この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftは2020年3月のセキュリティ更新に含める形で、LDAP(Lightweight Directory Access Protocol)接続のセキュリティ強化を予定していました。具体的には「LDAP署名」および「LDAPチャネルバインディング」を“既定で有効化する”というものです。2020年2月になって3月の実施は見送られ、20年後半に延期しましたが、時間的な猶予ができたので影響の有無を確認しておくことをお勧めします([2021年1月6日追記]最新情報:2020年後半の実施も見送られ、当面は既定のセキュリティ設定が変更されることはなくなったようです)。
この変更については、2019年8月に「セキュリティアドバイザリ」として公開され、その後も公式ブログでアナウンスされてきました。2020年2月、3月と情報が目まぐるしく更新されているので、影響を受ける可能性がある場合は、最新情報を定期的にチェックすることをお勧めします。これらの情報が非常に分かりにくいものになっているのは、この後説明するサポート情報の古さに加えて、これまで情報の更新が繰り返されてきたことも関係していると思います。
Active Directoryのドメインメンバー(LDAPクライアント)とドメインコントローラー(LDAPサーバ)間には、複数の接続方法が用意されています。LDAP署名とLDAPチャネルバインディングの有効化は、安全でない接続を排除してセキュリティを向上することを目的としたものです。
Active Directoryドメインの管理者が意図的に署名やLDAPS(LDAP over SSL/TLS)を要求するように構成していない限り、現在はLDAP署名を使用しない接続や、SSL/TLSで保護されていないLDAP接続が可能でした。
2020年後半に予定されているセキュリティ更新により既定の設定が変更されることで、「Windows 7 SP1」および「Windows Server 2008 SP2」以降のクライアント、Windows Server 2008 SP2以降のActive Directoryのドメインコントローラーの認証に影響する可能性があります。どのような影響があるのかは利用環境によって違ってくるので何とも言えませんが、シンプルなActive Directoryドメインの認証については、筆者がテストした限り影響はないようです。
なお、当初、セキュリティアドバイザリADV190023の影響範囲は、「Active Directoryドメインサービス(AD DS)」と「Active Directoryライトウェイトディレクトリサービス(AD LDS)」でしたが、2020年2月末になってAD LDSは対象外になりました(AD LDSを使用するLDAPアプリケーションは脆弱《ぜいじゃく》性の影響を受けないということでしょう)。
既定の挙動の変更は、「グループポリシー」やポリシーと同等のレジストリ設定の効果にも影響があります。例えば、LDAP署名の要求は、「Default Domain Controllers Policy」の次のポリシーで設定することができます(既定は未構成)。
このポリシーに対応するレジストリ値は次の場所にあります(既定は0x1)。
2020年後半のセキュリティ更新では、これらの設定の挙動が以下の表1のように変更される予定です。つまり、現在、ポリシーが「未定義」または「なし」になっている場合、2020年後半に予定されているセキュリティ更新によるLDAP署名の有効化以降は「署名を必要とする」と同じ設定になります。そして、ポリシー設定を使用してこれを無効化することはできません。以前の挙動に戻すには、レジストリを編集する必要があります。
現在 | 強制実施後(2020年後半に予定) | |
---|---|---|
(ポリシーに選択肢無し) | 0(署名不要) | 0(署名不要) |
未定義 | 1(署名不要) | 1(署名必要) |
なし | 1(署名不要) | 1(署名必要) |
署名を必要とする | 2(署名必要) | 2(署名必要) |
表1 2020年後半に予定されている「ドメインコントローラー:LDAPサーバー署名必須」ポリシーとレジストリ値の挙動の変化 |
この変更が運用中のシステムやアプリケーションに影響するかどうかは、セキュリティアドバイザリや公式ブログにあるリンク先のサポート情報に説明されている方法でテストできます。なお、テスト用にメンバーサーバとクライアントの設定も変更していますが、2020年後半に行われるセキュリティ強化はドメインコントローラーに対してのみ行われます。詳しくは、以下のFAQを参照してください。
しかし、サポート情報の記述が古く、既に廃止されている「Fix It」のリンクがあったり、日本語の表示名(ポリシー名やユーザーインタフェース)や、レジストリパスのミスがあったりと分かりにくい状態です。
例えば、サポート情報935834「WINDOWS Server 2008でLDAP署名を有効にする方法」でテストツールとして「desk.cpl」が示されていますが、正しくはAD DSおよびAD LDSのコマンドラインツールに含まれる「ldp.exe」です。関連するサポート情報を参照する際には、日本語版だけでなく、オリジナルの英語版(URLの「ja-jp」を「en-us」に置き換える)も確認してください。ただし、オリジナルの英語版についても、レジストリパスの一部に間違いがあります。
Copyright © ITmedia, Inc. All Rights Reserved.