証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する

最終更新日: 2005年5月24日

トピック

はじめに
802.1X および暗号化を使用して WLAN をセキュリティで保護する
証明書またはパスワードに関する決定を行う
ソリューションの必要条件
WLAN のセキュリティ オプションを検討する
802.1X WLAN に必要なソフトウェア設定を決定する
その他の考慮事項
要約

はじめに

この章では、ワイヤレス LAN (WLAN) ソリューションで使用されているセキュリティで保護された 802.1X ベースのワイヤレス ネットワーク コンポーネントのアーキテクチャと設計について説明します。 この章では、ワイヤレス ネットワーク コンポーネントをセキュリティで保護するための設計に関する決定、およびその決定の根拠となる理由について説明します。

この章の重要な目標は、設計が組織にどの程度適しているかを判断するためのガイドラインを提供することです。 別の設計の選択肢がある場合には、このソリューションで使用するオプションに加えて関連する別のオプションも示します。 他の文書を参照しなくても手順の意味を理解できるよう、一部のトピックについては通常より詳しく説明しています。

章の前提条件

この章を読む前に、802.11 ワイヤレス ローカル エリア ネットワーク (WLAN) の概念、802.1X ネットワーク アクセス制御、リモート認証ダイヤルイン ユーザー サービス (RADIUS) の概念、Microsoft インターネット認証サービス (IAS)、および Microsoft Windows® XP Professional を使った WLAN 展開のオプションについて一通り理解しておく必要があります。 これらのトピックについては、この章の最後にある「関連情報」を参照してください。 「Microsoft Windows Server™ 2003 Resource Kit」と「Microsoft Windows Server 2003 Deployment Kit」には、特に重要な情報が含まれています。

章の概要

次のフロー チャートに、この章の構造を示します。

図 6.1: 802.1X を使用した WLAN セキュリティの計画

この章では、6 つの手順について説明します。

1. 802.1X および暗号化を使用して WLAN をセキュリティで保護する。 WLAN には、互換性のある WLAN アダプタを備えていれば誰でも悪用できる主要な脆弱性が 2 つあります。 この章では、次の対応策を中心に、その両方について説明します。

   • IEEE (Institute of Electrical and Electronics Engineers) 802.1X ワイヤレス アクセス ポイント (AP) を RADIUS クライアントとして構成し、RADIUS サーバーにアクセス要求とアカウンティング メッセージを送信することで、ネットワークへのアクセスのセキュリティを確実に保護する。 このような RADIUS サーバー (IAS を実行している) は、リモート アクセス ポリシーを集中管理することにより、ネットワーク アクセスを制御します。

   • 802.1X ネットワーク機器に統合されている 128 ビット Wired Equivalent Privacy (WEP) 暗号化または Wi-Fi Protected Access (WPA) 暗号化/整合性機能を使用して、ワイヤレス デバイスとワイヤレス AP の間で送信されるデータを保護する。 データを保護することで、無線送信されるデータの傍受と悪用を防止します。

2. 証明書またはパスワードに関する決定を行う。 マイクロソフトは 802.1X に対応するさまざまな認証プロトコルをサポートしています。 認証資格情報の最も一般的な形態は、パスワードとデジタル証明書です。 組織で使用する認証方法の選択によって、ソリューションに必要なインフラストラクチャは大きく異なります。 この章は、自社の組織に最適な方法を判断する際に役立ちます。

3. ソリューションの必要条件を説明する。 設計を開始する前に、自社の環境に適したソリューションの必要条件を理解することが重要です。 クライアント コンピュータ、サーバー インフラストラクチャ、および WLAN 機器などの要件を確認する必要があります。 このセクションでは、これらの必要条件について詳しく説明します。

4. WLAN のセキュリティ オプションを検討する。 セキュリティ オプションの計画は複雑です。計画には、ハードウェア購入の担当者、セキュリティ ポリシーの担当者、可用性の担当者、ネットワーク エンジニア、およびネットワーク処理の担当者が参加する必要があります。 これらの担当者は、次の事項について検討する必要があります。この章では、それぞれの事項について説明しています。

   • ネットワーク認証要件を決定する

   • クライアントの構成方法を選択する

   • トラフィック暗号化要件を決定する

   • ワイヤレス ネットワーク インフラストラクチャ設計を作成する

   • ワイヤレス ネットワーク グループ ポリシーに関して検討する

5. 802.1X WLAN に必要なソフトウェア設定を決定する。 802.1X WLAN セキュリティを実現するには、クライアント コンピュータに対して、IAS ネットワーク アクセス ポリシーと Active Directory® ディレクトリ サービスのグループ ポリシー オブジェクト (GPO) の両方を設定する必要があります。 このセクションでは、その方法について説明します。

6. 追加の要因を検討する。 このセクションでは、このソリューションの範囲外ですが環境に影響を与える可能性のある要因を簡単に紹介します。 要因には次のようなものがあります。

   • 移動プロファイルと移動ユーザーをサポートする

   • ワイヤード LAN に接続できないクライアントをサポートする

ページのトップへ

802.1X および暗号化を使用して WLAN をセキュリティで保護する

IEEE 802.11 や 802.11b などの業界標準の導入により、WLAN はますます広く浸透するようになりました。 WLAN を使用することにより、ユーザーは建物やキャンパスを移動しながら、ワイヤレス AP の周辺にいるときには自動的にネットワークに接続できます。

WLAN の使用には、利便性がある一方で、次のようなセキュリティ リスクを伴います。

• 互換性のある WLAN アダプタを備えていれば、誰でもネットワークに接続できます。

• ワイヤレス ネットワーク信号では、情報の送受信に無線電波が使用されます。 ワイヤレス AP の近くにいるユーザーなら誰でもワイヤレス AP で送受信されるすべてのデータを検出および受信できます。

1 番目のセキュリティ リスクに対抗するために、IEEE 802.1X ワイヤレス AP を RADIUS クライアントとして構成し、IAS を実行する RADIUS サーバーにアクセス要求とアカウンティング メッセージを送信できます。 リモート アクセス ポリシーを集中管理することにより、IAS はユーザーとデバイスの認証、およびネットワーク アクセスの制御を行います。

2 番目のセキュリティ リスクに対抗するために、802.11 ネットワーク機器に組み込まれた 128 ビット WEP 暗号化または WPA 暗号化機能を使用して、ワイヤレス デバイスとワイヤレス AP の間で送信されるデータを保護できます。

静的 WEP には設計上の重大な欠陥があり、キーを定期的に更新するための暗号化キー管理機能も備えません。 そのため、暗号化キーが悪意のあるユーザーによって取得される可能性があります。 IAS では、証明書ベースの認証中に、Windows XP を実行しているクライアント コンピュータに強力な WEP キーを動的に割り当てることができます。 さらに、WEP キーを定期的に再生成して、キーを発見しようとする攻撃ツールを阻止できます。

WPA は、802.11 ベースの WLAN 機器向けに将来リリースされる 802.11i セキュリティ標準のサブセットです。 WPA には、静的 WEP のセキュリティ問題に対応するために強化された暗号化が含まれています。 このガイドで示しているソリューションでは、WPA を使用することもできます (WPA 対応のハードウェアと Windows XP クライアントへの更新が必要)。

ページのトップへ

証明書またはパスワードに関する決定を行う

マイクロソフトは、802.1X プロトコルと併用できる認証方法を他にもいくつかサポートしています。 一般的に、組織ではパスワードまたは証明書ベースの資格情報のいずれかに基づいて WLAN クライアントの認証方法を選択します。

前述のように、どの認証方法を選択するかによって、ソリューションに必要なインフラストラクチャが大きく異なる可能性があります。 802.1X 標準では、拡張認証プロトコル (EAP) という認証スキーマが使用されているので、別の認証方法を「プラグイン」可能です。

Microsoft 802.1X インフラストラクチャ上で使用できる EAP の種類および各種類の長所を次の表に示します。

表 6.1: EAP の種類とその長所および短所

機能	PEAP	EAP-TLS	EAP-MD5
相互認証	相互認証	相互認証	クライアント認証のみ
動的なキー生成とスケジュールに則った再生成	認証中に生成し、一定間隔で再生成	認証中に生成し、一定間隔で再生成	動的なキー生成や再生成はなし : 静的キーを使用
セキュリティ テクノロジ レベル	強力なパスワード認証またはデジタル証明書を使用可能	最も強力な認証	弱いセキュリティ テクノロジ
ユーザー資格情報の保護	TLS (トランスポート層セキュリティ) トンネルによる保護	TLS (トランスポート層セキュリティ) トンネルによって保護された証明書ベースの認証	辞書攻撃に対して無防備
実装の容易さ	広範にサポートされ、Windows クライアントでは標準実装	公開キー基盤 (PKI) が必要。 広範にサポートされ、Windows クライアントでは標準実装	簡単だがワイヤレスには推奨されない
資格情報の柔軟性	EAP-MSCHAPv2 (パスワード ベースの方法) を含む、TLS トンネル で認証されたすべての EAP	デジタル証明書のみ	パスワードのみ

証明書ベースのクライアント認証に推奨される EAP は、EAP-TLS です。パスワード ベースのクライアント認証に推奨される EAP は、PEAP-EAP-MSCHAPv2 とも呼ばれる、保護された拡張認証プロトコル (PEAP) 内の EAP – MSCHAPv2 です。 PEAP と MSCHAPv2 を使ったパスワード ベースの 802.1X 認証は、低コストで堅牢なソリューションです。 パスワード ベースの 802.1X 認証は、現在のところ証明書インフラストラクチャを持たず、暗号化ファイル システム (EFS) や仮想プライベート ネットワーク (VPN) などを使用するための証明書を必要としない組織に適してます。 パスワード ベースの 802.1X 認証から証明書ベースの認証には、簡単に移行できます。 そのため、組織は認証方法を後からでも柔軟に変更できます。 PEAP を使ったパスワード ソリューションでも、各 RADIUS サーバーで証明書が必要となる点に注意してください。 民間の証明書プロバイダからサーバー証明書を購入するコストと、証明書インフラストラクチャが自社の組織にもたらす価値とを比較検討する必要があります。 このソリューションでは、証明書ベースのクライアント認証を使用しています。この認証方法はより高いセキュリティ レベルを提供するからです。 この認証方法では、EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) プロトコルを使用します。 PEAP と MSCHAPv2 を使用したパスワード ベースの 802.1X ソリューションを展開する方法については、「第 2 章 : セキュリティで保護されたワイヤレス ネットワーク戦略を決定する」の説明と、この章の最後にある関連ガイド「*Securing Wireless LANs with PEAP and Passwords*」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### ソリューションの必要条件 このソリューションの設計を始める前に、環境的な必要条件を理解しておくことが重要です。 このセクションでは、これらの必要条件について詳しく説明します。 #### クライアント コンピュータの要件 このソリューションは、Service Pack (SP) 1 がインストールされた Windows XP Professional を使用して設計およびテストされています。 Windows XP SP1 は、非常に低コストで簡単に管理できるソリューションを構築するために必要な、特定の 802.1X および WLAN 機能を提供します。 このソリューションは、Windows XP Professional、Windows XP、および Tablet PC Edition を実行するクライアント コンピュータでテストされました。 どちらの Windows XP Edition も、証明書の自動登録、および EAP-TLS クライアント認証に必要なコンピュータとユーザーの WLAN 認証証明書の更新を行います。 この機能だけで、証明書および証明書ベースの 802.1X ソリューションに関連するコストを大幅に削減できます。 マイクロソフトはまた、Windows 2000 向けの 802.1X クライアント (無料でダウンロードできます) のほか、Windows 9*x* と Microsoft Windows NT® 4.0 向けにも 802.1X クライアントを提供しています (サポート契約を結んでいるユーザーは無料で入手できます)。 ただし、これらのクライアントは、このバージョンのソリューションでのテストが行われていません。 #### 必要なサーバー インフラストラクチャ このソリューションは、Windows Server 2003 の証明書サービスと IAS コンポーネントに依存します。 証明書サービスおよび IAS の機能には、802.1X ベースの WLAN 向けに特に設計されたものがあります。 このソリューションで使用される機能には、編集可能な証明書テンプレートや、802.1X プロトコルに必要な展開設定を簡単に行えるリモート アクセス ポリシーの設定などが含まれます。 このソリューションは、Windows Server 2003 環境と Windows 2000 Active Directory 環境の両方を考慮して設計されています。 ただし、ソリューションのテストは、Windows Server 2003 ドメイン コントローラのみで行いました。 IAS は既存のドメイン コントローラにインストールすることもできます。 このオプションに関連した配置に関する考慮事項の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 #### 必要な WLAN 機器 このソリューションでは、適切に設計され、完全に機能している WLAN インフラストラクチャを組織が既に展開していることを前提にしています。 このガイドでは、ワイヤレス AP の配置やチャネルの選択など、ワイヤレス ネットワークの設計に関しては説明していません。 まだ WLAN インフラストラクチャを展開していない組織は、WLAN セキュリティ コンポーネントを展開する前に、WLAN インフラストラクチャを展開するための適切なレベルの専門技術があることを確認してください。 ネットワーク ハードウェアは、802.1X および 128 ビット WEP の暗号化をサポートする必要があります。 このソリューション ガイドでは、障害が発生することなく WLAN インフラストラクチャが正常に機能していること、およびセキュリティ制御が何も有効にされていないか、あるいは 802.11 の基本的なセキュリティ制御のみが有効となっていることを前提とします。 共有キー (静的 WEP) WLAN と オープン システム (保護されていない) 802.11 WLAN のこのソリューションへの移行は、よく似ています。 どちらの移行も、特に大きな問題なしに実行できるはずです。 [](#mainsection)[ページのトップへ](#mainsection) ### WLAN のセキュリティ オプションを検討する 組織の WLAN セキュリティ ポリシーを計画する必要があります。 計画には、ハードウェアの購入、セキュリティ ポリシー、可用性、ネットワーク エンジニアリング、およびネットワーク処理の各担当者が参加する必要があります。 こうした担当者とセキュリティ ポリシーについて話し合う際には、自分の組織が直面している脅威にどのように対処するか、また、そうした脅威を軽減するためにどのようなセキュリティ制御を用いるかを検討する必要があります。 また、WLAN セキュリティ ポリシーを文書化し、すべてのネットワーク ユーザーが参照できるようにすることも重要です。 このソリューションは、セキュリティ制御を提供して最近の WLAN テクノロジに関連するリスクを軽減します。 ただし、セキュリティで保護されていない即席のネットワーク接続を行う組織や、認証されていないワイヤレス AP を展開する組織のユーザーによるリスクを軽減することはできません。 #### ユーザー ベースとコンピュータ ベースの認証を選択する ユーザー認証は、WLAN インフラストラクチャでのユーザーの特定を考慮する場合には自然な選択といえます。 ただし多くの場合は、自社の WLAN に包括的なセキュリティ ソリューションを確実に展開するために、コンピュータ (またはデバイス) 認証も実装します。 Windows XP Professional には、アクティブなネットワーク接続でのみ正常に動作する機能が多く備わっています。 802.1X コンピュータ認証を使用すると、コンピュータの起動シーケンスでユーザーに Windows ログオン画面を表示する前に、WLAN ネットワーク接続を確実に確立できます。 ユーザーがログオフした後、コンピュータは WLAN に再認証して、常にネットワークに接続できる状態を保ちます。 **表 6.2: コンピュータ認証を使用する理由**

機能	コンピュータ認証が必要なシナリオ
Active Directory コンピュータ グループ ポリシー	コンピュータの起動時または設定した間隔 (Windows にログオンしているユーザーがいない場合も含む) でのコンピュータ ベースのグループ ポリシーの適用
ネットワーク ログオン スクリプト	ユーザーが最初にログオンするときのネットワーク ログオン スクリプトの実行
システム管理エージェント	Microsoft Systems Management Server (SMS) などのシステム管理エージェントによる、ユーザーの操作を必要としない頻繁で必要なネットワーク アクセス
リモート デスクトップ接続	コンピュータにログオンしているユーザーがいない場合の、Windows リモート デスクトップ接続からのコンピュータへの接続
共有フォルダ	ログオンしているユーザーがいないときでも、コンピュータの共有ファイルと共有フォルダの使用可能状態の維持

最善策は、可能な場合にユーザー ベースの認証を使用し、必要な場合にコンピュータ ベースの認証を使用することです。 このソリューションでは、Windows XP Professional の 802.1X クライアントの既定の動作を使用します。 既定の動作では、コンピュータ コンソールにユーザーがログオンしていないときにコンピュータ認証が実行され、ユーザーが Windows にログオンするときにユーザー認証が実行されます。さらに、ユーザーがログオフするときにコンピュータ認証が再度実行されます。 これにより、誰もログオンしていないときにも、ネットワーク アクセスを必要とする Windows 機能が適切に動作することを保証し、そのうえで責任の所在を明確にできるユーザー アカウント資格情報を、ネットワークへの認証で活用できます。 ##### 証明書ベースの資格情報を認証する 証明書ベースの WLAN 認証戦略の一環として、資格情報が有効であるかどうかの確認は重要です。 無効な証明書を確認することにより、紛失した、または盗まれたコンピュータ機器に保存されていたクライアント証明書の使用を阻止できます。 クライアントにサーバー証明書の確認を強制することにより、不正な AP や RADIUS サーバーを使用した高度な man-in-the-middle 攻撃を防止できます。 Windows は、証明書ベースの処理を行う場合、証明書を検証するための広範なサポートを提供しています。 IAS および Windows XP Professional の 802.1X 機能はどちらもこのサポートを使用して EAT-TLS に対して使用される証明書が有効であることを確認し、信頼されたセキュリティ プリンシパルであることを示します。 **表 6.3: クライアント証明書資格情報の IAS による検証**

クライアント証明書資格情報の IAS による検証	既定動作	このソリューションの設定
証明書の有効期限が切れていないことの確認	有効	変更なし
証明書から信頼されたルートへのチェーンの構築が可能かどうかの確認	有効	変更なし
必要なキーの使用とアプリケーション ポリシーが証明書に含まれていることの確認	有効	変更なし
秘密キーでの署名によるクライアントの所有権提示の確認	有効	変更なし
証明書が失効していないことの確認	有効	変更なし

また、Windows XP Professional は、既定で次のサーバー証明書の有効性も検証します。 **表 6.4: IAS 証明書資格情報の Windows XP による検証**

サーバー証明書資格情報の Windows XP による検証	既定動作	このソリューションの設定
証明書の有効期限が切れていないことの確認	有効	変更なし
証明書から信頼されたルートへのチェーンの構築が可能かどうかの確認	有効	変更なし
必要なキーの使用とアプリケーション ポリシーが証明書に含まれていることの確認	有効	変更なし
秘密キーでの署名によるサーバーの所有権提示の確認	有効	変更なし

WLAN に対して認証を行う場合、認証が完全に成功するまでネットワーク アクセスは利用できないため、クライアント コンピュータはサーバー証明書の失効を完全には確認できません。 次の資格情報検証オプション (クライアントが実行します) を有効にして、有効性の確認のセキュリティを強化することを検討してください。 **表 6.5: IAS 証明書資格情報の Windows XP による高度な検証**

サーバー証明書資格情報の Windows XP による検証	既定動作	このソリューションの設定
証明書のサブジェクトがクライアント上で設定可能なドメイン ネーム システム (DNS) の文字列値と一致することの確認	無効	変更なし
サーバー証明書のチェーンの元となる、信頼されたルート CA の明示的な選択	無効	有効

クライアント コンピュータ上でサブジェクト名を確認すると、信頼決定のプロンプトがユーザーに表示されることに注意してください。 さらに、許可されたサーバー証明書のサブジェクト名を WLAN クライアント上で最新の状態に保つための管理プロセスを実装する必要があります。 Wireless Network Policy GPO の設定を使えば、これを実行できます。 このため、このソリューションにはこのオプションは実装されていません。 高度なセキュリティ環境を運用している組織の場合、この追加の検証が必要かどうかを判断する際には、認証されていない IAS サーバーをワイヤレス AP 経由で使用するときに潜む脅威を検討してください。 信頼されたルート CA を明示的に選択すると、信頼されたルート ストア内の代替 CA によってサーバー証明書が偽造されるリスクを最小限に抑えられます。 ただしこの設定では、追加の管理プロセスによって、信頼されたルート証明機関の証明書への変更が WLAN クライアント設定に確実に反映されるようにする必要があります。 これらの設定は、Wireless Network Policy GPO の設定を使って展開することもできます。 #### ネットワーク認証要件を決定する ネットワーク アクセス管理ポリシーを設計する際の主要な目標は、管理コストを最小化しながら組織のセキュリティ ポリシーにできるだけ一致させることです。 このタスクには、IAS リモート アクセス ポリシーなどの集中管理されたネットワーク承認ポリシーが最適です。 **注 :** このソリューションでは、IAS リモート アクセス ポリシーを介したネットワーク承認管理を使用します。 リモート アクセス ポリシー管理モデルの選択の詳細については、この章の最後にある「関連情報」に記載されているリソースを参照してください。 ネットワーク承認を柔軟でシンプルに管理することは、すべての組織にとって大きな目標です。 リモート アクセス ポリシーの数を最小限にすると同時に組織のすべてのセキュリティ ポリシーを確実に反映させることが、シンプルな管理を実現する鍵となります。 ##### 接続条件を決定する IAS リモート アクセス ポリシーは、接続を許可することも拒否することもできます。 ポリシーには、それぞれの接続の試みに適合すべき条件セットが含まれます。 アクセスの許可または拒否には、特定の接続に適合する最初のポリシーが使われます。 ポリシーが適合すべき主要な接続属性は次のとおりです。 - グループ メンバシップ - 接続の種類 - 時間帯 - 認証方法 さらに、次のような高度なフィルタ条件も多数指定できます。 - アクセス サーバー ID - アクセス クライアントの電話番号またはメディアアクセス制御 (MAC) アドレス - ユーザー アカウントのダイヤルイン プロパティを無視するかどうか - 承認されていないアクセスを許可するかどうか このソリューションでは、時間帯や承認方法などの条件ではなく、ドメイン セキュリティ グループおよびソース ネットワークの種類に基づいた IAS 接続条件を使用します。 この方法により、必要なポリシーの数を最小限に抑え、ポリシー条件を十分に広く保つ一方で、リモート アクセス ポリシーが特定の種類のネットワーク アクセス (ワイヤレス、VPN、ワイヤード (有線)、またはダイヤルアップ) とクライアント グループ用に作成されることを確認できます。 **注 :** このソリューションでは、カスタム セキュリティ グループ (Remote Access Policy - Wireless Users および Remote Access Policy - Wireless Computers) を使用して、WLAN へのアクセスを許可するユーザーとコンピュータを制限します。 ドメインのすべてのユーザーとコンピュータが WLAN にアクセスできるようにする場合は、Domain Users グループと Domain Computers グループをこれらのカスタム セキュリティ グループに追加すると、簡単に管理できるようになります。 ##### 接続制約を決定する いったん接続が認証されると、リモート アクセス ポリシーによって、接続制約など、その接続に適用する属性がさらに指定されます。 このような属性には、次のものが含まれます。 - アイドル タイムアウト - 最長セッション時間 - 暗号化のレベル - IP パケット フィルタ さらに、接続には次の属性を適用できます。 - PPP (Point-to-Point Protocol) 接続 IP アドレス - 静的ルート リモート アクセス ポリシーがいくつ必要かを決める最大の要素の 1 つは、そのワイヤレス ネットワークにアクセスする必要があるユーザーの種類が何種類かという点です。 たとえば、多くの組織では、フルタイムの従業員が企業ネットワーク全体へ制限なしにフル アクセスできることが必要とされます。 ただし、請負業者やビジネス パートナーには、特定のネットワーク サブネットの特定のアプリケーションへのアクセスのみが必要という場合もあります。 接続制約プロファイルは、リモート アクセス ポリシーごとに独自のものです。 したがって、複数種類の接続制約プロファイルが必要な場合、複数のリモート アクセス ポリシーが必要です。 次の表では、さまざまなユーザーの種類とリモート アクセス ポリシーにより課せられる接続制約の例を示しています。 **表 6.6: WLAN 接続制約の例**

ユーザー グループの例	接続制約の例
フルタイムの従業員	企業ネットワークへの認証された無制限アクセス
請負業者およびビジネス パートナー	特定のネットワークおよびアプリケーションへの認証された制限付きアクセス
ゲスト	インターネット アクセスまたは自分の組織への VPN アクセスを目的とした、インターネット セグメントのみへの認証されないアクセス

このソリューションでは、認証されたフルタイムの従業員のみをサポートするように構成します。 したがって、単一のリモート アクセス ポリシーとシンプルな接続制限プロファイルのみが必要です。 ワイヤレス ネットワークへのアクセスを制限されたユーザーのサポートなど、追加要件がある場合、リモート アクセス ポリシーを追加する必要があります。 リモート アクセス ポリシーに種類を追加する計画については、この章の最後にある「関連情報」を参照してください。 #### クライアントの構成方法を選択する クライアント コンピュータの構成設定の自動化は、ワイヤレス ネットワークのセキュリティの展開コストを低減し、構成設定が適切でないことが原因のサポート問題を最小にするための不可欠な処理です。 Windows XP Professional には、ワイヤレス ネットワークおよび WLAN クライアントにおける 802.1X セキュリティ設定の手動の構成や再構成の必要性を減らすための高度な機能が備わっています。 Windows Server 2003 により、グループ ポリシーの Wireless Network Policy を使用してクライアント構成を完全に自動化する機能が追加されます。 このソリューションは、Windows Server 2003 のワイヤレス ネットワーク ポリシー機能を使用して、すべてのワイヤレス ネットワーク クライアントを自動的に構成します。 クライアント コンピュータへのこれらの GPO の設定は、WLAN ネットワーク インターフェイス カード (NIC) の配布前でも行うことができます。 これにより、エンド ユーザーはワイヤレス NIC をインストールするだけで、GPO を介して展開した WLAN 設定を使って、セキュリティで保護された 802.1X WLAN に自動的に接続できます。 #### トラフィック暗号化要件を決定する WLAN トラフィックを保護する方法を決定するときは、802.11 WEP 暗号化に対する脅威について最新の状況を把握しておく必要があります。この脅威は常に進化を続けています。 既に説明したように、悪意のあるユーザーは WEP 暗号の欠陥を利用して、WEP 暗号化キーを漏洩する攻撃を実行できます。 この種の攻撃を実行するには、侵入者は同じ暗号化キーでセキュリティ保護された数百万のパケットをキャプチャする必要があります。 WEP ベースの WLAN のセキュリティに対する脅威を軽減する最善の戦略は、ネットワーク トラフィックの暗号化に使用したキーを定期的に更新することです。 更新は、攻撃が成功するために必要となる十分なトラフィックを攻撃者がキャプチャできないような頻度で行う必要があります。 クライアントに自動再認証を強制して WEP キーの再生成が行われるように IAS RADIUS のオプションを設定することにより、このようなキー更新を実現できます。 このソリューションでは、Windows XP クライアント再認証を 10 分ごとに強制し、WEP セッション キーの寿命が短くなるように IAS RADIUS オプションを構成します。 この設定は、このガイドの作成時に知られていた WEP 攻撃ツールとシナリオに基づいています。 WEP の基本の暗号化には、脆弱な初期化ベクタ (IV) シーケンスなどの欠陥があります。これにより、攻撃者はより迅速にキーを解読できます。 AP で、なるべく予想の難しい、より強力な IV を生成できるようにしてください。 **重要 :** 多くの状況では、セッションのタイムアウトが 10 分では短すぎます。 タイムアウトが短いと、IAS サーバーに高い負荷がかかります。 また、タイムアウトが短いと IAS サーバーが一時的に使用できなくなる可能性が高まり、その結果、クライアントが WLAN から切断されることになります。 そのため、タイムアウトは 60 分まで長くしても、WLAN のセキュリティが大幅に劣化することはありません。 EAP-TLS を使用すると、TLS のネゴシエーション プロセス中に各クライアントに固有の WEP セッション キーが生成され、ネットワーク上のソリューション コンポーネント間を安全に転送されます。 静的 WEP とは異なり、暗号化キーは決してクライアント間で再使用されたり、共有されることはありません。 #### WLAN 移行計画を選択する 既存のワイヤレス ネットワークがある場合、ユーザーと環境への影響を最小限に抑えるために、移行計画をあらかじめ立案しておく必要があります。 複数の調査結果によると、多くの組織で 802.11 ベースの WLAN がネットワーク認証やデータ保護なしで運用されています。 この種の 802.11 ネットワーク セキュリティは、*オープン システム*認証と呼ばれます。 その他の組織では、静的キーによるネットワーク認証と暗号化が実装されています。 この種の 802.11 ネットワーク セキュリティは、*共有キー*認証として知られています。 オープン システムと共有キー ネットワーク セキュリティ モデルの 802.1X セキュリティへの移行は、よく似ています。 主な違いは、共有キー セキュリティではいくつかのセキュリティ保護が提供されるため、一部の組織における共有キー セキュリティからの移行スケジュールに余裕がある点です。 これらの認証戦略から 802.1X セキュリティ モデルへの移行では通常、次の手順を実行する必要があります。 1. **コンピュータおよびユーザーへの証明書の展開 :** LAN に時々アクセスするだけのモバイル コンピュータに証明書を確実に展開するため、この処理は 802.1X の展開前に完了しておく必要があります。 2. **IAS サーバー上のワイヤレス ネットワーク リモート アクセス ポリシーの構成 :** ワイヤレス リモート アクセス ポリシーの構成に関するガイダンスが必要です。 3. **クライアント コンピュータ上へのワイヤレス ネットワーク構成の展開 :** 通常、新しい 802.1X 対応ネットワークには新しいサービス セット識別子 (SSID) が必要です。 この SSID へのネットワーク設定の展開には、Active Directory グループ ポリシーを使えます。 LAN にあまり頻繁に接続しないモバイル コンピュータにも確実に WLAN GPO の設定を渡すために、WLAN グループ ポリシーはワイヤレス AP の再構成を行う前に展開する必要があります。 4. **802.1X セキュリティを必要とするワイヤレス AP の構成 :** この処理は通常、社屋や敷地などの場所ごとに実行します。 予期しない動作が発生した場合の適切なロールバック処理手順を立案し、関連するサポート コールを適切に処理できるようヘルプ デスクの人員を配置することをお勧めします。 すべての移行と同様に、念入りに計画することが重要です。 クライアント コンピュータとワイヤレス AP を誤って構成すると、環境に破壊的な影響を与える場合があります。 変更は、展開前に徹底的にテストするようにしてください。 **注 :** 一部のワイヤレス AP では、1 つの 802.11 無線を静的 WEP 用に、もう 1 つの 802.11 無線を 802.1X 用に構成できます。 ただし、802.11 チャネルの分離に関する問題があるため、この方法は多くの組織にとって現実的ではありません。 ワイヤレス AP およびワイヤレス NIC の WPA へのアップグレード対応について、WLAN 機器ベンダに確認します。 マイクロソフトは、WPA をサポートする Windows XP のアップデートをリリースしました (SP2 に含まれます)。 さらに、将来の 802.11i のサポートを考慮に入れた WLAN インフラストラクチャのアップグレードを計画します。その際には、AP とワイヤレス NIC のファームウェアの更新が必要になると予測されます。 このガイドでは、独自仕様のセキュリティまたはオープン システムや共有キー セキュリティを使用する運用 WLAN の詳細な移行計画は取り扱いません。 運用 WLAN からの移行計画の詳細および支援については、マイクロソフトのパートナーに相談するか、適切なパートナーまたは Microsoft Consulting Sevices 担当者についてマイクロソフト担当営業に問い合わせてください。 #### ワイヤレス ネットワーク インフラストラクチャの設計 802.11 ベースの WLAN 機器およびネットワークの設計に関する全般的な説明は、このガイドでは説明しません。 このトピックの概要については、「*Microsoft Windows Server 2003 Deployment Kit*」を参照してください。 このソリューションは、さまざまなネットワーク機器ベンダの多くの製品で動作します。 特定のワイヤレス AP 製品の構成計画および処理については、このソリューションでは取り扱いません。 ただし、802.11 機器のセキュリティ設定およびセキュリティ管理について決定するときは、ハードウェアの製造元が提供する文書で、次のトピックについての知識を習得しておいてください。 - **SSID 名および既定のパスワード :** このトピックには、すべての AP の既定の SSID の変更、および SSID をブロードキャストするように AP を構成するかどうかに関する選択が含まれます。 - **既定のコンソール パスワードおよび簡易ネットワーク管理プロトコル (SNMP) 文字列の変更 :** このトピックには、既定の管理パスワードとワイヤレス AP 上のアクセス文字列の変更、およびこれらの長期管理が含まれます。 - **ワイヤレス AP の安全な管理 :** このトピックには、SSH プロトコル、または SSL や TLS でハイパーテキスト転送プロトコル (HTTP) を使用してワイヤレス AP を管理するときの、セキュリティで保護された通信の使用方法が含まれます。 - **RADIUS クライアントの構成 :** このトピックには、認証およびアカウンティングで RADIUS サーバーを使用する AP の構成が含まれます。 プライマリおよびセカンダリ RADIUS サーバー用の AP の構成、強力な RADIUS シークレットの使用、および Message Authenticator 属性については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」、および「第 9 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを実装する」を参照してください。第 9 章には、提供されているスクリプトを使用して強力な RADIUS シークレットを生成する処理が記載されています。 - **仮想ローカル エリア ネットワーク (VLAN) スイッチおよびトラフィックのフィルタ :** このトピックには、ネットワーク VLAN を使用して、異なるシナリオでさまざまな種類のユーザーに対してアクセス制限を行うことが含まれます。 IAS は、リモート アクセス ポリシーに基づいて RADIUS 値を提供し、クライアント接続中における VLAN の適切な選択を自動的に行うことができます。 ワイヤレス AP に VLAN を指定する IAS オプションの詳細については、この章の最後にある「関連情報」に記載されているリソースを参照してください。 - **建物外へのワイヤレス LAN 無線の漏洩を制限する方法 :** このトピックには、外壁や窓への AP の設置を避けるなどの項目が含まれます。 また、必要な領域のみがカバーされ、駐車場などの不要な領域はカバーされないように、可能な場合は AP のブロード キャスト レベルをダウンすることも含まれます。 - **認証されていない AP の検出 :** このトピックには、NetStumbler や AirMagnet などの Windows XP および Windows CE ベースの WLAN 管理ツールを使用して、企業ネットワーク上の認証されていない AP を定期的に検査することが含まれます。 これらのトピックおよびワイヤレス AP 接続については、ベンダのドキュメントを参照するか、機器の専門家にサポートを依頼してください。 これらの項目の一部については、この章の最後にある「関連情報」にある「*Windows Server 2003 Technical Reference*」の「802.11 Wireless Network Technical Reference」を参照してください。 #### ワイヤレス ネットワーク グループ ポリシーの考慮事項 ドメイン GPO 管理者と相談して、ワイヤレス ネットワーク グループ ポリシーをクライアント コンピュータに適用する戦略を決定してください。 次の表には、各自が自分のシステム環境について決定すべき主要な項目と、このソリューションで選択した設定を一覧にしています。 **表 6.7: ワイヤレス ネットワーク ポリシー計画**

ワイヤレス ネットワーク ポリシーの考慮事項	ソリューションの戦略	ソリューションの詳細
ポリシーの適用条件	選択したコンピュータを対象とした Active Directory セキュリティ グループ フィルタ	Wireless Network Policy - Computer グローバル グループ
必要な GPO 数	単一のワイヤレス ネットワーク ポリシー	このソリューションで使用する GPO は、「Wireless Network Policy」と呼ばれます。
GPO の場所	ドメイン オブジェクトから作成および適用	woodgrovebank.com
ポリシー内で構成される WLAN のプロファイル数	802.1X を実装する組織に対して 1 つの WLAN プロファイルを構成	GPO には、運用 WLAN に参加していない環境用の WLAN プロファイル が 1 つ含まれます。 必要に応じて WLAN を追加し、既存の運用 WLAN から段階的に移行できます。

注 : このソリューションでは、カスタム セキュリティ グループ (Wireless Network Policy – Computer) に、Wireless Network Policy GPO の [ポリシーの適用] 許可を与えます。 したがって、この WLAN GPO 設定をどのコンピュータが受け取るかは、このグループのメンバであるかどうかで決まります。 すべてのコンピュータが WLAN の構成を受け取るようにする場合は、Domain Computers または Authenticated Users グループをこのグループに追加すると、簡単に管理できるようになります。 ただし、その場合、ドメイン (Domain Computers) またはフォレスト (Authenticated Users) のすべてのサーバーとクライアントにポリシー設定が適用される点に注意してください。

このソリューションでは、ドメイン オブジェクトにリンクされた単一の GPO を作成することで、単純なワイヤレス ネットワーク ポリシー管理戦略を使用します。 つまり、Wireless Network Policy — Computer グループのメンバである、そのドメインのすべてのコンピュータが、このポリシー設定を受け取ることになります。 より高度なグループ ポリシー管理標準を検討して、それに応じて、ワイヤレス ネットワーク ポリシーを適用することも検討してください。 ただし、ほとんどの組織では Wireless Network Policy GPO を 1 つだけ作成すれば済むはずです (ただし、ドメイン オブジェクト以外の場所にリンクすることもできます)。

ページのトップへ

802.1X WLAN に必要なソフトウェア設定を決定する

802.1X WLAN のセキュリティを確立するためには、ソフトウェア ソリューション コンポーネントを 2 つ構成する必要があります。

• IAS ネットワーク アクセス ポリシー

• クライアント コンピュータ用の Active Directory グループ ポリシー

IAS ネットワーク アクセス ポリシーは、ネットワーク アクセス管理ソリューションの中核です。 WLAN セキュリティ ポリシーの設定が、それぞれの IAS ベースの RADIUS サーバーに自動的に展開されます。 このポリシーには、次の設定が含まれます。

• リモート アクセス ポリシー

• 接続要求ポリシー

リモート アクセス ポリシーは、ワイヤレス AP 経由でのネットワークへのアクセスを強制します。 接続要求ポリシーは、RADIUS クライアントとして構成されているさまざまなワイヤレス AP からの RADIUS 要求の処理を決定します。

クライアント用の Active Directory グループ ポリシーには、Windows XP ベースのクライアント コンピュータに展開される設定がすべて含まれています。 このグループ ポリシーは、ワイヤレス AP、RADIUS サーバー、およびその他のワイヤレス ネットワークとクライアントとの対話に影響を与えます。

リモート アクセス ポリシーを構成する

組織のワイヤレス ネットワーク アクセス要件を満たすために、IAS サーバーのリモート アクセス ポリシーの作成計画を立てる必要があります。 リモート アクセス ポリシーの作成および構成を行うには、各ポリシーに対して 3 種類の設定を確立する必要があります。

• ポリシー条件

• ポリシー許可

• ポリシー プロファイル

このソリューションでは、フルタイムの従業員に無制限のワイヤレス ネットワーク アクセスを許可する単一のリモート アクセス ポリシーを使用します。 次の表に、このソリューション用のリモート アクセス ポリシー条件を示します。

表 6.8: リモート アクセス ポリシー条件

ポリシー条件	一致条件	説明
NAS - Port - Type	Wireless - Other または Wireless - IEEE 802.11	受信した要求がワイヤレス AP ハードウェアからのものであることを特定します。
Windows - Group	Remote Access Policy — Wireless Access security group のメンバシップ	WLAN にアクセスするユーザーとコンピュータ用のネストされたグローバル グループを含むドメイン ユニバーサル セキュリティ グループです。

このソリューションのリモート アクセス ポリシーのポリシー許可は、**\[許可\]** に設定され、ユーザー アカウントは **\[リモート アクセス ポリシーでアクセスを制御\]** で構成されます。 このソリューションで使用されるリモート アクセス ポリシー プロファイル オプションを次の表に示します。 実際の環境に合わせて設定の追加が必要な場合があります。 **表 6.9: リモート アクセス ポリシー プロファイル オプション**

プロファイル オプション	プロファイル設定	説明
ダイヤルインの制限 - クライアントが接続できる時間 (セッションタイムアウト) (分)	10 分	この設定は、10 分ごとのクライアント再認証と新しい暗号化キーの作成を強制します。
認証 - EAP の種類	スマート カードまたはその他の証明書	この設定では、ワイヤレス プロファイルの EAP の種類として EAP-TLS が選択されます。
Ignore – User – Dial-in-Properties RADIUS 属性	属性 = True	この属性では、Active Directory ユーザー アカウントのダイヤルイン設定 (コールバックなど) がワイヤレス AP に送信されません。 これは、一部のネットワーク アクセス製品の問題を回避するための設定です。
Termination-Action RADIUS 属性	属性 = RADIUS 要求	この属性では、クライアントの再認証が行われるときでもワイヤレス AP が接続を切断しないことが保証されます。

**重要 :** 多くの状況では、セッションのタイムアウトが 10 分では短すぎます。 タイムアウトが短いと、IAS サーバーに高い負荷がかかります。 また、タイムアウトが短いと、IAS サーバーが一時的に使用できなくなる可能性が高まり、その結果、クライアントが WLAN から切断されることになります。 そのため、タイムアウトは 60 分まで長くしても、WLAN のセキュリティが大幅に劣化することはありません。 #### 接続要求ポリシーを構成する RADIUS サーバーまたは RADIUS プロキシとして機能する IAS が RADIUS 要求を処理する方法を計画する必要があります。 IAS の RADIUS 役割の選択については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 IAS サーバーの役割にかかわらず、ワイヤレス ネットワーク アクセスを確立する前に、接続要求ポリシーの次のコンポーネントを構成する必要があります。 - ポリシー条件 - ポリシー プロファイル このソリューションは、IAS を RADIUS サーバーとして使用するため、接続要求は各サーバーでローカルに処理されます。 次の表に示す設定は、このソリューションの接続要求ポリシーで構成されているポリシー条件を示します。 **注 :** このソリューションの接続要求ポリシー設定では、Windows Server 2003 の IAS でインストールされる既定値を使用します。 **表 6.10: 接続要求ポリシー条件**

ポリシー条件	一致条件	説明
Date-And-Time-Restrictions	“Sun 00:00–24:00; Mon 00:00–24:00; Tue 00:00–24:00; Wed 00:00–24:00; Thu 00:00–24:00; Fri 00:00–24:00; Sat 00:00–24:00”	この既定の接続要求ポリシーでは、ポリシーに一致する時間帯ならいつでも接続要求が受信される設定になっています。

次の表に、このソリューションの接続要求ポリシーで使用されるプロファイル設定を示します。 **表 6.11: 接続要求ポリシー プロファイル設定**

プロファイル オプション	プロファイル設定	説明
認証	このサーバーの要求を認証する	この設定により、要求は追加の RADIUS サーバーに転送されることなく、直接 Active Directory に対して認証されることになる。

#### クライアント コンピュータのグループ ポリシーを構成する Active Directory グループ ポリシーを使用する前に、ワイヤレス ネットワーク (IEEE 802.11) ポリシーでクライアント コンピュータ上の WLAN 設定および 802.1X セキュリティ設定を構成するための計画を立てる必要があります。 このセクションでは、このソリューションの設定およびそれらの設定を含める理由について詳しく説明します。 ワイヤレス ネットワーク (IEEE 802.11) ポリシーは、グループ ポリシー オブジェクト エディタの \\コンピュータの構成\\Windows の設定\\セキュリティの設定\\Wireless Network (IEEE 802.11) Policies オブジェクトにあります。 ##### ワイヤレス ネットワーク設定を構成する グループ ポリシー内の WLAN ポリシー オブジェクトのプロパティを編集して、WLAN 設定を構成します。 次のような項目を設定します。 - 基本設定 - 優先するネットワーク - ネットワークのプロパティ 次の表に、このソリューションのワイヤレス ネットワーク ポリシーの基本設定を示します。 **表 6.12: ワイヤレス ネットワーク ポリシーの基本設定**

オプション	設定	説明
名前	Client Computer Wireless Configuration	この値は、組織の名前付けの基準に合わせて変更できます。
アクセスするネットワーク	利用できるネットワーク (アクセス ポイント優先)	この設定を選択すると、使用している 802.1X 対応ネットワークと同じ SSID で構成されている他のコンピュータに、クライアント コンピュータが接続できないようになります。 ただし、ad hoc ネットワークを許可すると、従業員は必要なとき (家にいるときなど) に他のネットワークを使用することができるため、この設定は選択されています。
優先でないネットワークに自動的に接続	選択しない	Windows XP Professional は、利用可能なワイヤレス ネットワークに自動的に接続するのではなく、ユーザーに使用可能なワイヤレス ネットワークを自動的に通知します。 ユーザーへの通知はしますが自動的に接続することはないため、セキュリティと可用性のバランスが取れています。

ワイヤレス ネットワーク ポリシーの **\[優先するネットワーク\]** タブで、802.1X WLAN SSID のエントリを作成する必要があります。 優先するネットワークを作成したら、既定のネットワーク プロパティを編集する必要があります。 このソリューションのワイヤレス ネットワーク ポリシーで新しく有効化された 802.1X ネットワークのネットワーク プロパティ設定の詳細を次の表に示します。 **表 6.13: ワイヤレス ネットワーク ポリシーのプロパティ設定**

オプション	設定	説明
名前	MSSWLAN	この値は、組織の名前付けの基準に合わせて変更します。 ただし、既存の運用 WLAN とは異なる名前を選択する必要があります。
ワイヤレス ネットワーク キー (WEP) - データの暗号化 (WEP 有効)	選択する	暗号化は、802.11 ネットワークのワイヤレス ネットワーク トラフィックのプライバシーを保護するために不可欠です。 802.11 ネットワークをサポートする場合、WEP またはその他の暗号化によって保護されていることを確認してください。
ワイヤレス ネットワーク キー (WEP) - ネットワークの認証 (共有モード)	選択しない	共有キー 802.11 ワイヤレスは、静的 WEP キーによるセキュリティです。 このソリューションでは、802.1X を使用して Active Directory に対する RADIUS 認証を提供するため、このオプションは選択しません。
ワイヤレス ネットワーク キー (WEP) – ネットワーク キーは自動的に提供されます	選択する	この設定を有効にした場合、802.1X はネットワーク トラフィック暗号化のための動的 WEP セッション キーを自動的に提供します。
これはコンピュータ相互 (ad hoc) のネットワークで、ワイヤレス アクセス ポイントを使用しない	選択しない	このソリューションの設定では、ポイントツーポイントの ad hoc ネットワークではなく、802.1X 用に構成されたワイヤレス AP と 802.11 WLAN インフラストラクチャ モードを使用します。

##### クライアント コンピュータ上で 802.1X 設定を構成する ワイヤレス ネットワーク ポリシーを介して 802.1X 設定を構成します。次のような項目を設定します。 - 802.1X パラメータ - EAP の種類 - 資格情報の検証 - コンピュータ認証動作 次の表に、このソリューションのワイヤレス ネットワーク ポリシーで新しく有効化された 802.1X ネットワークの 802.1X 設定の詳細を示します。 **表 6.14: ワイヤレス ネットワーク ポリシーの 802.1X 設定**

オプション	設定	説明
ネットワーク アクセスの制御に IEEE 802.1X を使う	有効	この設定では、クライアントは、802.1X を使用したセキュリティで保護されたネットワークにアクセスできます。
EAPOL 開始メッセージ	送信する	このメッセージは、クライアントに認証プロセスの開始を促します。
パラメータ (秒) - 最大開始	3	この値は、応答がない場合にクライアントが続けて送信する EAPOL (EAP over LAN) 開始メッセージの数を決定します。 必要な場合以外は、既定値のままにしておいてください。
パラメータ (秒) - 保持期間	60	この値は、802.1X 認証が失敗した後にクライアントが再試行するまで待機する時間を決定します。 必要な場合以外は、既定値のままにしておいてください。
パラメータ (秒) - 開始期間	60	この値は、EAPOL 開始メッセージを再送信する間隔を決定します。 必要な場合以外は、既定値のままにしておいてください。
認証期間	30	この値は、応答がない場合に 802.1X 要求メッセージを再送信する間隔を決定します。 必要な場合以外は、既定値のままにしておいてください。
EAP の種類	スマート カードまたはその他の証明書	このオプションは、EAP の種類として EAP-TLS を指定します。

次の表に、このソリューションのワイヤレス ネットワーク ポリシーで新しく有効化された 802.1X ネットワークの EAP 設定の詳細を示します。 **表 6.15: ワイヤレス ネットワーク ポリシーの EAP 設定**

オプション	設定	説明
接続のための認証方法	このコンピュータの証明書を使う	このオプションは、スマートカード ベースの資格情報ではなく、ソフトウェア ベースの証明書とシークレット キーの使用を指定します。
このコンピュータの証明書を使う - 単純な証明書の選択を使う (推奨)	選択する	このオプションは、Windows が、証明書のプロパティに基づいた適切な証明書の選択を試みることを決定します。 トラブルシューティングを行う場合は、このオプションの選択を解除して、手動で適切な証明書を選択できるようにすることが可能です。
サーバーの証明書を有効化する	選択する	このオプションは、EAP-TLS 認証中にクライアントに提示された証明書が有効かどうかを判定します (証明書内の IAS サーバーの DNS 名が正しいかどうか、サーバー認証の証明書の有効期限が切れておらず、クライアントの証明書ストアのルート CA にチェーンしているかどうか)。
サーバーの証明書を有効化する - 次のサーバーに接続する	選択しない	このオプションを選択すると、サーバー証明書のサブジェクト フィールドの完全修飾ドメイン名 (FQDN) サフィックスのチェックが可能になります。 このオプションを有効にすると、IAS サーバーの信頼証明を求めるテキスト バルーン ボックスがクライアント コンピュータ上に表示されます。 このオプションを選択するときは、可用性とセキュリティを評価してください。
サーバーの証明書を有効化する - 次のサーバーに接続する – 値	空白	この値は、EAP-TLS 認証中にクライアントに提示された証明書のサブジェクト情報と FQDN が一致する必要があることを指定します。
信頼されたルート証明機関 (CA)	CompanyCA を選択する	このオプションは、802.1X サーバー証明書資格情報をチェーンすることができる信頼されたルート CA を管理者が指定することを許可します。 このオプションには、独自の信頼されたルート CA を選択する必要があります。
この接続に別のユーザー名を使う	選択しない	このオプションを選択すると、EAP-TLS 認証中に提示された証明書に含まれている名前以外のユーザー名を指定できます。 このソリューションでは、このオプションは無効になっています。

次の表に、このソリューションのワイヤレス ネットワーク ポリシーで新しく有効化された 802.1X ネットワークのコンピュータ認証設定の詳細を示します。 **表 6.16: 802.1X コンピュータ認証動作のオプション**

オプション	設定	説明
ユーザーまたはコンピュータの情報が利用できないときは、ゲストとして認証する	選択しない	この設定は、利用できる資格情報がない場合にコンピュータがゲストとして認証を試行するかどうかを決定します。 この設定は、公共の WLAN シナリオまたは組織のゲストに最も有用です。
コンピュータの情報が利用できるときは、コンピュータとして認証する	選択する	ユーザーがコンピュータに対話的にログオンしていないときにコンピュータ認証を確実に実行するためには、この設定が不可欠です。
コンピュータの認証	ユーザーの再認証付き	この既定のオプションでは、可能な場合は必ずユーザー資格情報が使用されます。 ただし、ユーザーがコンピュータにログオンしていない場合は、ネットワーク接続を常に利用可能にするためにコンピュータ資格情報が使用されます。

[](#mainsection)[ページのトップへ](#mainsection) ### その他の考慮事項 このセクションでは、このソリューションの範囲外ですが環境に影響を与える可能性のある関連トピックを簡単に紹介します。 #### 移動プロファイルと移動ユーザーをサポートする Windows の EAP-TLS ベースの 802.1X コンポーネントは、クライアント コンピュータ上の証明書ストア内の証明書と秘密キー情報が利用可能かどうかに依存します。 ほとんどの組織では、ワイヤレス ユーザーは持ち運びに便利なポータブル コンピュータやタブレット PC を使用しています。このため、証明書とキー情報はいつでも利用可能です。 ただし、組織の WLAN 方針にコンピュータを共有するユーザーが含まれている場合、移動プロファイルを実装できます。 移動プロファイルを使用すると、802.1X ベースの環境で秘密キー情報と証明書を常に利用できます。 または、ワイヤレス ネットワーク ポリシーを使用して、Windows XP を実行中のコンピュータがコンピュータのみの認証を行うように構成することもできます。 このソリューションには実装されていませんが、組織によっては、この設定が有用である場合があります。 #### ワイヤード (有線) LAN 接続のないクライアントをサポートする 大規模組織では少ないですが、ワイヤード (有線) LANがまったく展開されていない環境もあります。 クライアント コンピュータがドメインに加わり、証明書とグループ ポリシーを受け取れるようにするためには、ワイヤード (有線) LAN が必要です。 コンピュータとユーザー証明書、および適切なクライアント WLAN 構成がない場合、ユーザーは 802.1X ベースの WLAN にアクセスすることができません。 この問題は、常に 802.1X 認証を必要とするワイヤード ネットワークを展開している組織にもあてはまります。 このような環境の場合、ユーザーが RADIUS サーバーに PEAP-MSCHAPv2 を使用したパスワード ベースの資格情報を提供し、それによって制御された VLAN の証明書サービス Web 登録ページに接続できるようにする方法を検討する必要があります。 ユーザーは、この登録ページから証明書の登録およびインストールを行い、EPA-TLS を使用して企業 WLAN へフル アクセスできます。 現時点において、この戦略はこのソリューションの範囲外なので、特定の VLAN 設計を行うだけでなく、IAS サーバーにリモート アクセス ポリシーを追加する必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章では、802.1X を使用した WLAN セキュリティの設計プロセスについて説明し、WLAN の必要条件の特定、セキュリティ オプションの検討、方針の確立、およびその他の考慮事項を取り上げました。 この章で説明したオプションに基づいて設計を確立すると、運用環境に合わせて 802.1X ベースの WLAN セキュリティを展開できます。 この章で説明した設計は、802.1X WLAN セキュリティ インフラストラクチャを実装するために、構築および運用の章でも使用されます。 #### 関連情報 セキュリティで保護されたワイヤレス ネットワークの詳細については、次のリソースを参照してください。 - [Product Documentation for Windows Server 2003](https://www.microsoft.com/windowsserver2003/proddoc/default.mspx) Web サイト https://www.microsoft.com/windowsserver2003/proddoc/default.mspx (英語) 製品ドキュメントには、IAS 機能の概要、構成の基本手順、および展開のベスト プラクティスが記載されています。 - マイクロソフトのソリューション「[*Securing Wireless LANs with PEAP and Passwords*](https://go.microsoft.com/fwlink/?linkid=23459)」は、https://go.microsoft.com/fwlink/?LinkId=23459 (英語)**から入手できます。 - 「*Microsoft Windows Server 2003 Technical Reference*」の「[IAS Technical Reference](https://technet2.microsoft.com/windowsserver/en/library/8f5c89d5-fdaf-430c-9ef4-318f8c15baf11033.mspx)」の章 https://technet2.microsoft.com/windowsserver/en/library/8f5c89d5-fdaf-430c-9ef4-318f8c15baf11033.mspx (英語) リソース キットのこの章には、製品ドキュメントよりも包括的な IAS に関する技術情報が記載されています。より詳細な情報が必要な際に参照してください。 - 「[*Windows Server 2003 Technical Reference*](https://www.microsoft.com/windows/reskits/default.asp)」と「[*Microsoft Windows Server 2003 Deployment Kit*](https://www.microsoft.com/windows/reskits/default.asp)」https://www.microsoft.com/windows/reskits/default.asp (英語) - 「[*Microsoft Windows Server 2003 Deployment Kit*](https://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx)」https://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (英語) の「*Deploying Network Services*」ガイドの「Deploying a Wireless LAN」の章 「Microsoft Windows Server 2003 Deployment Kit」(英語) のこの章には、IAS を使用する展開方法が、このセキュリティ保護されたワイヤレス ネットワーク ガイドの範囲からは逸脱しますが設計決定に影響する各種シナリオで説明されています。 - 802.1X WLAN、WLAN セキュリティ項目の高度な内容、および関連する標準については、「[The Unofficial 802.11 Security Web Page](https://www.drizzle.com/~aboba/ieee/)」https://www.drizzle.com/~aboba/IEEE/ (英語) を参照してください。 - WLAN ソリューション情報および業界情報については、Wi-Fi alliance の Web サイト (英語) を参照してください。 - WLAN に関する背景情報、市場調査、ホワイト ペーパー、およびトレーニング プログラムについては、[Wireless LAN Association (WLANA) の Learning Center](https://www.wlana.org/learning_center.html) https://www.wlana.org/learning\_center.html (英語) を参照してください。 - EAP-TLS、EAPOL、EAP-RADIUS、RADIUS、および 802.1X と共に使用されるその他のインターネット標準については、[Internet Engineering Task Force (IETF)](https://www.ietf.org/) の Web サイト https://www.ietf.org/ (英語) を参照してください。 - 802.11、802.11a、802.11b、802.1X、802.11i、およびその他を含む WLAN 標準に関する情報については、[IEEE Wireless Standards Zone](https://standards.ieee.org/wireless/) の Web サイト https://standards.ieee.org/wireless/ (英語) を参照してください。 - 「[802.11 Wireless Technical Reference](https://technet2.microsoft.com/windowsserver/en/library/47ba42ba-847e-43fd-9451-9e50ab47f94e1033.mspx)」は、https://technet2.microsoft.com/windowsserver/en/library/47ba42ba-847e-43fd-9451-9e50ab47f94e1033.mspx (英語) から入手できます。 [](#mainsection)[ページのトップへ](#mainsection) ##### 目次 - [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10)) - [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10)) - [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10)) - [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10)) - [第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する](https://technet.microsoft.com/ja-jp/library/798406d6-d739-4d18-879b-9ae061fa320a(v=TechNet.10)) - [第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10)) - [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10)) - [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10)) - 第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する - [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10)) - [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10)) - [第 8 章 : RADIUS インフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/83bbb839-cc8d-4724-affb-a6ae08237f29(v=TechNet.10)) - [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10)) - [第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/cc527040.aspx) - [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10)) - [第 11 章 : 公開キー基盤を管理する](https://technet.microsoft.com/ja-jp/library/9437df75-a375-40f2-9577-17755eec9545(v=TechNet.10)) - [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10)) - [テスト ガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10)) - [第 13 章 : テスト ガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10)) - [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10)) - [付録 A: Windows のバージョン サポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10)) - [付録 B: スクリプトとサポート ファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10)) - [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10)) - [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037.aspx) [](#mainsection)[ページのトップへ](#mainsection)