ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する (Win7 のみ)
[ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する (Win7 のみ)] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、Kerberos プロトコルの使用が許可される暗号化の種類を設定することができます。選択していない暗号化の種類は許可されません。この設定はクライアント コンピューターまたはサービスとアプリケーションの互換性に影響することがあります。暗号化の種類は複数選択することもできます。
詳しくは、Microsoft サポート技術情報の「記事 977321」を参照してください。
次の表に、許可される暗号化の種類とその説明を示します。
| 暗号化の種類 | 説明とバージョン サポート |
|---|---|
DES_CBC_CRC |
巡回冗長検査関数を使用する、暗号ブロック チェーンによるデータ暗号化標準 (DES) Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 でサポートされます。Windows 7 および Windows Server 2008 R2 オペレーティング システムでは、DES が既定でサポートされません。 |
DES_CBC_MD5 |
メッセージ ダイジェスト アルゴリズム 5 のチェックサム関数を使用する、暗号ブロック チェーンによるデータ暗号化標準 (DES) Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 でサポートされます。Windows 7 および Windows Server 2008 R2 オペレーティング システムでは、DES が既定でサポートされません。 |
RC4_HMAC_MD5 |
メッセージ ダイジェスト アルゴリズム 5 のチェックサム関数を使用する、ハッシュ メッセージ認証コードによる Rivest Cipher 4 Windows 2000 Server、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 でサポートされます。 |
AES128_HMAC_SHA1 |
セキュア ハッシュ アルゴリズム (1) を使用する、ハッシュ メッセージ認証コードによる 128 ビット暗号ブロックの高度暗号化標準。 Windows 2000 Server、Windows XP、Windows Server 2003 ではサポートされません。Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 でサポートされます。 |
AES256_HMAC_SHA1 |
セキュア ハッシュ アルゴリズム (1) を使用する、ハッシュ メッセージ認証コードによる 256 ビット暗号ブロックの高度暗号化標準。 Windows 2000 Server、Windows XP、Windows Server 2003 ではサポートされません。Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 でサポートされます。 |
将来使用する暗号化の種類 |
実装される可能性がある追加の暗号化の種類として、Microsoft によって予約されています。 |
設定可能な値
暗号化の種類には、次のオプションがあります。
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
将来使用する暗号化の種類
Windows 7 および Windows Server 2008 R2 のリリースの時点で、実装される可能性がある追加の暗号化の種類として、Microsoft によって予約されています。
ベスト プラクティス
環境を分析して、サポートされる暗号化の種類を判断し、評価に合ったものを選択する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
このポリシーで利用できるこれらの暗号化の種類がいずれも許可されません。 |
メンバー サーバーの有効な既定の設定 |
このポリシーで利用できるこれらの暗号化の種類がいずれも許可されません。 |
クライアント コンピューターでの GPO の有効な既定の設定 |
このポリシーで利用できるこれらの暗号化の種類がいずれも許可されません。 |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Windows Server 2008 R2 および Windows 7 では、より強力な認証方法を利用できるため、DES 暗号化スイートはサポートされません。Windows 以外のバージョンの Kerberos プロトコルとの Kerberos の相互運用性を有効にするために、これらのスイートを有効にすることができます。ただし、その結果として、Windows Server 2008 R2 および Windows 7 を実行しているコンピューターに対する攻撃にさらされる可能性があります。また、Windows Vista および Windows Server 2008 を実行しているコンピューターに対して、DES を無効にすることもできます。
対策
このポリシーを構成しないでください。これにより、Windows Server 2008 R2 および Windows 7 を実行しているコンピューターで強制的に AES または RC4 暗号化スイートが使用されるようになります。
潜在的な影響
暗号化の種類を選択しない場合、Windows Server 2008 R2 および Windows 7 を実行しているコンピューターでは、Windows 以外のバージョンの Kerberos プロトコルを実行しているコンピューターに接続するときに Kerberos 認証が失敗する可能性があります。
暗号化の種類を選択した場合、Kerberos 認証の暗号化の有効性が低下しますが、以前のバージョンの Windows を実行しているコンピューターとの相互運用性は高まります。
Windows 以外の最新の Kerberos プロトコルの実装では、RC4 と AES の 128 ビットの暗号化、および AES の 256 ビットの暗号化がサポートされます。MIT Kerberos プロトコルと Windows の Kerberos のプロトコルを含むほとんどの実装は、非推奨の DES 暗号化です。