グループ 目的 グループ タイプ メンバ
Wireless LAN Users WLAN で認証できるユーザーを指定します。 グローバル Domain Users
Wireless LAN Computers WLAN で認証できるコンピュータを指定します。 グローバル Domain Computers
Wireless LAN Access このグループは、RADIUS アクセス ポリシー内で WLAN へのアクセスを制御するのに使用されます。 ユニバーサル Wireless LAN Users
Wireless LAN Computers
Wireless LAN Computer Settings グループ ポリシーから WLAN 設定を受信するコンピュータを指定します。 ドメイン ローカル Wireless LAN Computers
**セキュリティ グループを作成してメンバを登録するには** 1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。 2. コマンド プロンプトで「MSSSetup CreateWLANGroups」と入力し、**Enter** キーを押します。 **重要:** Domain Users および Domain Computers グループを Users コンテナ内の既定の場所から移動している場合、それらは Wireless LAN Users および Wireless LAN Computers グループには追加されません。この場合、それらのグループへの追加は手動で行う必要があります。 **注:** このソリューションを混在モードのドメインにインストールする場合、Wireless LAN Access グループは "ユニバーサル グループ" ではなく、"ドメイン グローバル グループ" として作成されます。つまり、これは、このソリューションをマルチドメイン フォレストにインストールする場合、これらのグループのうちの 1 つを各ドメイン内に作成する必要があることを意味します (このタスクについては、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」にて説明されています)。 このソリューションを複数ドメインにインストールする場合、Wireless LAN Users および Wireless LAN Computers グローバル グループを各ドメインに作成し、それらを Wireless LAN Access グループに追加する必要があります。また、WLAN クライアントが存在する各ドメインに Wireless LAN Computer Settings ドメイン ローカル グループを作成し、Wireless LAN Computers ユニバーサル グループをメンバとして追加する必要もあります。 [](#mainsection)[ページのトップへ](#mainsection) ### サーバーを準備する ここでは、サーバー固有の構成について説明します。IAS サーバーとしてインストールすることを計画している各サーバーに対して、次のほとんどの手順を実行する必要があります。「サーバーのセキュリティ構成」の手順は唯一の例外です。セキュリティ設定は各サーバーに適用されるものですが、この手順はドメインごとに 1 回だけ実行する必要があります。この設定は、その後、ドメイン内の他のサーバーに自動的に適用されます。 #### サポートされるオペレーティング システム このソリューションは、すべてのサーバー コンポーネントに Windows Server 2003, Standard Edition を使用して構築およびテストされています。ただし、ガイダンスおよびインストール スクリプトは Windows Server 2003, Enterprise Edition の場合でも同じです。 Windows Server 2003, Enterprise Edition を使用する必要があるかどうかを決定する前に、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「Windows Server 2003, Standard または Enterprise Edition を使用する」を参照してください。Windows Server 2003, Standard Edition を使用する場合、証明書サービスの機能性、および IAS がサポートできるワイヤレス AP の数が制限されます。これらの制限のどちらか、または両方は大規模な組織では受け入れられない可能性があります。 このソリューションは Windows Server 2003 の以前のバージョンをサポートするようには設計されていません。また、それらを使用したテストも行われていません。IAS および証明書サービスの Windows 2000 Server バージョンは、このソリューションにおけるこれらのサーバーの役割のほとんど、またはすべてを実行できる可能性がありますが、そのしくみについてのガイダンスはこのドキュメントの対象範囲外です。 #### ハードウェア ガイドライン インストールした最初のサーバーでは、証明書サービスと IAS を実行します。このソリューションでは、証明書サービスが必要とするリソースは最小限です。ただし、IAS がサーバーに与える負荷が、サーバーのドメイン コントローラの機能に悪影響を及ぼさないように注意してください。非常に大規模な IAS 実装以外では、この問題はほとんど発生しません。必要に応じて Active Directory サイトにドメイン コントローラを追加して、この問題に対処してください。 RADIUS ログ収集を有効にする場合は、ログ用に別の物理ディスクを割り当ててください。 **表 3.3: IAS サーバー用に推奨される最小ハードウェア構成**
項目 要件
CPU 733 MHz 以上の CPU 1 個
メモリ 256 MB
ネットワーク インターフェイス ネットワーク アダプタ 1 個
ディスク記憶域 IDE または SCSI RAID コントローラ RAID 1 ボリュームとして設定された 2 x 18GB (SCSI の場合) または 2 x 20GB (IDE の場合) の容量のディスク (ネットワーク上でバックアップするしくみがない場合) ローカルのリムーバブル メディア ドライブ (CD-RW またはテープ) (バックアップ用) 1.44 MB ディスク ドライブ (データ転送用)

ハードウェアのパフォーマンス要件の詳細については、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「IAS のソフトウェアおよびハードウェア要件」を参照してください。

サポート ソフトウェアの入手とインストール

ここでは、サーバーに必要なその他のソフトウェアを列挙します。ソフトウェアの入手およびインストールの方法についても説明します。

グループ ポリシー管理コンソール

グループ ポリシー管理コンソール (GPMC) は、このソリューションが使用するグループ ポリシー オブジェクト (GPO) をインストールおよび構成するのに使用します。GPMC は、IAS がインストールされている最初のサーバーにだけインストールする必要があります。それ以降の IAS サーバー上へのインストールは任意です。

注: GPMC のインストールにより、GPMC がインストールされたサーバー上の Active Directory ユーザーとコンピュータのユーザー インターフェイスは若干変更されます。GPMC の使用とダウンロードの詳細については、この章の最後に記載されている「参照情報」を参照してください。

グループ ポリシー管理コンソールをインストールするには

  1. Microsoft ダウンロード センターから、Gpmc.msi インストール ファイルをダウンロードします。

  2. ドメインの Administrators グループ (または、GPMC をドメイン コントローラ上にインストールしない場合は、インストール先のコンピュータのローカル Administrators グループ) のメンバとしてログオンします。

  3. エクスプローラで Gpmc.msi インストール ファイルをダブルクリックします。

  4. セットアップ ウィザードの指示に従って GPMC をインストールします。その際、すべて既定値を受け入れます。

    重要: GPMC は Program Files フォルダにインストールしてください (このフォルダがどのドライブに存在するかは問題にはなりません)。また、Program Files 内の既定の "GPMC" インストールフォルダも使用してください (フォルダ名を変更する場合は、GPMC のインストールに使用したフォルダの名前を Constants.vbs ファイル内で更新する必要があります)。以降の手順では、GPMC によってインストールされるツールをいくつか使用します。これらを他の場所にインストールすると、GPMC ツールの場所が特定できなくなります。

Windows Server 2003 サポート ツール

このソリューションでは、いくつかの Windows サポート ツールを構成スクリプトおよび手順内で使用します。これらを Windows Server 2003 インストール メディアからインストールしてください。これらは CA のインストールと構成スクリプトで必要なため、証明書サービスをインストールするサーバー上にインストールする必要があります。その他のサーバー上にインストールすることもできますが、他のサーバー上では特に必要ではありません。

Windows Server 2003 サポート ツールをインストールするには

  1. ドメインの Administrators グループ (または、サポート ツールをドメイン コントローラ上にインストールしない場合は、インストール先のコンピュータのローカル Administrators グループ) のメンバとしてログオンします。

  2. Windows Server 2003 インストール CD を挿入します (ネットワークまたはその他のメディアからインストールする場合はインストール元ファイルに接続します)。

  3. エクスプローラでインストール メディア (CD ドライブまたはフロッピー ドライブ) に移動し、次に \support\tools\supptools.msi ファイルに移動します。このファイルをダブルクリックしてインストールを開始します。

  4. セットアップ ウィザードの指示に従ってサポート ツールをインストールし、使用許諾契約書に同意して、既定のインストール フォルダを認めます。

CAPICOM

CAPICOM は、CryptoAPI (CAPI) として知られる Windows セキュリティ関数のセットへのスクリプティングが可能なインターフェイスです。CAPICOM は、証明書サービスのヘルス モニタのスクリプト用に必要です。また、ワイヤレス AP の認証に使用される RADIUS シークレットの生成にも必要です。組織のすべての IAS サーバー上に、CAPICOM バーション 2.0 以降をインストールしてください。

最新バーションである CAPICOM 2.0 は、Microsoft ダウンロード センターにあります (この章の最後にある「参照情報」を参照してください)。

CAPICOM の配布ファイルには、自動化されたセットアップは含まれないため、バッチ スクリプト InstCAPICOM.cmd (このソリューションに付属) を使用してください。これらの手順を手動で実行する場合は、バッチ スクリプトからコマンドをコピーできます。

CAPICOM をインストールするには

  1. CAPICOM の配布ファイル CCR2INST.exe を Microsoft ダウンロード センターからダウンロードして、サーバー上の一時フォルダにコピーします。

  2. ドメインの Administrators グループ (または、CAPICOM をドメイン コントローラ上にインストールしない場合は、インストール先のコンピュータのローカル Administrators グループ) のメンバとしてログオンします。

  3. [MSS WLAN Tools] ショートカットを使用して、コマンド シェルを開きます。

  4. コマンド プロンプトで次のとおりに入力します。

    InstCAPICOM [d:]PathtoCCDistFile\CCR2INST.EXE」と入力し、Enter キーを押します。

    注: [d:]PathtoCCDistFile を CAPICOM 配布ファイルをコピーしたフォルダの完全なパスで置き換えてください (ドライブが異なる場合はドライブ文字も含みます)。

Microsoft Baseline Security Analyzer (MBSA)

このツールは、オペレーティング システムのセキュリティ アップデートが最新であることを確認し、サーバーのセキュリティ構成に潜在する問題を検出するために必要です。Windows Server 2003 システムをスキャンするには、バージョン 1.1.1 以降の MBSA を使用する必要があります。MBSA の最新バージョンは Microsoft ダウンロード センターにあります。

MBSA をインストールするには

  1. MBSASetup-ja.msi インストール ファイルを Microsoft ダウンロード センターからダウンロードします。

  2. ドメインの Administrators グループ (または、MBSA をドメイン コントローラ上にインストールしない場合は、インストール先のコンピュータのローカル Administrators グループ) のメンバとしてログオンします。

  3. エクスプローラで MBSASetup-ja.msi ファイルに移動し、それをダブルクリックします。

  4. セットアップ ウィザードの指示に従って MBSA をインストールします。その際、すべて既定値のままにします。

サーバーのセキュリティ構成

ここでは、IAS および証明書サービスのインストールに先立ち、セキュリティ ポリシーなどのセキュリティ手段を Windows Server 2003 に適用する処理について説明します。

このソリューションは既存のサーバー (通常はドメイン コントローラ) にインストールするように設計されています。ここで使用されるセキュリティ設定は、意図的に控えめになっています。これは、セキュリティ設定が、サーバー上で既に実行されている可能性のある、インストール済みのアプリケーションおよびサービスと競合する危険性を考慮したためです。

Windows Server 2003 セキュリティ ガイドを使用する

Windows Server 2003 には、強力な既定のセキュリティ設定があります。ほとんどの組織では、これらの設定を効果的な更新保守プロセスと組み合わせることで、システムの適切な保護を実現できます (更新保守の詳細については、この章で後述の「サーバーのセキュリティ アップデート」を参照してください)。ただし、「Windows Server 2003 セキュリティ ガイド」に記載されている推奨事項についても考慮してください。このガイドには、異なるサーバーの役割に対して適切なセキュリティ設定が定義されています。

このソリューションで使用されるサーバーは、「セキュリティ ガイド」で定義されているサーバーの役割のいくつかを実行します。ほとんどのサーバーは "ドメイン コントローラ" および "RADIUS サーバー" の役割を持ち、最初のサーバーはそれに加えて "証明機関" の役割を持ちます。各役割に対して、ガイドは、その役割に適切なセキュリティ設定をすべて持つセキュリティ テンプレートを定義しています。したがって、複数の役割を持つサーバーに対しては、サーバーの役割のそれぞれに対応するセキュリティ テンプレートの組み合わせを適用する必要があります。サーバー上で、DNS、DHCP、Windows インターネット ネーム サービス (WINS) などのその他のインフラストラクチャ サービスも実行することがあります。そのような場合は、それらの役割に適切なセキュリティ テンプレートも含める必要があります。これを行う方法については、「Windows Server 2003 セキュリティ ガイド」を参照してください。

警告: 「Windows Server 2003 セキュリティ ガイド」のセキュリティ設定テンプレートは、サーバーに定義された役割には必要のない、いくつかのサービスを明示的に無効にします。サーバー上でその他のアプリケーションまたはサービスを実行する場合は、そのアプリケーションやサービスが依存するサービスやセキュリティ設定が、セキュリティ テンプレートによって無効にされたり、変更されることがないか、アプリケーションをテストして確認する必要があります。役割の組み合わせ、およびその他のアプリケーションを共存させるための設定変更についての説明も、「Windows Server 2003 セキュリティ ガイド」に記載されています。

セキュリティ設定を適用する

この章の「サーバーを準備する」に記載されているその他の多くの手順とは異なり、この手順は各サーバー上で実行する必要はありません。その代わり、設定は Active Directory 内の GPO にインポートされ、その後、すべてのサーバーに適用されます。

このソリューションで適用されるセキュリティ設定は 2 種類だけです。1 つは、必要なサービスをすべて自動的に開始するように構成するために適用されます (コンピュータに適用されている他のセキュリティ ポリシーによって、サービスが停止または無効にされている場合)。もう 1 つは、一般的なイベント (たとえば、ログオン) に対する失敗の監査もセキュリティ ログに記録できるように、監査ポリシーを変更するために適用されます。

次の表は、自動的に開始されるように設定されるサービスの一覧を示したものです。

表 3.4: ポリシーによって有効にされる Windows サービス

サービス ポリシー設定
Certificate Services 自動
Internet Authentication Service 自動
Microsoft Software Shadow Copy Provider 自動
Removable Storage 自動
Task Scheduler 自動
Volume Shadow Copy 自動
次の表は、既定の成功の監査に加えて失敗の監査も有効にされる監査のカテゴリの一覧を示したものです。 **表 3.5: 監査ポリシーの設定**
監査ポリシー 設定
アカウント ログオン イベントの監査 成功/失敗 (既定では成功のみ)
アカウント管理の監査 成功/失敗 (既定では成功のみ)
ログオン イベントの監査 成功/失敗 (既定では成功のみ)
ポリシーの変更の監査 成功/失敗 (既定では成功のみ)
この表に示された監査設定を有効にした場合、セキュリティ ログのための記憶域がより多く必要になります。ドメイン コントローラ上のイベント ログのサイズが適切に設定されていることを確認してください。Windows Server 2003 の場合、イベント ログのサイズは既定のままで十分ですが、Windows 2000 の既定のサイズは通常、実際に使用するには小さすぎます (Windows 2000 からアップグレードした場合、これらの設定が引き続き有効になる可能性があります)。「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」には、WLAN 接続のすべての成功および失敗が Windows のシステム ログに記録されるように IAS サーバーを構成する方法が示されています。すべてのドメイン コントローラ上で、セキュリティ ログとシステム ログのサイズが適切に設定されていることを確認してください。Windows Server 2003 では、システムおよびアプリケーション ログに 16 MB が使用され、セキュリティ ログに 128 MB が使用されます。この値はこのソリューションに適切なものです。 ###### セキュリティ設定 GPO をインポートする 次の手順は、前に説明している設定をドメインにインポートしますが、この手順によってこの設定は、どのサーバーにも適用されません。 **セキュリティ設定 GPO をドメインにインストールするには** 1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。 2. コマンド プロンプトで次のコマンドを入力して **Enter** キーを押し、IAS Server Security Policies という名前の GPO をドメインにインポートします。 MSSSetup ImportSecurityGPO ###### セキュリティ設定をすべてのドメイン コントローラに設定する この手順では、セキュリティ設定はすべてのドメイン コントローラに適用されます (IAS がインストールされているかどうかには関係しません)。この GPO にはどのような機能に対しても、無効にする設定は含まれていないため、ドメイン コントローラの機能またはドメイン コントローラ上で実行されているその他のアプリケーションやサービスに悪影響を与えることは通常ありません。これらの設定をすべてのドメイン コントローラに適用することは避けたい場合、この手順のすぐ次に説明のある手順を参照してください。 設定をすべてのドメイン コントローラに適用するには、インポート済みの GPO を Domain Controllers 組織単位 (OU) にリンクする必要があります。GPO のリンクは手動で行います。ドメインで既に構成済みの GPO 設定を上書きしてしまうのを避けるためです。 **セキュリティ設定をすべてのドメイン コントローラに適用するには** 1. \[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[グループ ポリシーの管理\] の順にクリックして、GPMC を起動します。 2. 左側のペインで \[Domain Controllers\] OU に移動して、それをクリックします。 この OU はドメイン オブジェクトの直下に表示されます。 3. OU 名を右クリックして、\[既存の GPO のリンク\] をクリックします。 4. GPO の一覧から \[IAS Server Security Policies\] をクリックし、次に \[OK\] をクリックして GPMC のメイン ウィンドウに戻ります。 5. 右側のペインで \[リンクされたグループ ポリシー オブジェクト\] タブを選択し、次に \[IAS Server Security Policies\] GPO をクリックします。 6. この一覧のすぐ左側で、上向き矢印が 2 つのボタンをクリックして、この GPO の優先順位を最も高くします。 これにより、ドメイン コントローラに適用されているその他のセキュリティ ポリシーとは無関係に、確実に必要なサービスが有効なままになります。 7. GPMC を閉じます。 セキュリティ設定は、次の GPO 更新間隔後にサーバーに適用されます (ドメイン コントローラの既定の更新間隔は 5 分です)。 ###### セキュリティ設定を IAS サーバーにだけ適用する セキュリティ設定をすべてのドメイン コントローラに適用するのは避けたい場合 (または IAS をドメイン コントローラ上にインストールしないことを選択した場合)、IAS サーバー用に別の OU を作成して、GPO をその OU に適用することができます。IAS をドメイン コントローラ上にインストールしない場合は、IAS サーバーの OU をドメイン内の別の場所に作成してください。 **セキュリティ設定を IAS サーバーにだけ適用するには** 1. \[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[グループ ポリシーの管理\] の順にクリックして、GPMC を起動します。 2. 左側のペインで \[Domain Controllers\] OU に移動して、それをクリックします。 この OU はドメインのルートの直下にあります。 3. この OU の直下に新しい子の OU を作成します。それには、\[Domain Controllers\] OU 名を右クリックし、ポップアップ メニューで \[新しい組織単位 (OU)\] を選択します。 4. OU の名前の入力を要求されたら、たとえば「*IAS Servers*」のように入力します。 5. この OU を右クリックして、\[既存の GPO のリンク\] をクリックします。 6. GPO の一覧から \[IAS Server Security Policies\] を選択し、次に \[OK\] をクリックして GPMC のメイン ウィンドウに戻ります。 7. GPMC を閉じます。 8. ドメイン コントローラと IAS サーバーの各組み合わせのコンピュータ オブジェクトを \[Domain Controllers\] OU から新しい子の OU に移動します。 セキュリティ設定は、次の GPO 更新間隔後にサーバーに適用されます (既定の更新間隔はドメイン コントローラでは 5 分、その他のコンピュータでは 90 分です)。 **注:** 複数のドメインに IAS サーバーをインストールする場合、インストールと GPO のリンクをフォレスト内の各ドメインに対して繰り返す必要があります。 ###### セキュリティ設定を確認する **セキュリティ設定が適用されていることを確認するには** 1. コマンド シェルから、コマンド プロンプトで次のとおり入力します。 「gpupdate /force」 と入力し、**Enter** キーを押します。 2. アプリケーション イベント ログで \[SceCli\] ソースからのイベントを確認します (表示されるまでに数秒かかることがあります)。イベント ID 1704 が記録されているはずです。イベントのテキストは次のとおりです。 グループ ポリシー オブジェクトのセキュリティ ポリシーは正しく適用されました。 #### サーバーのセキュリティ アップデート GPO セキュリティ設定とは異なり、セキュリティ アップデートはすべてのサーバー上で確認および適用する必要があります。管理対象のサーバーの数が比較的少ない場合は、手動で実行する手順を使用できます。管理対象のサーバーの数が多く、自動化された更新保守システムを備えていない場合に、更新をすべてのサーバー上で確認および適用するのは非常に退屈な作業です。手動で行う代わりに、セキュリティ アップデートの適用を Microsoft Software Update Services (SUS) または Microsoft Systems Management Server (SMS) 2003 を使用して自動化することを検討してください。これらを使用したセキュリティ アップデートの管理の詳細については、「Microsoft セキュリティ修正プログラム管理ガイド」を参照してください。 ##### 現在のセキュリティ アップデートを確認する サーバー上のセキュリティ アップデートの現在の状態を確認する方法には、主に 2 つの方法があります。Windows Update と MBSA です。同様の機能を持つツールがマイクロソフト以外のベンダからも提供されています。 ###### Windows Update Windows Update は、主として小規模ビジネスとホーム ユーザーによって使用されることが想定されているオンライン サービスです (ただし、このサービスを使用できるユーザーに制限はありません)。Windows Update ではインターネットへの接続が必要になるため、このサービスは、サーバーをファイアウォールで保護した状態で使用する必要があります。 Windows Update の詳細については、この章の最後に記載されている「参照情報」を参照してください。 ###### Microsoft Baseline Security Analyzer MBSA はセキュリティ評価ツールで、アップデートの適用漏れを含むセキュリティに関するさまざまな問題についてシステムを検査します。MBSA の詳細については、この章の最後に記載されている「参照情報」を参照してください。 **MBSA を使用してインストール済みのセキュリティ アップデートを確認するには** 1. サーバーをインターネットに接続できない場合は、確認を実行する前に毎回、MBSA セキュリティ データベースの現行バージョンを入手する必要があります。これは msecure.xml という XML ファイルで、この章の最後に記載されている URL からダウンロードできます。このファイルを MBSA がインストールされているフォルダ (既定のフォルダは C:\\Program Files\\Microsoft Baseline Security Analyzer) にコピーします。 2. サーバーの現在のアップデートの状態を確認するには、コマンド プロンプトで次のとおり入力します。 「Mbsacli /hf -v」と入力し、**Enter** キーを押します。 3. 適用されていないセキュリティ アップデートが次のように表示されるので、これを書き留めておきます。 \* WINDOWS SERVER 2003, STANDARD EDITION GOLD 注意 MS03-030 819696 詳細は 306460 を参照してください。 4. 適用されていない各セキュリティ アップデートについては、Web ブラウザを使用して関連するマイクロソフト サポート技術情報にアクセスすることにより、関連するセキュリティ アップデートを入手できます。次の URL をブラウザで入力します。 *https://support.microsoft.com/default.aspx?scid=kb;ja;XXXXXX* **注:** XXXXXX を MBSA の出力に表示されるサポート技術情報の番号 (上の例では 819696) に置き換えてください。 5. サポート技術情報の指示に従って、各アップデートをインストールします。 ##### MBSA を使用してその他のセキュリティ問題を検査する セキュリティ アップデートが現行のものであることの確認とは別に、MBSA を使用して、サーバーに潜在するその他のセキュリティの問題を検査してください。これを行うには、(\[スタート\] メニューから) グラフィック バージョンを起動して、サーバーのスキャンを実行し、警告に従います。 特に、パスワードが空白または推測が容易である、またはパスワードに有効期間が設定されていないとして検出されるユーザー アカウントに注意してください。ただし、krbtgt などのビルトイン アカウントの設定は変更しないでください。 サーバー上で既定の Internet Explorer のセキュリティ ゾーン設定を変更していない場合は、非標準設定についての MBSA の警告は無視できます。Windows Server 2003 用の既定の設定は、MBSA が警告した Internet Explorer のゾーン設定よりも強力です。 この章に記載されている手順では、MBSA を実行してスキャンする対象はローカル マシンだけです。ネットワーク上のコンピュータをスキャンするための MBSA の実行手順は、このガイドの対象範囲外です。MBSA の使用に関するより詳細な説明については、この章の最後の「参照情報」を参照してください。 ##### サーバー上で更新を管理およびインストールする 自動化された継続的なアップデート管理の包括的な説明は、このガイドの対象範囲外です。しかし、システム アップデートの継続的な管理を可能にする、マイクロソフト テクノロジを使用した 3 つの主要な方法について認識しておいてください。 ###### 自動更新 自動更新は Windows サーバーおよびクライアントに組み込まれているサービスです。自動更新を使用することで、マイクロソフトからの重要なセキュリティ修正プログラムのリリースを各コンピュータで確認し、ダウンロードすることが可能になります。更新を自動的にインストールするオプションもあります。自動更新を使用するには、各コンピュータで Web (HTTP) アクセスが可能である必要があります。適切なファイアウォールを使用して各デバイスを保護する必要性についての前述の警告は (「Windows Update」を参照)、ここにも適用されます。 自動更新の詳細については、この章の最後に記載されている「参照情報」を参照してください。 ###### Software Update Services Software Update Services (SUS) は自動更新サービスの上に構築されます。SUS では、更新の確認とダウンロード機能が 1 つまたは複数の中央コンピュータに集中化されるため、各コンピュータでインターネットに接続する必要はなくなります。管理者は、SUS サーバーで、ダウンロードされた更新を承認または拒否できます。承認されたすべての更新は、組織内の他のすべてのコンピュータで取得できます。これらのコンピュータは自動更新サービスを使用して更新の確認とダウンロードを行いますが、その際の接続先は Windows Update サイトではなく SUS サーバーです。 SUS の展開方法に関するガイダンスについては、「Microsoft Software Update Services を使用した修正プログラム管理」を参照してください。この文書の入手先の URL は、この章の最後に記載されています。 ###### Microsoft Systems Management Server を使用した更新管理 Microsoft SMS 2003 を使用することで、Service Pack、セキュリティ アップデート、およびソフトウェア アップデートの配信を完全に自動化できます。SMS 2000 を Software Update Services Feature Pack と共に使用することで、SUS の機能と SMS の幅広い機能とを統合できます。SMS 2000 および SMS 2003 には、組織のコンピュータの MBSA スキャンをスケジュールする機能があります。SMS の使用の詳細については、次の文書を参照してください。 - 「*Patch Management Using Microsoft Systems Management Server 2003*」(英語) - 「*Patch Management Using Microsoft Systems Management Server 2.0*」(英語) これらの文書の入手先の URL は、この章の最後に記載されています。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章では、セキュリティで保護された WLAN インフラストラクチャのインストールのための、ネットワーク、Active Directory、ドメイン コントローラ、および環境のその他の要素の準備に関するガイダンスを提供しました。このソリューションの構成に使用するスクリプトを、いくつかのサポート ツールと共にインストールしました。このソリューションで使われるセキュリティ グループをドメイン内に作成し、セキュリティ設定をサーバーにインポートおよび適用しました。最後に、セキュリティ アップデートの現在の状態を検査し、必要な場合は修正しました。 次の章では、ネットワーク CA を作成するために、最初にインストールされたサーバー上への証明書サービスのインストールについて説明します。 [](#mainsection)[ページのトップへ](#mainsection) ### 参照情報 ここでは、この章の内容に関連する重要な補足情報やその他の参考資料を紹介します。 - 「*Windows Server 2003 Deployment Kit*」の「Deploying Wireless LANs」(英語) の章は、次の URL で参照できます。