信頼されたルート キーについて
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager サイト モードに関係なく、クライアントは、通信を確立する前に管理ポイントを認証する必要があります。これは、攻撃者が偽の管理ポイントを挿入し、クライアントをその管理ポイントにリダイレクトすることを防止するためです。管理ポイントは、作成されると、署名に使用する証明書を作成します。この証明書は、自己署名であり、99 年間有効です。この証明書は、管理ポイントの証明書ストアに作成され、格納されます。サイトがネイティブ モードで動作し、PKI によって発行された証明書があっても、管理ポイントは常にこの自己署名証明書を作成します。
Configuration Manager クライアントは、管理ポイントからメッセージを受信するとき、このメッセージが有効な管理ポイントからのものであることを確認するためのいくつかのオプションがあります。クライアントは、サイト サーバーのフォレスト内で Active Directory ドメイン サービスに照会できる場合、管理ポイントが信頼された管理ポイントであることを確認できます。クライアントは、信頼された管理ポイントを検証するために Active Directory ドメイン サービスに照会できない場合、信頼されたルート キーを使用します。
信頼されたルート キーとは
信頼されたルート キーにより、クライアントが Active Directory ドメイン サービスに照会できない場合に管理ポイントとその証明書の信頼性を確認するメカニズムが提供されます。すべてのプライマリ サイト サーバーは、サイトがネイティブ モードで動作している場合でも、Active Directory ドメイン サービス発行が有効である場合でも、信頼されたルート キーを生成します。プライマリ サイトが親サイトに参加すると、子サイトはそれ自体が持つ信頼されたルート キーを排除し、親サイトの信頼されたルート キーを信頼します。信頼されたルート キーの機能は、信頼されたルート キーの秘密キーによって署名されたすべてのものが階層の下位で信頼されるという点で、公開キー基盤のルート証明書に似ています。信頼されたルート キー ペアの秘密キーで管理ポイントの証明書に署名し、クライアントで使用できる信頼されたルート キー ペアの公開キーをコピーすると、クライアントは有効な管理ポイントと偽の管理ポイントを区別できます。クライアントは、ワークグループまたはリモート フォレスト内にあるため、あるいは、Active Directory ドメイン サービス スキーマが Configuration Manager 2007 用に拡張されていないために、Configuration Manager 2007 情報をグローバル カタログに照会できない場合にのみ、信頼されたルート キーを必要とします。信頼されたルート キーは、WMI の root\ccm\locationservices 名前空間に保存されます。
信頼されたルート キーを管理ポイントが取得する方法
新しい管理ポイントは、作成されると、サイト モードに関係なく、証明書ストアに自己署名証明書を作成します。混在モードの場合、自己署名証明書はレジストリ内の場所に保存されます。ネイティブ モードの場合、PKI によって発行された管理ポイントの証明書がレジストリ内の場所に保存されます。サイト コンポーネント マネージャはレジストリから証明書を収集し、その証明書をサイト サーバーに送信します。サイト サーバーがセントラル サイトでない場合、証明書は、信頼されたルート キーが保持されているセントラル サイトに到達するまで階層の上方に渡されます。セントラル サイト サーバーは、信頼された秘密ルート キーで管理ポイントの証明書に署名し、信頼された公開ルート キーのコピーと共に、管理ポイントまで階層の下方に送信します。管理ポイントは、信頼された公開ルート キーのコピーを受信すると、それ自体が持つ秘密キーで、信頼されたルート キーに署名します。このセクションで後ほど説明しますが、これによって回復の可能性が高まります。この時点で、管理ポイントでは、信頼されたルート キーの処理で複数のキーが使用されています。
管理ポイントの証明書 (混在モードの場合は自己署名、ネイティブ モードの場合は PKI 発行)
信頼されたルート キーによって署名された管理ポイントの証明書
セントラル サイトの信頼された公開ルート キーのコピー
管理ポイントの秘密キーによって署名された、信頼された公開ルート キーのコピー
クライアントが管理ポイントを認証する方法
クライアントは、次のキーおよび証明書情報を WMI のクラスに保存します。
管理ポイントの証明書を含む、管理ポイントの一覧の各管理ポイントに関する情報
信頼された公開ルート キーのコピー
クライアントが通信する管理ポイントの一覧
注意
管理ポイントが NLB クラスタ内にある場合、クライアントが信頼する管理ポイントのつには、クラスタのすべてのサイト システムが含まれます。サイトに NLB クラスタが存在しない場合、一覧には既定の管理ポイントのみが含まれます。
クライアントは、管理ポイントに要求を行うと、応答を確認しようとします。クライアントは、サイト コードの管理ポイントが WMI の管理ポイントの一覧にあるかどうかを確認します。管理ポイントの一覧にある場合、クライアントは管理ポイントの証明書のコピーを WMI から取得しようとします。クライアントは、証明書を見つけた場合、メッセージを確認します。すべてのメッセージを確認する必要があり、確認できない場合は破棄されます。
クライアントは、管理ポイントの証明書が WMI に保存されていない場合、管理ポイントの一覧が最後に更新されたのがいつかを確認します。最終更新時刻から 5 分以上経過している場合、クライアントは新しい管理ポイントの一覧を取得します。管理ポイントの一覧が WMI に存在しなかった場合、クライアントは管理ポイントを取得する必要があります。クライアントが管理ポイントの一覧を取得する場所は、クライアント モード、および Active Directory ドメイン サービス スキーマを Configuration Manager 2007 用に拡張したかどうかによって異なります。
インストール プロパティ SMSDIRECTORYLOOKUP=<スイッチ> でクライアント セットアップを実行すると、クライアントを 3 つのモードのいずれかで構成できます。次の表は、各モードおよびそれに関連する管理ポイントの認証プロセスについて説明します。
| モード | スイッチ | 管理ポイントの認証プロセス |
|---|---|---|
Active Directory Only |
NOWINS |
このモードの場合、クライアントは管理ポイントの一覧を WINS から取得できません。クライアントがグローバル カタログ サーバーおよび DNS から一覧を取得できない場合、参照はエラーになり、クライアントは管理ポイントと通信できません。 |
Secure WINS |
WINSSECURE |
このモードの場合、クライアントはまず、Active Directory ドメイン サービスから管理ポイントの一覧を取得しようとします。それがエラーになると、クライアントは WINS を使用してサイトの既定の管理ポイントを特定し、それに管理ポイントの一覧を要求します。クライアントは、既定の管理ポイントに証明書も要求し、WMI の信頼されたルート キーのコピーをチェックして、信頼されたルート キーによってその証明書が署名されていることを確認します。証明書が有効である場合、クライアントは証明書を信頼し、その管理ポイントからのメッセージの確認にそれを使用できます。管理ポイントの証明書の署名がクライアントの信頼されたルート キーのコピーと一致しない場合、その管理ポイントからのメッセージは破棄されます。 |
Any WINS |
WINSPROMISCUOUS |
Any WINS モードの場合、クライアントはまず、Active Directory ドメイン サービスから管理ポイントの一覧を取得しようとします。それがエラーになると、クライアントは WINS を使用してサイトの既定の管理ポイントを特定し、それに管理ポイントの一覧を要求します。クライアントは、証明書を確認せずに、その管理ポイントを信頼します。 |
スイッチが指定されなかった場合、クライアントは Secure WINS モードでインストールされます。Active Directory Only モードは、Active Directory ドメイン サービスの照会処理の基礎となるセキュリティに依存しているため、最も安全ですが、クライアントがグローバル カタログに照会できてリモートのフォレストまたはワークグループのクライアントに使用されない場合に限って使用できます。Any WINS モードは、安全ではないので、お勧めしません。
信頼されたルート キーをクライアントが取得する方法
Active Directory ドメイン サービスを拡張し、Configuration Manager への発行を有効にしている場合、サイト サーバーと同じフォレストのクライアントは、グローバル カタログ サーバーに照会して、信頼されたルート キーの公開コピーを取得できます。信頼されたルート キーの初期コピーをクライアントが Active Directory ドメイン サービスから取得できない場合は、信頼されたルート キーをクライアント インストール中にクライアントに事前に準備できます。
信頼されたルート キーがクライアントにない場合
クライアントは、信頼されたルート キーがない場合、最初に通信した管理ポイントによって提供された、信頼されたルート キーを信頼します。つまり、攻撃者の管理ポイントに誤って誘導され、偽の管理ポイントからポリシーを受信する可能性があります。これは、巧妙な攻撃者の操作である可能性が高く、有効な管理ポイントから信頼されたルート キーをクライアントが取得する前の限られた時間内のみに発生することがあります。攻撃者がクライアントを偽の管理ポイントに誘導するリスクを軽減するには、信頼されたルート キーをクライアントに事前に準備できます。詳細については、「クライアントでの信頼されたルート キーの事前準備方法」を参照してください。
注意
新しいクライアントが偽の管理ポイントに誘導されるリスクを軽減するには、クライアントが Active Directory ドメイン サービスに照会できない場合に、信頼されたルート キーをクライアントに事前に準備します。
信頼されたルート キーをクライアントが更新する方法
クライアントは、信頼されたルート キーのコピーを取得した後、そのコピーをレジストリに保持します。クライアントは、管理ポイントからのメッセージを認証できない場合、信頼されたルート キーを更新し、現在の管理ポイントの証明書を破棄して、信頼されたルート キーによって署名された管理ポイントの証明書の新しいコピーを取得します。
クライアントがセントラル サイトの障害から回復する方法
セントラル サイト サーバーは、回復する必要がある場合、新しい信頼されたルート キーを生成します。階層内にある他のサイトのすべての管理ポイントの証明書は収集され、セントラル サイトに送信されて、信頼されたルート キーによって署名され、最終的に各管理ポイントに戻されます。別のサイト内にあるクライアントは、管理ポイントを信頼するため、新しい信頼されたルート キーを受け入れます。クライアントは、まだ信頼していない管理ポイントに接続してから、Active Directory ドメイン サービスに照会してその管理ポイントを確認できなかった場合、その管理ポイントからの情報を受け入れません。クライアントは、管理ポイントを確認できるまで管理されなくなります。
クライアントが接続する信頼された管理ポイントがない場合、問題が発生します。たとえば、クライアントが、サイトの管理ポイントとしても機能するセントラル サイト サーバーに属していて、そのサイト サーバーがダウンすることがあります。これは、多くの場合、サイトが 1 つだけ存在し、サイト サーバーがサイトのすべての役割を果たす、小さい展開で発生します。サイト サーバーでシステム障害が発生した場合、新しい信頼されたルート キーがサイト サーバーの回復中に作成され、管理ポイントは混在モードで自己署名証明書を作成するか、ネイティブ モードで PKI 発行の新しい証明書を取得することによって新しい証明書を受信します。クライアントには、管理証明書の現在のコピーも、信頼されたルート キーのコピーもなく、どちらかを取得する自動メカニズムもありません。クライアントが管理ポイントを確認するために Active Directory ドメイン サービスに照会できない場合、管理者が古い信頼されたルート キーをクライアントから削除し、新しい信頼されたルート キーを事前に準備するか、最初に接続した管理ポイントからキーを取得することをクライアントに許可するまで、クライアントはサイトと通信できません。
信頼されたルート キーが侵害された場合の対処方法
クライアントは Active Directory ドメイン サービスに照会できる場合には信頼されたルート キーに依存しないので、侵害は重大なリスクになりません。ネイティブ モードでの実行には PKI 発行の管理ポイントの証明書が必要になるので、信頼されたルート キーの侵害のリスクは、混在モードよりネイティブ モードで低くなります。
信頼されたルート キーが侵害された可能性がある場合は、サイト監査クライアント ステータス メッセージに、認識できないパッケージの動作など、承認されていないサイト アクティビティを示すものがないかどうかを監視する必要があります。
セントラル サイト サーバーの再インストールおよび復元を行う場合は、新しい信頼されたルート キーを生成します。サイト階層を再構築し、子サイトを新しいセントラル サイトにすると、Configuration Manager 2007 により、階層用に新しい信頼されたルート キーが作成されます。上記のように、新しい信頼されたルート キーを使用するようにクライアントを事前に準備できますが、ネットワークには、攻撃者がシステムにバックドアを築いたというリスクが残っています。信頼されたルート キーの侵害から確実に回復するには、すべてのサイト サーバー、管理ポイント、およびクライアント コンピュータの再インストールを検討する必要があります。
オペレーティング システムの展開における信頼された公開ルート キーについて
配布ポイントを有効にしてマルチキャストをサポートすると、配布ポイントによってローカル証明書ストアに自己署名証明書が作成され、レジストリに証明書の署名が配置されます。サイト コンポーネント マネージャがレジストリ内の署名を検索し、信頼されたルート キーによって署名されていないことを確認すると、サイトの信頼されたルート キーで署名するために階層マネージャに転送します。証明書の署名が信頼されたルート キーで署名されると、署名はレジストリに再び保存されます。署名プロセスが完了すると、配布ポイントはマルチキャスト クライアントをサポートできるようになります。自己署名証明書が期限切れになると、配布ポイントは新しい証明書を作成し、署名プロセスを再び開始します。
参照:
タスク
クライアントでの信頼されたルート キーの事前準備方法
信頼されたルート キーの削除方法
信頼されたルート キーの検証方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.