Windows Server の入力方向の信頼を越える TGT 委任の更新プログラム

適用対象: Windows Server 2008Windows Server 2008 R2Windows Server 2012 詳細

概要


フォレストの信頼は、ある Active Directory フォレスト内のリソースが別のフォレストの ID を信頼できる安全な方法を提供しています。 この信頼には方向性があります。 信頼された側のフォレストは、その逆方向を許可することなく、信頼する側のフォレストに対してユーザーを認証できます。 

Windows Server 2012 は、Kerberos の完全な委任に対するフォレスト境界の強制を導入しました。 この機能を使用すると、管理者は、信頼された側のフォレストが Ticket-Granting Ticket (TGT) をフォレスト内のサービスに委任するか拒否するかを構成できます。  

入力方向の信頼を作成するときに、この機能の既定の構成は安全ではありません。 その理由は、信頼する側のフォレスト内にいる攻撃者が、信頼された側のフォレストから ID を取得するために TGT の委任を要求できるためです。 この条件は、次のバージョンの Windows Server に影響があります。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

マイクロソフトは、次のオペレーティング システム向けに一連の強化更新プログラムをリリースしています。

  • Windows Server 2008 R2
  • Windows Server 2008

また、マイクロソフトは、Active Directory フォレストの信頼を越える制約のない Kerberos の委任に新しい安全な既定の構成を追加することでこの問題を解決するセキュリティ更新プログラムをリリースする計画を立てています (2019 年 7 月 10 日のリリースが暫定的に予定されています)。    また、「対象製品」セクションに記載されているすべてのサポートされるバージョンの Windows Server にこの機能がバックポートされるため、この新しい構成は元の安全でない構成よりも優先されます。 この更新プログラムによって、フォレストの信頼を越える制約のない委任を必要とするアプリケーションとの互換性の問題が発生する可能性があります。

暫定的なリリース日については、「更新プログラムのタイムライン」を参照してください。 

回避策


この機能を持つ Windows Server バージョンでこの問題を回避するには、次のように、netdom フラグの EnableTGTDelegationNo に設定することで、入力方向の信頼を越える TGT の委任をブロックします。  

netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:No

注意事項

  • このフラグは、信頼する側のドメイン (fabrikam.com など) ごとに信頼される側のドメイン (contoso.com など) に設定する必要があります。 このフラグを設定すると後、信頼される側のドメインは、信頼する側のドメインに対して TGT を委任できなくなります。
  • セキュリティで保護された状態は No です。
  • フォレストを越える制約のない委任を利用するすべてのアプリケーションまたはサービスは失敗するようになります。 このエラーを検出する方法の詳細については、「制約のない委任を利用するサービスを見つける」を参照してください。   
  • ツールのしくみの詳細については、Netdom.exe のドキュメントを参照してください。
  • この回避策の適用方法に影響する変更のタイムラインについては、「更新プログラムのタイムライン」を参照してください。  

信頼に netdom フラグを設定できない場合は、クライアント コンピューター上で Windows Defender Credential Guard を有効にすることでリスクを緩和できます。 これにより、Windows Defender Credential Guard が有効で実行されているコンピューターからの制約のない委任がすべて防止されます。

この手順の詳細については、以下の Windows IT Pro Center の資料を参照してください。

Windows Defender Credential Guard によるドメインの派生資格情報の保護

更新プログラムのタイムライン


2019 年 3 月 13 日

Kerberos の完全な委任に対するフォレスト境界の強制は更新プログラムとしてリリースされ、この資料で前述した「対象製品」に記載されているすべてのサポートされるバージョンの Windows Server 上で、この機能を有効にすることができるようになります。  入力方向のフォレストの信頼にこの機能この機能を設定することをお勧めします。 

この更新プログラムでは、次のシステムにこの機能を追加します。

  • Windows Server 2008 R2
  • Windows Server 2008
     

2019 年 5 月 15 日

新しい安全な既定の構成を追加するために新しい信頼フラグを導入する更新プログラムがリリースされます。 信頼を越える委任を必須にする必要がある場合は、最終的な更新プログラムをインストールする前にフラグを設定する必要があります。 信頼を越えて委任を有効にする必要がない場合は、このフラグを設定しないでください。 最終的な更新プログラムによって互換性の問題が発生する可能性があるかどうかをユーザーが確認できるように、最終的な更新プログラムがインストールされるまで、このフラグは Windows で無視できます。

この更新プログラムの一環として、新しく作成される信頼には EnableTGTDelegation フラグが既定で No に設定されます。 これは以前とは反対の動作です

この互換性の問題を検出する方法の詳細については、「制約のない委任を利用するサービスを見つける」を参照してください。  

2019 年 7 月 10 日

既存の入力方向の信頼に新しいフラグを強制する更新プログラムがリリースされます。  これ以降、EnableTGTDelegation フラグの値は無視されるようになります。  

制約のない委任を利用するサービスを見つける


TGT の委任を許可する入力方向の信頼があるフォレストをスキャンし、制約のない委任を許可するセキュリティ プリンシパルを見つけるには、スクリプト ファイル (たとえば、Get-RiskyServiceAccountsByTrust.ps1 -Collect) で次の PowerShell スクリプトを実行します。 

注: -ScanAll フラグを渡して、TGT の委任を許可していない信頼全体を検索することもできます。

PowerShell スクリプトからは、制約のない委任が構成されている実行ドメインからの入力方向の信頼について、構成されているドメイン内の Active Directory セキュリティ プリンシパルの一覧が出力されます。 出力は次の例のようになります。

domain

sAMAccountName

objectClass

partner.fabrikam.com

dangerous

user

partner.fabrikam.com

labsrv$

computer

 

Windows イベントによる制約のない委任の検出

Kerberos チケットが発行されると、Active Directory ドメイン コントローラーによって次のセキュリティ イベントのログが記録されます。 このイベントには、ターゲット ドメインに関する情報が含まれています。 このイベントを使用して、制約のない委任が入力方向の信頼を越えて使用されているかどうかを判断できます。 

注意事項

  • 信頼される側のドメイン名と一致する TargetDomainName 値を含むイベントを確認してください。
  • ok_as_delegate フラグ (0x00040000) を含む TicketOptions 値を含むイベントを確認してください。

イベント ログ

イベント ソース

イベント ID

詳細

セキュリティ Microsoft-Windows-Security-Auditing

4768

Kerberos TGT が発行されました。

セキュリティ Microsoft-Windows-Security-Auditing

4769

Kerberos サービス チケットが発行されました。

セキュリティ Microsoft-Windows-Security-Auditing

4770

Kerberos サービス チケットが更新されました。

 

認証エラーのトラブルシューティング

アプリケーションが制約のない委任を利用している場合、制約のない委任を無効にすると、このような変更との互換性の問題がアプリケーションに生じる可能性があります。 このようなアプリケーションは、制約付きの委任またはリソース ベースの制約付き委任を使用するように構成する必要があります。 詳細については、「Kerberos の制約付き委任の概要」を参照してください。

信頼を越えたラウンドトリップ認証を利用するアプリケーションは、制約付き委任を使用してもサポートされません。 たとえば、フォレスト A のユーザーがフォレスト B のアプリケーションに認証されている場合、フォレスト B のアプリケーションがフォレスト A にチケットを委任しようとすると、委任は失敗します。