概要

LDAP チャネル バインディングと LDAP 署名には、LDAP クライアントと Active Directory ドメイン コントローラー間の通信のセキュリティを強化する複数の方法が用意されています。Active Directory ドメイン コントローラー上の LDAP チャネル バインディングと LDAP 署名には、LDAP チャネル バインディングと LDAP 署名を適用せずに LDAP クライアントが通信できる一連の安全ではない既定の構成が存在します。これにより、Active Directory ドメイン コントローラーで特権の昇格の脆弱性が生じる可能性があります。

マイクロソフトは、これらの既定の構成が使用されている場合、Microsoft Windows に特権の昇格の脆弱性が存在することを認識しています。この脆弱性により、中間者攻撃の実行者が、チャネル バインディングや、受信接続に対する署名または封印が必須となるよう構成されていない Windows LDAP サーバー (AD DS を実行するシステムなど) に対して、認証要求の転送に成功する可能性があります。

マイクロソフトは、次のように Active Directory ドメイン コントローラーでの LDAP チャネル バインディングと LDAP 署名の構成を強化するための推奨事項を管理者に提供することにより、この脆弱性に対応しています。

1. 2019 年 8 月、マイクロソフトは ADV190023 を公開し、設定に関する以下の推奨を行いました。

   1. グループ ポリシーで LDAP 署名の [署名を必要とする] をオンにします。
   2. レジストリ キーとしてチャネル バインディング トークン (CBT) を 1 に設定するか、次のようにドメイン コントローラーを設定します。2020 年 3 月 11 日の更新プログラムをインストールした後、LDAP server channel binding token requirements グループ ポリシーを When Supported に設定します。

2. 2020 年 3 月 11 日、Windows の更新プログラムにより、管理者が Active Directory ドメイン コントローラーの LDAP チャネル バインディングの構成を強化するためのオプションが追加されます。更新プログラムにより、以下が追加されます。

   1. ドメイン コントローラー: LDAP server channel binding token requirements グループ ポリシー。
   2. ディレクトリ サービス イベント ログにイベント ソース Microsoft-Windows-ActiveDirectory_DomainService が含まれる CBT 署名イベント 3039、3040、および 3041。

3. 2023 年 8 月 9 日、Server 2022 向けの Windows の更新プログラムにより、Active Directory ドメイン コントローラーでのイベントを介して LDAP チャネル バインディング トークンを使用できないクライアント マシンを、管理者が監査するためのオプションが追加されます。更新プログラムにより、ディレクトリ サービス イベント ログにイベント ソース Microsoft-Windows-ActiveDirectory_DomainService が含まれる CBT イベント 3074 および 3075 を有効にする機能が追加されます。

4. 2023 年 10 月 11 日、Server 2019 向けの Windows の更新プログラムにより、管理者がこれらのクライアントを監査するためのオプションが追加されます。更新プログラムにより、ディレクトリ サービス イベント ログにイベント ソース Microsoft-Windows-ActiveDirectory_DomainService が含まれる CBT イベント 3074 および 3075 を有効にする機能が追加されます。

5. 2023 年 10 月 18 日、マイクロソフトは、Windows Server 2022 23H2 エディション (Server コア インストール) をリリースしました。このバージョンには、Active Directory ドメイン コントローラーでのイベントを介して LDAP チャネル バインディング トークンを使用できないクライアント マシンを、管理者が監査するためのオプションと、ディレクトリ サービス イベント ログにイベント ソース Microsoft-Windows-ActiveDirectory_DomainService が含まれる CBT イベント 3074 および 3075 を有効にする機能が含まれています。

6. 2023 年 11 月 15 日のセキュリティ更新プログラムのリリースにより、2023 年 8 月に追加された監査の変更が Windows Server 2022 で使用できるようになりました。推奨される操作の手順 3 に説明されているとおりに、MSI のインストールやポリシーの作成を行う必要はありません。

重要: 2020 年 3 月 11 日と近い将来の更新プログラムを適用しても、新規または既存のドメイン コントローラー上の LDAP 署名または LDAP チャネル バインディングのポリシー、またはそれらに相当するレジストリは変更されません。

LDAP 署名の Domain controller: LDAP server signing requirements ポリシーが、サポートされているすべてのバージョンの Windows に既に存在することに注意してください。

推奨される操作

マイクロソフトは、管理者がこのアドバイザリの概要の手順 1 で推奨されているとおりに LDAP 署名と LDAP チャネル バインディングを構成することを推奨します。詳細については、KB4520412「Windows の 2020 年および 2023 年 LDAP 署名と LDAP チャネル バインディングの要件」を参照してください。

このアドバイザリの更新時に通知を受け取る方法

2020 年 3 月 11 日の Windows 更新プログラムがリリースされた時点で、このアドバイザリを更新してお客様にお知らせします。更新プログラムのリリース時に通知を受けるには、このアドバイザリの内容変更についてお知らせするセキュリティ通知メーラーに登録することをお勧めします。「マイクロソフト テクニカル セキュリティ通知のご案内」を参照してください。

参照情報

Active Directory ドメイン コントローラーで LDAP チャネル バインディングと LDAP 署名を有効にする方法の詳細については、次のマイクロソフト サポート技術情報を参照してください。

• KB4520412: Windows の 2020 年および 2023 年 LDAP 署名と LDAP チャネル バインディングの要件
• KB4034879: LDAP チャネル バインディング
• KB935834: LDAP 署名
• KB4546509: ライトウェイト ディレクトリ アクセス プロトコルの変更についてよく寄せられる質問

よく寄せられる質問

その他の質問への回答はどこで入手できますか。

Active Directory ドメイン コントローラーでの LDAP チャネル バインディングと LDAP 署名についてよく寄せられる質問の一覧については、KB4546509「ライトウェイト ディレクトリ アクセス プロトコルの変更についてよく寄せられる質問」を参照してください。また、KB4520412「Windows の 2020 年および 2023 年 LDAP 署名と LDAP チャネル バインディングの要件」を参照してください。