システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う

IT 担当者向けのこのセキュリティ ポリシーのリファレンス トピックでは、このポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

リファレンス

Federal Information Processing Standard (FIPS) 140 は暗号化ソフトウェアを認定するために設計されたセキュリティ実装です。Windows は、次の認定されたアルゴリズムを実装しています。これらのアルゴリズムは、米国連邦政府の省庁と機関によって使われている暗号化モジュールの要件と標準を満たしています。

TLS/SSL

このポリシー設定では、TLS/SSL セキュリティ プロバイダーが、TLS_RSA_WITH_3DES_EDE_CBC_SHA と呼ばれる FIPS 準拠の強力な暗号スイートのみをサポートするかどうかを決定します。つまり、該当する場合に、プロバイダーはクライアント コンピューターとサーバーとして TLS プロトコルのみをサポートします。この暗号スイートは、TLS トラフィック暗号化に Triple Data Encryption Standard (3DES) 暗号化アルゴリズムのみを使います。また、TLS キー交換と認証には Rivest-Shamir-Adleman (RSA) 公開キー アルゴリズムのみを使い、TLS ハッシュ要件にはセキュア ハッシュ アルゴリズム バージョン 1 (SHA-1) ハッシュ アルゴリズムのみを使います。

暗号化ファイル システム (EFS)

EFS サービスについては、このポリシー設定では 3DES 暗号化アルゴリズムと Advanced Encryption Standard (AES) 暗号化アルゴリズムがサポートされています。これらのアルゴリズムは、NTFS ファイル システムでサポートされているファイル データを暗号化するために使われます。EFS では、既定で、ファイル データの暗号化に、Windows Server 2003 と Windows Vista 以降の場合は 256 ビット キーの Advanced Encryption Standard (AES) が使われます。Windows XP の場合は DESX アルゴリズムが使われます。

リモート デスクトップ サービス (RDS)

リモート デスクトップ サービスのネットワーク通信の暗号化については、このポリシー設定では Triple DES 暗号化アルゴリズムのみがサポートされています。

BitLocker

BitLocker については、このポリシー設定は暗号化キーが生成される前に有効にする必要があります。

このポリシーが有効なときに Windows Server 2012 R2、Windows 8.1 以降で作成された回復パスワードは、Windows Server 2012 R2、Windows 8.1 より前のオペレーティング システムの BitLocker と互換性がありません。BitLocker によって、これらのシステムで回復パスワードの作成や使用ができなくなります。そのため、代わりに回復キーを使う必要があります。

設定可能な値

  • 有効

  • 無効

  • 未定義

ベスト プラクティス

  • TLS で使う場合、このポリシーを [有効] に設定します。このポリシー設定を有効にしたクライアント デバイスでは、デジタル暗号化されたプロトコルまたはデジタル署名されたプロトコルを使って、これらのアルゴリズムがサポートされていないサーバーと通信することはできません。ネットワークに接続されていても、これらのアルゴリズムがサポートされていないクライアント デバイスでは、ネットワーク通信にこれらのアルゴリズムが必要なサーバーを利用できません。このポリシー設定を有効にする場合、TLS を使うように Internet Explorer も構成する必要があります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値

既定のドメイン ポリシー

未定義

既定のドメイン コントローラー ポリシー

未定義

スタンドアロン サーバーの既定の設定

無効

DC の有効な既定の設定

無効

メンバー サーバーの有効な既定の設定

無効

クライアント コンピューターの有効な既定の設定

無効

 

オペレーティング システムのバージョンの違い

この設定を有効にした場合、暗号化ファイル システム (EFS) サービスでファイル データを暗号化するためにサポートされるのは Triple DES 暗号化アルゴリズムのみになります。既定では、Windows Vista と Windows Server 2003 の EFS の実装では、256 ビット キーの Advanced Encryption Standard (AES) が使われます。Windows XP の実装では、DESX が使われます。

この設定を有効にすると、BitLocker によって、次の表のバージョンに適用できる回復パスワードまたは回復キーが生成されます。

オペレーティング システム 適用条件

Windows 10、Windows 8.1、および Windows Server 2012 R2

これらのオペレーティング システムで作成された回復パスワードは、この表の他のシステムでは使うことができません。

Windows Server 2012、Windows 8

これらのオペレーティング システムで作成された回復キーは、この表の他のシステムでも使うことができます。

Windows Server 2008 R2、Windows 7

これらのオペレーティング システムで作成された回復キーは、この表の他のシステムでも使うことができます。

Windows Server 2008、Windows Vista

これらのオペレーティング システムで作成された回復キーは、この表の他のシステムでも使うことができます。

 

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。

再起動の必要性

なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。

グループ ポリシー

このポリシーの設定と展開をグループ ポリシーを使用して行った場合、そちらの方がローカル デバイス上の設定よりも優先されます。グループ ポリシーが [未構成] に設定されている場合、ローカル設定が適用されます。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

このポリシー設定を有効にすると、デジタル暗号化、ハッシュ、署名に使用できる最も強力なアルゴリズムをデバイスで使えるようになります。これらのアルゴリズムを使うことで、デジタル暗号化またはデジタル署名されたデータが承認されていないユーザーによってセキュリティ侵害されるリスクが最小限に抑えられます。

対策

[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] 設定を有効にします。

潜在的な影響

このポリシー設定を有効にしたクライアント デバイスでは、デジタル暗号化されたプロトコルまたはデジタル署名されたプロトコルを使って、これらのアルゴリズムがサポートされていないサーバーと通信することはできません。これらのアルゴリズムがサポートされていないネットワーク クライアントでは、ネットワーク通信にこれらのアルゴリズムが必要なサーバーを利用できません。たとえば、Apache ベースの Web サーバーでは多くの場合 TLS をサポートするように構成されていません。この設定を有効にする場合、TLS を使うように Internet Explorer® も構成する必要があります。また、このポリシー設定は、リモート デスクトップ プロトコル (RDP) に使う暗号化レベルに影響します。リモート デスクトップ接続ツールでは、RDP プロトコルを使って、ターミナル サービスを実行するサーバーとリモート制御用に構成されたクライアント コンピューターと通信します。RDP 接続は、両方のデバイスで同じ暗号化アルゴリズムが使われていないと失敗します。

関連トピック

セキュリティ オプション