更新日: 2024 年 1 月 9 日
2024 年 1 月 9 日の更新プログラムで新しいコンテンツを参照してください。
概要
LDAP チャネル バインドと LDAP 署名により、LDAP クライアントと Active Directory ドメイン コントローラー間の通信のセキュリティを強化する方法が提供されます。 LDAP チャネル バインドと LDAP 署名に関する安全でない既定の構成のセットが Active Directory ドメイン コントローラーに存在し、LDAP クライアントが LDAP チャネル バインドと LDAP 署名を強制せずに通信できるようにします。 これにより、Active Directory ドメイン コントローラーが開き、特権の昇格の脆弱性が発生する可能性があります。
この脆弱性により、中間者の攻撃者が、受信接続でチャネル バインド、署名、またはシールを必要とするように構成されていない Microsoft ドメイン サーバーに認証要求を正常に転送する可能性があります。
Microsoft では、管理者が「ADV190023」で説明されているセキュリティ強化の変更を行うことをお勧めします。
2020 年 3 月 10 日に、管理者が Active Directory ドメイン コントローラーでの LDAP チャネル バインドの構成を強化するための次のオプションを提供することで、この脆弱性に対処しています。
-
ドメイン コントローラー: LDAP サーバー チャネル バインド トークンの要件 グループ ポリシー。
-
チャネル バインディング トークン (CBT) 署名イベント 3039、3040、および 3041 と、Directory Service イベント ログのイベント送信者 Microsoft-Windows-Active Directory_DomainService。
重要: 2020 年 3 月 10 日の更新プログラムと、近い将来の更新プログラムでは、LDAP 署名または LDAP チャネル バインドの既定のポリシーや、新規または既存の Active Directory ドメイン コントローラーに対応するレジストリは変更されません。
LDAP 署名ドメイン コントローラー: LDAP サーバー署名要件ポリシーは、サポートされているすべてのバージョンの Windows に既に存在します。 Windows Server 2022、23H2 Edition 以降、すべての新しいバージョンの Windows には、この記事のすべての変更が含まれます。
この変更が必要な理由
Active Directory ドメイン コントローラーのセキュリティは、署名 (整合性検証) を要求しない簡易認証とセキュリティ層 (SASL) LDAP バインドを拒否するか、クリア テキスト (SSL/TLS 暗号化されていない) 接続で実行される LDAP 単純バインドを拒否するようにサーバーを構成することで、大幅に改善できます。 SASL には、Negotiate、Kerberos プロトコル、NTLM、Digest などのプロトコルが含まれていることがあります。
署名されていないネットワーク トラフィックは、侵入者が認証の試行とチケットの発行をインターセプトするリプレイ攻撃を受けやすくなります。 侵入者はチケットを再利用して正当なユーザーを偽装できます。 さらに、署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更し、それらをサーバーに転送する中間者 (MiTM) 攻撃の影響を受けやすくなります。 これがActive Directory ドメイン コントローラーで発生した場合、攻撃者は LDAP クライアントからの偽造された要求に基づいてサーバーに決定を下す可能性があります。 LDAPS は、独自の個別のネットワーク ポートを使用して、クライアントとサーバーを接続します。 LDAP の既定のポートはポート 389 ですが、LDAPS はポート 636 を使用し、クライアントとの接続時に SSL/TLS を確立します。
チャネル バインド トークンは、中間者攻撃に対する SSL/TLS 経由の LDAP 認証をより安全にするために役立ちます。
2020 年 3 月 10 日の更新プログラム
重要 2020 年 3 月 10 日の更新プログラムでは、LDAP 署名や LDAP チャネル バインドの既定のポリシー、または新規または既存の Active Directory ドメイン コントローラーに相当するレジストリは変更されません。
2020 年 3 月 10 日にリリースされる Windows 更新プログラムには、次の機能が追加されます。
-
新しいイベントは、LDAP チャネル バインドに関連するイベント ビューアーに記録されます。 これらのイベントの詳細については、 表 1 と 表 2 を参照してください。
-
新しいドメイン コントローラー: サポートされているデバイスで LDAP チャネル バインドを構成するためにグループ ポリシー LDAP サーバー チャネル バインド トークンの要件。
LDAP 署名ポリシー設定とレジストリ設定の間のマッピングは次のとおりです。
-
ポリシー設定:"ドメイン コントローラー: LDAP サーバー署名の要件"
-
レジストリ設定: LDAPServerIntegrity
-
Datatype: DWORD
-
レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
グループ ポリシー設定 |
レジストリ設定 |
なし |
1 |
署名が必要 |
2 |
LDAP チャネル バインド ポリシー設定とレジストリ設定の間のマッピングは、次のように含まれます。
-
ポリシー設定:"ドメイン コントローラー: LDAP サーバー チャネル バインド トークンの要件"
-
レジストリ設定: LdapEnforceChannelBinding
-
Datatype: DWORD
-
レジストリ パス : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
グループ ポリシー設定 |
レジストリ設定 |
有効期限なし |
0 |
サポートされている場合 |
1 |
常時 |
2 |
表 1: LDAP 署名イベント
説明 |
トリガー |
|
LDAP 署名の検証を適用するようにサーバーを構成することで、これらのドメイン コントローラーのセキュリティを大幅に向上させることができます。 |
グループ ポリシーが None に設定されている場合、起動時またはサービス開始時に 24 時間ごとにトリガーされます。 最小ログ レベル: 0 以上 |
|
これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。 |
グループ ポリシーが None に設定され、保護されていないバインドが少なくとも 1 つ完了したときに、24 時間ごとにトリガーされます。 最小ログ レベル: 0 以上 |
|
これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。 |
グループ ポリシーが [署名が必要] に設定され、保護されていないバインドが少なくとも 1 つ拒否されたときに、24 時間ごとにトリガーされます。 最小ログ レベル: 0 以上 |
|
これらのドメイン コントローラーのセキュリティは、単純な LDAP バインド要求と、LDAP 署名を含まない他のバインド要求を拒否するように構成することで改善できます。 |
クライアントがポート 389 のセッションでバインドに署名を使用しない場合にトリガーされます。 最小ログ レベル: 2 以上 |
表 2: CBT イベント
Event |
説明 |
トリガー |
3039 |
次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、LDAP チャネル バインド トークンの検証に失敗しました。 |
次のいずれかの状況でトリガーされます。
最小ログ レベル: 2 |
3040 |
前の 24 時間の間に、保護されていない LDAP バインドの数が実行されました。 |
CBT グループ ポリシーが [なし] に設定され、保護されていないバインドが少なくとも 1 つ完了したときに、24 時間ごとにトリガーされます。 最小ログ レベル: 0 |
3041 |
LDAP チャネル バインド トークンの検証を適用するようにサーバーを構成することで、このディレクトリ サーバーのセキュリティを大幅に向上させることができます。 |
CBT グループ ポリシーが [なし] に設定されている場合、起動時またはサービス開始時に 24 時間ごとにトリガーされます。 最小ログ レベル: 0 |
レジストリでログ レベルを設定するには、次のようなコマンドを使用します。
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP インターフェイス イベント" /t REG_DWORD /d 2
Active Directory 診断イベント ログを構成する方法の詳細については、「 Active Directory と LDS 診断イベント ログを構成する方法」を参照してください。
2023 年 8 月 8 日の更新プログラム
一部のクライアント マシンでは、LDAP チャネル バインド トークンを使用して Active Directory ドメイン コントローラー (DC) にバインドできません。 Microsoft は、2023 年 8 月 8 日にセキュリティ更新プログラムをリリースします。 Windows Server 2022 の場合、この更新プログラムは、管理者がこれらのクライアントを監査するためのオプションを追加します。 CBT イベント 3074 と 3075 は、ディレクトリ サービス イベント ログのイベント ソース **Microsoft-Windows-ActiveDirectory_DomainService** で有効にすることができます。
重要 2023 年 8 月 8 日の更新プログラムでは、LDAP 署名、LDAP チャネル バインドの既定のポリシー、または新規または既存の Active Directory DC に対応するレジストリは変更されません。
2020 年 3 月の更新プログラムに関するセクションのすべてのガイダンスも、ここでも適用されます。 新しい監査イベントには、上記のガイダンスで説明したポリシーとレジストリ設定が必要です。 新しい監査イベントを表示するための有効化手順もあります。 新しい実装の詳細については、以下の「推奨されるアクション」セクションを参照してください。
表 3: CBT イベント
イベント |
説明 |
トリガー |
3074 |
次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、ディレクトリ サーバーがチャネル バインド トークンの検証を適用するように構成されている場合、チャネル バインド トークンの検証に失敗しました。 |
次のいずれかの状況でトリガーされます。
最小ログ レベル: 2 |
3075 |
次のクライアントは、SSL/TLS 経由で LDAP バインドを実行し、チャネル バインド情報を提供しませんでした。 このディレクトリ サーバーがチャネル バインド トークンの検証を適用するように構成されている場合、このバインド操作は拒否されます。 |
次のいずれかの状況でトリガーされます。
最小ログ レベル: 2 |
注 ログ レベルを少なくとも 2 に設定すると、イベント ID 3074 がログに記録されます。 管理者は、これを使用して、チャネル バインド トークンを使用しないクライアントの環境を監査できます。 イベントには、クライアントを識別するための次の診断情報が含まれます。
Client IP address: 192.168.10.5:62709 クライアントが認証を試みた ID: CONTOSO\Administrator クライアントはチャネル バインドをサポートしています:FALSE サポートされているモードで許可されるクライアント:TRUE 監査結果フラグ:0x42
2023 年 10 月 10 日の更新プログラム
2023 年 8 月に追加された監査の変更は、Windows Server 2019 で使用できるようになりました。 この OS では、管理者がこれらのクライアントを監査するためのオプションが追加されます。 CBT イベント 3074 と 3075 を有効にすることができます。 ディレクトリ サービス イベント ログでイベント ソース **Microsoft-Windows-ActiveDirectory_DomainService** を使用します。
重要 2023 年 10 月 10 日の更新プログラムでは、LDAP 署名、LDAP チャネル バインドの既定のポリシー、または新規または既存の Active Directory DC に対応するレジストリは変更されません。
2020 年 3 月の更新プログラムに関するセクションのすべてのガイダンスも、ここでも適用されます。 新しい監査イベントには、上記のガイダンスで説明したポリシーとレジストリ設定が必要です。 新しい監査イベントを表示するための有効化手順もあります。 新しい実装の詳細については、以下の「推奨されるアクション」セクションを参照してください。
2023 年 11 月 14 日の更新プログラム
2023 年 8 月に追加された監査の変更は、Windows Server 2022 で使用できるようになりました。 推奨されるアクションの手順 3 で説明されているように、MSI をインストールしたり、ポリシーを作成したりする必要はありません。
2024 年 1 月 9 日の更新プログラム
2023 年 10 月に追加された監査の変更は、Windows Server 2019 で使用できるようになりました。 推奨されるアクションの手順 3 で説明されているように、MSI をインストールしたり、ポリシーを作成したりする必要はありません。
推奨される操作
お客様には、できるだけ早い機会に次の手順を実行することを強くお勧めします。
-
ドメイン コントローラー (DC) の役割コンピューターに、2020 年 3 月 10 日以降の Windows 更新プログラムがインストールされていることを確認します。 LDAP チャネル バインド監査イベントを有効にする場合は、2023 年 8 月 8 日以降の更新プログラムが Windows Server 2022 または Server 2019 DC にインストールされていることを確認します。
-
LDAP イベント診断ログを 2 以上に有効にします。
-
グループ ポリシーを使用して、2023 年 8 月または 2023 年 10 月の監査イベント更新プログラムを有効にします。 Windows Server 2022 に 2023 年 11 月以降の更新プログラムをインストールしている場合は、この手順をスキップできます。 Windows Server 2019 に 2024 年 1 月以降の更新プログラムをインストールしている場合は、この手順をスキップすることもできます。
-
OS バージョンごとに 2 つの有効化 MSI を Microsoft ダウンロード センターからダウンロードします。
-
MSI を展開して、ポリシー定義を含む新しい ADMX ファイルをインストールします。 グループ ポリシーにセントラル ストアを使用する場合は、ADMX ファイルを中央ストアにコピーします。
-
対応するポリシーをドメイン コントローラー OU に適用するか、サーバー 2022 またはサーバー 2019 DC のサブセットに適用します。
-
変更を有効にするには、DC を再起動します。
-
-
フィルター処理されたすべての DC ロール コンピューターでディレクトリ サービス イベント ログを監視します。
-
次に示す IP アドレスごとに、デバイスの作成、モデル、および種類を特定します。
-
署名されていない LDAP 呼び出しを行うイベント 2889
-
LDAP チャネル バインドを使用しないイベント 3039
-
LDAP チャネル バインドに対応していないイベント 3074 または 3075
-
デバイスの種類
デバイスの種類を 3 つのカテゴリのうちの 1 つにグループ化します。
-
アプライアンスまたはルーター -
-
デバイス プロバイダーに問い合わせてください。
-
-
Windows オペレーティング システムで実行されないデバイス -
-
オペレーティング システムとアプリケーションで LDAP チャネル バインドと LDAP 署名の両方がサポートされていることを確認します。 これを行うには、オペレーティング システムとアプリケーション プロバイダーを使用します。
-
-
Windows オペレーティング システムで実行されるデバイス -
-
LDAP 署名は、サポートされているすべてのバージョンの Windows 上のすべてのアプリケーションで使用できます。 アプリケーションまたはサービスが LDAP 署名を使用していることを確認します。
-
LDAP チャネル バインドでは、すべての Windows デバイスに CVE-2017-8563 がインストールされている必要があります。 アプリケーションまたはサービスで LDAP チャネル バインドが使用されていることを確認します。
-
ローカル、リモート、汎用、またはデバイス固有のトレース ツールを使用します。 これには、ネットワーク キャプチャ、プロセス マネージャー、またはデバッグ トレースが含まれます。 コア オペレーティング システム、サービス、またはアプリケーションで署名されていない LDAP がバインドされているか、CBT を使用していないかを判断します。
Windows タスク マネージャーまたは同等のものを使用して、プロセス ID をプロセス、サービス、およびアプリケーション名にマップします。
セキュリティ更新プログラムのスケジュール
2020 年 3 月 10 日の更新プログラムでは、管理者が Active Directory ドメイン コントローラーでの LDAP チャネル バインドと LDAP 署名の構成を強化するためのコントロールが追加されました。 2023 年 8 月 8 日と 10 月 10 日の更新プログラムでは、管理者が LDAP チャネル バインド トークンを使用できないクライアント マシンを監査するためのオプションが追加されました。 この記事で推奨されるアクションをできるだけ早く行うことをお客様に強くお勧めします。
目標日 |
Event |
対象製品 |
2020 年 3 月 10 日 |
必須: サポートされているすべての Windows プラットフォームでWindows Updateで利用可能なセキュリティ更新プログラム。 注 標準サポート対象外の Windows プラットフォームの場合、このセキュリティ更新プログラムは、該当する拡張サポート プログラムでのみ使用できます。 WINDOWS Server 2008 以降のバージョンでは、CVE-2017-8563 によって LDAP チャネル バインドのサポートが追加されました。 チャネル バインド トークンは、Windows 10 バージョン 1709 以降のバージョンでサポートされています。 Windows XP は LDAP チャネル バインドをサポートしていません。また、Always の値を使用して LDAP チャネル バインドが構成されている場合は失敗しますが、サポート されている場合に、より緩和された LDAP チャネル バインド設定を使用するように構成された DC と相互運用します。 |
Windows Server 2022 Windows 10 バージョン 20H2 Windows 10バージョン 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (拡張セキュリティ更新プログラム (ESU)) |
2023 年 8 月 8 日 |
LDAP チャネル バインド トークン監査イベント (3074 & 3075) を追加します。 Windows Server 2022 では既定で無効になっています。 |
Windows Server 2022 |
2023 年 10 月 10 日 |
LDAP チャネル バインド トークン監査イベント (3074 & 3075) を追加します。 これらは、Windows Server 2019 では既定で無効になっています。 |
Windows Server 2019 |
2023 年 11 月 14 日 |
LDAP チャネル バインド トークン監査イベントは、有効化 MSI をインストールせずに Windows Server 2022 で使用できます (「推奨されるアクションの手順 3」で説明されています)。 |
Windows Server 2022 |
2024 年 1 月 9 日 |
LDAP チャネル バインド トークン監査イベントは、有効化 MSI をインストールせずに Windows Server 2019 で使用できます (「推奨アクションの手順 3」で説明されています)。 |
Windows Server 2019 |
よく寄せられる質問
Active Directory ドメイン コントローラーでの LDAP チャネル バインドと LDAP 署名に関してよく寄せられる質問に対する回答については、次を参照してください。