そのポリシをドメインコントローラサーバに適用できるように「Default Domain Controller Policy」にリンクします, なお、「Default Domain Policy」に設定はしないことを推奨します(理由が知りたい場合は、こちらまで)。, ②ドメインコントローラ向けの設定します。 0.

, ■Windowsサーバ:

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/domain-controller-ldap-server-signing-requirements, ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント

, [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!

・Windows Server 2008 SP2、Windows Server 2008 R2 SP1 Secondary server URL

Enable LDAP over SSL with a third-party certification authority. ”クライアントとActive Directory(ドメインコントローラサーバ)の通信を安全にする” そもそも「ldap署名」とは何か? これは単純にldaps通信(636)のことでしょ。 と思っていたら、よく調べてみると厳密には違いました。 ・Windows Server 2019, ■Windowsクライアント: 今後はldap通信はセキュリティ的にあれなので、ldap署名を有効化しましょうというのが主旨です。 ldap 署名とは.

0. ldap 署名の必要性 [ サーバーの役割の選択 ] ページで [ ドメイン コントローラー (Active Directory) ] の役割を選択すると、このページが表示されます。 [ LDAP 署名の必要性 ] ページに、ドメイン コントローラーのドメイン内にある他のコンピューターに関する情報が集められます。 OpenLDAPなどの「普通な」LDAPを使っていた人にとってAD-LDAPの困惑する点としては「topオブジェクトの改造されっぷり」でしょう。 普通のLDAPのtopオブジェクトは何も属性を持たない「お飾り」のようなものでしたが、AD-LDAP上では「Windowsとしてのセキュリティー属性」を持つように魔改造 … 2/4(米国時間)にMicrosoft社アドバイザリADV190023の情報が更新されました。 https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008, ドメイン コントローラー: LDAP サーバー署名必須

[コンピュータの構成] – [ポリシー] – [Windowsの設定] – [セキュリティの設定] – [ローカルポリシー] – [セキュリティオプション] の中の「ネットワークセキュリティ:必須の署名をしているLDAPクライアント」, ■設定: Active Directoryのグループポリシで「品質更新プログラムをいつ受信するかを選択してください」を30日(最大)に設定します。 「このポリシーの設定を定義する」のチェックボックスをオンにし、下の項目は「署名を必要とする」を選択, 基本的にはグループポリシで設定するのがよいのですが、レジストリで設定する場合は以下の場所となります。, ①ドメインコントローラ向けの設定します。 https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-ldap-client-signing-requirements, Microsoftの言うように行うためには、LDAP署名を有効にしての動作確認をおkナウ必要があります。おおよそ以下のステップになります。, ①現在の設定の確認(LDAP署名が有効かどうか)

09/08/2020; 6 minutes to read; In this article. ですので、現実的に ”安全かつ確実ですぐできる” な暫定的対策として以下があります。, どうしても当てないといけないセキュリティパッチが出ないという条件ですが、準備が整っていないのであればWindows Updateの適用をやめます。 2020年3月のWindows Updateの更新で「 Active Directory サーバー上で LDAP チャネル バインディングと LDAP 署名を既定で有効にする」ことになります。 Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件

もし、WSUSサーバの導入がまだであるとか、導入はしているが運用ができていないのであれば、この機会に検討することをお勧めします。ご相談ください。, 念のためになりますが、万が一パッチが当たってしまってLDAP署名が必要となったとしても、それを取り消せるようにActive DirectoryのグループポリシでLDAPに関する設定を行っておきます。, ①グループポリシの作成 If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com, 以下記事によると、2020年下半期にLDAP署名およびLDAPチャネルバインディングを既定で有効化させる更新プログラムが配布されるようです。. Active Directory Domain Services (AD DS)の役割がインストールされたサーバー OS 、及び、Active Directory Lightweight Directory Services (AD LDS) の役割がインストールされたクライアントとなります。, Active Directoryで、ユーザログオン時やファイルサーバのアクセス時の, ②Active Directoryとログオン連携をしているアプリケーションでログオンできなくなる。, Microsoftの言うように行うのが一番ですが、Windows Updateの公開日までにどこまで対策できるかわかりません。, どうしても当てないといけないセキュリティパッチが出ないという条件ですが、準備が整っていないのであればWindows Updateの適用をやめます。, そもそも、サーバ機へのWindows Updateの適用は ”手動でスケジュールを組んで行う” 事を推奨していますので、WSUSサーバでの管理は必要と考えます。, なお、「Default Domain Policy」に設定はしないことを推奨します(理由が知りたい場合は、, https://support.microsoft.com/ja-jp/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows, https://msrc-blog.microsoft.com/category/jpsecurity/, https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/, https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023, https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008, https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/domain-controller-ldap-server-signing-requirements, https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-ldap-client-signing-requirements, Windows Update(2020年3月の更新)でLDAP 署名(LDPS)と LDAP チャネル バインディングが有効になる(その2:検証), セッションキー LDAP セッションに署名を行うことができます。これにより、LDAP サーバーと LDAP クライアントのセッションが署名されるため、改ざんを防止することができます。, LDAP クライアントは、channel binding tokens (CBT) を LDAP サーバーに提供するようになります。.

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023, ①事前(2020/3 になる前)のテストを実施 ・Windows Server 2012、Windows Server 2012 R2 Active Directory認証に関する通信がLDAP署名付き(LDAPs)になる。, ■起こりえる現象: For Active Directory multi-domain controller deployments, the port is typically 3268 for LDAP and 3269 for LDAPS. この場合は、30日を過ぎると無条件に品質更新プログラムが適用されますので、それまでに準備が必要となります。, そもそも、サーバ機へのWindows Updateの適用は ”手動でスケジュールを組んで行う” 事を推奨していますので、WSUSサーバでの管理は必要と考えます。

LDAP署名およびLDAP チャネルバインディングの設定値を変更(既定では有効)。, Microsoft Security Response Center のblog この件ですが、おっしゃる内容はLDAP署名を「強制」するもので、選択するものではありません。したがって強制なしとの共存はリクツ的に想定されていません。, https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/, ちなみにこの資料をよくみると、LDAP署名を問答無用に強制するのではなく、「グループポリシーによる一括設定」と「強制後のモニタリング」が行えるようになった、ということです。, グループポリシーによる設定変更は「レジストリ」による設定で、1台ずつ個別に設定することは可能です。つまりレジストリ設定により、LDAP署名を強制する・しないドメインコントローラーを分けること自体はできるでしょう。ですが以下の理由によりお奨めはしません。, 理由は単純で、メンバーサーバーやクライアントは基本的にログオンするドメインコントローラーを明示指定できないためです。ネットワーク設定や接続状況によりログオン先ドメインコントローラーは変更されるため、設定が異なる場合、不測のエラーが発生する可能性が高いでしょう。LDAP署名対応の有無を検出して回避する方法はありませんので、このようなエラーが発生した場合、甘受するしか選択がありません。, フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。, 同じ問題を持っている人々に役に立つために、参考になった投稿には「回答としてマーク」をご設定ください。, Please remember to mark the replies as an answers if they help. Active Directory https: ... /25 3:30:57 Satoshi0131 0. 2020年1月に公開されるWindowsセキュリティ更新にて、LDAP署名、LDAPチャネルバインディングの設定が規定で有効になる件について、内部通信の影響確認を行っておりますが、LDAP署名、LDAPチャネルバインディングの概要についてご教示ください。, イメージとしては、LDAP署名を有効とする環境では、LDAPクライアントがLDAP通信に署名を付与する形になり、AD(ドメインコントローラー)側は署名付き通信のみを受け付けるイメージになると考えており、ドメインコントローラー側はあくまでLDAP通信において署名を必須とするかどうかを受け皿として設定されているだけで、LDAP署名付き通信を実施するかどうかはLDAPクライアント側に依存している認識で良いでしょうか。, 同じくLDAPチャネルバインディングにつきましても、LDAPS利用環境に限定される前提はありますが、イメージはLDAP署名と同様に、LDAPクライアントがchannel binding tokens (CBT) を提供するようになり、AD(ドメインコントローラー)側はchannel binding tokens (CBT) を提供する通信のみ許可する、というイメージでおりますが、相違ないでしょうか。, この件ですが、実はMSDN側でより詳細な情報が出ていて、CBTに関しては「クライアント依存」ということで、直接の影響はない、ということのようです。以下に詳細な情報が出ていますので、確認してください。, https://social.msdn.microsoft.com/Forums/ja-JP/9f95c314-4236-483c-9e66-7184b02f117b/124751246112517125221248612451-124501248912496124521247012522?forum=visualstudiosupportteamja, フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。, https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/, 上記の説明をみると、「LDAP 署名、およびLDAP チャネルバインディング の必須」に読めそうです。以前からある機能の有効化のため、GPO等を変更すればいいのですが、サードパーティのLDAPクライアントがいる場合、動作確認・設定変更が必要だと思います。, なおCBTはLDASしか問題になりませんが、設定した場合、Windowsクライアント側の設定変更が必要になると思います。CBTはクライアントからの「申請」ベースで動作するので、サーバー側設定には依存しないそうです。ですが、有効化したい場合、やりかたはしたのページを確認してください。, https://blogs.technet.microsoft.com/askds/2009/12/10/control-extended-protection-for-authentication-using-security-policy/, Please remember to mark the replies as an answers if they help.