マイクロソフト セキュリティ アドバイザリ: IPsec の脆弱性により、セキュリティ機能のバイパスが起こる

適用対象: Windows RT 8.1Windows 8.1Windows 8.1 Enterprise

はじめに


マイクロソフトでは、この問題に関して、IT プロフェッショナル向けのマイクロソフト セキュリティ アドバイザリをリリースしました。セキュリティ アドバイザリには、この問題に関連する追加のセキュリティ関連の情報が含まれています。セキュリティ アドバイザリを参照するには、次のマイクロソフト Web サイトにアクセスしてください。

解決方法


下記のファイルは、Microsoft ダウンロード センターからダウンロードできます。


サポートされているすべてのバージョンの Windows XP (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows XP Professional x64 Edition (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2003 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2003 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2003 (IA-64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Vista (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Vista (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 (IA-64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 Embedded (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 7 Embedded (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 R2 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2008 R2 (IA-64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2012 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8.1 (x86 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows 8.1 (x64 ベース)

ダウンロード パッケージ

サポートされているすべてのバージョンの Windows Server 2012 R2 (x64 ベース)

ダウンロード パッケージ

リリース日: 2013 年 11 月 10 日

マイクロソフトのサポート ファイルをダウンロードする方法の詳細については、以下のサポート技術情報番号をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

詳細


1: このセキュリティ更新プログラムの目的

このセキュリティ更新プログラムを適用すると、IPsec クライアントからのリモート接続が存在する場合の、リモート IPsec サーバーの ID を検証する方法が強化されます。この更新プログラムのインストールは 3 段階の手順で行います。手順の概要はこのセクションに記載されていて、詳細もこの資料に記載されています。

この更新プログラムをインストールするには、次の手順を実行します。
  1. リモート サーバーの検証を強化するクライアント システムに更新プログラムをインストールします。管理者が手順 2. を実行し、更新プログラムを手動で有効にする (セクション 4.1 に記載) まで、インストール後も更新プログラムは無効のままです。"クライアントからゲートウェイ" 構成が存在する場合は、クライアント コンピューターに更新プログラムをインストールする必要があります。"サイト間" 構成が存在する場合は、両方の通信リモート サーバーでインストールする必要があります。
  2. 新しい検証規則 (「展開の手順」セクションに記載) に従って検証する必要がある ID が含まれるサーバーで証明書を更新します。
  3. 検証コンピューター上でレジストリを更新し、新しい検証規則を追加します。レジストリでこれらの規則が設定されるとすぐに、リモート コンピューターとのトンネルが確立される間に、更新プログラムにより新しい規則の適用が自動的に開始されます。
注: この更新プログラムはトンネル モード接続にのみ適用されます。トランスポート モード接続は影響を受けません。

2: このセキュリティ更新プログラムをインストールする必要のあるユーザー

以下の構成を使用しているエンタープライズ管理者は、セキュリティを強化するためにリモート クライアントとサーバーの更新を検討する必要があります。
  • 証明書ベースの AuthIP を使用する DirectAccess
    この構成では、Windows 7 ベースのクライアント コンピューターに更新プログラムをインストールする必要があります。構成で証明書を更新する必要があるサーバーは、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 を実行している可能性があります。

    この更新プログラムを Windows 8 の証明書ベースの展開にインストールしても、影響はありません。
  • KerbProxy 認証の AuthIP を使用する DirectAccess
    この構成では、Windows 8 ベースまたは Windows 8.1 ベースのクライアント コンピューターに更新プログラムをインストールする必要があります。サーバーでは変更は必要ありません。
  • 証明書ベースの認証を使用する IPsec
    これが最も用途の広い構成です。"クライアントからゲートウェイ" または "サイト間" として構成されている場合があります。
シナリオ プロトコル認証方法インストールの種類修正プログラムを適用するプラットフォーム
IPSecIKEv1証明書ベースサイト間 (RRAS など)Win 2003、Windows Server 2008、Windows Server 2008 R2
クライアントからサーバーWindows XP、Windows Vista、Windows 7
DirectAccessAuthIP証明書ベースクライアントからサーバー (DirectAccess など)Windows 7
KerbProxyクライアントからサーバー (DirectAccess など)Windows 8、Windows 8.1
注意事項: 証明書ベースの認証の場合 (IPsec または DirectAccess):
  • サイト間: Windows Server 2012 および Windows Server 2012 R2 ではインボックスでの証明書チェックで十分なので修正プログラムを適用する必要はありません。
  • クライアントからゲートウェイ: Windows 8 および Windows 8.1 ではインボックスでの証明書チェックで十分なので修正プログラムを適用する必要はありません。
Windows 8、8.1、Server 2012、および Server 2012 R2 で証明書チェックを構成する方法については、以下の Microsoft TechNet 資料を参照してください。

3: 展開シナリオ


3.1: IPsec クライアントからゲートウェイ

このセクションでは、一般的な "クライアントからゲートウェイ" 構成を示します。この更新プログラムは、コンピューター C1 がサーバー R1 の有効性に対して行うチェックを強化します。

3.2: IPsec "サイト間"

ここでは、トラフィックによりトリガーされる一般的な IPsec "サイト間" トンネルを示します。他方のサーバーの有効性に対してより厳格なチェックを適用するには、サーバー R1 とサーバー R2 でこの更新プログラムを適用し、関連する構成を更新する必要があります。

4: 展開の手順

4.1: このセキュリティ更新プログラムについて

セキュリティ更新プログラム 2862152 の一環として、IPsec では、証明書の認証方式 (Windows 7、Windows Server 2008 R2、Windows XP、および Windows Server 2003) と KerbProxy 認証 (Windows 8、Windows Server 2012、Windows 8.1、および Windows Server 2012) の IPsec ネゴシエーションでより厳格なチェックを適用します。IPsec ネゴシエーションの間、上記の属性を、レジストリで構成されている以下の値と照合するチェックも行います。
Windows 7 およびそれ以前のオペレーティング システム
  • IP アドレスと EKU のみが構成されている場合、IPsec は宛先 IP アドレスおよび EKU のオブジェクト識別子 (別名 OID) をチェックします。
  • IP アドレスと DNS のみが構成されている場合、IPsec は宛先 IP アドレスおよび DNS (証明書) 名をチェックします。
  • IP アドレス、DNS、および EKU が構成されている場合、IPsec は宛先 IP アドレスおよび EKU オブジェクト識別子をチェックします。
注意事項
  • DNS (証明書) はサーバー (または応答側) 上の証明書名です。
  • EKU オブジェクト識別子は、サーバー証明書内にある拡張キー使用法の識別子です。
Windows 8 および Windows 8.1
  • 宛先 IP アドレスおよび SPN の値

    サービス プリンシパル名 (SPN) は、通常、以下の形式です。
    host/<コンピューター名>.<コンピューター ドメイン>.com
    管理者は、レジストリ設定を通じて、(Windows 7 またはそれ以前のオペレーティング システムでは) 有効な IP アドレス、DNS 名/EKU オブジェクト識別子、(Windows 8 およびそれ以降のバージョンでは) 有効な IP および SPN 値を指定する必要があります。各キー モジュールには、認証方式ごとのサブキーが含まれる、独立したレジストリが適用されます。

    また、応答側コンピューターでも同じ設定を構成して、応答側のセキュリティ保護に役立てることができます。この方法は Windows 7 およびそれ以前のバージョンにのみ適用されます。

    Windows 8 およびそれ以降のバージョンでは、開始側コンピューターのみを構成できます。応答側を構成することはできません。

4.2: 証明書の展開 - Windows 7 およびそれ以前のバージョン

4.2.1 IPsec のシナリオ
4.2.1.1 クライアント上の EKU 構成:
  • IPsec クライアントで、EKU が含まれる証明書を既に使用している場合は、IPsec クライアント システムで新しい証明書を更新または再展開する必要はありません。IPsec サーバーでは、EKU を使用する新しい証明書を展開するように設定されます。

    注: この証明書は、IPsec ポリシーで構成されていた同じルート証明機関 (CA) にチェーンされる必要があります。クライアントのレジストリ設定でこの新しい EKU を構成します。
  • EKU が含まれない証明書は、"汎用証明書" と見なされます。この更新プログラムでそのような証明書を使用する場合、新しい EKU チェックは適用されません。それでも、証明書に対するチェックを適用したい場合は、DNS 設定のみを構成します。
4.2.1.2 クライアント上の DNS 構成:
  • DNS ベースの検証を使用する場合は、クライアントのレジストリ設定でサーバー証明書の DNS 名 (証明書名) を構成する方法があります。

    注: EKU が構成されている場合、DNS 設定は考慮されません。そのため、DNS ベースの検証を使用する場合は、DNS 設定のみを構成します。
4.2.2 サイト間のシナリオ
4.2.2.1 EKU 構成:
  • 開始側または応答側で、EKU が含まれる証明書を既に使用している場合は、開始側または応答側で証明書を更新または再展開する必要はありません。両端のレジストリ設定で、ピア証明書の EKU のみを構成します。
  • 開始側または応答側の証明書に EKU が含まれない場合、これはその証明書が "汎用証明書" であり、新しい EKU チェックは適用されないことを意味します。それでも、証明書に対するチェックを適用したい場合は、DNS 設定のみを構成します。
4.2.2.2 DNS 構成:
  • DNS ベースの検証を使用する場合は、両側のレジストリでピア証明書の DNS 名 (証明書名) を構成する方法があります。

    注: EKU が構成されている場合、DNS 設定は考慮されません。そのため、DNS ベースの検証を使用する場合は、DNS 設定のみを構成します。

4.3: Windows 7、Windows Server 2008 R2、Windows Vista、および Windows Server 2008 のレジストリ設定

レジストリ キーが構成されている場合にのみ検証が有効になります。

注: レジストリ キーに値やデータがない場合であっても検証が適用されます。
  • 4.3.1: AuthIP を使用した証明書の認証
    • レジストリ キー: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\AuthIP\Cert
    • レジストリ キー名: 任意の名前 (Tunnel1 など) を使用可能
    • 種類: REG_MULTI_SZ
    • データ: <IP アドレス v4 または IP アドレス v6> <DNS1> <DNS2> <DNS3> <カスタム EKU OID>
    データを区切るには、スペース、タブまたは改行を使用できます。たとえば、次のようにデータを構成することもできます。

    データ: <IP アドレス v4 または IP アドレス v6>
    <DNS1>
    <DNS2>
    <DNS3>
    <カスタム EKU OID>

    カスタム EKU OID は、次に示すように "EKU:"プレフィックス形式を使用して構成する必要があります。
    EKU:<EKU OID>


    レジストリでは複数のレジストリ名を使用できます:
    • レジストリ名: 任意の名前 (Tunnel2 など) を使用可能
    • 種類: REG_MULTI_SZ
    • データ: <IP アドレス v4 または IP アドレス v6> <DNS4> <DNS5> <DNS6> <カスタム EKU OID>
  • 4.3.2: IKEv1 を使用した証明書の認証
    • レジストリ キー: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\IKEV1\Cert
    • レジストリ キー名: 任意の名前 (Tunnel1 など) を使用可能
    • 型: REG_MULTI_SZ
    • データ: <IP アドレス v4 または IP アドレス v6> <DNS1> <DNS2> <DNS3> <カスタム EKU OID>

    データを区切るには、スペース、タブまたは改行を使用できます。たとえば、次のようにデータを構成することもできます。

    データ: <IP アドレス v4 または IP アドレス v6>
    <DNS1>
    <DNS2>
    <DNS3>
    <カスタム EKU OID>

    カスタム EKU OID は、次に示すように "EKU:" プレフィックス形式を使用して構成する必要があります。
    EKU:<EKU OID>


    レジストリでは複数のレジストリ名を使用できます:
    • レジストリ名: 任意の名前 (Tunnel2 など) を使用可能
    • 種類: REG_MULTI_SZ
    • データ: <IP アドレス v4 または IP アドレス v6> <DNS4> <DNS5> <DNS6> <カスタム EKU OID>
    各エントリでは 10 個以内の DNS 名と、カスタム EKU を 1 つのみ指定することができます。

    エントリごとに構成できる DNS 名の最大数は 10 です。

    注: エントリのサイズが 16,384 文字を超えると、そのエントリは無視されます。文字数には、IP アドレスのサイズと EKU サイズが含まれます。

    トンネルの宛先ごと (たとえば IP ごと) に 1 つの EKU のみを考慮することができます。検索は反復的に行われます。複数の "IP" エントリが構成されている場合、その IP アドレス エントリに対して最初に構成されている EKU の検証が考慮されます。

    レジストリ パスの下に構成できるトンネルの最大数は 1,024 です。

    注意事項
    • "IP" 値を構成する必要があります。管理者は、ニーズに基づいて DNS または EKU を構成できます。
    • EKU のみが構成されている場合、ピア証明書に存在する EKU を検証し、検証結果に基づいて認証を有効または無効にします。
    • DNS 名のみが構成されている場合、証明書に存在する subjectAltName のみを検証し、検証結果に基づいて認証を有効または無効にします。
    • EKU と DNS が構成されている場合は、EKU のみを検証し、検証に基づいて認証を有効または無効にします。
DNS の手法:
  • [名前] フィールドで任意の文字列を指定できます。
  • サーバーで IPv6 アドレスが使用されている場合は、IPv4 アドレスの代わりに同じ IPv6 アドレスを指定できます。



EKU の手法:


4.4: Windows XP および Windows Server 2003 のレジストリ設定

レジストリ キーが構成されている場合にのみ検証が有効になります。

注: レジストリ キーに値やデータがない場合であっても検証が適用されます。

4.4.1: Oakley を使用した証明書の認証
  • レジストリ キー: HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley\Cert
  • レジストリ キー名: 任意の名前 (Tunnel1 など) を使用可能
  • 型: REG_MULTI_SZ
  • データ: <IP アドレス v4> <DNS1> <DNS2> <DNS3> <カスタム EKU OID>

    データを区切るには、スペース、タブまたは改行を使用できます。たとえば、次のようにデータを構成することもできます。

    データ: <IPv4 アドレス>
    <DNS1>
    <DNS2>
    <DNS3>
    <カスタム EKU OID>

    カスタム EKU OID は、次に示すように "EKU:" プレフィックス形式を使用して構成する必要があります。
    EKU:<EKU OID>


    レジストリでは複数のレジストリ名を使用できます:
  • レジストリ名: 任意の名前 (Tunnel2 など) を使用可能
  • 種類: REG_MULTI_SZ
  • データ: <IP アドレス v4> <DNS4> <DNS5> <DNS6> <カスタム EKU OID>
IP アドレスは、トンネルの宛先のアドレスであり、エントリの最初の文字列にする必要があります。

各エントリでは 10 個以内の DNS 名と、カスタム EKU を 1 つのみ指定することができます。

エントリごとに構成できる DNS 名の最大数は 10 です。


注: エントリのサイズが 16,384 文字を超えると、そのエントリは無視されます。文字数には、IP アドレスのサイズと EKU サイズが含まれます。

トンネルの宛先ごと (たとえば IP ごと) に 1 つの EKU のみを考慮することができます。検索は反復的に行われます。複数の "IP" エントリが構成されている場合、その IP アドレス エントリに対して最初に構成されている EKU の検証が考慮されます。

レジストリ パスの下に構成できるトンネルの最大数は 1,024 です。

注意事項
  • "IP" 値を構成する必要があります。管理者は、ニーズに基づいて DNS または EKU を構成できます。
  • EKU のみが構成されている場合、ピア証明書に存在する EKU を検証し、検証結果に基づいて認証を有効または無効にします。
  • DNS 名のみが構成されている場合、証明書に存在する subjectAltName のみを検証し、検証結果に基づいて認証を有効または無効にします。
  • 両方が構成されている場合、EKU のみを検証し、検証に基づいて認証を有効または無効にします。

DNS の手法:
  • [名前] フィールドで任意の文字列を指定できます。
  • サーバーで IPv6 アドレスが使用されている場合は、IPv4 アドレスの代わりに同じ IPv6 アドレスを指定できます。



EKU の手法:


4.5: Windows 8 および Windows 8.1

レジストリ キーが構成されている場合にのみ検証が有効になります。レジストリの値またはデータがない場合であっても、キーを追加するだけでチェックが適用されることに注意してください。




4.5.1: AuthIP を使用した KerbProxy 認証:
  • レジストリ キー: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters\IPsecTunnelConfig\AuthIP\kerberos
  • レジストリ キー名: 任意の文字列 (Tunnel1 など) を使用可能
  • 種類: REG_MULTI_SZ
  • データ: <IP アドレス v4 または IP アドレス v6> <SPN1> <SPN2> <SPN3>

    データを区切るには、スペース、タブまたは改行を使用できます。たとえば、次のようにデータを構成することもできます。

    データ: <IP アドレス v4 または IP アドレス v6>
    <SPN1>
    <SPN2>
    <SPN3>

    レジストリでは複数のレジストリ名を使用できます:
  • レジストリ キー名: 任意の文字列 (Tunnel2 など) を使用可能
  • 種類: REG_MULTI_SZ
  • データ: <IP アドレス v4 または IP アドレス v6> <SPN4> <SPN5> <SPN6>
IP アドレスは、トンネルの宛先のアドレスであり、エントリの最初の文字列にする必要があります。

エントリごとに構成できる SPN の最大数は 10 です。


注: エントリのサイズ (IP アドレスのサイズを含む) が 16,384 文字を超えると、そのエントリは無視されます。レジストリ パスの下に構成できるトンネルの最大数は 1,024 です。

SPN の手法:
  • [名前] フィールドで任意の文字列を指定できます。
  • サーバーで IPv6 アドレスが使用されている場合は、IPv4 アドレスの代わりに同じ IPv6 アドレスを指定できます。

5: トラブルシューティング

IPsec 接続エラーが発生した場合は、以下の手順を実行して問題をトラブルシューティングします。
  1. 上記のセクションの説明に従って、正しい構成が実行されていることを確認します。
  2. イベント ログを確認して、開始側または応答側でエラーがスローされているかどうかを確認します。
  3. Windows 8 およびそれ以降のバージョンでは、応答側に変更はありません。そのため、エラーが発生する可能性があるのは開始側からのみです。エラーが発生した場合、IKE トレースにより、ログ内には以下のようなメッセージが示されます。

    AuthIP peer SPN did NOT match configured SPN (AuthIP ピアの SPN は、構成済みの SPN と一致しませんでした)
  4. Windows 7 およびそれ以前のバージョンでは、エラーは開始側と応答側から発生する可能性があります。
開始側のエラーが発生した場合は、以下のイベントが記録されます。


エラーの事例開始側応答側
IKEv1IPsec メイン モードのネゴシエーションが失敗しました。IPsec メイン モードのセキュリティ アソシエーションが確立されました。拡張モードは有効にされませんでした。認証に証明書が使用されました。
IPsec メイン モードのセキュリティ アソシエーションが終了しました。
AuthIPIPsec メイン モードのネゴシエーションが失敗しました。IPsec メイン モードのネゴシエーションが失敗しました。
応答側のエラーが発生した場合は、以下のイベントが記録されます。


エラーの事例開始側応答側
IKEv1IPsec メイン モードのセキュリティ アソシエーションが確立されました。拡張モードは有効にされませんでした。認証に証明書が使用されました。IPsec メイン モードのセキュリティ アソシエーションが確立されました。拡張モードは有効にされませんでした。認証に証明書が使用されました。
IPsec クイック モードのネゴシエーションが失敗しました。IPsec メイン モードのセキュリティ アソシエーションが終了しました。
IPsec メイン モードのセキュリティ アソシエーションが終了しました。IPsec クイック モードのネゴシエーションが失敗しました。
AuthIPIPsec メイン モードのネゴシエーションが失敗しました。IPsec 拡張モードのネゴシエーションが失敗しました。対応するメイン モードのセキュリティ アソシエーションが削除されました。
IPsec 拡張モードのネゴシエーションが失敗しました。対応するメイン モードのセキュリティ アソシエーションが削除されました。

IKE トレース

  1. IKE トレースを有効にして問題を再現します。
  2. IKE トレースを停止します。
  3. C:\windows\system32 の Ikeext.etl ファイルを、マイクロソフト サポート チームに送信して共有します。
エラーが発生した場合、IKE トレースにより以下のログが示されます。

EKU が原因であるエラー:
  • Peer certificate custom EKU did NOT match with configured EKU for AUTHIP (ピア証明書のカスタム EKU は、AuthIP に対して構成されている EKU と一致しませんでした)
  • Peer certificate custom EKU did NOT match with configured EKU for IKE (ピア証明書のカスタム EKU は、IKE に対して構成されている EKU と一致しませんでした)
証明書が原因であるエラー:
  • IKE peer certificate DNS Name did NOT matched with configured DNS names (IKE ピア証明書の DNS 名は、構成済みの DNS 名と一致しませんでした)
  • AUTHIP peer certificate DNS Name did NOT match with configured DNS names (AuthIP ピア証明書の DNS 名は、構成済みの DNS 名と一致しませんでした)

Windows XP および Windows Server 2003

Oakley のログは、IPsec に関連するエラーの原因の特定に役立ちます。

IPsec ログを有効にするには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
Netsh IPsec dynamic set config ikelogging 1
続いて、エラーの事例を再現するために、次のコマンドを入力します。
Netsh IPsec dynamic set config ikelogging 0
Oakley ログは次のフォルダーに生成されます。
C:\winodws\Debug
エラーが発生した場合、IKE トレースにより以下のログが示されます。

EKU が原因であるエラー:
  • Peer certificate custom EKU did NOT matched with configured EKU for IKEv1 (ピア証明書のカスタム EKU は、IKEv1 に対して構成されている EKU と一致しませんでした)
証明書が原因であるエラー:
  • Peer certificate DNS Name did NOT match with configured DNS name for IKEv1 (ピア証明書の DNS 名は、IKEv1 に対して構成されている DNS 名と一致しませんでした)
注: 上記のメッセージ情報で、"did NOT matched" はコードに見られる誤植です。

関連情報


IPsec の詳細については、以下のマイクロソフト Web ページを参照してください。
CA の詳細については、高度な展開ガイドの Web ページを参照してください。
単一のリモート アクセス サーバーを展開する方法の詳細については、基本的なリモート アクセスの展開に関するマイクロソフトの Web ページを参照してください。
サイト間 VPN の詳細については、次の Microsoft Test Lab Guide Web ページを参照してください。

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。これらのファイルの日付と時刻は世界協定時刻 (UTC) で記載されています。お使いのコンピューターでは、これらのファイルの日付と時刻は夏時間 (DST) 調整済みのローカル時刻で表示されます。さらに、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。