|
|
Windows NTではサービスパック4以降、セキュアチャネルにおいて署名と暗号化の機能が提供されています。この機能はサービスパック4以降ではデフォルトで有効に設定されており、セキュアチャネルの内容に対し改竄などが行われないようになっています。(J045628)
セキュアチャネルの署名と暗号化の設定を変更するには、以下の設定を変更する必要があります。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | SignSecureChannel |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 1 (TRUE) |
SignSecureChannel を「1」に設定することで、すべての送信セキュア チャネル トラフィックが署名されます。SealSecureChannel が「1」に設定された場合、この設定より優先され必ず「1」になります。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | SealSecureChannel |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 1 (TRUE) |
SealSecureChannel を「1」に設定することで、すべての送信セキュア チャネル トラフィックが暗号化されます。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters |
| Name | RequireSignOrSeal |
| Type | REG_DWORD |
| Value | 0 (FALSE) または 1 (TRUE) デフォルト : 0 (FALSE) |
RequireSignOrSeal を「1」に設定することで、全ての送信セキュア チャネル トラフィックが署名または暗号化されなければならないようになります。このパラメータが「1」の場合、SignSecureChannel も「1」に設定されます。
「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。
Secure Channel:
可能なとき、チャネルのデータをデジタル暗号化して保護する
Secure Channel:
可能なとき、チャネルのデータをデジタル署名付けて保護する
Secure Channel:
常に、チャネルのデータをデジタル暗号化またはデジタル署名付けて保護する
設定値による動作の違いは以下の表のようになります。
○ : 暗号化有効、署名有効
△ : 暗号化無効、署名有効
× : 暗号化・署名ともに無効
SignSC : SignSecureChannel
SealSC : SealSecureChannel
クライアント |
サーバ |
||||
SignSC |
SealSC |
RequireSignOrSeal |
SignSC=1 |
SealSC=1 |
RequireSignOrSeal=1 |
0 |
0 |
0 |
× |
× |
× |
1 |
0 |
0 |
△ |
△ |
△ |
0 |
1 |
0 |
○ |
○ |
○ |
0 |
0 |
1 |
△ |
△ |
△ |