ネットワーク セキュリティ: オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する
[ネットワーク セキュリティ: オンライン ID を使用するためのこのコンピューターへの PKU2U 認証要求を許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、および値について説明します。
リファレンス
Windows Server 2008 R2 および Windows 7 以降では、Negotiate セキュリティ サポート プロバイダー (SSP) が、拡張 SSP である Negoexts.dll をサポートします。この拡張 SSP は、Windows オペレーティング システムによって認証プロトコルとして扱われ、PKU2U を含む、Microsoft の SSP をサポートします。SSP を開発したり、別の SSP を追加することもできます。
デバイスがオンライン ID の使用による認証要求を受け入れるように構成されている場合、Negoexts.dll は、ログオンに使用されるコンピューター上の PKU2U SSP を呼び出します。PKU2U SSP は、ローカル証明書を取得し、ピア コンピューター間でポリシーをやり取りします。ピア コンピューター上で検証されると、メタデータ内の証明書が検証のためにログオン ピアに送信されます。ユーザーの証明書がセキュリティ トークンに関連付けられると、ログオン プロセスが完了します。
注
オンライン ID をリンクする機能は、標準的なユーザーの資格情報を持つアカウントのユーザーならば [資格情報マネージャー] を使用して実行できます。
ドメインに参加しているデバイスには、既定ではこのポリシーが構成されていません。この場合、Windows 7 以降でオンライン ID を使用してドメインに参加しているコンピューターを認証できなくなります。
設定可能な値
有効
オンライン ID を使用して、ピア関係が確立されている 2 台 (以上) のコンピューター間で認証が正常に完了します。PKU2U SSP は、ローカル証明書を取得し、ピア デバイス間でポリシーをやり取りします。ピア コンピューター上で検証されると、メタデータ内の証明書が検証のためにログオン ピアに送信されます。ユーザーの証明書がセキュリティ トークンに関連付けられると、ログオン プロセスが完了します。
無効
ピア ツー ピアの関係の別のコンピューターに対するユーザーの認証にオンライン ID が使用されなくなります。
未設定。このポリシーを構成しない場合、ユーザーの認証にオンライン ID が使用されなくなります。これは、ドメインに参加しているデバイスの既定の設定です。
ベスト プラクティス
ドメイン内では、ドメイン アカウントを認証に使用する必要があります。このポリシーを [無効] に設定するか、またはこのポリシーを未構成にして、オンライン ID が認証に使用されないようにします。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターでの GPO の有効な既定の設定 |
無効 |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定を有効にすることにより、1 台のコンピューターのユーザーのアカウントを Microsoft アカウントなどのオンライン ID に関連付けることができます。その結果、このアカウントは、Windows ログオン アカウント (ドメインまたはローカル) を使用せずにピア デバイスにログオンできるようになります (ピア デバイスが同じように構成されている場合)。この機能はワークグループまたはホーム グループには有効ですが、ドメインに参加している環境でこの機能を使用すると、確立されているセキュリティ ポリシーが回避される場合があります。
対策
ドメインに参加しているデバイスに対しては、このセキュリティ ポリシーを [無効] に設定するか、または未構成にします。
潜在的な影響
このポリシーを設定していない場合、または無効にしている場合、ピア デバイス間での認証に PKU2U プロトコルが使用されないため、ユーザーはドメインで定義されているアクセス制御ポリシーに従わなければならなくなります。このポリシーを有効にすると、ユーザーは、PKU2U を使用するドメインに属していないシステム間でローカル証明書を使用して認証を行うことができます。これにより、ユーザーはデバイス間でリソースを共有できるようになります。