複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は? 詳細は?:安全なActive Directory運用のために
脆弱性に対しセキュリティ強化を一気に進めると「認証拒否」が発生し、結果、情報システムの利用不可といった障害につながる場合があります。そのため、セキュリティ強化を複数のフェーズに分けて、段階的に進めることが重要になります。本稿では、複数のフェーズを持つActive Directoryの脆弱性対策を紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
複数フェーズで対策が必要な脆弱性は3種類
Microsoftの「Active Directory」に関して、複数のフェーズを持つ脆弱(ぜいじゃく)性対策(もしくは更新プログラムの適用)は大きく分けて3種類に分類できます。
- KerberosのPrivilege Attribute Certificate(PAC)フィールド
- Netlogonプロトコル
- 証明書認証
本稿では日本マイクロソフトの公式ブログ「Microsoft Japan Windows Technology Support Blog」を出典元として、特に認証に影響があり、かつ複数の適用フェーズを持つ更新プログラムの有無を確認してまとめました。また、個々のKB(Knowledge Base)番号や脆弱性番号も出典元にリンクしてあります。
なお、上記の公式ブログでは、脆弱性が複数のKB番号の場合と、単一のKB番号に集約できる場合の説明パターンがあります。そのため、本稿では、脆弱性番号とKB番号を織り交ぜて表記することになり、分かりにくい部分が出てくることがあることをご了承ください。
KerberosのPACフィールドに影響する脆弱性対策
KerberosのPACフィールドに影響する脆弱性は、Kerberos認証で使われる「Ticket Granting Ticket」(TGT)や「サービスチケット」に含まれる「PACフィールド」を悪用するものです。
Kerberosのチケットはおおよそ7日間使えることから、このような複数フェーズの対策を採っていると考えられます。
この種類の脆弱性は、3種類あります。新しい順に紹介します。
- (1)KB5037754に関連付けられるCVE-2024-26248およびCVE-2024-29056
- (2)CVE-2022-37966、CVE-2022-37967、CVE-2022-41053
- (3)CVE-2021-42287
(1)KB5037754に関連付けられるCVE-2024-26248およびCVE-2024-29056の脆弱性対策
関連記事
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。
Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。
買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。
いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。