Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件

適用対象: Windows 10, version 1909Windows 10, version 1903Windows 10, version 1809

概要


LDAP チャネル バインディング LDAP 署名は、Active Directory ドメイン サービス (AD DS) または Active Directory ライトウェイト ディレクトリ サービス (AD LDS) とそのクライアント間のネットワーク通信のセキュリティを強化する方法を提供します。 LDAP (Lightweight Directory Access Protocol) チャネル バインディングと LDAP 署名の既定の構成に脆弱性が存在し、Active Directory ドメイン コントローラーが特権の昇格の脆弱性にさらされることがあります。  Microsoft セキュリティ アドバイザリ ADV190023 は、管理者が Active Directory ドメイン コントローラー上で LDAP チャネル バインディングと LDAP 署名を有効にすることを推奨することで、この問題に対処します。 この強化は、これらの設定を既定で有効にするセキュリティ更新プログラムのリリースまで手動で行う必要があります。 

マイクロソフトは、LDAP チャネル バインディングLDAP 署名 の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定であり、この更新プログラムは 2020 年 3 月に提供される予定です。

この変更が必要な理由


既定の設定を使用する場合、中間者攻撃の攻撃者が、着信接続で署名または封印を要求するように構成されていない、Windows LDAP サーバー (AD DS または AD LDS を実行しているシステムなど) に認証要求を正常に転送することを許してしまう可能性のある特権の昇格の脆弱性が存在するため、管理者が ADV190023 で説明されている強化の変更を行うことをお勧めします。  署名 (整合性検証) を要求しない簡易認証およびセキュリティ層 (SASL) の LDAP バインドを拒否するようにサーバーを構成するか、クリア テキスト (非 SSL/TLS 暗号化) 接続で実行される LDAP 簡易バインドを拒否するように構成することにより、ディレクトリ サーバーのセキュリティを大幅に改善できます。 SASL には、Negotiate、Kerberos プロトコル、NTLM、Digest などのプロトコルが含まれていることがあります。 署名されていないネットワーク トラフィックは、侵入者が認証の試行とチケットの発行をインターセプトするリプレイ攻撃を受けやすくなります。 侵入者はチケットを再利用して正当なユーザーを偽装できます。 さらに、署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更してからサーバーに転送する中間者攻撃を受けやすくなります。 これが LDAP サーバーで発生した場合、攻撃者によってサーバーが LDAP クライアントからの偽造要求に基づいて意思決定を行う可能性があります。

推奨される操作


現在から 2020 年 3 月までの間に、管理者が LDAP チャネル バインディングと LDAP 署名を有効にして、環境内のオペレーティング システム、アプリケーション、または中間デバイスの互換性の問題を見つけて修正することを強くお勧めします。  互換性の問題が見つかった場合、管理者はその特定の OS、アプリケーション、またはデバイスの製造元に問い合わせて サポートを受ける必要があります。

重要: LDAP トラフィックの中間者攻撃の検査を実行する OS のバージョン、アプリケーション、および中間デバイスは、この強化の変更の影響を受ける可能性が最も高くなります。

セキュリティ更新プログラムのスケジュール


マイクロソフトは、LDAP チャネル バインディングと LDAP 署名のサポートを有効にするために、次のスケジュールを対象としています。 下記のタイムラインは変更されることがあることに注意してください。 このページは、プロセスの開始時と必要に応じて更新されます。

目標日

イベント

適用対象

2019 年 8 月 14 日水曜日

アクションの実行: Microsoft セキュリティ アドバイザリ ADV190023  が公開され、LDAP チャネル バインディングと LDAP 署名のサポートが導入されました。 管理者は、サーバー上でこれらの設定を手動で調整した後、環境内でこれらの設定をテストする必要があります。

Windows Server 2008 SP2、
Windows 7 SP1、

Windows Server 2008 R2 SP1、 
Windows Server 2012、

Windows 8.1、
Windows Server 2012 R2、
Windows 10 1507、
Windows Server 2016、
Windows 10 1607、
Windows 10 1703、
Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019、

Windows 10 1903、
Windows 10 1909

2020 年 3 月

必須: Active Directory サーバー上で LDAP チャネル バインディングと LDAP 署名を既定で有効にする、サポートされているすべての Windows プラットフォームに対して Windows Update を介して提供されるセキュリティ更新プログラム。

Windows Server 2008 SP2、
Windows 7 SP1、

Windows Server 2008 R2 SP1、
Windows Server 2012、

Windows 8.1、
Windows Server 2012 R2、
Windows 10 1507、
Windows Server 2016、
Windows 10 1607、
Windows 10 1703、
Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019、

Windows 10 1903、
Windows 10 1909