2020年後半に予定されている「LDAP接続のセキュリティ強化」について：企業ユーザーに贈るWindows 10への乗り換え案内（69）

2020年後半に予定されているセキュリティ更新プログラムでは、セキュリティ強化のために「LDAP」および「LDAPS」のセキュリティ強化が行われます。Active Directoryドメイン環境に影響する可能性があるので、事前にテストし、影響を受ける場合に以前の挙動に戻す方法を確認しておくことをお勧めします。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

LDAP署名およびLDAPチャネルバインディングが既定で強制

　Microsoftは2020年3月のセキュリティ更新に含める形で、LDAP（Lightweight Directory Access Protocol）接続のセキュリティ強化を予定していました。具体的には「LDAP署名」および「LDAPチャネルバインディング」を“既定で有効化する”というものです。2020年2月になって3月の実施は見送られ、20年後半に延期しましたが、時間的な猶予ができたので影響の有無を確認しておくことをお勧めします（［2021年1月6日追記］最新情報：2020年後半の実施も見送られ、当面は既定のセキュリティ設定が変更されることはなくなったようです）。

　この変更については、2019年8月に「セキュリティアドバイザリ」として公開され、その後も公式ブログでアナウンスされてきました。2020年2月、3月と情報が目まぐるしく更新されているので、影響を受ける可能性がある場合は、最新情報を定期的にチェックすることをお勧めします。これらの情報が非常に分かりにくいものになっているのは、この後説明するサポート情報の古さに加えて、これまで情報の更新が繰り返されてきたことも関係していると思います。

• 2019年8月のセキュリティアドバイザリADV190023（Microsoft Security Response Center）
• ［AD管理者向け］2020年LDAP署名とLDAPチャネルバインディングが有効化。確認を！（Microsoft Security Response Center）
• LDAP Channel Binding and LDAP Signing Requirements - March 2020 update final release［英語］（Microsoft Tech Community）

　Active Directoryのドメインメンバー（LDAPクライアント）とドメインコントローラー（LDAPサーバ）間には、複数の接続方法が用意されています。LDAP署名とLDAPチャネルバインディングの有効化は、安全でない接続を排除してセキュリティを向上することを目的としたものです。

　Active Directoryドメインの管理者が意図的に署名やLDAPS（LDAP over SSL/TLS）を要求するように構成していない限り、現在はLDAP署名を使用しない接続や、SSL/TLSで保護されていないLDAP接続が可能でした。

　2020年後半に予定されているセキュリティ更新により既定の設定が変更されることで、「Windows 7 SP1」および「Windows Server 2008 SP2」以降のクライアント、Windows Server 2008 SP2以降のActive Directoryのドメインコントローラーの認証に影響する可能性があります。どのような影響があるのかは利用環境によって違ってくるので何とも言えませんが、シンプルなActive Directoryドメインの認証については、筆者がテストした限り影響はないようです。

　なお、当初、セキュリティアドバイザリADV190023の影響範囲は、「Active Directoryドメインサービス（AD DS）」と「Active Directoryライトウェイトディレクトリサービス（AD LDS）」でしたが、2020年2月末になってAD LDSは対象外になりました（AD LDSを使用するLDAPアプリケーションは脆弱《ぜいじゃく》性の影響を受けないということでしょう）。

　既定の挙動の変更は、「グループポリシー」やポリシーと同等のレジストリ設定の効果にも影響があります。例えば、LDAP署名の要求は、「Default Domain Controllers Policy」の次のポリシーで設定することができます（既定は未構成）。

• コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
• ポリシー：ドメイン コントローラー：LDAP サーバー署名必須

　このポリシーに対応するレジストリ値は次の場所にあります（既定は0x1）。

• レジストリキー：HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
• 値：ldapserverIntegrity（REG_DWORD型）

　2020年後半のセキュリティ更新では、これらの設定の挙動が以下の表1のように変更される予定です。つまり、現在、ポリシーが「未定義」または「なし」になっている場合、2020年後半に予定されているセキュリティ更新によるLDAP署名の有効化以降は「署名を必要とする」と同じ設定になります。そして、ポリシー設定を使用してこれを無効化することはできません。以前の挙動に戻すには、レジストリを編集する必要があります。

	現在	強制実施後（2020年後半に予定）
（ポリシーに選択肢無し）	0（署名不要）	0（署名不要）
未定義	1（署名不要）	1（署名必要）
なし	1（署名不要）	1（署名必要）
署名を必要とする	2（署名必要）	2（署名必要）
表1　2020年後半に予定されている「ドメインコントローラー：LDAPサーバー署名必須」ポリシーとレジストリ値の挙動の変化

LDAP署名を事前に有効化してテストするには

　この変更が運用中のシステムやアプリケーションに影響するかどうかは、セキュリティアドバイザリや公式ブログにあるリンク先のサポート情報に説明されている方法でテストできます。なお、テスト用にメンバーサーバとクライアントの設定も変更していますが、2020年後半に行われるセキュリティ強化はドメインコントローラーに対してのみ行われます。詳しくは、以下のFAQを参照してください。

• Frequently asked questions about changes to Lightweight Directory Access Protocol［英語］（Windows support）

　しかし、サポート情報の記述が古く、既に廃止されている「Fix It」のリンクがあったり、日本語の表示名（ポリシー名やユーザーインタフェース）や、レジストリパスのミスがあったりと分かりにくい状態です。

　例えば、サポート情報935834「WINDOWS Server 2008でLDAP署名を有効にする方法」でテストツールとして「desk.cpl」が示されていますが、正しくはAD DSおよびAD LDSのコマンドラインツールに含まれる「ldp.exe」です。関連するサポート情報を参照する際には、日本語版だけでなく、オリジナルの英語版（URLの「ja-jp」を「en-us」に置き換える）も確認してください。ただし、オリジナルの英語版についても、レジストリパスの一部に間違いがあります。