ドメイン コントローラー: LDAP サーバー署名必須
[ドメイン コントローラー: LDAP サーバー署名必須] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーにデータ署名をネゴシエートする LDAP クライアントが必要かどうかを指定します。
署名されていないネットワーク トラフィックは、man-in-the-middle 攻撃 (サーバーとクライアント デバイスとの間でやり取りされるパケットを侵入者がキャプチャし、変更を加えたうえで、クライアント デバイスに転送する攻撃) を受けやすくなります。LDAP サーバーの場合、悪意のあるユーザーによって、クライアント デバイスが LDAP ディレクトリからの偽のレコードに基づいて判断させられる可能性があるということです。ネットワーク インフラストラクチャ保護のために強力な物理的セキュリティ対策を実装することで、悪意のあるユーザーが企業ネットワークでこれを実現できないようにします。さらに、IP トラフィックの相互認証とパケットの整合性を提供する、インターネット プロトコル セキュリティ (IPsec) 認証ヘッダー モードを実装すると、あらゆる種類の man-in-the-middle 攻撃が難しくなります。
この設定は、LDAP 簡易バインドと SSL 経由 LDAP 簡易バインドにはまったく影響しません。
署名が必要な場合、LDAP 簡易バインドと SSL 経由 LDAP 簡易バインドは拒否されます。
注意
署名を要求するようにサーバーを設定した場合、クライアント デバイスも設定する必要があります。クライアント デバイスを設定しないと、サーバーとの接続が失われます。
設定可能な値
なし。データ署名は、サーバーにバインドする必要はありません。クライアント コンピューターがデータ署名を要求する場合は、サーバーがサポートします。
署名属性の要求。トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL) が使用されている場合は、LDAP データ署名オプションをネゴシエートする必要があります。
未定義。
ベスト プラクティス
- [ドメイン コントローラー: LDAP サーバー署名必須] は [署名属性の要求] に設定することをお勧めします。LDAP 署名をサポートしていないクライアントは、ドメイン コントローラーに対して LDAP クエリを実行することができません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
DC の有効な既定の設定 |
いいえ |
メンバー サーバーの有効な既定の設定 |
いいえ |
クライアント コンピューターの有効な既定の設定 |
いいえ |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
署名されていないネットワーク トラフィックは man-in-the-middle 攻撃を受けやすくなります。このような攻撃では、サーバーとクライアント デバイスとの間のパケットを侵入者がキャプチャして変更し、クライアント デバイスに転送します。LDAP サーバーの場合、攻撃者によって、クライアント デバイスが LDAP ディレクトリからの偽のレコードに基づいて判断させられる可能性があります。組織のネットワークでそのような侵入のリスクを軽減するために、強力な物理セキュリティ対策を実装し、ネットワーク インフラストラクチャを保護することができます。また、IP トラフィックの相互認証とパケットの整合性を実現する、インターネット プロトコル セキュリティ (IPsec) 認証ヘッダー モードを実装すると、あらゆる種類の man-in-the-middle 攻撃が難しくなります。
対策
[ドメイン コントローラー: LDAP サーバー署名必須] の設定を [署名属性の要求] に構成します。
考えられる影響
LDAP 署名をサポートしていないクライアント デバイスは、ドメイン コントローラーに対して LDAP クエリを実行することができません。