Windows PKI - その2 - ルート証明書更新プログラムとは?

みなさん、こんにちは。 Windows プラットフォーム 村木由梨香です。   Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します 前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。 ・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要 ・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか? 訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。 Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。   ============================== Microsoft ルート証明書更新プログラムとは何か? ============================== ●Microsoft ルート証明書更新プログラムとは? Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。 約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。 これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows…

2

Windows PKI - その1 - PKIとは?

みなさん、こんにちは。 Windows プラットフォームサポート 村木由梨香です。   IT管理者の皆様は、最近とくに「証明書を利用した認証」とか「証明書」について良く聞くのではないでしょうか?? PKI という用語も、耳にしたことがあるのではないでしょうか? まずは入門として、PKI について概念から説明したいとおもいます。 PKI 自体は、Microsoft や Windowsに限ったお話ではありません。 インターネットや書籍において、PKI について解説している情報は多々ありますが、本ブログでも Microsoft / Windows における PKI の構築にあたり、まずは基本となる概念の説明をします。 もうすでにご存知のかたも、復習としてご覧いただければ幸いです。 ============= ● PKI ============= PKI (Public key Infrastructure) とは、公開鍵証明書を利用した基盤のことです。 要するに、認証などを実施するのにあたり、「証明書」を利用するための基盤のことです。 PKIにおいては、証明書を利用するにあたり、さまざまな確認のポイントなどが実装されます。 今回は、まず、証明書を利用する際に、重要なポイントである 「証明書を発行した認証局 (CA) が信頼されていること」 について説明します。 ============= ● 第三者認証モデル ============= 証明書を利用する場合に、まずは、提示された証明書が信頼に足るものであるかどうか、ということを確認しなくてはいけません。 証明書を提示して、どのように信頼を得るのでしょうか? 知らないもの同士が始めて出会う時、どのように信頼性を得ればいいのでしょうか? PKIの基本概念のひとつとして、第三者認証モデルと呼ばれる認証モデルを利用することで、信頼性を確立するという考えがあります。 たとえば、証明書による認証をおこなう HTTPS の WEBサイトにアクセスした場合、WEBサーバーは証明書を提示します。 ユーザーは証明書を受け取りますが、その提示された証明書を信用してよいのか、確認しなければなりません。 ここで、もし、サーバー証明書を発行した 認証局を、あらかじめユーザーが信頼しているとします。 そうすると、信頼している認証局が発行している証明書なので、信用できる証明書である、と認識できるのです。…

0

NAP internal-2 - WSHA がチェックできる項目 (セキュリティ更新プログラムに関する状態)

こんにちは。Windows プラットフォーム サポート担当の石丸です。 前回の記事 で、WSHA が下記のクライアントの状態についてチェックすることができるとご紹介いたしました。 1. インストールされている ファイアウォール ソフトウェアの状態 2. インストールされている ウィルス対策ソフトの状態 3. インストールされている スパイウェア対策アプリケーションの状態 4. 自動更新の設定状態 5. セキュリティ更新プログラムの適用状態 6. 最後に Windows Update サイトと通信を行ってからの経過時間 7. Windows Update の接続先の種類 (Microsoft Update / Windows Update / WSUS ) 8. 現在適用されていないセキュリティ更新プログラムの重要度 今回は、前回に引き続きまして、上記の 4 ~ 8 の項目がどのようにチェックされるかについて、解説します。 4.  自動更新の設定状態 自動更新の設定状態は、”Automatic_Updates_ClientStatusCode” として SoH に格納されます。取り得る状態は下記の通りです。 ・ 自動更新が無効である ・ 自動更新の設定は構成されていない ・…

0

サポート公開情報 (11/29-12/5)

みなさん、こんにちは!   いよいよ寒さも本格的になってきましたね。 11 月 29 ~ 12 月 5 日の間に、新しく公開されました Network & AD に関する技術サポート情報をお届けします!   ● 今週の PICK UP: Channel 9 みなさま、Microsoft の Channel 9 というビデオコンテンツサイトをご存知でしょうか?   Channel 9 https://channel9.msdn.com/     ITプロフェッショナルの皆様はもちろんのこと、開発者の皆様などに向けて、技術や製品の説明や、開発者や製品担当者などの対談、メッセージなどのビデオを配信しています。 簡素なストリーミングビデオなどが中心なのですが、もちろん、Networking や Active Directory に特化したトピックのビデオなどもあります。   英語の情報が主ではありますが、日本語の情報やビデオもいくつかあります。耳よりな情報もありますので、ご興味がある方はぜひご参照いただければとおもいます。 下記に、Networking や Active Directory関連でいくつかリストしましたので、ご興味のありそうなものがあれば、ぜひクリックしてみてください!   Peer To Peer in Windows Vista https://channel9.msdn.com/posts/ErnieBooth/Peer-To-Peer-in-Windows-Vista/ -> Windows Vista…

0

FRS から DFSR への移行 (SYSVOL)

今回は Active Directory の SYSVOL の複製を従来の File Replication Service (FRS) から Distributed File System Replication (DFSR) に移行する手順についてお伝えします。また、各手順にて実施される内部処理についても詳細な部分まで可能な限り記載します。(長くなります。手順だけが知りたい場合には “4) DFSR に安全に移行する為の手順” を確認してください。) 1) DFSR を利用する条件と利点について ========================== SYSVOL 複製に DFSR を利用するにはドメイン機能レベルが Windows Server 2008 以上である必要があります。その為、ドメイン内に Windows Server 2003 R2 など Windows Server 2008 よりも前の OS のドメイン コントローラーが存在する場合には利用できません。(DFSR 自体は Windows Server 2003 R2 から利用できますが、SYSVOL 複製には利用できません。) そもそもなぜ FRS ではなく…

0

DFS Replication の初期複製を高速化するには?

こんにちは。Windows プラットフォームサポートの比留間です。 DFS Replication (以下 DFSR) のレプリケーション グループにファイル サーバーを参加させると、他のメンバー サーバーとの間でレプリケート フォルダーの初期状態の同期をとるための「初期複製 (Initial Sync)」と呼ばれる処理が実行されます。 しかしながら、ファイル サーバーに格納されているファイル サイズが非常に大きい場合、初期複製の完了までに時間がかかってしまう場合があります。 この点を解決するため、DFSR では、新しくレプリケーション グループに参加させるファイル サーバー上に、あらかじめレプリケーション対象となるファイルを配置しておくことで、DFSR による 初期複製に要する時間を短縮する展開方法が用意されています。 この手法はよく、「プレステージング」と呼ばれています。 しかし、プレステージングを効果的に行うためにはいくつか考慮しなければならない点があります。 今回は、米国マイクロソフトの Directory Service サポート チームが作成した以下の Blog 記事を元に、プレステージング時に考慮するべき点について確認してみましょう。 Get out and push! Getting the most out of DFSR pre-staging http://blogs.technet.com/askds/archive/2008/02/12/get-out-and-push-getting-the-most-out-of-dfsr-pre-staging.aspx ■プレステージングとは? プレステージングは複製対象となるファイルの最新版を、DFSR のダウンストリーム サーバーとして追加する前に「あらかじめ」レプリケート フォルダ上に配置しておくことを指します。これにより初期複製時にネットワーク上で転送される情報量が削減され、DFSR サービスが全てのファイルをコピーするよりは早期に初期複製が完了する、という効果が期待できます。このときに NTBackup や Robocopy といったツールがよく使用されます。 ■初期複製の動作 プレステージングの議論に入る前に、初期複製が実際にどのような動きをするものなのか理解する必要があります。下の図は大幅に簡略化されたものではありますが、処理全体の概要を示しています。…

0

サポート技術情報

みなさん、こんにちは!   いよいよ、師走ですね。一年が過ぎるのは早いものですね。    ● 今週のPICKUP: Windows Server 2008 R2 をドメインに追加する   Windows Server 2008 R2 が発売され、ドメインへドメインコントローラとして追加したり、ドメイン全体を R2 ドメインへアップグレードを考えている管理運用者の方もいらっしゃるのではないでしょうか。   アップグレードにあたり、考慮点などをまとめましたホワイトペーパーが公開されました。 現時点では、英語版のみの資料ではありますが、アップグレードを予定されている方は、計画に際して、ぜひご参照いただけますと幸いです   Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=fa629de2-f4dd-47ac-8d80-3db46b2877a2   ● サポート技術情報リスト  970536 Setspn.exe support tool update for Windows Server 2003 977510 Authentication fails when…

0

Windows リモート アシスタンスを使って社内 IT サポートの効率化を実現!!

こんにちは。Windows プラットフォーム サポート担当の十河 崇 (そごう たかし) です。 今日はドメイン環境での Windows リモート アシスタンス (以下、リモート アシスタンス) をご紹介します。 このブログを読んで下さっている方の中には、企業や団体などで IT サポートをされている方も多いのではないでしょうか。社員の方からいろいろな質問に対して、電話や電子メールで設定の確認や、操作方法の説明をする際に、「この設定、直接 PC を見れたらすぐ分かるのになぁ」とか「直接 PC の画面を見せられたら簡単に説明できるのに」と歯痒い思いをしたことはありませんか? リモート アシスタンスはそのようなときに、離れたところにいる人とデスクトップ画面を共有する機能で、IT サポートにおける、大幅な時間短縮にもつながる機能です。社員の方からも「説明が分かりやすい」、「素早く解決した」と喜ばれること間違い無しです! それでは、ドメイン環境を想定した、リモート アシスタンスを利用する方法を説明します。まず最初に、ドメイン内のクライアントでリモート アシスタンスを利用できるようにグループ ポリシーを設定する方法を、次に、実際に利用する際の手順を説明します。なお、ここでは、Windows Server 2008 R2 および Windows 7 にて説明しますが、リモート アシスタンスは Windows Server 2003 および Windows XP 以降の Windows から利用可能です。 ■ リモート アシスタンスの事前準備 ここでは、まず、リモート アシスタンスを利用する前に必要な、ドメインの設定を説明します。リモートアシスタンスを受けるユーザーがログインするコンピューターに対して、以下のグループ ポリシーを設定します。 グループ ポリシー管理エディターで [コンピューターの構成] –…

0

サポート技術情報 (11月)

みなさん、こんにちは! めっきり寒くなり、いよいよ冬到来ですね! 今月 11 月 1 日より公開されておりますサポート技術情報をお届けします!   <今回のPickup :Windows Server 2008 R2, Windows 7 におけるセキュリティイベントの説明> 昨今の監査要件やセキュリティの高まりから、セキュリティ イベントを監視している運用管理者の方も多いのではないでしょうか。 先日発売になりました Windows 2008 R2, windows 7 におけるセキュリティイベントの一覧についての情報を公開しました!   Windows 7 で、Windows Server 2008 R2 でのセキュリティ イベントの説明 http://support.microsoft.com/?kbid=977519   なお、Windows Vista, Windows 2008 については下記の技術情報があります。 Windows Vista で、Windows Server 2008 のセキュリティイベントの説明 http://support.microsoft.com/kb/947226/   Windows Vista については、セキュリティについての一般的なガイドを公開しています。まだお読みでない方はぜひ、あわせてご参照いただければ幸いです! Windows Vista セキュリティ…

0

Windows 7 対応製品を調べよう!!

こんにちは、Windows プラットフォーム サポートの北川です。 Windows 7 が発売され、移行を考えられている方も多いと思いましたので、今日は参考に公開情報をご案内いたします。 情報システム部の皆様やシステム インテグレーターの皆様は新しく OS が出るたび、バックアップソフトは Windows 7 に対応しているのかな? ウィルス対策ソフトは対応しているのかな? メモリが安くなったので 64 bit にしたいけどアプリが対応していないと困るし・・・。 特に、ネットワーク担当の方は、お使いの NIC が対応しているのか? ということがまず気になるポイントではないでしょうか? いやいや、それ以前に各メーカーのサイトを確認したり、調べるのが面倒だし、もう少し様子を見ようかなって経験が良くあるかと思います。(私自身も経験者です。)   そこで以下のサイトに各メーカー様からお知らせいただいた情報をまとめ、掲載させていただいております。 Windows 7 互換性情報--ソフトウェアの互換性情報 http://www.microsoft.com/japan/windows/windows-7/compatibility/default.aspx   このサイトでは Windows 7 への対応状況をカテゴリ別に確認したり、メーカー名から確認することができます。 例えば、カテゴリ別に確認する場合の例ですが、「ソフトウェア」をクリックしてみます。 (画面サンプルでは自社製品を表示させていますが、各メーカー様の対応状況が確認できます。)   そうしますと、以下のようにカテゴリの絞り込みの画面が表示されます。今回は Microsoft Office Word が表示されるであろうカテゴリを選んで絞り込んでみます。   以下のように対応状況が確認できます♪ お使いの製品がまだ掲載されていないことも多々あるかと思いますが、現在、各メーカ様からの情報を収集して、情報の充実を図っておりますので、その場合はご容赦いただけますと幸いです。 まずは、調べるスターティングポイントとしては、お役に立てると思いますのでぜひご活用ください! 移行計画を検討する材料の一つとしてご利用いただけると幸いです。       「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」

0