このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

WindowsのNPSでRadSecは利用可能ですか？また代替のセキュリティ策はありますか？

お世話になります。

現在、RADIUSクライアントとRADIUSサーバー（NPS）間の通信を保護する方法を検討しています。

Windows Serverのネットワークポリシーサーバー（NPS）でRadSec (RADIUS over TLS) を利用することは可能でしょうか？

もしNPSがRadSecをネイティブでサポートしていない場合、他に推奨される代替策があればご教示いただきたいです。

ご質問の件ですが、残念ながらWindows Serverに標準で搭載されているNPSは、RadSec（RFC 6614）をネイティブではサポートしていません。

しかし、NPS環境でRADIUSメッセージを保護するためのマイクロソフトが推奨する標準的な方法としてIPsecを利用する方法があります。

IPsecを利用したRADIUS通信の保護

IPsecを使用すると、RADIUSクライアント（無線LANアクセスポイントなど）とNPSサーバー間に暗号化されたトンネルを構築し、RADIUSパケット全体を保護することができます。設定の概要は以下の通りです。

サーバーとドメインの分離: IPsecポリシーを使用して、信頼されたコンピューター（RADIUSクライアントとサーバー）のみが相互に通信できるように構成します。
接続セキュリティ規則: 「セキュリティが強化された Windows Defender ファイアウォール」を使用して、特定のIPアドレスやポート（UDP 1812, 1813, 1645, 1646）間の通信を要求/応答モードで認証・暗号化する規則を作成します。

このアプローチは、RadSecと同様のセキュリティレベルを提供し、Windows環境内で完結できるというメリットがあります。

詳細な設定手順については、以下のMicrosoft公式ドキュメントが非常に参考になります。