LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上

適用対象: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard 詳細

概要


CVE-2017-8563 には、管理者が SSL/TLS 接続の LDAP 認証の安全性を向上するために使用できるレジストリ エントリの設定が説明されています。

詳細情報


重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法

 

SSL/TLS 接続の LDAP 認証の安全性を向上させるために、管理者は次のレジストリ設定を構成できます。

  • Active Directory Domain Services (AD DS) ドメイン コントローラーのパス: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Active Directory Lightweight Directory Services (AD LDS) サーバーのパス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS インスタンス名>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD 値: 0 は、この機能が無効になっていることを示します。 チャネル バインディングの検証は行われません。 これは、更新されていないすべてのサーバーで起こる動作です。
  • DWORD 値: 1 は、サポートされている場合に、この機能が有効になることを示します。 チャネル バインディング トークン (CBT) をサポートするように更新されているバージョンの Windows で実行されているどのクライアントも、サーバーにチャネル バインディング情報を提供する必要があります。 CBT をサポートするように更新されていないバージョンの Windows で実行されているクライアントは、情報を提供する必要がありません。 これは、アプリケーションの互換性を維持するための暫定的な措置です。
  • DWORD 値: 2 は、この機能が常に有効であることを示します。 すべてのクライアントがチャネル バインディング情報を提供する必要があります。 サーバーは、情報を提供しなかったクライアントからの認証要求を拒否します。

注:

  • ドメイン コントローラーでこの設定を有効にする前に、CVE-2017-8563 で説明されているセキュリティ更新プログラムをクライアントにインストールする必要があります。 インストールしないと、互換性の問題が発生し、SSL/TLS 接続で以前使用していた LDAP 認証要求が動作しなくなる可能性があります。 既定では、この設定は無効になっています。
  • LdapEnforceChannelBindings レジストリ エントリを明示的に作成する必要があります。
  • LDAP サーバーは、このレジストリ エントリの変更に動的に反応します。 そのため、レジストリの変更を適用した後に、コンピューターを再起動する必要はありません。


古いオペレーティング システム (Windows Server 2008 およびそれ以前) との互換性を保つために、この設定を 1 にすることをお勧めします。

この設定を明示的に無効にする場合は、LdapEnforceChannelBinding エントリを 0 (ゼロ) に設定してください。

Windows Server 2008 以前のシステムの場合、968389「認証に対する保護の強化」で入手できるマイクロソフト セキュリティ アドバイザリ 973811 をインストールしてから、CVE-2017-8563 をインストールする必要があります。ドメイン コントローラーまたは AD LDS インスタンスに KB 968389 をインストールせずに CVE-2017-8563 をインストールすると、すべての LDAPS 接続は LDAP エラー 81 - LDAP_SERVER_DOWN で失敗します。   また、KB 968389 の「既知の問題」に記載されている内容を確認し、修正プログラムをインストールすることを強くお勧めします。