none
Windows7のVPN着信接続と脆弱性の関係について RRS feed

  • 質問

  • よろしくお願いします。この質問は Microsoft Answers で質問しましたが、こちらが適切と誘導がありました。
    以下のURLが該当の質問です。

    http://answers.microsoft.com/ja-jp/windows/forum/windows_7-networking/pptp%E3%81%AB%E9%96%A2%E9%80%A3%E3%81%99%E3%82%8B/e61e7f0a-8f35-45c1-a2ca-acf520161c06

    一部重複しますが疑問点について。

    現在自宅PCのWindows7に着信接続を設定し、外出先から自宅のPCにVPN接続を行っています。
    しかし、MS-CHAP v2に致命的な脆弱性がある (パスワードなどをすぐに解析するツールが出たとか) というニュースを見て対処法を調べております。調べた限りでは

    • Windows7を"クライアント"としてPPTPで接続する場合、接続オプションによりMS-CHAP v2などの脆弱性のある認証を無効にすることができる

    http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx

    • Windows Server 2008 などをサーバーとしてPPTP接続を着信する場合、オプションの設定により脆弱性のある認証方法を無効にできる

    http://support.microsoft.com/kb/2744850

    ということが分かりました。私の浅い知識なので間違いなどありましたら申し訳ありません。

    ところで今回質問しております、Windows7(私の場合はProfessional)で着信接続の設定を行った場合、

    • どの方法で認証が行われるのか
    • 危険な認証方法が使用される可能性があるのならそれを無効にする事はできるか

    という点が分かりません。サーバーエディションのWindowsについては、その方法が書かれているのですがWindows7で関連しそうな項目を見つけることはできませんでした。
    何らかの方法で設定ができるのでしょうか。あるいは安全上、すでに無効にされているといったことがあるのか、教えて頂けますと幸いです。

    2012年8月24日 8:55

回答

  • fs71 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    TechNet フォーラムに投稿ありがとうございます。

    MS-CHAPV2 に関するセキュリティの問題がないかどうかを調べるためには、fs71 さんが質問で参照しているTechNet ブログの「セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開」の中のVPN 接続に関する接続タイプ(PPTP)の表から、現在設定している認証方式を確認していただければと思います。(確認方法はブログ中でWindows7 を例に画像で説明していますね。)

    この表で影響を受けない認証方式の場合にはMS-CHAPV2 に関するセキュリティの問題はありませんが、
    確認の結果、影響を受ける場合にもし認証方式を変更する際には接続される側と接続する側で認証方式が一致している必要がありますのでご注意ください。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク fs71 2012年8月30日 12:38
    2012年8月27日 5:35

すべての返信

  • fs71 さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    TechNet フォーラムに投稿ありがとうございます。

    MS-CHAPV2 に関するセキュリティの問題がないかどうかを調べるためには、fs71 さんが質問で参照しているTechNet ブログの「セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開」の中のVPN 接続に関する接続タイプ(PPTP)の表から、現在設定している認証方式を確認していただければと思います。(確認方法はブログ中でWindows7 を例に画像で説明していますね。)

    この表で影響を受けない認証方式の場合にはMS-CHAPV2 に関するセキュリティの問題はありませんが、
    確認の結果、影響を受ける場合にもし認証方式を変更する際には接続される側と接続する側で認証方式が一致している必要がありますのでご注意ください。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク fs71 2012年8月30日 12:38
    2012年8月27日 5:35
  • 回答ありがとうございます。

    クライアント側から接続方法を十分に確認出来ないケース、特にスマートフォンなど別のOS場合ですが、こちらはクライアント側の仕様についてさらに調べてみたいと思います。

    2012年8月30日 12:38