はじめに
本書の目的
本ドキュメントは、Windows Server と Active Directory フェデレーション サービス(AD FS)環境での SSL/TLS 設定に関する実践的な手引きです。古いプロトコル(例:SSL 3.0、TLS 1.0/1.1)や脆弱な暗号(例:RC4、MD5)を無効化する手順、さらに ESET 製品による通信検査の除外設定について取り扱います。
対象読者
IT 管理者やセキュリティ担当者を主な対象とします。基本的なサーバー管理(レジストリ編集や PowerShell の実行)ができる方に向けた内容です。
範囲と前提条件
手順は主に Windows Server(例:2012 R2、2016、2019)と AD FS(3.0/4.0)を想定します。設定変更はサーバー再起動を伴うことが多く、事前にバックアップを取得してください。
注意事項
レジストリや暗号設定を誤るとサービス停止や互換性の問題が発生します。まずテスト環境で検証し、本番適用は業務影響を考慮して行ってください。
本書の構成
続く章で、TLS/暗号スイートの管理、脆弱アルゴリズムの無効化、ESET での除外設定を順を追って説明します。各手順は可能な限り具体的なコマンドや画面操作で示します。
Active Directory フェデレーション サービス(AD FS)のSSL/TLSプロトコルと暗号スイート管理
概要
AD FSではSSL/TLSが通信の機密性と整合性を担います。古いプロトコル(SSL 3.0、TLS 1.0、TLS 1.1)は脆弱性が知られており、無効化してTLS 1.2以上を利用することを推奨します。
プロトコルの無効化(レジストリ)
Windowsのレジストリで制御します。例:
– パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
– 値: Enabled (DWORD) を 0 に設定
同様にSSL 3.0やTLS 1.1のServer/Clientキーも作成して値を0にします。変更後は再起動が必要です。
PowerShellによる自動化
PowerShellでレジストリ項目を作成・設定できます。例:
Set-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server’ -Name ‘Enabled’ -Value 0 -Type DWord
複数プロトコルをループして処理すれば展開が楽になります。
暗号スイートの管理
暗号スイートはサーバーの優先順位と有効/無効で制御します。グループポリシー(Computer Configuration → Administrative Templates → Network → SSL Configuration Settings)で「SSL Cipher Suite Order」を設定すると管理しやすいです。基本方針は強力なAES-GCMやECDHEを優先し、RC4や3DES、MD5系を除外することです。
運用上の注意
変更は段階的に検証してください。テスト環境で接続確認を行い、本番で順次適用します。互換性の影響で古いクライアントが接続できなくなる場合があります。
SSL/TLS通信における脆弱な暗号化アルゴリズムの無効化
概要
SSL/TLSで使われる暗号の中には、DES、3DES、RC4、MD5など既知の弱点があるものがあります。これらを無効化すると通信の安全性が高まります。ここではレジストリでの無効化手順と注意点、検証方法をやさしく説明します。
無効化の基本手順
- レジストリを必ずバックアップします。\n2. 管理者権限でレジストリ編集または.regファイルを適用します。\n3. 対象キーで値名 “Enabled” をDWORDで作成し、値を0にします。\n4. サービスやOSを再起動して反映させます。
例: RC4 を無効化する .reg の例
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
例: MD5 を無効化する .reg の例
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000
注意点と検証
- 古いクライアントが接続できなくなる可能性があります。テスト環境で必ず確認してください。\n- 無効化後は OpenSSL の s_client やブラウザの診断ツール、外部のSSL/TLSスキャンで確認します。\n- 強力な代替(TLS1.2以上、ECDHE、AES-GCM)を優先して採用してください。
以上が基本の流れです。設定は慎重に行い、影響範囲を確認してから本番へ反映してください。
ESET製品でのSSL/TLS通信検査の除外設定
目的と注意点
ESETのSSL/TLS通信検査は安全性を高めますが、特定の内部サービス(例:AD FSや社内ポータル)では検査によって通信が正しく行えないことがあります。必要最小限のサイトだけを除外し、リスクを理解したうえで設定してください。
除外設定の手順(Windowsデスクトップ版)
- 画面右下の通知領域でESETのアイコンを右クリックします。
- 「詳細設定を開く」または「設定」を選択します。
- 左メニューで「Webとメール」または「ネットワーク保護」を開き、「暗号化された通信の検査(SSL/TLS)」を選びます。
- 「例外」または「除外」タブをクリックし、「追加」ボタンで除外対象を登録します。
- 登録例:adfs.example.local、*.example.com、192.0.2.10:443
- 設定を保存し、必要ならブラウザや関連サービスを再起動します。
記入時のポイント
- ドメイン名(FQDN)で登録すると管理しやすくなります。
- ワイルドカード(*.example.com)はサブドメインをまとめて除外できますが、範囲が広くなるため注意してください。
- ポート指定(:443)で対象を限定できます。
大規模環境(ESET PROTECT等)での運用
管理コンソールからポリシーに除外設定を追加して配布します。個別に設定するより一元管理でき、安全性の維持と運用負荷の低減に役立ちます。
運用上の推奨
- 除外は最小限にとどめ、理由と有効期限を記録してください。
- 除外したサイトはログで監視し、不審な活動がないか確認してください。
- 可能なら対象側で証明書を正しく整備し、例外を不要にする方策を検討してください。
