メイン コンテンツへスキップ
Support
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

概要

Microsoft は、Windows ドメイン コントローラーやその他の Windows サーバーを攻撃するために使用される可能性がある PetitPotam を認識しています。 PetitPotam は従来の NTLM リレー攻撃であり、このような攻撃は、顧客を保護するための多数の軽減オプションと共に、以前に Microsoft によって文書化されています。 たとえば、Microsoft セキュリティ アドバイザリ 974926。  

NTLM が有効になっているネットワークに対する NTLM リレー攻撃を防ぐには、ドメイン管理者は、NTLM 認証を許可するサービスで 、認証の拡張保護 (EPA) や SMB 署名などの署名機能を使用する必要があります。 PetitPotam は、Active Directory Certificate Services (AD CS) が NTLM リレー攻撃の保護で構成されていないサーバーを利用します。 次の軽減策は、このような攻撃から AD CS サーバーを保護する方法について説明します。   

次のいずれかのサービスで Active Directory Certificate Services (AD CS) を使用している場合、この攻撃に対して脆弱になる可能性があります。 

  • 証明機関 Web 登録

  • 証明書登録 Web サービス

緩和策

環境が影響を受ける可能性がある場合は、次の軽減策をお勧めします。

主な軽減策

AD CS サーバーで EPA を有効にし、HTTP を無効にすることをお勧めします。 インターネット インフォメーション サービス (IIS) マネージャーを開き、次の操作を行います。

  1. 証明機関 Web 登録の EPA を有効にします。セキュリティが強化され、推奨されるオプションである 必要 があります。

    [証明機関 Web 登録] ダイアログ

  2. 証明書登録 Web サービスの EPA を有効にするセキュリティで保護され推奨されるオプションである必要があります:
    [証明書登録 Web サービス] ダイアログ


    UI で EPA を有効にした後、CES ロールによって作成されたWeb.config ファイル (<%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config も、上記の IIS UI で選択されている [WhenSupported] または [Always] の値で設定< extendedProtectionPolicy>を追加することで更新する必要があります。

    注:  [常に] 設定は、UI が [必須] に設定されている場合に使用されます。これは推奨され、最も安全なオプションです。

    extendedProtectionPolicy で使用できるオプションの詳細については、「基本的なHttpBinding>のトランスポート><<」を参照してください。 最も使用される可能性の高い設定は次のとおりです。

    <binding name="TransportWithHeaderClientAuth">
         <security mode="Transport">
             <transport clientCredentialType="Windows">
             <extendedProtectionPolicy policyEnforcement="Always" />
             </transport>
             <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
         </security>
         <readerQuotas maxStringContentLength="131072" />
    </binding>
    
  3. [ SSL が必要] を有効にします。これは HTTPS 接続のみを有効にします。

    HTTP

重要: 上記の手順を完了したら、IIS を再起動して変更を読み込む必要があります。 IIS を再起動するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを入力し、Enter:

iisreset /restart キーを押します

このコマンドは、実行中のすべての IIS サービスを停止し、再起動します。

その他の軽減策

主な軽減策に加えて、可能な場合は NTLM 認証を無効にすることをお勧めします。 次の軽減策は、より安全から安全性の低い順に一覧表示されます。

IIS マネージャー UI を開くには、Windows 認証を Negotiate:Kerberos に設定します。 

IIS マネージャー UI ダイアログの表示

IIS マネージャー UI の代替ビュー

重要: 上記の手順を完了したら、IIS を再起動して変更を読み込む必要があります。 IIS を再起動するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを入力し、Enter:

iisreset /restart キーを押します

このコマンドは、実行中のすべての IIS サービスを停止し、再起動します。

詳細については、「Microsoft セキュリティ アドバイザリ ADV210003」を参照してください。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをいただき、ありがとうございます。

×