[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!

こんにちは、セキュリティ レスポンスチームの垣内ゆりかです。

2019年8月に公開したセキュリティ アドバイザリ ADV190023は、もうご覧になりましたでしょうか。

マイクロソフトでは、2020 年初頭に、Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、LDAP 署名、およびLDAP チャネルバインディング (LDAPS 利用時)を既定で有効化します。

有効化される機能の設定を事前にテストしていただくために、セキュリティ アドバイザリ ADV190023 を公開し、周知を行っています。現在、これらの機能は既定では有効化されていませんが、構成を変更することで利用可能です。

Active Directory 環境の管理者の皆さんは、ぜひ、今回の措置の内容を確認し、事前にテストを行ってください。

 

有効となる機能

Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、以下の 2 つの機能を既定で有効化します。

(A) LDAP 署名

LDAP 署名を利用することで、セッションキー LDAP セッションに署名を行うことができます。これにより、LDAP サーバーと LDAP クライアントのセッションが署名されるため、改ざんを防止することができます。

参考情報 
Windows Server 2008 で LDAP 署名を有効にする方法
ドメイン コントローラー: LDAP サーバー署名必須

(B) LDAP チャネルバインディング 必須(LDAPS 利用時のみ)

LDAP over SSL/TLS (LDAPS) で、LDAP チャネルバインディングを利用すると、TLS が動作するトランスポート層からの情報を、LDAP が動作するアプリケーション層で適切に利用することができ、複数のネットワーク層で利用されている情報を安全に管理することができます。LDAP チャネルバインディングを有効にすると、LDAP クライアントは、channel binding tokens (CBT) を LDAP サーバーに提供するようになります。また、LDAP サーバー側では、LDAPS 接続を行う際には、LDAP クライアントが channel binding tokens (CBT) を LDAP サーバーに提供することを必須 (あるいは、CBT 対応のクライアントの時のみ必須とする) ことができます。

参考情報
LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上

 

なぜ有効にするの?

現在、既定の構成では、LDAP 接続には、LDAP 署名や LDAP チャネルバインディングは必須ではありません。このため、悪意のある中間者によって、LDAP 通信が攻撃にさらされる可能性があります。

マイクロソフトでは、以前より、LDAP 署名、および LDAP チャネルバインディングの機能の提供を開始し、レジストリを構成することで機能を有効にするよう呼び掛けていました。

今回、Active Directory 環境における LDAP 接続を、より安心・安全な環境でご利用いただけるように、これらの機能を有効化することにしました。

 

対象環境

以下のバージョンの Windows を利用した Active Directory Domain Services (AD DS)、Active Directory Lightweight Directory Services (AD LDS)  ドメイン環境

Windows 8.1, Windows 10 1507, Windows 10 1607, Windows 10 1703, Windows 10 1709, Windows 10 1803, Windows 10 1809, Windows 10 1903

Windows Server 2008 SP2, Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

 

スケジュール

以下のスケジュールで、機能の有効化を行います。なお、最新の情報は、サポート技術情報 4520412 2020年 LDAP チャネル バインディングと LDAP 署名の要件 を参照してください。

日付 (PST)

内容

2019年 8月13日

セキュリティアドバイザリ ADV190023 を公開し、Active Directory 環境における LDAP 署名および LDAP チャネルバインディングの機能の利用を推奨しました

2019 年 9月11日

セキュリティアドバイザリ ADV190023 を更新し、2020 年 1 月に、Active Directory 環境における LDAP 署名および LDAP チャネルバインディングの機能を有効化する措置を行う予定であることを告知しました。

2020 年1月

(注釈1)

Windows Update 上で、Windows 向けのセキュリティ更新プログラムの配信を行います。

このセキュリティ更新プログラムを適用することで、Active Directory 環境における LDAP 署名および LDAP チャネルバインディングが有効に設定されます。

注釈1:2019 年 10 月 1 日時点では、具体的な日程は決定していません。

 

影響

現在、既定の構成では、LDAP 接続には、LDAP 署名や LDAP チャネルバインディングは有効ではありません。これらの機能が有効化された場合、適切に構成が行われていないLDAP クライアントとの LDAP 接続に問題が生じる可能性があります。

(A) LDAP 署名必須の有効化による影響

・SASL (Negotiate、Kerberos、NTLM、またはダイジェスト) が署名されていない LDAP バインドが利用できない
・クリア テキスト (SSL または TLS の暗号化されていない) 接続上で実行される、LDAP シンプル バインドが利用できない

(B) LDAP チャネルバインディング (LDAPS 利用時のみ)

・CBT を提供できない LDAP クライアントが接続に失敗する可能性がある

依存するクライアントには、SASL (Negotiate、Kerberos、NTLM、またはダイジェスト) が署名されていない LDAP バインドまたは、この構成の変更を行った後に LDAP の SSL や TLS 接続経由での単純なバインドが動作を停止します。

署名 (整合性の確認) を要求しない簡単な認証とセキュリティ層 (SASL) LDAP バインドを拒否する、またはクリア テキスト (SSL または TLS の暗号化されていない) 接続上で実行される、LDAP シンプル バインドを拒否するサーバーを構成することによって、ディレクトリ サーバーのセキュリティを大幅に向上できます。SASLs には、Negotiate、Kerberos、NTLM などのプロトコルとプロトコルのダイジェストが含まれます。

 

STEP 1 現在の構成を確認する

まずは、利用しているドメインコントローラ、および AD LDS サーバにて、LDAP チャネルバインディングおよび LDAP 署名が構成されているか、確認してください。

すでにこれらの機能が有効にされている場合は、追加の作業は必要ありません。有効にされていない(構成されていない)場合は、STEP 2 以降の作業を行ってください。

(A) LDAP 署名の確認方法

下記の技術資料を参考に、LDAP署名が構成されているか、確認してください。なお、グループポリシーを利用している場合、グループポリシーによって機能が構成されている可能性もありますので、下記の技術資料を参考に、該当する項目を確認してください。

Windows Server 2008 で LDAP 署名を有効にする方法
ドメイン コントローラー: LDAP サーバー署名必須
ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント

(B) LDAP チャネルバインディングの確認方法 (LDAPS 利用時のみ)

サポート技術情報 (KB) 4034879 の内容を参考に LDAPチャネルバインディングが構成されているかを確認してください。なお、グループポリシーを利用している場合、グループポリシーによって機能が構成されている可能性もありますので、サポート技術情報 (KB) 4034879 の内容を参考に、該当する項目を確認してください。

なお、本設定は、LDAPS 利用時のみ利用される機能です。LDAPS を利用していない場合は利用されません。

 

STEP 2機能を有効化し影響を確認する

現在、LDAP 署名および LDAP チャネルバインディングの機能が有効化されていない場合 (既定では現在有効化されていません)、機能を有効化するよう、構成変更をおこなってください。

運用環境で変更を行う前に、テスト環境で機能を有効化し、運用環境に与える影響を確認することを推奨します。

機能の有効化の方法、イベントログを出力することなどによる影響の確認方法など、詳細については以下の技術情報を参考にしてください。

(A) LDAP 署名

Windows Server 2008 で LDAP 署名を有効にする方法
ドメイン コントローラー: LDAP サーバー署名必須
ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント

(B) LDAP チャネルバインディング

サポート技術情報 (KB) 4034879

—————————————————

参考情報

セキュリティ アドバイザリ ADV190023
LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス​
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV190023

2020年 LDAP チャネル バインディングと LDAP 署名の要件
https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

Windows Server 2008 で LDAP 署名を有効にする方法
https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

Share