複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は? 詳細は?:安全なActive Directory運用のために
脆弱性に対しセキュリティ強化を一気に進めると「認証拒否」が発生し、結果、情報システムの利用不可といった障害につながる場合があります。そのため、セキュリティ強化を複数のフェーズに分けて、段階的に進めることが重要になります。本稿では、複数のフェーズを持つActive Directoryの脆弱性対策を紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
複数フェーズで対策が必要な脆弱性は3種類
Microsoftの「Active Directory」に関して、複数のフェーズを持つ脆弱(ぜいじゃく)性対策(もしくは更新プログラムの適用)は大きく分けて3種類に分類できます。
- KerberosのPrivilege Attribute Certificate(PAC)フィールド
- Netlogonプロトコル
- 証明書認証
本稿では日本マイクロソフトの公式ブログ「Microsoft Japan Windows Technology Support Blog」を出典元として、特に認証に影響があり、かつ複数の適用フェーズを持つ更新プログラムの有無を確認してまとめました。また、個々のKB(Knowledge Base)番号や脆弱性番号も出典元にリンクしてあります。
なお、上記の公式ブログでは、脆弱性が複数のKB番号の場合と、単一のKB番号に集約できる場合の説明パターンがあります。そのため、本稿では、脆弱性番号とKB番号を織り交ぜて表記することになり、分かりにくい部分が出てくることがあることをご了承ください。
KerberosのPACフィールドに影響する脆弱性対策
KerberosのPACフィールドに影響する脆弱性は、Kerberos認証で使われる「Ticket Granting Ticket」(TGT)や「サービスチケット」に含まれる「PACフィールド」を悪用するものです。
Kerberosのチケットはおおよそ7日間使えることから、このような複数フェーズの対策を採っていると考えられます。
この種類の脆弱性は、3種類あります。新しい順に紹介します。
- (1)KB5037754に関連付けられるCVE-2024-26248およびCVE-2024-29056
- (2)CVE-2022-37966、CVE-2022-37967、CVE-2022-41053
- (3)CVE-2021-42287
(1)KB5037754に関連付けられるCVE-2024-26248およびCVE-2024-29056の脆弱性対策
この2つの脆弱性の詳細については、KB5037754に記載があります。これを示したのが以下の図になります。
上図を踏まえ、各フェーズを要約します。
●2024年4月9日:互換フェーズ
互換フェーズでは、脆弱性である「特権の昇格」を防ぐ準備として、更新されていないデバイスを識別するために監査イベントがイベントログに出力されます。
ただし、この動作を有効化するには、Active Directoryドメインコントローラー、クライアントとしてのWindowsおよびWindows Serverに更新プログラムを適用する必要があります。
●2025年1月14日:強制フェーズ
強制フェーズでは、特権の昇格を防ぐ動作が強制されるようになります。ただし、管理者がレジストリを変更することで「互換フェーズ」に戻せます。
●2025年4月8日:完全強制フェーズ
完全強制フェーズでは、特権の昇格を防ぐ動作が完全に強制されます。
(2)CVE-2022-37966、CVE-2022-37967、CVE-2022-41053の脆弱性対策
対象の脆弱性は3つありますが、複数フェーズを持つ脆弱性はCVE-2022-37967です。これを示したのが以下の図になります。
上図を踏まえ、各フェーズを要約します。
●2022年11月8日:初期展開フェーズ
初期展開フェーズでは、KerberosのPACフィールドに「PAC署名」を追加します。監査イベントは出力しません。
●2022年12月13日:第2展開フェーズ
第2展開フェーズでは、監査イベントをイベントログに出力します。補足すると、この更新プログラムを適用するのではなく、2023年1月10日にCVE-2022-37966の問題を修正した更新プログラムを適用することを推奨します。
●2023年6 月13日:第3展開フェーズ
第3展開フェーズまでで認証の互換を取りますが、PAC署名の追加が既定になります。
●2023年7月11日:初期適用(強制)フェーズ
初期適用(強制)フェーズ以降では「認証拒否」となる動きです。ここではまだ監査イベントをイベントログに出力します。
●2023年10月10日:完全強制フェーズ
完全強制フェーズで監査イベントの出力を終了します。
(3)CVE-2021-42287の脆弱性対策
この脆弱性の詳細は、CVE-2021-42287に記載があります。これを示したのが以下の図になります。
こちらは当初3段階のフェーズでしたが、初期展開の更新プログラムが提供終了となり、2段階のフェーズになりました。こちらを踏まえ、各フェーズを要約します。
●2021年11月9日:初期展開フェーズ
初期展開フェーズでは、PACに要求元が追加されます。PACに要求元が存在しないTGTであっても認証されるので、認証に失敗することはありません。認証に失敗しない代わりに、Active Directoryドメインコントローラー(以下、AD DC)のシステムイベントログにイベントID「35」「36」「37」「38」のメッセージが出力されます。このイベントログが出力されなくなるまで、7日間以上間隔を空けます。
●2022年7月11日:第2展開フェーズ
第2展開フェーズでも認証は失敗しませんが、PACに要求元を追加することが必須となります。引き続きイベントログも出力されます。
現在は、この更新プログラムから適用します。よってイベントログが出力されなくなるように、次の更新プログラム適用までおおよそ7日間以上間隔を空けます。
●2023年7月11日:強制フェーズ
強制フェーズでは、PACに要求元が存在しないTGTで認証が失敗します。引き続きイベントログも出力されます。ただし第2展開フェーズから7日間以上空いていれば、認証失敗となる可能性は最小化できます。
Netlogonプロトコルに影響する脆弱性対策
Netlogonプロトコルに影響する脆弱性の詳細については、CVE-2022-38023に記載があります。これを示したのが以下の図になります。
上図を踏まえ、各フェーズを要約します。
●2022年11月8日:初期展開フェーズ
初期展開フェーズでは、以下の対策が講じられます。
- 全てのWindowsクライアントで強制的に「RPCシール」を利用したセキュアチャネルが作成されます
- AD DC側は、RPCシールおよびRC4暗号化タイプが利用できる「互換モード」になります
●2023年4月11日:初期適用フェーズ
初期適用フェーズで、RPCシールの利用は無効化できなくなります。つまり、初期展開フェーズへロールバックできなくなるということです。
●2023年6月13日:初期値変更の強制フェーズ
初期値変更の強制フェーズでは、RPCシールの利用を強制するようになります。ただし、この時点では管理者が互換モードになるように明示的にレジストリを構成することが可能です。
●2023年7月11日:完全強制フェーズ
完全強制フェーズでRPCシールの利用が完全に強制されます。レジストリを構成してもその設定は無視されます。
証明書認証に影響する脆弱性対策
「証明書認証」は、VDI(Virtual Desktop Infrastructure)などで利用される認証です。証明書認証に影響する脆弱性の詳細については、KB5014754に記載があります。これを示したのが以下の図になります。
フェーズの要約へ入る前に、「証明書マッピングの強弱」について日本マイクロソフトのブログから引用します。
- 証明書をユーザーにのみ弱くマップできるマッピングは、X509IssuerSubject、X509SubjectOnly、X509RFC822
- 証明書をユーザーに強くマップできるマッピングは、X509IssuerSerialNumber、X509SKI、X509SHA1PublicKey
上記を踏まえて、各フェーズの要約をまとめます。
●2022年5月10日:互換フェーズ
互換フェーズでは、デバイスが「互換モード」になります。認証およびイベントログへの出力は下記の通りです。
- 証明書がユーザーにマップされる強弱を問わず、認証は正常に行われます
- 証明書がユーザーに弱くマップされる場合、警告メッセージがイベントログに出力されるか否かは以下の通りです
- 証明書がユーザーより新しい場合は、警告メッセージがイベントログに出力されます
- 証明書のバックデートレジストリキーが構成されている場合は、日付が補正範囲内にあるとイベントログに警告メッセージが出力されます
- 証明書がユーザーより古く、証明書のバックデートレジストリキーが存在しない場合、または範囲がバックデート補正の範囲外である場合は、認証が失敗します。エラーメッセージもイベントログに出力されます
もし、1カ月以上経過しても警告メッセージが表示されない場合は、レジストリキーを変更して完全強制フェーズに移行できます。
●2023年4月11日:無効フェーズ
無効フェーズでは、弱いマッピングに依存している場合、レジストリキー設定でAD DCを「無効モード」、すなわち証明書マッピングを「互換」から「無効」にできます。ただし、この操作は非推奨になっています。
●2024年2月13日:既定変更フェーズ
既定変更フェーズでは、Windows更新プログラムを「Windows Server 2019」以降にインストールし、RSAT(Windows用リモートサーバ管理ツール)オプション機能が有効なWindowsクライアントでは「Active Directoryユーザーとコンピューター」管理ツールの「証明書マッピング」で、X509IssuerSubjectを使用した弱いマッピングではなく、X509IssuerSerialNumberを使用して強いマッピングを既定で選択します。設定は必要に応じて変更できます。
●2025年2月11日:完全強制フェーズ
完全強制フェーズでは、全てのデバイスを「完全適用モード」に更新します。証明書を弱くマップする場合、認証は拒否されます。
ただし、「互換モード」に戻すオプションは「2025年9月10日」まで利用可能です(2025年9月10日に追加フェーズがリリースされる可能性もあります)。
もし、定期的に更新プログラムを適用していない場合は、本記事を留意して適用を進めていただけると幸いです。
関連記事
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。
Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。
買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。
いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。