概要

LDAP チャネル バインドと LDAP 署名は、LDAP クライアントと Active Directory ドメイン コントローラー間の通信のセキュリティを強化する方法を提供します。 LDAP チャネル バインドと LDAP 署名を適用せずに LDAP クライアントが通信できる、LDAP チャネル バインドと LDAP 署名の安全でない既定の構成のセットが Active Directory ドメイン コントローラーに存在します。 これにより、Active Directory ドメイン コントローラーが開き、特権の脆弱性が昇格される可能性があります。

この脆弱性により、中間者が、チャネル バインド、署名、着信接続を要求するように構成されていない Microsoft ドメイン サーバーに認証要求を正常に転送する可能性があります。

管理者は、ADV190023で説明されている強化の変更を行う必要があります。

2020 年 3 月 10 日に、管理者が Active Directory ドメイン コントローラーでの LDAP チャネル バインドの構成を強化するための次のオプションを提供することで、この脆弱性に対処しています。

  • ドメイン コントローラー: LDAP サーバー チャネル バインド トークンの要件 グループ ポリシー。

  • ディレクトリ サービスのイベント ログにイベント送信者Microsoft-Windows-Active Directory_DomainServiceを含むチャネル バインド トークン (CBT) 署名イベント 3039、3040、3041。

重要: 2020 年 3 月 10 日の更新プログラムと、将来の更新プログラムでは、新規または既存の Active Directory ドメイン コントローラーで LDAP 署名または LDAP チャネル バインドの既定のポリシーまたはレジストリに相当するポリシーは変更されません。

LDAP 署名ドメイン コントローラー: LDAP サーバー署名要件ポリシーは、サポートされているすべてのバージョンのドメイン に既Windows。

この変更が必要な理由

Active Directory ドメイン コントローラーのセキュリティは、署名 (整合性検証) を要求しない単純認証およびセキュリティ層 (SASL) LDAP バインドを拒否するようにサーバーを構成するか、クリア テキスト (非 SSL/TLS 暗号化) 接続で実行される LDAP 単純バインドを拒否するようにサーバーを構成することで大幅に改善できます。 SASL には、Negotiate、Kerberos、NTLM、Digest プロトコルなどのプロトコルが含まれる場合があります。

署名されていないネットワーク トラフィックは、侵入者が認証の試行とチケットの発行をインターセプトする再生攻撃の影響を受けやすい。 侵入者は、正当なユーザーを偽装するためにチケットを再利用できます。 さらに、署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバーの間のパケットをキャプチャし、パケットを変更してサーバーに転送する中間者 (MiTM) 攻撃の影響を受けやすいです。 これが Active Directory ドメイン コントローラーで発生した場合、攻撃者が LDAP クライアントからの偽造要求に基づいてサーバーを決定する可能性があります。 LDAPS は、独自の個別のネットワーク ポートを使用して、クライアントとサーバーを接続します。 LDAP の既定のポートはポート 389 ですが、LDAPS はポート 636 を使用し、クライアントとの接続時に SSL/TLS を確立します。

チャネル バインド トークンは、中間者攻撃に対する SSL/TLS に対する LDAP 認証のセキュリティを高めることができます。

2020 年 3 月 10 日更新プログラム

重要 2020 年 3 月 10 日の更新プログラムでは、新規または既存の Active Directory ドメイン コントローラーで LDAP 署名または LDAP チャネル バインドの既定のポリシーまたはレジストリに相当するポリシーは変更されません。

Windows 2020 年 3 月 10 日にリリースされる更新プログラムには、次の機能が追加されています。

  • 新しいイベントは、LDAP チャネル バインドに関連するイベント ビューアーに記録されます。 これらの イベントの詳細については、1 と表 2 を参照してください。

  • 新しい ドメイン コントローラー: LDAP サーバー チャネル バインド トークンの 要件 サポートされているデバイスで LDAP チャネル バインドを構成するグループ ポリシー。

LDAP 署名ポリシーの設定とレジストリ設定の間のマッピングは次のとおりです。

  • ポリシー設定:"ドメイン コントローラー: LDAP サーバー署名の要件"

  • レジストリ設定: LDAPServerIntegrity

  • DataType: DWORD

  • レジストリ パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

グループ ポリシー設定

レジストリ設定

なし

1

署名が必要

2

LDAP チャネル バインド ポリシーの設定とレジストリ設定の間のマッピングは次のとおりです。

  • ポリシー設定:"ドメイン コントローラー: LDAP サーバー チャネル バインド トークンの要件"

  • レジストリ設定: LdapEnforceChannelBinding

  • DataType: DWORD

  • レジストリ パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

グループ ポリシー設定

レジストリ設定

Never

0

サポートされる場合

1

Always

2


表 1: LDAP 署名イベント

説明

トリガー

2886

LDAP 署名の検証を強制するようにサーバーを構成することで、これらのドメイン コントローラーのセキュリティを大幅に向上できます。

グループ ポリシーが [なし] に設定されている場合、起動時またはサービスの起動時に 24 時間ごとにトリガー されます。 最小ログ レベル: 0 以上

2887

これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求や LDAP 署名を含めない他のバインド要求を拒否するように構成することで改善できます。

グループ ポリシーが None に設定され、少なくとも1 つの保護されていないバインドが完了した場合、24 時間ごとにトリガーされます。 最小ログ レベル: 0 以上

2888

これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求や LDAP 署名を含めない他のバインド要求を拒否するように構成することで改善できます。

グループ ポリシーが [署名が必要] に設定され、少なくとも 1 つの保護されていないバインドが拒否された場合、24 時間ごとにトリガーされます。 最小ログ レベル: 0 以上

2889

これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求や LDAP 署名を含めない他のバインド要求を拒否するように構成することで改善できます。

クライアントがポート 389 のセッションでバインドに署名を使用しない場合にトリガーされます。 最小ログ レベル: 2 以上

表 2: CBT イベント

イベント

説明

トリガー

3039

次のクライアントは、SSL/TLS で LDAP バインドを実行し、LDAP チャネル バインド トークンの検証に失敗しました。

次の状況でトリガーされます。

  • CBT グループ ポリシーが [サポートされている場合] または [常に] に設定されている場合、クライアントが不適切な形式のチャネル バインド トークン (CBT) でバインドを試みる場合。

  • CBT グループ ポリシーが [サポートされている場合] に設定されている場合、チャネル バインド対応クライアントが CBTを送信しない場合。 クライアントは、OS でインストールまたは使用可能な、レジストリ設定SuppressExtendedProtectionを通じて無効にされていない場合に、チャネル バインドが可能です。

  • CBT グループ ポリシーが Always に設定されている場合、クライアントが CBT を送信しない場合

最小ログ レベル: 2

3040

過去 24 時間の間に、保護されていない LDAP バインドの数が実行されました。

CBT グループ ポリシーが Never に設定され、少なくとも 1 つの保護されていないバインドが完了した場合、24 時間ごとにトリガーされます。 最小ログ レベル: 0

3041

LDAP チャネル バインド トークンの検証を強制するようにサーバーを構成することで、このディレクトリ サーバーのセキュリティを大幅に向上できます。

CBT グループ ポリシーが Never に設定されている場合、起動時またはサービスの起動時に 24 時間ごとに トリガーされます。 最小ログ レベル: 0


レジストリのログ レベルを設定するには、次のようなコマンドを使用します。

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP インターフェイス イベント" /t REG_DWORD /d 2

Active Directory 診断イベント ログを構成する方法の詳細については、Microsoft サポート技術情報の次の記事を参照してください。

314980 Active Directory と LDS 診断イベント ログを構成する方法

推奨される操作

お客様には、できるだけ早く次の手順を実行することを強くお願いします。

  1. 2020 年 3 月 10 日、更新プログラムがリリースWindowsドメイン コントローラー (DC) ロール コンピューターに更新プログラムをインストールします。

  2. LDAP イベントの診断ログを 2 以上に 有効にします。

  3. 次の条件でフィルター処理されたすべての DC ロール コンピューターで、ディレクトリ サービスイベント ログを監視します。

    • 1に示されている LDAP 署名エラー イベント 2889。

    • 2の LDAP チャネル バインドエラー イベント 3039。

      イベント 3039 は、チャネル バインドが [サポートされている場合] または [常に] に設定 されている場合にのみ 生成 できます

  4. イベント 2889 によって引用された各 IP アドレスのデバイスの make、model、type を、LDAP チャネル バインドを使用していないとして、署名されていない LDAP 呼び出しを行う、または 3039 イベントで識別します。

デバイスの種類を 3 つのカテゴリの 1 にグループ化します。

  1. アプライアンスまたはルーター

    • デバイス プロバイダーにお問い合わせください。

  2. オペレーティング システム上で実行Windowsデバイス

    • オペレーティング システムとアプリケーション プロバイダーを使用して、LDAP チャネル バインドと LDAP 署名の両方がオペレーティング システムとアプリケーションでサポートされている必要があります。

  3. オペレーティング システム上で実行Windowsデバイス

    • LDAP 署名は、サポートされているすべてのバージョンのアプリケーションで使用Windows。 アプリケーションまたはサービスで LDAP 署名が使用されていないことを確認します。

    • LDAP チャネル バインドでは、すべてのデバイスWindows CVE-2017-8563 がインストールされている必要があります。 アプリケーションまたはサービスで LDAP チャネル バインドが使用されていないことを確認します。

ネットワーク キャプチャ、プロセス マネージャー、デバッグ トレースなど、ローカル、リモート、汎用、またはデバイス固有のトレース ツールを使用して、コア オペレーティング システム、サービス、またはアプリケーションが署名されていない LDAP バインドを実行しているか、CBT を使用していないかを判断します。

タスク Windowsを使用して、プロセス ID をプロセス名、サービス名、アプリケーション名にマップします。

セキュリティ更新プログラムのスケジュール

2020 年 3 月 10 日の更新プログラムでは、Active Directory ドメイン コントローラーでの LDAP チャネル バインドと LDAP 署名の構成を強化する管理者向けコントロールが提供されます。 お客様には、この記事で推奨されるアクションをできるだけ早い機会に実行することを強く推奨します。

目標日

イベント

適用対象

2020 年 3 月 10 日

必須: サポートされているすべてのプラットフォームWindows更新プログラムで使用できるWindows更新プログラム。

標準Windowsサポート外のプラットフォームの場合、このセキュリティ更新プログラムは、該当する拡張サポート プログラムを通じてのみ利用できます。

LDAP チャネル バインドのサポートは、WINDOWS Server 2008 以降のバージョンでCVE-2017-8563によって追加されました。 チャネル バインド トークンは、Windows 10 バージョン 1709 以降のバージョンでサポートされています。

WindowsXP は LDAP チャネル バインドをサポートしていないので、LDAP チャネル バインドが Always の値を使用して構成されている場合は失敗しますが、サポートされている場合のより緩い LDAP チャネル バインド設定を使用するように構成されたDC と相互運用します。

Windows 10 バージョン 1909 (19H2) Windows

Server 2019 (1809 \

RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012

R2


Windows Server 2012 Windows
R2SP1 (ESU)

Windows Server 2008 SP2 (拡張セキュリティ更新プログラム (ESU))

よく寄せられる質問

Active Directory ドメイン コントローラーでの LDAP チャネル バインドと LDAP 署名に関してよく寄せられる質問への回答については、「ライトウェイト ディレクトリ アクセス プロトコルへの変更についてよく寄せられる質問」を参照してください

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをお送りいただきありがとうございます!

×