すべてのインターネット プロトコル セキュリティ (IPsec) ネゴシエーションに使用する、IPsec のメイン モード キー交換設定およびクイック モード データ保護設定を構成するには、このダイアログ ボックスを使用します。接続セキュリティの規則が [既定] の設定を使用する場合に適用される、既定の認証設定も構成できます。

重要
  • ローカル コンピューター上でセキュリティが強化された Windows ファイアウォールを構成している場合に、すべての設定に対して [既定] を選択すると、そのコンピューターに適用されるすべてのグループ ポリシー オブジェクト (GPO) で、この既定の設定を指定できるようになります。
  • また、GPO を構成している場合に、すべての設定に対して [既定] を選択すると、そのコンピューターに適用される優先順位の高い GPO で、この既定の設定を指定できるようになります。
このダイアログ ボックスを表示するには

  1. セキュリティが強化された Windows ファイアウォール MMC スナップインの [概要] で、[Windows ファイアウォールのプロパティ] をクリックします。

  2. [IPsec の設定] タブをクリックします。

  3. [IPsec 既定] で、[カスタマイズ] をクリックします。

[キー交換 (メイン モード)]

ここで選択するキー交換の設定は、すべての接続セキュリティの規則に適用されます。確実で安全な通信を保証するため、IPsec は 2 フェーズの操作を実行して、2 台のコンピューター間に安全な接続を確立します。セキュリティ ネゴシエーション中に 2 台のコンピューター間で合意された整合性、暗号化、および認証の各アルゴリズムを使うことで、各フェーズでの機密性と認証が保証されます。作業を 2 つのフェーズに分離することで、キーの作成がすばやく行われます。

最初のフェーズでは、2 台のコンピューターが、メイン モード セキュリティ アソシエーション (SA) と呼ばれる、セキュリティで保護された認証済みのチャネルを確立します。メイン モード SA は次に 2 番目のフェーズで使用されて、クイック モード SA のセキュリティで保護されたネゴシエーションを可能にします。クイック モード SA では、2 台のコンピューター間で転送される TCP/IP データを一致させるための保護設定を指定します。

[既定]

既定でインストールされるか、グループ ポリシーによって既定値として構成される、キー交換の設定を使用するには、このオプションを選択します。この設定がすべてのキー交換で使用されます。詳細については、「セキュリティが強化された Windows ファイアウォールの既定の設定」を参照してください。

[詳細設定]

すべてのキー交換に適用されるキー交換設定を指定するには、このオプションを選択します。この設定は、インストールされる既定値より優先されます。このオプションを選択した後で [カスタマイズ] をクリックし、[キー交換の詳細設定のカスタマイズ] ダイアログ ボックスで、使用する設定を選択します。

[データ保護 (クイック モード)]

ここで選択するデータ保護設定は、セキュリティが強化された Windows ファイアウォール MMC スナップインを使用して作成されたすべての接続セキュリティの規則に適用されます。カスタム データ保護設定を使用して接続セキュリティの規則を作成する必要がある場合は、[netsh advfirewall consec] コンテキストを使用してその規則を作成する必要があります。詳細については、セキュリティが強化された Windows ファイアウォールの Netsh コマンドに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=111237) を参照してください。

[既定]

既定でインストールされるか、グループ ポリシーによって既定値として構成される、データ整合性および暗号化の設定を使用するには、このオプションを選択します。詳細については、「セキュリティが強化された Windows ファイアウォールの既定の設定」を参照してください。

[詳細設定]

クイック モード SA のネゴシエーションに使用できるデータ整合性および暗号化の設定を指定するには、このオプションを使用します。この設定は、インストールされる既定値より優先されます。このオプションを選択した後で [カスタマイズ] をクリックし、[データ保護設定のカスタマイズ] ダイアログ ボックスで、使用するデータ保護設定を選択します。

[認証方法]

ここで選択する認証方法の設定は、認証方法として [既定] が選択されている接続セキュリティ規則にのみ適用されます。

[既定]

既定でインストールされるか、グループ ポリシーによって既定値として構成される認証設定を使用するには、このオプションを選択します。詳細については、「セキュリティが強化された Windows ファイアウォールの既定の設定」を参照してください。

[コンピューターとユーザー (Kerberos V5)]

このオプションは、コンピューターとユーザーの両方の認証に Kerberos Version 5 プロトコルを使用する場合にオンにします。このオプションは、[詳細設定] をクリックし、1 番目の認証に [コンピューター (Kerberos V5)] を、2 番目の認証に [ユーザー (Kerberos V5)] を選択してから、[1 番目の認証をオプションにする] と [2 番目の認証をオプションにする] の両方をオフにするのと同じです。

[コンピューター (Kerberos V5)]

このオプションは、コンピューターの認証に Kerberos Version 5 プロトコルを使用する場合にオンにします。このオプションは、[詳細設定] をクリックし、1 番目の認証に [コンピューター (Kerberos V5)] を選択してから [2 番目の認証をオプションにする] をオンにするのと同じです。

[ユーザー (Kerberos V5)]

このオプションは、ユーザーの認証に Kerberos Version 5 プロトコルを使用する場合にオンにします。このオプションは、[詳細設定] をクリックし、2 番目の認証に [ユーザー (Kerberos V5)] を選択してから [1 番目の認証をオプションにする] をオンにするのと同じです。

[詳細設定]

このオプションを使用して、実際のニーズに応じた方法を作成できます。このオプションを選択する場合は、[カスタマイズ] をクリックし、[詳細な認証方法のカスタマイズ] ダイアログ ボックスを使用して認証方法を指定する必要があります。

関連項目

目次