Windows Vista および Windows Server 2008 における Windows ファイアウォール セキュリティの規則と IPSec ベースの接続セキュリティの規則

文書翻訳 文書翻訳
文書番号: 942957 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、以下の項目について説明します。
  • Windows Vista における Windows ファイアウォール セキュリティの規則
  • Windows Vista および Windows Server 2008 における IPSec ベースの接続セキュリティの規則
  • Windows Vista と Windows XP の間または Windows Vista と Windows Server 2003 の間で暗号化された接続を確立する方法

詳細

Windows Vista では、新しい Windows ファイアウォール セキュリティの規則と新しい IPSec ベースの接続セキュリティの規則が、グループ ポリシーに完全に統合されています。そのため、サポート設定がマージされ、他のグループ ポリシー設定と同様に動作が委任されます。

Windows Vista における Windows ファイアウォール セキュリティの規則

"セキュリティが強化された Windows ファイアウォール" Microsoft 管理コンソール (MMC) スナップインでは、次の種類のセキュリティ規則をサポートしています。

: Windows ファイアウォール セキュリティの規則のリストと接続セキュリティの規則のリストは、該当するすべてのグループ ポリシー設定からマージされます。その後、これらのセキュリティ規則は、以下の順序で処理されます。この順序は、セキュリティ規則の設定元とは関係なく、常に適用されます。
  • Windows サービスのセキュリティ強化機能の規則
    Windows サービスのセキュリティ強化機能の規則は、サービスによる接続の確立を制限します。サービスの制限は、Windows サービスが特定の方法でのみ通信できるように構成されます。たとえば、特定のポートを通過するトラフィックを制限できます。ただし、ファイアウォールの規則を作成するまで、トラフィックは許可されません。
  • 接続セキュリティの規則
    接続セキュリティの規則は、IPSec 機能を使用してコンピュータを認証する方法とタイミングを定義します。接続セキュリティの規則は、サーバーの分離とドメインの分離を確立するために使用されます。また、ネットワーク アクセス保護 (NAP) ポリシーを適用するためにも使用されます。
  • 認証されたバイパスの規則
    認証されたバイパスの規則は、IPSec 機能を使用してトラフィックが保護されている場合に、他の受信規則にかかわらず、特定のコンピュータの接続を許可します。指定されたコンピュータは、トラフィックをブロックする受信規則をバイパスできます。たとえば、認証されたバイパスの規則を特定のコンピュータ用に作成すると、そのコンピュータからのみ、ファイアウォールのリモート管理を実行できるようになります。また、ヘルプデスクへの問い合わせによるリモート アシスタンスのサポートを有効にできます。
  • ブロックの規則
    ブロックの規則は、特定の種類の着信トラフィックまたは特定の種類の送信トラフィックを明示的にブロックします。
  • 許可の規則
    許可の規則は、特定の種類の着信トラフィックまたは特定の種類の送信トラフィックを明示的に許可します。
  • デフォルトの規則
    デフォルトの規則は、デフォルトの受信規則で接続をブロックし、デフォルトの送信規則で接続を許可するように構成されます。

Windows Vista および Windows Server 2008 における IPSec ベースの接続セキュリティの規則

次の 2 種類の IPSec 規則を、Windows Vista ベースのコンピュータまたは Windows Server 2008 ベースのコンピュータに適用できます。
  • IPSec の規則
    以前の IPSec 規則は、現在、Windows 2000 と Windows Server 2003 に導入されています。以前の IPSec 規則は、ポリシー エージェント サービスによって管理されます。これらの IPSec 規則は、コンピュータ ベースの Kerberos 認証、x.509 証明書、または事前共有キー認証のみをサポートするインターネット キー交換 (IKE) 規則です。これらの IPSec 規則は、"IP セキュリティ ポリシーの管理" MMC スナップインで構成します。IKE ベースのポリシー エージェントの規則は、Windows 2000 および Windows Server 2003 の場合と同様に適用されます。特定のコンピュータに複数のポリシーを適用することもできますが、最後に適用されたポリシーのみが有効になります。これは、"後書き優先" 方式によるものです。また、IKE ポリシー設定はマージできません。
  • 接続セキュリティの規則
    接続セキュリティの規則は、Windows Vista と Windows Server 2008 のみでサポートされます。接続セキュリティの規則は、認証済み IP (AuthIP) という IKE の拡張機能によってサポートされます。AuthIP により、次の認証メカニズムのサポートが追加されます。
    • 対話ユーザーの Kerberos 資格情報または対話ユーザーの NTLMv2 資格情報
    • ユーザーの x.509 証明書
    • コンピュータの SSL (Secure Sockets Layer) 証明書
    • NAP 正常性証明書
    • 匿名認証 (オプションの認証)
    次のツールを使用すると、"セキュリティが強化された Windows ファイアウォール" スナップインのセキュリティの規則を構成できます。
    • ドメイン ベースのグループ ポリシー
    • "セキュリティが強化された Windows ファイアウォール" スナップイン

      : セキュリティが強化された Windows ファイアウォール スナップインは、wf.msc コマンドを使用してアクセスできるポリシーのデフォルトの保存場所です。
    • ローカルのグループ ポリシー スナップイン (Gpedit.msc)
    • netsh advfirewall コマンド

      : netsh advfirewall コマンドは、wf.msc コマンドと同じストアをポイントしています。
    ファイアウォールおよびグループ ポリシーの他の規則と同様に、接続セキュリティの規則は、該当するすべてのグループ ポリシー オブジェクトからマージされます。

    接続セキュリティ ポリシーを構成して、Microsoft Windows 2000、Windows XP、Windows Server 2003 などの IKE バージョン 1 ベースのクライアントと互換性がある IPSec ベースのポリシーを作成できます。また、接続セキュリティ ポリシーを構成して、Windows Vista ベースのコンピュータと Windows Server 2008 ベースのコンピュータ間の通信のみをサポートするポリシーを作成することもできます。

    管理者は、次の方法を使用して、接続セキュリティ ポリシーを作成できます。
    • Kerberos 認証、ユーザーの x.509 証明書、またはコンピュータ認証のみをサポートする接続セキュリティ ポリシーを作成できます。

      • この場合、Mpssvc サービスによって、AuthIP ポリシーと以前の IKE ポリシーの両方が自動的に作成されます。
      • コンピュータ ベースの事前共有キー認証が指定されている場合、AuthIP 規則は作成されません。
    • ユーザー認証を必要とする接続セキュリティ ポリシーを作成できます。

      : この場合、Windows Vista どうしのネゴシエーションおよび Windows Vista と Windows Server 2008 のネゴシエーション用に、AuthIP ポリシーのみが作成されます。AuthIP ポリシーのみが作成されるのは、IKE がユーザー認証をサポートしていないためです。
    • ユーザー認証オプションが追加された接続セキュリティ ポリシーを作成できます。また、[2 番目の認証をオプションにする] オプションを選択することもできます。

      : Mpssvc サービスによって、AuthIP ポリシーと以前の IKE ポリシーの両方が作成されます。オプションのユーザー認証は、AuthIP セットに含まれます。オプションのユーザー認証は、以前の IKE ポリシーには含まれません。
    • NTLM 認証を必要とする接続セキュリティ ポリシーを作成できます。

      : この場合、Windows Vista どうしのネゴシエーションおよび Windows Vista と Windows Server 2008 のネゴシエーション用に、AuthIP ポリシーのみが作成されます。AuthIP ポリシーのみが作成されるのは、IKE が NTLM 認証をサポートしていないためです。
    • グローバルな "メイン モード キー交換" アルゴリズムとして、"Elliptic Curve Diffie-Hellman P-256" アルゴリズムなど、以前のクライアントと互換性がない "Diffie-Hellman" アルゴリズムを選択できます。

      • この場合、"Diffie-Hellman" アルゴリズムは、以前の IKE バージョン 1 のクライアントではサポートされません。また、IKE ネゴシエーションは正しく実行されません。
      • "Diffie-Hellman グループ 2" 設定は最も広範なクライアントでサポートされるため、この設定を使用することをお勧めします。
      • "Diffie-Hellman グループ 14" 設定は、Windows XP Service Pack 2 (SP2) と Windows Server 2003 でサポートされます。
      • この場合、動作の主要な相違点は、一般的に "Diffie-Hellman" アルゴリズムは AuthIP ベースのネゴシエーションでは使用されないということです。
      • Mpssvc サービスによって AuthIP 規則が作成される際、メイン モードの認証方法が [匿名] に設定されている場合は、Windows Vista どうしのネゴシエーションまたは Windows Vista と Windows Server 2008 のネゴシエーションで "Diffie-Hellman" アルゴリズムのみを使用する必要があることが指定されます。
      • Mpssvc サービスでは、IKE 規則の作成時に、[キー交換 (メイン モード)] グローバル設定に固有の "Diffie-Hellman" アルゴリズムが必ず使用されます。
      • セキュリティ サポート プロバイダ インターフェイス (SSPI) の共有シークレットは、メイン モード キー交換で Diffie-Hellman 交換が行われない AuthIP 交換のキー材料を生成するために使用されます。

    AuthIP で使用される証明書

    • AuthIP では、クライアント認証設定またはサーバー認証設定が構成されている SSL 証明書が使用されます。SSL 証明書は、クライアント認証証明書である場合があります。また、クライアント認証証明書とサーバー認証証明書の両方である場合もあります。
    • Windows Vista で証明書の認証を使用するためにポリシーを作成する場合、AuthIP で有効な証明書が必要です。これは、クライアントに展開する証明書は、クライアント認証またはサーバー認証を使用する SSL 証明書である必要があることを意味します。この認証は、一方向の認証と相互認証のどちらを使用するかによって異なります。SSL 証明書は、Windows XP または Windows Server 2003 で使用される標準的なデジタル証明書とは異なります。
    • デフォルトでは、SSL 証明書は NAP 実装によって使用されます。

"セキュリティが強化された Windows ファイアウォール" スナップインのグループ ポリシーの処理

接続セキュリティの規則は、該当するすべてのグループ ポリシー オブジェクトからマージされます。ただし、何も追加されていないデフォルトの IPSec の動作を管理する、IPSec と AuthIP に対する一連の関連設定が存在します。この一連の設定には、グローバル認証セット、クイック モード設定、キー交換設定、およびインターネット制御メッセージ プロトコル (ICMP) の例外が含まれます。

優先順位が最も高いグループ ポリシー オブジェクト (GPO) から適用された接続セキュリティ オプションまたは IPSec オプションのデフォルトのセットは、Windows Vista ベースのクライアントで適切に実行されます。たとえば、Windows Vista ベースのクライアントで、デフォルトの認証セットまたは暗号セットを使用する接続セキュリティの規則はすべて、優先順位が最も高い GPO のセットを使用します。より柔軟性を高めるには、次のオプションを使用します。
  • 認証セットについては、デフォルトの認証ではなく接続セキュリティの規則を使用して、認証を構成します。
  • クイック モード暗号セットについては、netsh コマンドを使用して、必要に応じて接続セキュリティの規則ごとにクイック モード暗号化設定を構成します。
  • メイン モード暗号セットについては、ポリシーごとに 1 つのメイン モード暗号セットのみがサポートされています。複数のメイン モード暗号セットを受信した場合、優先順位が最も高い GPO のメイン モード暗号セットが、グループ ポリシーのすべての接続セキュリティの規則に適用されます。規則をカスタマイズして複数のメイン モード暗号セットを使用することはできません。
  • 接続セキュリティ ポリシーとファイアウォール ポリシーの GPO を構成する場合、ローカルのファイアウォールの規則および接続セキュリティの規則の使用を無効にすることができます。そのため、サイトの GPO、ドメインの GPO、または組織単位 (OU) の GPO にリンクされているグループ ポリシー設定のみが、Windows ファイアウォールの動作を制御できます。
Windows Vista のホワイト ペーパー『Introduction to Windows Firewall with Advanced Security (セキュリティが強化された Windows ファイアウォールの概要)』をダウンロードするには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Windows Vista の AuthIP の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/community/columns/cableguy/cg0806.mspx
Windows Vista および Windows Server 2008 の新しい Windows ファイアウォールの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/community/columns/cableguy/cg0106.mspx

Windows Vista と Windows XP の間または Windows Vista と Windows Server 2003 の間で暗号化された接続を確立する方法

Windows Server 2003 および Windows XP では、IPSec ポリシー構成は通常、ネットワークのほとんどのトラフィックを保護する規則セットと、保護するトラフィックの例外を定義する別の規則セットで構成されます。1 つの構成にサーバーの分離とドメインの分離が含まれる場合があります。DHCP (Dynamic Host Configuration Protocol) サーバー、DNS (Domain Name System) サーバー、ドメイン コントローラなどのネットワーク インフラストラクチャ サーバーとの保護されていない通信の場合には、例外が必要です。コンピュータは起動時に、IP アドレスの取得が可能であること、および DNS を使用してドメイン コントローラの検出が可能であることが必要です。また、Kerberos 認証を使用して自身の IPSec ピアとしての認証を開始するには、コンピュータはドメインへのログオンが可能であることが必要です。IPSec に対応していないネットワーク ノードと通信するには、別の例外が必要です。場合によっては、多くの例外が存在することにより、企業ネットワークに IPSec 保護を導入して長期間維持していくことが困難になることがあります。

Windows Server 2008 および Windows Vista では、IPSec 保護のネゴシエーションを行うオプションの動作を IPSec で指定できます。IPSec が有効で、Windows Server 2008 または Windows Vista を実行している IPSec ノードが別のネットワーク ノードとの通信を開始すると仮定します。この場合、IPSec ノードは、暗号化を使用しない通信 (セキュリティで保護されていない通信) を試行します。同時に、このノードは、保護された通信のネゴシエーションを試行します。通信を開始する IPSec ピアが最初のネゴシエーションの試行に対する応答を受信しなかった場合、セキュリティ保護なしで通信が続行されます。通信を開始する IPSec ピアが最初のネゴシエーションの試行に対する応答を受信した場合、セキュリティで保護されていない通信は、ネゴシエーションが完了するまで継続されます。ネゴシエーションが完了すると、後続の通信では保護が強化されます。通信を開始する IPSec ノードは、通信相手のネットワーク ノードが IPSec を実行できるかどうかを確認し、それに応じて動作します。IPSec ノードのこの動作は、IPSec のオプションの動作です。また、この動作は推奨される構成であり、開始された受信通信には保護が必須となり、開始された送信通信には保護を要求します。この新しい動作により、IPSec ポリシーを非常に簡単に構成できます。たとえば、通信を開始する IPSec ノードには、ネットワーク トラフィックを IPSec で保護できないホストを除外するための定義済みの IPSec フィルタ セットが不要になります。通信を開始する IPSec ノードは、保護されたトラフィックと保護されていないトラフィックの両方を同時に試行します。保護された通信を実行できない場合、保護されていない通信が使用されます。

また、新しいネゴシエーションの動作により、ホストへの保護されていない接続のパフォーマンスが向上します。Windows Server 2003 または Windows XP を実行している IPSec ノードは、保護された通信を要求するように構成されていますが、保護されていない通信も実行できます。IPSec ノードのこの動作は、セキュリティで保護されていない通信の許可と呼ばれます。IPSec ノードは、ネゴシエーション メッセージを送信し、応答を待機します。通信を開始する IPSec ノードは、最長で 3 秒間待機した後、セキュリティで保護されていない通信を試行します。Windows Server 2008 および Windows Vista では、通信を開始する IPSec ノードが応答を待機しているときには、既にセキュリティで保護されていない通信が実行中であるため、3 秒間の遅延が発生せずに、セキュリティで保護されていない通信が許可されます。

サーバーの分離とドメインの分離の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/network/bb545651.aspx

Windows Vista と Windows XP の間または Windows Vista と Windows Server 2003 の間で暗号化された接続を確立する場合の重要点

  • Windows Vista で暗号化された接続のみを有効にする場合、Windows Vista では、他のすべてのクライアントと IPSec レベルでのみネゴシエーションが行われます。これには、Windows XP ベースのクライアントが含まれます。
  • デフォルトでは、Windows XP および Windows Server 2003 は、IPSec レベルでのネゴシエーションを行いません。そのため、Windows Vista と Windows XP の間または Windows Vista と Windows Server 2003 の間で暗号化された接続を確立するには、Windows XP または Windows Server 2003 に IPSec の規則を割り当てる必要があります。
  • Windows Vista で [セキュリティで保護された接続のみを許可する] オプションが選択されている場合、デフォルトでは、AES-128 暗号化方式と 3DES 暗号化方式を使用してネゴシエーションが行われます。AES-128 暗号化方式は、Windows XP ではサポートされていません。3DES 暗号化方式は、Windows XP と Windows Server 2003 でサポートされています。
  • Windows XP または Windows Server 2003 で IPSec が有効になっている場合、デフォルトでは、3DES 暗号化方式を使用してネゴシエーションが行われます。
"セキュリティが強化された Windows ファイアウォール" スナップインを使用して、Windows Vista ベースのコンピュータと Windows XP ベースのコンピュータ間で暗号化された接続を確立するには、次の手順を実行します。
  1. Windows Vista ベースのコンピュータで、[スタート] ボタン
    元に戻す画像を拡大する
    [スタート] ボタン
    をクリックし、[検索の開始] ボックスにファイアウォールと入力します。次に、[プログラム] の一覧の [セキュリティが強化された Windows ファイアウォール] をクリックします。
  2. コンソール ツリーで、[受信の規則] をクリックします。
  3. [受信の規則] の一覧で、[リモート デスクトップ (TCP 受信)] をダブルクリックし、[全般] タブをクリックします。
  4. [操作] の [セキュリティで保護された接続のみを許可する] をクリックします。[暗号化を要求する] チェック ボックスをオンにし、[OK] をクリックします。
  5. コンソール ツリーで [接続セキュリティの規則] をクリックし、[操作] メニューの [新しい規則] をクリックします。
  6. [分離] をクリックし、[次へ] をクリックします。
  7. [受信接続と送信接続の認証を要求する] をクリックし、[次へ] をクリックします。
  8. [既定] をクリックし、[次へ] をクリックします。
  9. 次のチェック ボックスをオンにし、[次へ] をクリックします。
    • ドメイン
    • プライベート
    • パブリック
  10. 規則の名前を [名前] ボックスに入力し、必要に応じて [説明 (オプション)] ボックスに規則の説明を入力します。[完了] をクリックします。
  11. [ファイル] メニューの [終了] をクリックします。
  12. Windows XP ベースのコンピュータで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、secpol.msc と入力し、[OK] をクリックします。
  13. コンソール ツリーで [ローカル コンピュータ の IP セキュリティ ポリシー] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。
  14. [次へ] をクリックし、IP セキュリティ ポリシー ウィザードの指示に従って IP セキュリティ ポリシーを作成します。デフォルト設定を使用してこのポリシーを作成します。
  15. [新しい IP セキュリティ ポリシー] を右クリックし、[割り当て] をクリックします。
  16. [ファイル] メニューの [終了] をクリックします。

プロパティ

文書番号: 942957 - 最終更新日: 2008年2月28日 - リビジョン: 1.3
この資料は以下の製品について記述したものです。
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
キーワード:?
kbhowto kbinfo kbexpertiseadvanced KB942957
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com