Windows Serverの暗号化レベルをHigh設定

2019-11-17

Windows Server セキュリティ強化: 暗号化レベルのHigh設定

前提条件

  • Windows Server のセキュリティ強化の設定を紹介します。
  • RDP(リモートデスクトップ)による接続を行う際、サーバーとクライアント間で通信されるデータは暗号化されています。しかし、盗聴時に解読されるリスクを減らすため、暗号化の強度(暗号鍵のビット数)を高めることが有効です。
  • Windows Server 2012 R2 のスクリーンショットを使用した例となります。

設定手順

  • ファイル名を指定して実行から「gpedit.msc」と入力し、ローカルグループポリシーエディターを開きます。
  • 以下の設定を展開します。
    • 「コンピューターの構成」⇒「管理用テンプレート」⇒「Windows コンポーネント」⇒「リモート デスクトップ サービス」⇒「リモート デスクトップ セッション ホスト」⇒「セキュリティ」⇒「クライアント接続の暗号化レベルを設定する」
    • (English:「Computer Configuration」⇒「Administrative Template」⇒「Windows Component」⇒「Remote Desktop Services」⇒「Remote Desktop Session Host」⇒「Security」⇒「Set client connection encryption level」)
   
  • デフォルトはポリシーが「未構成」になっているため、「有効」を選択します。
   
  • オプションから暗号化レベルに「高レベル」を選択して、適用を押下します。
     
  • 特に再起動が必要とのメッセージは表示されませんでした。

オプションの説明

  • このポリシー設定を有効にした場合、リモート接続時のクライアントと RD セッション ホスト サーバー間のすべての通信で、この設定で指定された暗号化方法を使用する必要があります。既定では、暗号化レベルは [高] に設定されています。次の暗号化方法を利用できます。
    • 高: [高] 設定では、強力な 128 ビット暗号化を使ってクライアントとサーバー間で送受信されるデータを暗号化します。この暗号化レベルは、128 ビット クライアント (リモート デスクトップ接続クライアントなど) のみが含まれる環境で使用します。この暗号化レベルをサポートしていないクライアントは RD セッション ホスト サーバーに接続できません。
    • クライアント互換: [クライアント互換] 設定では、クライアントとサーバーの間で送信されるデータは、クライアントでサポートされている最高のキー強度で暗号化されます。この暗号化レベルは、128 ビット暗号化をサポートしていないクライアントが含まれる環境で使用します。
    • 低: [低] 設定では、56 ビット暗号化を使ってクライアントからサーバーへ送信されるデータのみを暗号化します。
  • 重要
    • FIPS 準拠は、システム暗号化を通じて構成できます。グループ ポリシーの [暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] 設定 (場所: “コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション”)。[FIPS 準拠] 設定では、Microsoft 暗号化モジュールを使用して、Federal Information Processing Standard (FIPS) 140 暗号化アルゴリズムによって、クライアントとサーバー間で送受信されるデータを暗号化および暗号化解除します。この暗号化レベルは、クライアントと RD セッション ホスト サーバー間の通信で最高レベルの暗号化が必要な場合に使用します。