|
|
Windows 2000ではセキュアチャネルにおける署名と暗号化の機能が提供されています。この機能はデフォルトで有効に設定されており、セキュアチャネルの内容に対し改竄などが行われないようになっています。
セキュアチャネルの署名と暗号化の設定を変更するには、以下の設定を変更する必要があります。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | SignSecureChannel |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 1 (TRUE) |
SignSecureChannel を「1」に設定することで、すべての送信セキュア チャネル トラフィックが署名されます。SealSecureChannel が「1」に設定された場合、この設定より優先され必ず「1」になります。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | SealSecureChannel |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 1 (TRUE) |
SealSecureChannel を「1」に設定することで、すべての送信セキュア チャネル トラフィックが暗号化されます。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | RequireSignOrSeal |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 0 (FALSE) |
RequireSignOrSeal を「1」に設定することで、全ての送信セキュア チャネル トラフィックが署名または暗号化されなければならないようになります。このパラメータが「1」の場合、SignSecureChannel も「1」に設定されます。
「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。
セキュリティで保護されたチャネル:可能な場合、セキュリティチャネルのデータをデジタル的に暗号化または署名する
セキュリティで保護されたチャネル:可能な場合、セキュリティチャネルのデータをデジタル的に署名する
セキュリティで保護されたチャネル:常にセキュリティチャネルのデータをデジタル的に暗号化または署名する
Windows 2000では、「セキュリティで保護されたチャネル:強力な(Windows 2000かそれ以降のバージョン)セッションキーを必要とする」が利用できるようになっています。
設定値による動作の違いは以下の表のようになります。
○ : 暗号化有効、署名有効
△ : 暗号化無効、署名有効
× : 暗号化・署名ともに無効
SignSC : SignSecureChannel
SealSC : SealSecureChannel
クライアント |
サーバ |
||||
SignSC |
SealSC |
RequireSignOrSeal |
SignSC=1 |
SealSC=1 |
RequireSignOrSeal=1 |
0 |
0 |
0 |
× |
× |
× |
1 |
0 |
0 |
△ |
△ |
△ |
0 |
1 |
0 |
○ |
○ |
○ |
0 |
0 |
1 |
△ |
△ |
△ |