ActiveDirectoryのセキュリティ強化 LDAP署名をGPOで有効にする方法

Windows

最近のインフラエンジニアはただシステムが使えるだけではよくなくてセキュリティの知識も深めてセキュリティ侵害を受けにくいシステム作りを意識する必要があります。

 

そして、今回は昨年話題になった、LDAP署名についての情報になりますが、これを設定することで、セキュリティ強化につながります。

 

ActiveDirectoryのセキュリティ強化 LDAP署名をGPOで有効にする方法についての情報になりますが、情報元はこちらです。

 

Windows Server で LDAP 署名を有効にする方法

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/identity/enable-ldap-signing-in-windows-server

 

Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows 10 で LDAP 署名を有効にする方法について説明になります。

 

まずは、この機能についての説明です。

 

署名 (整合性検証) を要求しない簡易認証およびセキュリティ層 (SASL) LDAP バインドを拒否するようにサーバーを構成するか、クリア テキスト (非 SSL/TLS 暗号化) 接続で実行される LDAP 単純バインドを拒否することにより、ディレクトリ サーバーのセキュリティを大幅に向上できます。 SASL バインドには、ネゴシエート、Kerberos、NTLM、ダイジェストなどのプロトコルが含まれる場合があります。

署名されていないネットワーク トラフィックリプレイ攻撃の影響を受けやすい。 このような攻撃では、侵入者が認証の試行とチケットの発行を傍受します。 侵入者は、チケットを再利用して正当なユーザーを偽装できます。 さらに、署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更してサーバーに転送する man-in-the-middle (MIM) 攻撃の影響を受けやすくします。 この問題が LDAP サーバーで発生した場合、攻撃者は、LDAP クライアントからの偽造された要求に基づいてサーバーが決定を下す可能性があります。

 

入者は、チケットを再利用して正当なユーザーを偽装できます。 さらに、署名されていないネットワーク トラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更してサーバーに転送する man-in-the-middle (MIM) 攻撃の影響を受けやすくなるとありますので、間違いなく有効にしたほうがいいです。

 

 

サーバー LDAP 署名要件を設定する方法

 

1. [ファイル名を > 指定して実行] を 選択 し、「mmc.exe」と入力して 、[OK] を選択します。
2. [ファイルの > 追加と削除] スナップインを選択 し、[グループ ポリシー管理エディター] を選択して、[追加] を 選択します。
3. グループ ポリシー オブジェクト参照を > 選択します。
4. [グループ ポリシー オブジェクト の参照] ダイアログボックスで、[ドメイン 、US、 およびリンクされたグループ ポリシー オブジェクト] 領域の下の [既定のドメイン コントローラー ポリシー] を選択し 、[OK] を選択します。
5. [完了] を選択します。
6. [OK] を選択します。
7. Select Default Domain Controller Policy Computer > Configuration > Policies Windows > Settings Security > Settings Local > Policies, and then select Security Options.
8. [ドメイン コントローラー: LDAP サーバー署名 の要件] を右クリックし、[プロパティ] を選択 します。
9. [ドメイン コントローラー: LDAP サーバー 署名要件のプロパティ]ダイアログ ボックスで、[このポリシー設定の定義] を有効にし、[このポリシー設定の定義] ボックスの一覧で [署名が必要] を選択して 、[OK] を選択します。
10. [設定の 変更の確認] ダイアログ ボックスで、[はい] を 選択します。

 

ドメイン グループ ポリシー オブジェクトを使用してクライアント LDAP 署名要件を設定する方法

1. [ファイル名を > 指定して実行] を 選択 し、「mmc.exe」と入力して 、[OK] を選択します。
2. [ファイルの > 追加と削除] スナップインを選択します。
3. [スナップイン の追加と 削除] ダイアログ ボックスで、[ グループ ポリシー オブジェクト エディター] を選択し、[追加] を 選択します。
4. [参照] を選択し、[既定の ドメイン ポリシー] (またはクライアント LDAP 署名を有効にするグループ ポリシー オブジェクト) を選択します。
5. [OK] を選択します。
6. [完了] を選択します。
7. [閉じる] を選択します。
8. [OK] を選択します。
9. [既定のドメイン ポリシー コンピューター > の構成 > ] Windows 設定のセキュリティ > 設定 > のローカル ポリシー を選択し、[セキュリティ オプション]を選択します。
10. [ネットワーク セキュリティ : LDAP クライアント署名 要件のプロパティ]ダイアログ ボックスで、一覧で [サインインが必要] を選択し 、[OK] を選択します。
11. [設定の 変更の確認] ダイアログ ボックスで、[はい] を 選択します。

 

ローカルグループポリシーは省略します。レジストリも使う人は少ないと思いますので、必要な方は情報元を確認してください。

 

[紳士長傘]SHIO MOKU 傘 長傘 メンズ ワンタッチ 65cm 大きめ 丈夫 撥水 耐強風 グラスファイバー 梅雨対策 通学 通勤 収納ポーチ付き 1年保証 ブラック