ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント
IT 担当者向けのこのセキュリティ ポリシーのリファレンス トピックでは、このポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。この情報は、Windows Server 2008 以降のオペレーティング システムを実行しているコンピューターについて記載しています。
リファレンス
LDAP BIND 要求を発行するクライアント デバイスの代理として要求されるデータ署名のレベルは、このポリシー設定によって決まります。以下に示したのは、データ署名のレベルとその説明です。
[なし]: LDAP BIND 要求は、呼び出し元によって指定されたオプションで発行されます。
[ネゴシエーション署名]: トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL) が開始されていない場合、呼び出し元によって指定されたオプションに加え LDAP データ署名オプションが設定されて LDAP BIND 要求が開始されます。TLS/SSL が既に開始されている場合は、呼び出し元によって指定されたオプションで LDAP BIND 要求が開始されます。
[署名を必要とする]: これは [ネゴシエーション署名] と同じレベルです。ただし、LDAP トラフィック署名が必要であることを LDAP サーバーの中間 saslBindInProgress 応答が示していない場合、呼び出し側には LDAP BIND コマンド要求が失敗したことを示すメッセージが返されます。
このポリシー設定は正しく使用しないと、データの喪失やデータ アクセスまたはセキュリティの問題を引き起こすエラーの原因となります。
設定可能な値
なし
ネゴシエーション署名
署名属性の要求
未定義
ベスト プラクティス
- [ドメイン コントローラー: LDAP サーバー署名必須] は [署名属性の要求] に設定してください。LDAP 署名を要求するようにサーバーを設定した場合、クライアント デバイス側もそのように設定する必要があります。クライアント デバイスを設定しないと、クライアント コンピューターがサーバーと通信できなくなります。その結果、ユーザー認証、グループ ポリシー、ログオン スクリプトなど多くの機能でエラーが発生する可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
ネゴシエーション署名 |
DC の有効な既定の設定 |
ネゴシエーション署名 |
メンバー サーバーの有効な既定の設定 |
ネゴシエーション署名 |
クライアント コンピューターの有効な既定の設定 |
ネゴシエーション署名 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
この設定を変更すると、クライアント デバイス、サービス、アプリケーションとの互換性に影響が生じる可能性があります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
署名されていないネットワーク トラフィックは、man-in-the-middle 攻撃 (クライアント コンピューターとサーバーとの間でやり取りされるパケットを侵入者がキャプチャし、変更を加えたうえで、サーバーに転送する攻撃) を受けやすくなります。LDAP サーバーがこのような攻撃にさらされやすいということは、LDAP クエリから偽のデータや改変されたデータをサーバーが受け取って、その情報に基づいて誤った判断を下す可能性があるということです。そのようなネットワークのリスクを小さくするためにも、強力な物理セキュリティ対策を導入し、ネットワーク インフラストラクチャを保護してください。加えて、IPsec 認証ヘッダーによってすべてのネットワーク パケットにデジタル署名を要求すれば、あらゆる種類の man-in-the-middle 攻撃の難易度を限りなく高めることができます。
対策
[ネットワーク セキュリティ: LDAP サーバー署名必須] の設定を [署名属性の要求] に構成します。
潜在的な影響
LDAP 署名を要求するようにサーバーを構成した場合、クライアント コンピューター側も構成する必要があります。クライアント デバイスを構成しなかった場合、サーバーと通信できず、ユーザー認証、グループ ポリシー、ログオン スクリプトなど、さまざまな機能でエラーが発生します。