キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 

Microsoft セキュリティ アドバイザリ ADV190023 (Windows の LDAP 署名と LDAP チャネル バインディングの有効化) の影響と対応について

 

概要


マイクロソフトは、ドメイン コントローラーの特権昇格に関する脆弱性に対応するため、2020 年に LDAP チャネル バインディングと LDAP 署名 の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定であることを公表しています。

 

具体的には、2020 年の後半に行われる Windows Update により、以下の動作に関連する 2 つのレジストリ キーの値が変更されます。

 

1) LDAP 署名
LDAP サーバーと LDAP クライアントのセッションで LDAP 署名が利用されるため、改ざんの防止に有効です。
Windows Update により予定されている変更点は、この LDAP 署名が必須となる点です。


2) LDAP チャネル バインディング (LDAPS 接続の場合のみに関係がある設定) 
LDAPS 接続時に channel binding tokens (以下、CBT) というトークンを利用した通信を行うことにより、中間者攻撃 (Man-In-The-Middle) の防止に有効です。
Windows Update により予定されている変更点は、LDAP クライアントが CBT をサポートしている場合にかぎって LDAPS 接続時の CBT の評価が必須となる点です。

 

▼(参考) 2020 LDAP channel binding and LDAP signing requirements for Windows

------------------

LDAP channel binding and LDAP signing provide ways to increase the security for communications between LDAP clients and Active Directory domain controllers. A set of unsafe default configurations for LDAP channel binding and LDAP signing exist on Active Directory domain controllers that let LDAP clients communicate with them without enforcing LDAP channel binding and LDAP signing. This can open Active Directory domain controllers to an elevation of privilege vulnerability.

------------------

 

影響を受ける弊社ネットワーク製品

以下の製品のすべてのバージョンが影響対象です。

 

・McAfee Web Gateway (MWG)
・Network Security Manager (NSM)
・McAfee Advanced Threat Defense (ATD)

 

これらの製品で、現在 LDAPS ではなく LDAP を使用して AD と連携している場合には、AD への LDAP 接続が失敗します。

 


対処方法

 

■ 対象製品を LDAP で AD と連携させているお客様
MWG、NSM、ATD では、現時点において LDAP 署名をサポートしておりません。また、LDAP 署名の実装予定は未定です。
そのため、LDAPS をご利用いただく、或いは、AD 側で LDAP 署名を要求しないように構成いただく必要がございます。

 

▼(参考) Windows Server で LDAP 署名を有効にする方法

※セキュリティ リスクの観点より弊社といたしましては、LDAP 署名を無効とした LDAP 通信ではなく、よりセキュアな LDAPS 通信のご利用を推奨いたします。 

 

対象製品を LDAPS で AD と連携させているお客様
特にご対応いただく必要はございません。

MWG、NSM、ATD では、現時点において CBT をサポートしておりません。また、CBT の実装予定は未定です。

しかしながら、Windows Update により予定されている変更では、LDAP クライアントが CBT をサポートしている場合にかぎって LDAPS 接続時に CBT が検証されますため、CBT をサポートしていない MWG、NSM、ATD が LDAPS で AD へ接続した際は、CBT の検証は行われません。

そのため、対象製品と AD 間の LDAPS 通信に影響はございません。

但し、Windows Update 後より LDAPS の接続が失敗するようになる場合には、対象のレジストリ キーの値が、LDAP チャネル バインディングを利用しない (値 : 0)、クライアントに応じて利用する (値 : 1) 、のどちらかに構成されていることをご確認ください。

▼(参考) LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上 

 

上記の内容について弊社製品に関するご不明点がございましたら、弊社テクニカル サポートまでお問い合わせ下さい。

ラベル(3)
寄稿者:
バージョン履歴
改訂番号
14/14
最終更新:
‎04-14-2020 04:28 PM
更新者:
 

Community Help Hub

    New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

  • Find Forum FAQs
  • Learn How to Earn Badges
  • Ask for Help
Go to Community Help

Join the Community

    Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

  • Get helpful solutions from McAfee experts.
  • Stay connected to product conversations that matter to you.
  • Participate in product groups led by McAfee employees.
Join the Community
Join the Community