Windows Server 2003 で削除された IPsec のデフォルトの適用除外項目

文書翻訳 文書翻訳
文書番号: 810207 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

Windows Server 2003 のインターネット プロトコル セキュリティ (IPsec) 機能は、完全な機能を持つホスト ベースのファイアウォールとしては設計されていません。IPsec は、ネットワーク パケット内のアドレス、プロトコル、およびポート情報を使用して、基本的な許可フィルタとブロック フィルタを提供するように設計されています。また、プログラムに対して透過的な方法で通信セキュリティを強化するための管理ツールとしても設計されています。このため IPsec は主として、Kerberos サービスからコンピュータの信頼関係情報を入手可能なイントラネット環境、または公開キー基盤 (PKI) のデジタル証明書が使用可能なインターネット経由の特定パスに対して、IPsec トランスポート モードまたは IPsec トンネル モードでセキュリティをネゴシエートするために必要なトラフィック フィルタを提供します。

IPsec ポリシー フィルタに対するデフォルトの適用除外項目については、Microsoft Windows 2000 と Microsoft Windows XP のヘルプに記載されています。これらのフィルタにより、インターネット キー交換 (IKE) と Kerberos サービスが機能します。また、これらのフィルタにより、データ トラフィックが IPsec により保護されている場合のネットワークのサービス品質 (QoS) の要求 (RSVP) や、IPsec により保護されないマルチキャスト トラフィックやブロードキャスト トラフィックなども利用できるようになります。

これらのフィルタの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 IPSec によって保護されるトラフィックと保護されないトラフィック

詳細

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

特にインターネットに直接接続している環境で、基本的なホスト ファイアウォール パケット フィルタとしての IPsec の使用が増加しているにもかかわらず、これらデフォルトの適用除外項目の影響は十分に理解されていません。このため、IPsec 管理者が安全であると考えて作成した IPsec ポリシーが、デフォルトの適用除外項目を悪用する着信攻撃に対しては安全ではないということがあります。

上記の理由から、Windows Server 2003 では、デフォルトの適用除外項目の大部分が削除されました。このため、IKE を使用してセキュリティをネゴシエートし、IPsec により上位層のプロトコル トラフィックを保護する場合の IPsec の展開を Windows Server 2003 で行う際には、IPsec ポリシーの変更が必要になることがあります。

Windows のデフォルトの適用除外項目の 削除

Windows Server 2003 では、IKE 以外のすべてのデフォルトの適用除外項目がデフォルトで削除されています。Windows Server 2003 で既存の IPsec ポリシーを使用する前に、そのポリシーの設計を変更することが必要となる場合があります。

管理者は、Windows 2000 ベースのコンピュータおよび Windows XP ベースのコンピュータで
NoDefaultExempt=1
を使用して、既存、新規を問わず、すべての IPsec の展開に対して上記の変更を計画する必要があります。
NoDefaultExempt=1
レジストリ キーは Windows Server 2003 でサポートされており、管理者は以前のデフォルトの適用除外項目の動作を再び有効にして、以前の IPsec ポリシー設計との下位互換性やプログラム互換性を実現できます。Windows Server 2003 へのアップグレード時には、既存の
NoDefaultExempt=1
レジストリ キーの設定が保持されます。

Windows 2000 ベースのコンピュータおよび Windows XP ベースのコンピュータのデフォルトの適用除外項目の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811832 一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある
: レジストリ キーを使用してデフォルトの適用除外項目を再び有効にする前に、上記の資料 (811832) を参照してください。

また、詳細については、『Windows Server 2003 導入ガイド』の「Specifying Default Exemptions to IPSec Filtering」を参照してください。『Microsoft Windows Server 2003 導入ガイド』を入手するには、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Windows Server 2003 の IPsec のデフォルトのフィルタ動作を変更するには、Netsh IPsec コマンドを使用するか、またはレジストリを修正します。

Netsh IPsec コマンドを使用してデフォルトのフィルタ動作を変更するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. cmd と入力し、[OK] をクリックします。
  3. コマンド プロンプトで、netsh ipsec dynamic set config ipsecexempt value={ 0 | 1 | 2 | 3} と入力し、Enter キーを押します。
このコマンドで使用されている { 0 | 1 | 2 | 3} は、コマンドで利用可能なすべてのオプションを示しています。1 つの値しか使用できません。使用する適用除外項目に応じて、次の値を指定します。
  • 値 0 では、マルチキャスト、ブロードキャスト、RSVP、Kerberos、および ISAKMP トラフィックに IPsec フィルタが適用されません。これは、Windows 2000 と Windows XP でのデフォルトのフィルタ動作です。既存の IPsec ポリシー、または Windows 2000 および Windows XP との処理の互換性を維持する必要がある場合にのみ、この設定を使用します。
  • 値 1 では、Kerberos と RSVP トラフィックに IPsec フィルタが適用されますが、マルチキャスト、ブロードキャスト、および ISAKMP トラフィックには適用されません。
  • 値 2 では、マルチキャストとブロードキャスト トラフィックに IPsec フィルタが適用されますが、RSVP、Kerberos、および ISAKMP トラフィックには適用されません。
  • 値 3 では、ISAKMP トラフィックにのみ IPsec フィルタが適用されません。Windows Server 2003 では、これがデフォルトのフィルタ動作です。
この設定値を変更する場合、新しい値を有効にするには、コンピュータを再起動する必要があります。レジストリを使用してデフォルトのフィルタ動作を変更するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. Regedit と入力し、[OK] をクリックします。
  3. 次のレジストリ キーをクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  4. [IPSec] を右クリックし、[新規] をポイントし、[DWORD 値] をクリックします。
  5. この新しいエントリに NoDefaultExempt という名前を付けます。
  6. このエントリに 0 〜 3 の任意の値を割り当てます。
  7. コンピュータを再起動します。
それぞれの値を選択した場合のフィルタ動作は、netsh ipsec dynamic set config ipsecexempt value=x コマンドについて記述した箇所に記載されている動作と同じです。

IKE が適用除外項目であることの影響

IKE が適用除外項目であることの影響は、Windows 2000 および Windows XP の場合と同じです。ただし、Windows Server 2003 では、フラッディング (flooding) 攻撃に対する DoS 回避機能が強化されています。

Windows 2000 および Windows XP で IKE が適用除外項目であることの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811832 一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある

Kerberos が適用除外項目であることの影響

NoDefaultExempt
を 0 または 2 に設定して、適用除外項目を再び有効にする場合、Kerberos が適用除外項目であることの影響は Windows 2000 および Windows XP の場合と同じです。

Windows 2000 および Windows XP で Kerberos が適用除外項目であることの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811832 一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある

RSVP が適用除外項目であることの影響

NoDefaultExempt
を 0 または 2 に設定して、適用除外項目を再び有効にする場合、RSVP が適用除外項目であることのリスクは、サードパーティ製 RSVP の実装がインストールされている場合に限定されます。Windows Server 2003 のデフォルトでは、QoS RSVP サービスは含まれていません。Pathping ユーティリティの -R オプションが削除されたため、このユーティリティでは RSVP プロトコルはサポートされません。

ブロードキャストおよびマルチキャストが適用除外項目であることの影響

NoDefaultExempt
を 0 または 1 に設定して、適用除外項目を再び有効にする場合、ブロードキャストおよびマルチキャストが適用除外項目であることの影響は Windows 2000 および Windows XP の場合と同じです。ただし、Windows Server 2003 の IPsec では、ブロードキャストおよびマルチキャスト トラフィックのフィルタがサポートされません。送信ブロードキャストまたはマルチキャストと一致するフィルタ (送信元アドレスが My IP Address で、宛先アドレスが Any IP Address のフィルタなど) が IPsec ポリシーの設計に含まれている場合があります。IPsec ポリシーをテスト環境と運用環境でテストして、このトラフィックに対する既存のポリシー設計の影響を確認する必要があります。送信元アドレスと宛先アドレスが Any IP Address である IPsec フィルタを使用することにより、ブロードキャストおよびマルチキャスト トラフィックを限定的にブロックできます。詳細は『Microsoft Windows Server 2003 リソース キット』に記載されています。

Windows 2000 および Windows XP でブロードキャストおよびマルチキャストが適用除外項目であることの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811832 一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある

ブロードキャスト トラフィックを受信するプログラム

Windows Server 2003 では、プログラムでブロードキャスト トラフィックの受信を明示的に無効にするソケット オプションがサポートされていますが、UDP ポートで受信を待機しているプログラムがブロードキャスト トラフィックを受信するデフォルトの動作は変更されていません。

マルチキャスト トラフィックを受信するプログラム

Windows Server 2003 でも、各種の着信マルチキャスト トラフィックを受信するにはプログラムで明示的に TCP/IP スタックに登録する必要があります。マルチキャスト グループが登録されていない場合、トラフィックが廃棄されることがあります。

IPsec とインターネット接続ファイアウォールの併用

Windows XP と同様に、ICF 機能と IPsec フィルタリング機能を組み合わせて、より詳細なフィルタ処理を行うことができます。これは、IPsec が HTTP、DNS、または SMTP などのインターネットへの特定の送信トラフィックを静的に許可する必要がある場合に特に役立ちます。2 つの機能を併用することにより、IPsec が許可する送信トラフィックに対して ICF がステートフル フィルタリングを提供できます。

関連情報

IPsec のデフォルトの適用除外項目が及ぼす影響の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
811832 一部の状況で、IPSec のデフォルトの適用除外項目が IPsec 保護の回避に利用されることがある
Windows Server 2003 での IPsec フィルタと展開の手引きの詳細については、『Microsoft Windows Server 2003 導入ガイド』の IPsec の展開に関する章を参照してください。参照するには、次のマイクロソフト Web サイトにアクセスしてください。
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

プロパティ

文書番号: 810207 - 最終更新日: 2007年12月3日 - リビジョン: 8.6
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbinfo KB810207
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com