Windows の 2020 年、2023 年、2024 年の LDAP チャネルバインドと LDAP 署名の要件 (KB4520412)

概要

LDAP チャネルバインドと LDAP 署名により、LDAP クライアントと Active Directory ドメインコントローラー間の通信のセキュリティを強化する方法が提供されます。 LDAP チャネルバインドと LDAP 署名に関する安全でない既定の構成のセットが Active Directory ドメインコントローラーに存在し、LDAP クライアントが LDAP チャネルバインドと LDAP 署名を強制せずに通信できるようにします。これにより、Active Directory ドメインコントローラーが開き、特権の昇格の脆弱性が発生する可能性があります。

この脆弱性により、中間者の攻撃者が、受信接続でチャネルバインド、署名、またはシールを必要とするように構成されていない Microsoft ドメインサーバーに認証要求を正常に転送する可能性があります。

Microsoft では、管理者が「ADV190023」で説明されているセキュリティ強化の変更を行うことをお勧めします。

2020 年 3 月 10 日に、管理者が Active Directory ドメインコントローラーでの LDAP チャネルバインドの構成を強化するための次のオプションを提供することで、この脆弱性に対処しています。

ドメインコントローラー: LDAP サーバーチャネルバインドトークンの要件 グループポリシー。
チャネルバインディングトークン (CBT) 署名イベント 3039、3040、および 3041 と、Directory Service イベントログのイベント送信者 Microsoft-Windows-Active Directory_DomainService。

重要: 2020 年 3 月 10 日の更新プログラムと、近い将来の更新プログラムでは、LDAP 署名または LDAP チャネルバインドの既定のポリシーや、新規または既存の Active Directory ドメインコントローラーに対応するレジストリは変更されません。

LDAP 署名ドメインコントローラー: LDAP サーバー署名要件ポリシーは、サポートされているすべてのバージョンの Windows に既に存在します。 Windows Server 2022、23H2 Edition 以降、すべての新しいバージョンの Windows には、この記事のすべての変更が含まれます。

この変更が必要な理由

Active Directory ドメインコントローラーのセキュリティは、署名 (整合性検証) を要求しない簡易認証とセキュリティ層 (SASL) LDAP バインドを拒否するか、クリアテキスト (SSL/TLS 暗号化されていない) 接続で実行される LDAP 単純バインドを拒否するようにサーバーを構成することで、大幅に改善できます。 SASL には、Negotiate、Kerberos プロトコル、NTLM、Digest などのプロトコルが含まれていることがあります。

署名されていないネットワークトラフィックは、侵入者が認証の試行とチケットの発行をインターセプトするリプレイ攻撃を受けやすくなります。侵入者はチケットを再利用して正当なユーザーを偽装できます。さらに、署名されていないネットワークトラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更し、それらをサーバーに転送する中間者 (MiTM) 攻撃の影響を受けやすくなります。これがActive Directory ドメインコントローラーで発生した場合、攻撃者は LDAP クライアントからの偽造された要求に基づいてサーバーに決定を下す可能性があります。 LDAPS は、独自の個別のネットワークポートを使用して、クライアントとサーバーを接続します。 LDAP の既定のポートはポート 389 ですが、LDAPS はポート 636 を使用し、クライアントとの接続時に SSL/TLS を確立します。

チャネルバインドトークンは、中間者攻撃に対する SSL/TLS 経由の LDAP 認証をより安全にするために役立ちます。

2020 年 3 月 10 日の更新プログラム

重要 2020 年 3 月 10 日の更新プログラムでは、LDAP 署名や LDAP チャネルバインドの既定のポリシー、または新規または既存の Active Directory ドメインコントローラーに相当するレジストリは変更されません。

2020 年 3 月 10 日にリリースされる Windows 更新プログラムには、次の機能が追加されます。

新しいイベントは、LDAP チャネルバインドに関連するイベントビューアーに記録されます。これらのイベントの詳細については、表 1 と表 2 を参照してください。
新しいドメインコントローラー: サポートされているデバイスで LDAP チャネルバインドを構成するためにグループポリシー LDAP サーバーチャネルバインドトークンの要件。

LDAP 署名ポリシー設定とレジストリ設定の間のマッピングは次のとおりです。

ポリシー設定:"ドメインコントローラー: LDAP サーバー署名の要件"
レジストリ設定: LDAPServerIntegrity
Datatype： DWORD
レジストリパス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

グループポリシー設定	レジストリ設定
なし	1
署名が必要	2

LDAP チャネルバインドポリシー設定とレジストリ設定の間のマッピングは、次のように含まれます。

ポリシー設定:"ドメインコントローラー: LDAP サーバーチャネルバインドトークンの要件"
レジストリ設定: LdapEnforceChannelBinding
Datatype： DWORD
レジストリパス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

グループポリシー設定	レジストリ設定
有効期限なし	0
サポートされている場合	1
常時	2

表 1: LDAP 署名イベント

	説明	トリガー
2886	LDAP 署名の検証を適用するようにサーバーを構成することで、これらのドメインコントローラーのセキュリティを大幅に向上させることができます。	グループポリシーが None に設定されている場合、起動時またはサービス開始時に 24 時間ごとにトリガーされます。最小ログレベル: 0 以上
2887	これらのドメインコントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。	グループポリシーが None に設定され、保護されていないバインドが少なくとも 1 つ完了したときに、24 時間ごとにトリガーされます。最小ログレベル: 0 以上
2888	これらのドメインコントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。	グループポリシーが [署名が必要] に設定され、保護されていないバインドが少なくとも 1 つ拒否されたときに、24 時間ごとにトリガーされます。最小ログレベル: 0 以上
2889	これらのドメインコントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。	クライアントがポート 389 のセッションでバインドに署名を使用しない場合にトリガーされます。最小ログレベル: 2 以上

表 2: CBT イベント

Event	説明	トリガー
3039	次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、LDAP チャネルバインドトークンの検証に失敗しました。	次のいずれかの状況でトリガーされます。 CBT グループポリシーが [サポートされている場合] または [常に] に設定されている場合、クライアントが不適切な形式のチャネルバインドトークン (CBT) でバインドしようとするとき。 CBT グループポリシーが [サポートされている場合] に設定されている場合に、チャネルバインドが可能なクライアントが CBT を送信しない場合。クライアントは、EPA 機能が OS にインストールされているか使用可能であり、レジストリ設定 SuppressExtendedProtection を介して無効にされていない場合、チャネルバインドが可能です。詳細については、「KB5021989」を参照してください。 CBT グループポリシーが Always に設定されている場合、クライアントが CBT を送信しない場合。最小ログレベル: 2
3040	前の 24 時間の間に、保護されていない LDAP バインドの数が実行されました。	CBT グループポリシーが [なし] に設定され、保護されていないバインドが少なくとも 1 つ完了したときに、24 時間ごとにトリガーされます。最小ログレベル: 0
3041	LDAP チャネルバインドトークンの検証を適用するようにサーバーを構成することで、このディレクトリサーバーのセキュリティを大幅に向上させることができます。	CBT グループポリシーが [なし] に設定されている場合、起動時またはサービス開始時に 24 時間ごとにトリガーされます。最小ログレベル: 0

レジストリでログレベルを設定するには、次のようなコマンドを使用します。

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP インターフェイスイベント" /t REG_DWORD /d 2

Active Directory 診断イベントログを構成する方法の詳細については、「 Active Directory と LDS 診断イベントログを構成する方法」を参照してください。

2023 年 8 月 8 日の更新プログラム

一部のクライアントマシンでは、LDAP チャネルバインドトークンを使用して Active Directory ドメインコントローラー (DC) にバインドできません。 Microsoft は、2023 年 8 月 8 日にセキュリティ更新プログラムをリリースします。 Windows Server 2022 の場合、この更新プログラムは、管理者がこれらのクライアントを監査するためのオプションを追加します。 CBT イベント 3074 と 3075 は、ディレクトリサービスイベントログのイベントソース **Microsoft-Windows-ActiveDirectory_DomainService** で有効にすることができます。

重要 2023 年 8 月 8 日の更新プログラムでは、LDAP 署名、LDAP チャネルバインドの既定のポリシー、または新規または既存の Active Directory DC に対応するレジストリは変更されません。

2020 年 3 月の更新プログラムに関するセクションのすべてのガイダンスも、ここでも適用されます。新しい監査イベントには、上記のガイダンスで説明したポリシーとレジストリ設定が必要です。新しい監査イベントを表示するための有効化手順もあります。新しい実装の詳細については、以下の「推奨されるアクション」セクションを参照してください。

表 3: CBT イベント

イベント

説明

トリガー

3074

次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、ディレクトリサーバーがチャネルバインドトークンの検証を適用するように構成されている場合、チャネルバインドトークンの検証に失敗しました。

次のいずれかの状況でトリガーされます。

クライアントが不適切な形式のチャネルバインドトークン (CBT) を使用してバインドしようとするとき

最小ログレベル: 2

3075

次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、チャネルバインド情報を提供しませんでした。このディレクトリサーバーがチャネルバインドトークンの検証を適用するように構成されている場合、このバインド操作は拒否されます。

次のいずれかの状況でトリガーされます。

チャネルバインドが可能なクライアントが CBT を送信しない場合
クライアントは、 EPA 機能が OS にインストールされているか使用可能であり、レジストリ設定 SuppressExtendedProtection を介して無効にされていない場合、チャネルバインドが可能です。詳細については、「KB5021989」を参照してください。

最小ログレベル: 2

注ログレベルを少なくとも 2 に設定すると、イベント ID 3074 がログに記録されます。管理者は、これを使用して、チャネルバインドトークンを使用しないクライアントの環境を監査できます。イベントには、クライアントを識別するための次の診断情報が含まれます。

Client IP address: 192.168.10.5:62709
クライアントが認証を試みた ID:
CONTOSO\Administrator
クライアントはチャネルバインドをサポートしています:FALSE
サポートされているモードで許可されるクライアント:TRUE
監査結果フラグ:0x42

2023 年 10 月 10 日の更新プログラム

2023 年 8 月に追加された監査の変更は、Windows Server 2019 で使用できるようになりました。この OS では、管理者がこれらのクライアントを監査するためのオプションが追加されます。 CBT イベント 3074 と 3075 を有効にすることができます。ディレクトリサービスイベントログでイベントソース **Microsoft-Windows-ActiveDirectory_DomainService** を使用します。

重要 2023 年 10 月 10 日の更新プログラムでは、LDAP 署名、LDAP チャネルバインドの既定のポリシー、または新規または既存の Active Directory DC に対応するレジストリは変更されません。

2020 年 3 月の更新プログラムに関するセクションのすべてのガイダンスも、ここでも適用されます。新しい監査イベントには、上記のガイダンスで説明したポリシーとレジストリ設定が必要です。新しい監査イベントを表示するための有効化手順もあります。新しい実装の詳細については、以下の「推奨されるアクション」セクションを参照してください。

2023 年 11 月 14 日の更新プログラム

2023 年 8 月に追加された監査の変更は、Windows Server 2022 で使用できるようになりました。推奨されるアクションの手順 3 で説明されているように、MSI をインストールしたり、ポリシーを作成したりする必要はありません。

2024 年 1 月 9 日の更新プログラム

2023 年 10 月に追加された監査の変更は、Windows Server 2019 で使用できるようになりました。推奨されるアクションの手順 3 で説明されているように、MSI をインストールしたり、ポリシーを作成したりする必要はありません。

推奨される操作

お客様には、できるだけ早い機会に次の手順を実行することを強くお勧めします。

ドメインコントローラー (DC) の役割コンピューターに、2020 年 3 月 10 日以降の Windows 更新プログラムがインストールされていることを確認します。 LDAP チャネルバインド監査イベントを有効にする場合は、2023 年 8 月 8 日以降の更新プログラムが Windows Server 2022 または Server 2019 DC にインストールされていることを確認します。
LDAP イベント診断ログを 2 以上に有効にします。
グループポリシーを使用して、2023 年 8 月または 2023 年 10 月の監査イベント更新プログラムを有効にします。 Windows Server 2022 に 2023 年 11 月以降の更新プログラムをインストールしている場合は、この手順をスキップできます。 Windows Server 2019 に 2024 年 1 月以降の更新プログラムをインストールしている場合は、この手順をスキップすることもできます。
- OS バージョンごとに 2 つの有効化 MSI を Microsoft ダウンロードセンターからダウンロードします。
- MSI を展開して、ポリシー定義を含む新しい ADMX ファイルをインストールします。グループポリシーにセントラルストアを使用する場合は、ADMX ファイルを中央ストアにコピーします。
- 対応するポリシーをドメインコントローラー OU に適用するか、サーバー 2022 またはサーバー 2019 DC のサブセットに適用します。
- 変更を有効にするには、DC を再起動します。
フィルター処理されたすべての DC ロールコンピューターでディレクトリサービスイベントログを監視します。
- 表 1 の LDAP 署名エラーイベント 2889。
- 表 2 の LDAP チャネルバインドエラーイベント 3039。
- 表 3 の LDAP チャネルバインド監査イベント 3074 および 3075。
  
  注イベント 3039、3074、および 3075 は、チャネルバインドが [ サポートされている場合 ] または [常に] に設定されている場合にのみ生成できます。
次に示す IP アドレスごとに、デバイスの作成、モデル、および種類を特定します。
- 署名されていない LDAP 呼び出しを行うイベント 2889
- LDAP チャネルバインドを使用しないイベント 3039
- LDAP チャネルバインドに対応していないイベント 3074 または 3075

デバイスの種類

デバイスの種類を 3 つのカテゴリのうちの 1 つにグループ化します。

アプライアンスまたはルーター -
- デバイスプロバイダーに問い合わせてください。
Windows オペレーティングシステムで実行されないデバイス -
- オペレーティングシステムとアプリケーションで LDAP チャネルバインドと LDAP 署名の両方がサポートされていることを確認します。これを行うには、オペレーティングシステムとアプリケーションプロバイダーを使用します。
Windows オペレーティングシステムで実行されるデバイス -
- LDAP 署名は、サポートされているすべてのバージョンの Windows 上のすべてのアプリケーションで使用できます。アプリケーションまたはサービスが LDAP 署名を使用していることを確認します。
- LDAP チャネルバインドでは、すべての Windows デバイスに CVE-2017-8563 がインストールされている必要があります。アプリケーションまたはサービスで LDAP チャネルバインドが使用されていることを確認します。

ローカル、リモート、汎用、またはデバイス固有のトレースツールを使用します。これには、ネットワークキャプチャ、プロセスマネージャー、またはデバッグトレースが含まれます。コアオペレーティングシステム、サービス、またはアプリケーションで署名されていない LDAP がバインドされているか、CBT を使用していないかを判断します。

Windows タスクマネージャーまたは同等のものを使用して、プロセス ID をプロセス、サービス、およびアプリケーション名にマップします。

セキュリティ更新プログラムのスケジュール

2020 年 3 月 10 日の更新プログラムでは、管理者が Active Directory ドメインコントローラーでの LDAP チャネルバインドと LDAP 署名の構成を強化するためのコントロールが追加されました。 2023 年 8 月 8 日と 10 月 10 日の更新プログラムでは、管理者が LDAP チャネルバインドトークンを使用できないクライアントマシンを監査するためのオプションが追加されました。この記事で推奨されるアクションをできるだけ早く行うことをお客様に強くお勧めします。

目標日	Event	対象製品
2020 年 3 月 10 日	必須: サポートされているすべての Windows プラットフォームでWindows Updateで利用可能なセキュリティ更新プログラム。注標準サポート対象外の Windows プラットフォームの場合、このセキュリティ更新プログラムは、該当する拡張サポートプログラムでのみ使用できます。 WINDOWS Server 2008 以降のバージョンでは、CVE-2017-8563 によって LDAP チャネルバインドのサポートが追加されました。チャネルバインドトークンは、Windows 10 バージョン 1709 以降のバージョンでサポートされています。 Windows XP は LDAP チャネルバインドをサポートしていません。また、Always の値を使用して LDAP チャネルバインドが構成されている場合は失敗しますが、サポートされている場合に、より緩和された LDAP チャネルバインド設定を使用するように構成された DC と相互運用します。	Windows Server 2022 Windows 10 バージョン 20H2 Windows 10バージョン 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (拡張セキュリティ更新プログラム (ESU))
2023 年 8 月 8 日	LDAP チャネルバインドトークン監査イベント (3074 & 3075) を追加します。 Windows Server 2022 では既定で無効になっています。	Windows Server 2022
2023 年 10 月 10 日	LDAP チャネルバインドトークン監査イベント (3074 & 3075) を追加します。これらは、Windows Server 2019 では既定で無効になっています。	Windows Server 2019
2023 年 11 月 14 日	LDAP チャネルバインドトークン監査イベントは、有効化 MSI をインストールせずに Windows Server 2022 で使用できます (「推奨されるアクションの手順 3」で説明されています)。	Windows Server 2022
2024 年 1 月 9 日	LDAP チャネルバインドトークン監査イベントは、有効化 MSI をインストールせずに Windows Server 2019 で使用できます (「推奨アクションの手順 3」で説明されています)。	Windows Server 2019

よく寄せられる質問

Active Directory ドメインコントローラーでの LDAP チャネルバインドと LDAP 署名に関してよく寄せられる質問に対する回答については、次を参照してください。