Configuration Manager 2007 への IPsec の実装
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 は、イントラネット上およびインターネット経由のクライアントとサーバーの通信を安全に管理するための強固な基盤を提供します。しかし、攻撃者がネットワークへの侵入を試みる手口にはさまざまなものがあります。IPsec の使用は、さまざまな種類の攻撃に対する共通の緩和策です。Configuration Manager 2007 は、IPsec 環境で機能します。攻撃者がネットワーク通信を傍受、監視、または改ざんするリスクがある場合は、IPsec 環境を使用する必要があります。
IPsec を使用すると、通信のセキュリティを高レベルで制御できます。ただし、IPsec ポリシーを効果的に構成、管理、およびトラブルシューティングするには、IP ネットワークの高度な知識、ファイアウォールとフィルタリング ルータの管理経験、およびネットワーク ツールの使用経験が必要です。このドキュメントでは、読者が IPsec の全般的な設計および実装に関する実用的な知識を備えていることを想定しています。
IPsec およびグループ ポリシーを使用したサーバおよびドメインの分離の詳細については、マイクロソフト ダウンロード サイトの https://go.microsoft.com/fwlink/?LinkId=93074 (英語) を参照してください。また、IPsec の展開のケース スタディおよびテクニカル ホワイトペーパーから得られる教訓については、https://go.microsoft.com/fwlink/?LinkId=93074 (英語) を参照してください。
IPsec とサポートするインフラストラクチャの間の対話
Configuration Manager 2007 は、Windows オペレーティング システムが提供する数多くの標準サービスを使用する必要があります。これらのサービスには、名前解決、DHCP、RRAS、ボリューム シャドウ サービス、および安全なネットワーク環境で動作するのに必要な他の基本的なサービスがあります。IPsec ポリシーを確立するときは、Configuration Manager 環境内でのこれらのサービスおよび使用方法について、慎重に検討してください。
通信パス
IPsec の支援を受けて保護する必要がある主要な Configuration Manager 通信パスとして、次の 3 つがあります。
サイト間の通信
サイトとサイト システムの間の通信
クライアントとサイト システムの間の通信
サイト間の通信
サイト間の通信は、次の 2 種類のシナリオで発生します。
サイト間のデータのレプリケート
セカンダリ サイトのプッシュ インストール
サイト間のデータのレプリケートは、親子サイトとして階層的に構成されているサイト間でデータを交換されるときに行われます。子サイトから親サイトへは、ステータス メッセージ、インベントリ データ、および状態メッセージが送信されます。親サイトから子サイトへは、ソフトウェア配布パッケージ、ソフトウェアの更新、ネットワーク アクセス ポリシー、オペレーティング システムの展開イメージ、タスク シーケンス、構成基準の割り当てが送信されます。これらの通信は、 Configuration Manager 2007 によって署名されますが、IPsec を有効にしない限り暗号化されません。
親プライマリ サイトの Configuration Manager 2007 コンソールからセカンダリ サイトをインストールする場合、IPsec を有効にしない限りファイルは暗号化されません。インストールするプライマリ サイトとセカンダリ サイトの間の IPsec を有効にすると、プライマリ サイトからセカンダリ サイトに送信される構成データなど、初期ブートストラップ通信プロセスのセキュリティ保護に役立ちます。
サイト サーバとサイト システムの間の通信
サイトとサイト システムの間の通信には、次の 3 つの主要機能があります。
サイト システムの役割の初期準備
サービスの構成
構成、ステータス、および操作データの転送
サイト システム サービスの初期準備は、リモート プロシージャ コール (RPC) を使用して行われ、サーバー メッセージ ブロック (SMB) を使用してデータを転送します。ネイティブ モードではサイト サーバー署名証明書を使用してポリシーが署名され、サイト サーバーからサイト システムへの通信に対する一部の攻撃が緩和されますが、これらの通信は、混在モードでもネイティブ モードでも保護されていません。特に、Active Directory フォレスト間や、境界ネットワークとイントラネットの間など、サイト システムがセキュリティ境界を越えて配置されている場合、IPsec を有効にしてサイト サーバーからサイト システムへの通信の保護に役立てる必要があります。
IPsec は、承認されていないサイト システムが有効なサイト システムになりすまし、信頼された接続を使用してサイト サーバーやサイト システム データベースを制御するという攻撃から防御するのに役立ちます。
クライアントとサイト システムの間の通信
Configuration Manager 2007 サイトがネイティブ モードで動作している場合、Configuration Manager 2007 はインターネット インフォメーション サービス (IIS) を使用して、クライアントと一部のサイト システム (管理ポイントなど) の間に SSL による保護された接続を確立しますが、フォールバック ステータス ポイントへの接続など、その他の通信は暗号化されません。サイトが混在モードで動作している場合、暗号化されるのは一部の通信のみです。クライアントからサイト システムへの間のすべての通信がすべてのモードで署名され、暗号化されるようにするには、IPsec を使用する以外方法はありません。
混在モードとネイティブ モードで HTTP と HTTPS が使用される方法の詳細については、「混在モードとネイティブ モードでのクライアント通信」を参照してください。
注意
IPsec ポリシーは、帯域外サービス ポイントのサイト システム サーバーと帯域外で管理されるコンピュータの間の AMT 通信用に構成しないでください。
IPsec ポリシーの構成
指定したエンド ポイント (サイト サーバー、サイト システム、クライアント) 間に、ESP/3DES を必要とする IPsec ポリシーを作成することをお勧めします。パケット レイヤを暗号化すると、これらのシステムにかかる CPU 負荷が増加するので、展開前に構成に対して適切なラボ パフォーマンス テストを必ず実行することもお勧めします。Configuration Manager IPsec ポリシーを使用して IPsec のインターネット キー交換 (IKE) で認証できるコンピュータを制限することにより、指定したサイト システムへのアクセスを制限します。Configuration Manager IPsec で使用する証明書を発行する用途に限った認証機関 (CA) から発行された証明書認証を使用して、システムへのアクセスを制限することもできます。
「Configuration Manager で使用されるポート」に記載されているポート情報を使用して、サイトに参加する各コンピュータのサーバーの役割構成に応じたネットワーク トラフィック マップを作成してください。そのトピックには、クライアントからサイト システムへの通信の暗号化に IPsec を使用する場合、またはサイト システムで Configuration Manager 2007 クライアントを実行していてトラフィックを必要な許可する場合に備えて、クライアントの役割も記載されています。
注意
IPsec フィルタの作成と保守の簡略化を容易にする Windows Server 2003 および Windows XP への更新も利用できます。詳細については、https://go.microsoft.com/fwlink/?LinkId=93076 (英語) を参照してください。
ドメイン コントローラの IPsec
ドメイン コントローラで IPsec を構成することについては、ドメイン コントローラでサイトの役割をホストしている場合、Configuration Manager 2007 関連の IPsec ポリシーに影響を与える可能性があるため、追加の考慮事項があります。Windows Server 2003 メンバ サーバーと Windows Server 2003 ドメイン コントローラ間の IPsec の構成方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=93078 を参照してください。
クライアント コンポーネントがインストールされたサイト サーバー
IPsec を使用するように構成されたサイト システムが Configuration Manager 2007 クライアント エージェントもインストールされ、ネイティブ モードを使用するように構成されている場合、Configuration Manager 2007 通信で HTTP と HTTPS および診断用の ICMP トラフィックを許可するようにフィルタを変更できます。この構成を実装するためには、グループ ポリシーに IPsec ポリシーを含めて使用することをお勧めします。
インターネット ベースのサーバーの一般的な展開ネットワーク図
このシナリオは、イントラネット クライアントをサポートしておらず、境界ネットワークとイントラネットにわたっている Configuration Manager 2007 サイトを示します。インターネット ベースのサイト システムはすべて境界ネットワーク内にあり、インターネットを介して接続するクライアントの接続を受け入れます。サイト サーバーおよびサイト データベース サーバーは、イントラネットです。インターネット ベースのクライアントをサポートする管理ポイントは、境界ネットワーク内のサイト データベースのレプリカと通信します。
この一般的なシナリオでは、標準的なサーバー分離構成に従っています。この構成では、サイト サーバーとサイト システムの間の接続、およびサイト データベースと管理ポイントの間の接続は、サブネット ベースの IPsec フィルタによって構成する必要があります。サブネット ベースのフィルタを使用していて、IPsec で暗号化されていない受信セッションをサポートする機能が必要ない場合は、“任意 <-> サブネット” という IPsec ポリシー設計を使用できます。Kerberos 証明書認証とコンピュータ証明書認証のいずれも使用できます。コンピュータ証明書認証をお勧めしますが、コンピュータ証明書の展開には、追加の管理オーバーヘッドが必要であり、Configuration Manager 2007 では管理されません。ファイアウォールを通じて NAT トラバーサルを使用する場合は、サイトとサイト システムの間のファイアウォールは、ISAKMP トラフィック (UDP ポート500) と UDP ポート 4500 を許可するように構成する必要があります。
この構成で推奨される IPsec ポリシーは次のとおりです。
IP フィルタの一覧 :
発信元アドレス <任意の IP アドレス>
宛先アドレス <自分のサブネット>
フィルタ操作 :[セキュリティで保護されていない通信を許可しない]に設定
認証方式 :[次の証明機関 (CA) からの証明書を使う]に設定
ポリシーの他の設定は、各企業の標準に従って設定します。
参照:
概念
その他のリソース
Configuration Manager セキュリティのテクニカル リファレンス
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.