ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする
[ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
[ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] ポリシー設定は、セキュリティで保護されたチャネルのトラフィックを暗号化することができないドメイン コントローラーとの間で、強力な 128 ビットのセッション キーを使用してセキュリティで保護されたチャネルを確立できるかどうかを決定します。このポリシー設定を有効にすると、セキュリティで保護されたチャネルのデータを暗号化できないドメイン コントローラーとの間で、強力なキーを使用してセキュリティで保護されたチャネルを確立できません。このポリシー設定を無効にすると、64 ビットのセッション キーを使用できます。
可能であれば、セキュリティで保護されたチャネルでの通信を傍受やセッション ハイジャックなどのネットワーク攻撃から保護するために、これらのより強力なセッション キーを利用してください。傍受とは、転送中にネットワーク データが読み取りまたは変更されるハッキング形式です。データを変更して送信者の名前を隠したり変更したりできてしまうほか、データがリダイレクトされてしまう可能性があります。
設定可能な値
有効
メンバー ワークステーションまたはサーバーで有効にするときは、メンバーが属するドメイン内のすべてのドメイン コントローラーで、強力な 128 ビットのキーを使用してセキュリティで保護されたチャネルのデータを暗号化できる必要があります。つまり、すべてのドメイン コント ローラーで Windows 2000 Server 以降が実行されている必要があります。
無効
64 ビットのセッション キーの使用を許可します。
未定義。
ベスト プラクティス
- [ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] を [有効] にすることをお勧めします。このポリシー設定を有効にすると、セキュリティで保護されたチャネルでのすべての発信トラフィックで強力な暗号化キーが必要になります。このポリシー設定を無効にすると、キーの強度がネゴシエートされる必要があります。信頼されたすべてのドメイン内のドメイン コントローラーが強力なキーをサポートする場合のみ、このオプションを有効にしてください。既定では、この値は無効になっています。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシー設定は正しく使用しないと、データの喪失やデータ アクセスまたはセキュリティの問題を引き起こすエラーの原因となります。
このポリシー設定をサポートしていないデバイスを、ドメイン コントローラーでこのポリシー設定が有効になっているドメインに参加させることができます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Windows 2000 以降、ドメイン コント ローラーとメンバー コンピューター間のセキュリティで保護されたチャネルの通信を確立するために使用されるセッション キーは非常に強力です。
可能であれば、セキュリティで保護されたチャネルでの通信をネットワーク セッションのハイジャックや傍受しようとする攻撃から保護するために、これらのより強力なセッション キーを利用してください。(傍受とは、転送中にネットワーク データが読み取りまたは変更されるハッキング形式です。データを変更して送信者を隠したり変更したりできてしまうほか、データがリダイレクトされてしまう可能性があります。)
対策
[ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする] 設定を有効にします。
このポリシー設定を有効にすると、セキュリティで保護されたチャネルでのすべての発信トラフィックで強力な暗号化キーが必要になります。このポリシー設定を無効にすると、キーの強度がネゴシエートされます。信頼されたすべてのドメイン内のドメイン コントローラーが強力なキーをサポートする場合のみ、このポリシー設定を有効にしてください。既定では、このポリシー設定は無効になっています。
考えられる影響
このポリシー設定をサポートしていないデバイスは、ドメイン コントローラーでこのポリシー設定が有効になっているドメインに参加できません。