Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) は、パスワードベースの認証プロトコルで、PPTP (Point to Point Tunneling Protocol) ベースの VPN で認証方法として広く使用されています。マイクロソフトは、VPN 接続でカプセル化と PPTP トンネルの組み合わせを使用せずに MS-CHAP v2 を使用している組織に対して、セキュリティで保護されていない構成で稼働している可能性があることを警告しています。
はじめに
マイクロソフトは、MS-CHAP v2/PPTP を使用する組織に対して、ネットワーク内に PEAP (Protected Extensible Authentication Protocol) を実装することを推奨しています。これにより、MS-CHAP v2 認証トラフィックを TLS でカプセル化することでこの手法のリスクを緩和できます。
認証に PEAP-MS-CHAP v2 を使用するように PPTP を構成する
PEAP-MS-CHAP v2
クライアント認証方法として MS-CHAP v2 と PEAP を使用する方法は、VPN 認証のセキュリティを保護するために役立ちます。クライアント プラットフォームで PEAP を確実に使用するには、PEAP 認証を使用する接続のみを許可し、MS-CHAP v2 または EAP-MS-CHAP v2 を使用する接続を拒否するように、Windows ルーティングとリモート アクセス サービス (RRAS) サーバーを構成する必要があります。管理者は、RRAS サーバーとネットワーク ポリシー サーバー (NPS) で対応する認証方法オプションを確認する必要があります。
管理者は次のことも確認する必要があります。
-
サーバー証明書の検証がオンになっている (既定の動作はオンです)。
-
サーバー名の検証がオンになっている (既定の動作はオンです)。正しいサーバー名が指定されている必要があります。
-
サーバー証明書の発行元のルート証明書がクライアント システムのストアに正しくインストールされ、オンになっている (常にオンになっている)。
-
Windows 7、Windows Vista、および Windows XP では、PEAP のプロパティ ウィンドウで [新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] チェック ボックスがオンになっている必要があります。既定ではオフになっています。
PEAP-MS-CHAP v2 認証方法用に RRAS サーバーを構成する
次に、RRAS サーバー用に PEAP-MS-CHAP v2 認証方法を構成する手順、およびセキュリティが低下する方法である MS-CHAP v2 と EAP-MS-CHAP v2 をオフにする手順について簡単に説明します。
RRAS の認証方法を構成する
これを行うには、以下の手順を実行します。
-
RRAS サーバー管理ウィンドウで、[サーバーのプロパティ] ダイアログ ボックスを開き、[セキュリティ] タブをクリックします。
-
[認証方法] をクリックします。
-
[EAP] チェック ボックスがオンになっていて [MS-CHAP v2] チェック ボックスがオフになっていることを確認します。
NPS の接続を構成する
PEAP-MS-CHAP v2 認証方法を使用するクライアントからの接続のみを許可するようにネットワーク ポリシー サーバー (NPS) を構成します。NPS を構成するには、次の手順を実行します。
-
NPS の UI を開き、[ポリシー] をクリックして、[ネットワーク ポリシー] をクリックします。
-
[Microsoft ルーティングとリモート アクセス サーバーへの接続] を右クリックし、[プロパティ] を選択します。
-
[プロパティ] で、[制約] タブをクリックします。
-
左の [制約] ウィンドウで、[認証方法] を選択し、[MS-CHAP] と [MS-CHAP-v2] の方法のチェック ボックスをオフにします。
-
[EAP の種類] の一覧から [EAP-MS-CHAP v2] を削除します。
-
[追加] をクリックし、[PEAP 認証方法] を選択して、[OK] をクリックします。
注: NPS 接続を構成する前に、有効なサーバー証明書を "個人用" ストアにインストールし、有効なルート証明書を "信頼されたルート証明機関" ストアにインストールする必要があります。 -
[編集] をクリックし、認証方法として [EAP-MS-CHAP v2] を選択します。
PEAP-MS-CHAP v2 認証方法用に RRAS クライアントを構成する
VPN 接続プロパティ UI から対応する方法を選択し、適切なルート証明書をクライアント システムにインストールすることによって、PEAP-MS-CHAP v2 認証方法を使用するように Windows VPN クライアントを構成できます。