2020年後半に予定されている「LDAP接続のセキュリティ強化」について:企業ユーザーに贈るWindows 10への乗り換え案内(69)
2020年後半に予定されているセキュリティ更新プログラムでは、セキュリティ強化のために「LDAP」および「LDAPS」のセキュリティ強化が行われます。Active Directoryドメイン環境に影響する可能性があるので、事前にテストし、影響を受ける場合に以前の挙動に戻す方法を確認しておくことをお勧めします。
LDAP署名およびLDAPチャネルバインディングが既定で強制
Microsoftは2020年3月のセキュリティ更新に含める形で、LDAP(Lightweight Directory Access Protocol)接続のセキュリティ強化を予定していました。具体的には「LDAP署名」および「LDAPチャネルバインディング」を“既定で有効化する”というものです。2020年2月になって3月の実施は見送られ、20年後半に延期しましたが、時間的な猶予ができたので影響の有無を確認しておくことをお勧めします([2021年1月6日追記]最新情報:2020年後半の実施も見送られ、当面は既定のセキュリティ設定が変更されることはなくなったようです)。
この変更については、2019年8月に「セキュリティアドバイザリ」として公開され、その後も公式ブログでアナウンスされてきました。2020年2月、3月と情報が目まぐるしく更新されているので、影響を受ける可能性がある場合は、最新情報を定期的にチェックすることをお勧めします。これらの情報が非常に分かりにくいものになっているのは、この後説明するサポート情報の古さに加えて、これまで情報の更新が繰り返されてきたことも関係していると思います。
- 2019年8月のセキュリティアドバイザリADV190023(Microsoft Security Response Center)
- [AD管理者向け]2020年LDAP署名とLDAPチャネルバインディングが有効化。確認を!(Microsoft Security Response Center)
- LDAP Channel Binding and LDAP Signing Requirements - March 2020 update final release[英語](Microsoft Tech Community)
Active Directoryのドメインメンバー(LDAPクライアント)とドメインコントローラー(LDAPサーバ)間には、複数の接続方法が用意されています。LDAP署名とLDAPチャネルバインディングの有効化は、安全でない接続を排除してセキュリティを向上することを目的としたものです。
Active Directoryドメインの管理者が意図的に署名やLDAPS(LDAP over SSL/TLS)を要求するように構成していない限り、現在はLDAP署名を使用しない接続や、SSL/TLSで保護されていないLDAP接続が可能でした。
2020年後半に予定されているセキュリティ更新により既定の設定が変更されることで、「Windows 7 SP1」および「Windows Server 2008 SP2」以降のクライアント、Windows Server 2008 SP2以降のActive Directoryのドメインコントローラーの認証に影響する可能性があります。どのような影響があるのかは利用環境によって違ってくるので何とも言えませんが、シンプルなActive Directoryドメインの認証については、筆者がテストした限り影響はないようです。
なお、当初、セキュリティアドバイザリADV190023の影響範囲は、「Active Directoryドメインサービス(AD DS)」と「Active Directoryライトウェイトディレクトリサービス(AD LDS)」でしたが、2020年2月末になってAD LDSは対象外になりました(AD LDSを使用するLDAPアプリケーションは脆弱《ぜいじゃく》性の影響を受けないということでしょう)。
既定の挙動の変更は、「グループポリシー」やポリシーと同等のレジストリ設定の効果にも影響があります。例えば、LDAP署名の要求は、「Default Domain Controllers Policy」の次のポリシーで設定することができます(既定は未構成)。
- コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
- ポリシー:ドメイン コントローラー:LDAP サーバー署名必須
このポリシーに対応するレジストリ値は次の場所にあります(既定は0x1)。
- レジストリキー:HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
- 値:ldapserverIntegrity(REG_DWORD型)
2020年後半のセキュリティ更新では、これらの設定の挙動が以下の表1のように変更される予定です。つまり、現在、ポリシーが「未定義」または「なし」になっている場合、2020年後半に予定されているセキュリティ更新によるLDAP署名の有効化以降は「署名を必要とする」と同じ設定になります。そして、ポリシー設定を使用してこれを無効化することはできません。以前の挙動に戻すには、レジストリを編集する必要があります。
現在 | 強制実施後(2020年後半に予定) | |
---|---|---|
(ポリシーに選択肢無し) | 0(署名不要) | 0(署名不要) |
未定義 | 1(署名不要) | 1(署名必要) |
なし | 1(署名不要) | 1(署名必要) |
署名を必要とする | 2(署名必要) | 2(署名必要) |
表1 2020年後半に予定されている「ドメインコントローラー:LDAPサーバー署名必須」ポリシーとレジストリ値の挙動の変化 |
LDAP署名を事前に有効化してテストするには
この変更が運用中のシステムやアプリケーションに影響するかどうかは、セキュリティアドバイザリや公式ブログにあるリンク先のサポート情報に説明されている方法でテストできます。なお、テスト用にメンバーサーバとクライアントの設定も変更していますが、2020年後半に行われるセキュリティ強化はドメインコントローラーに対してのみ行われます。詳しくは、以下のFAQを参照してください。
- Frequently asked questions about changes to Lightweight Directory Access Protocol[英語](Windows support)
しかし、サポート情報の記述が古く、既に廃止されている「Fix It」のリンクがあったり、日本語の表示名(ポリシー名やユーザーインタフェース)や、レジストリパスのミスがあったりと分かりにくい状態です。
例えば、サポート情報935834「WINDOWS Server 2008でLDAP署名を有効にする方法」でテストツールとして「desk.cpl」が示されていますが、正しくはAD DSおよびAD LDSのコマンドラインツールに含まれる「ldp.exe」です。関連するサポート情報を参照する際には、日本語版だけでなく、オリジナルの英語版(URLの「ja-jp」を「en-us」に置き換える)も確認してください。ただし、オリジナルの英語版についても、レジストリパスの一部に間違いがあります。
関連記事
- さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。 - 次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。 - 複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。 - Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。 - Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.