Netlogon の特権の昇格の脆弱性 (CVE-2020-1472)に関する情報がでて、システムエンジニアの方は対応を検討している方が多いかと思います。これは大規模の大手企業ほど影響がありそうですし、パッチの適用作業及び、その影響を調査する必要があります。
その後、LDAP署名の対応してかなければならず、色々と悩みの種が増えますが、まず、Netlogonサービスとはどういったサービスなのか、無効、使用の有無の影響を確認してみました。
まず、Netlogonは、ドメイン内のユーザーとその他のサービスを認証するWindows Serverプロセスになります。その為、ワークグループで運用している場合は、Netlogonサービスは不要です。
ネットログオンについての説明の抜粋です。
Net Logonシステムサービスは、ユーザーとサービスを認証するために、コンピュータとドメインコントローラ間のセキュリティチャネルを維持します。
ユーザーの資格情報をドメインコントローラーに渡し、ドメインのセキュリティ識別子とユーザーのユーザー権限を返します。これは通常、パススルー認証と呼ばれます。Net Logonは、メンバーコンピューターまたはドメインコントローラーがドメインに参加している場合にのみ自動的に開始するように構成されています。
Windows 2000 ServerおよびWindows Server 2003ファミリでは、Net LogonはサービスリソースロケータレコードをDNSに公開します。このサービスが実行されると、WORKSTATIONサービスとローカルセキュリティ機関サービスに依存して、着信要求をリッスンします。ドメインメンバーコンピューターでは、Net Logonは名前付きパイプ経由でRPCを使用します。ドメインコントローラーでは、名前付きパイプ経由のRPC、TCP / IP経由のRPC、
「Net Logonは、メンバーコンピューターまたはドメインコントローラーがドメインに参加している場合にのみ自動的に開始するように構成されています。」とある通り、ドメインに参加している端末で使用されます。ワークグループで運営している場合は、サービスを無効化していても支障はありません。
参考
Service overview and network port requirements - Windows Server | Microsoft Docs
逆を言えば、ドメイン環境で影響する、使用されるサービスと言えます。
<
では、今回の脆弱性については、どういった影響があるのかということですが、詳細は以下の情報が分かりやすいです。
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center
本脆弱性が修正している Netlogon プロトコルは、Windows デバイスだけではなく、非 Windows のデバイスにおいても実装されています。このため非 Windows デバイスの Netlogon 実装への互換性を考慮し、本脆弱性への対処を 2 段階に分けて実施する予定とあります。
パッチ適用で1段階目は、イベントログで洗い出しを行い、フェーズ2で非準拠していない場合は接続が拒否されます。
気になるのは、非準拠の端末がどれくらいあるのかということです。最新のOSは自動的に使用するようになるようですが、サポート対象外の Windows を使用している場合、サポート対象の Windows にアップグレードする必要があるそうです。
その他、Windows以外のデバイスも対応が必要になります。まずはすぐにパッチを提供し、どういったデバイスが非準拠でドメインコントローラに接続してきているのかを洗いだすことが重要ですね。
 |
