ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

延期されたAD LDAP署名・チャネルバインディングを無効にするGPO設定

会社によっては一度サーバを構築したらその後はWindows Updateを行わないというところもあるかもしれませんが、ウイルス感染を防ぐ為にもゼロデイ対策としてWindows Updateは行ったほうがいいですね。


ただ更新作業後に動作が不安定になったり、バグが発見されるケースがあるので、すぐに適用するのは危険です。そして、タイトルですが、今年の2020年後半に何も考えずにWindowsUpdateを実行すると危険な設定がADで有効になります。


それがLDAP署名とチャネルバインディングです。これはADとのクライアントの通信が暗号化されるというものですが、確かにWEBなども同様にSSL化することでセキュリティ強化されるようにはなるのですが、ADって認証関連でよくトラブるのでパケットキャプチャして解析することがあるのですが、この暗号化によって切り分けが難しくなりそうですね・・・。


さて、話を戻してこのLDAP署名・チャネルバインディングですが、当初はもっと早い段階で適用されるという話でしたが、延長されて、今年の3月→そして2020年後半となりました。そもそも強制的に有効化するのってどうなのかと思いますけどね・・・。おそらく管理者側に選択させると一向にSSL化が進まないということが背景になるのかもしれません。


この設定が有効化された場合の注意なのですが、アプリケーションが対応していない場合は、当然、認証に失敗するので、ADと認証連携しているシステムがある場合は、事前に調べて置く必要がありますし仮に対応していない場合は、無効にしないと認証に失敗します。

 


そして、気になる無効にする設定ですが、以下の情報が参考になります。

WINDOWS Server 2008LDAP 署名を有効にする方法
https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008


情報自体は古いですが、ドメイングループ ポリシー オブジェクトを使用してクライアント LDAP 署名要件を設定する方法の抜粋です。

【設定】
①[スタート] ボタンをクリックし、[ファイル名を指定して実行]をクリックします。
②[ファイル]メニューの [スナップインの追加と削除]をクリックします。
③[スナップインの追加と削除]ダイアログ ボックスで、[グループ ポリシー オブジェクト エディタ]をクリックし、[追加]をクリックします。
④[参照]をクリックし、[既定のドメイン ポリシー] (またはクライアント LDAP 署名を有効にするグループ ポリシー オブジェクト) を選択します。
⑤[OK] をクリックします。
⑥[完了] をクリックします。
⑦[閉じる] をクリックします。
⑧[OK] をクリックします。
⑨[既定のドメイン ポリシー]、[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション]の順に展開します。
⑩[ネットワーク セキュリティ: LDAP クライアント署名要件のプロパティ]ダイアログ ボックスで、ドロップダウン リストで [署名が必要]をクリックし、[OK] をクリックします。
⑪[設定変更の確認]ダイアログ ボックスで、[はい]をクリックします。


こちら事前に検証できる環境があるなら、事前検証したほうがいいですね。このパッチが配信される時期になったら自宅の検証機で動作を確認してみようと思います。