要約
CVE-2017-8563 には、管理者が SSL/TLS 接続の LDAP 認証の安全性を向上するために使用できるレジストリ エントリの設定が説明されています。
詳細情報
重要 このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
SSL/TLS 接続の LDAP 認証の安全性を向上させるために、管理者は次のレジストリ設定を構成できます。
-
Active Directory Domain Services (AD DS) ドメイン コントローラーのパス: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory Lightweight Directory Services (AD LDS) サーバーのパス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS インスタンス名>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD 値: 0 は無効を示しています。 チャネル バインディングの検証は行われません。 これは、更新されていないすべてのサーバーで起こる動作です。
-
DWORD 値: 1 は有効を示しています (サポートされている場合)。 チャネル バインディング トークン (CBT) をサポートするように更新されているバージョンの Windows で実行されているどのクライアントも、サーバーにチャネル バインディング情報を提供する必要があります。 CBT をサポートするように更新されていないバージョンの Windows で実行されているクライアントは、情報を提供する必要がありません。 これは、アプリケーションの互換性を維持するための暫定的な措置です。
-
DWORD 値: 2 は常に有効を示しています。 すべてのクライアントがチャネル バインディング情報を提供する必要があります。 サーバーは、情報を提供しなかったクライアントからの認証要求を拒否します。
メモ
-
ドメイン コントローラーでこの設定を有効にする前に、CVE-2017-8563 で説明されているセキュリティ更新プログラムをクライアントにインストールする必要があります。 インストールしないと、互換性の問題が発生し、SSL/TLS 接続で以前使用していた LDAP 認証要求が動作しなくなる可能性があります。 既定では、この設定は無効になっています。
-
LdapEnforceChannelBindings レジストリ エントリを明示的に作成する必要があります。
-
LDAP サーバーは、このレジストリ エントリの変更に動的に反応します。 そのため、レジストリの変更を適用した後に、コンピューターを再起動する必要はありません。
古いバージョンのオペレーティング システム (Windows Server 2008 およびそれ以前) との互換性を保つために、この設定を 1 にすることをお勧めします。 この設定を明示的に無効にする場合は、LdapEnforceChannelBinding の入力値を 0 (ゼロ) に設定してください。
Windows Server 2008 以前のシステムの場合、「KB 5021989 認証に対する保護の強化」で入手可能なマイクロソフト セキュリティ アドバイザリ 973811 をインストールしてから CVE-2017-8563 をインストールする必要があります。 ドメイン コントローラーまたは AD LDS インスタンスに KB 5021989 をインストールせずに CVE-2017-8563 をインストールすると、すべての LDAPS 接続は LDAP エラー 81 - LDAP_SERVER_DOWN で失敗します。
関連情報
詳細については、KB4520412 を参照してください。
