ドメイン コントローラー: LDAP サーバー署名必須
適用対象
- Windows Server
この記事では、[ ドメイン コントローラー: LDAP サーバー署名要件 ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーで LDAP クライアントがデータ署名をネゴシエートする必要があるかどうかを決定します。
署名されていないネットワーク トラフィックは、中間者攻撃の影響を受けやすくなります。侵入者は、サーバーとクライアント デバイスの間のパケットをキャプチャし、クライアント デバイスに転送する前にそれらを変更します。 LDAP サーバーの例では、悪意のあるユーザーによって、クライアント デバイスが LDAP ディレクトリからの false レコードに基づいて決定を下す可能性があります。 ネットワーク インフラストラクチャを保護するための強力な物理的なセキュリティ対策を実装することで、企業ネットワークでこのリスクを減らすことができます。 さらに、IP トラフィックの相互認証とパケット整合性を提供するインターネット プロトコル セキュリティ (IPsec) 認証ヘッダー モードを実装すると、すべての種類の中間者攻撃が困難になる可能性があります。
この設定は、SSL (LDAP TCP/636) を介した LDAP 単純バインドには影響しません。
署名が必要な場合、SSL を使用しない LDAP 単純バインドは拒否されます (LDAP TCP/389)。
注意: サーバーを [署名が必要] に設定した場合は、クライアント デバイスも設定する必要があります。 クライアント デバイスを設定しないと、サーバーとの接続が失われます。
値
- なし。 サーバーとのバインドには、データ署名は必要ありません。 クライアント コンピューターがデータ署名を要求した場合、サーバーはそれをサポートします。
- 署名が必要です。 トランスポート層のセキュリティ/セキュリティソケット層 (TLS/SSL) が使用されている場合を除き、LDAP データ署名オプションをネゴシエートする必要があります。
- 定義されていません。
ベスト プラクティス
- ドメイン コントローラー: LDAP サーバーの署名要件を [署名が必要] に設定することをお勧めします。 LDAP 署名をサポートしていないクライアントは、ドメイン コントローラーに対して LDAP クエリを実行できません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、実際のポリシー値と有効なこのポリシーの規定の値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 未定義 |
| 既定のドメイン コントローラー ポリシー | 未定義 |
| スタンドアロン サーバーの既定の設定 | 未定義 |
| DC の有効な既定の設定 | なし |
| メンバー サーバーの有効な既定の設定 | なし |
| クライアント コンピューターの有効な既定の設定 | なし |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。
再起動の必要性
なし。 変更は、ローカルに保存されたとき、またはグループ ポリシー経由で配布されたときに、デバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
署名されていないネットワーク トラフィックは、中間者攻撃の影響を受けやすいです。 このような攻撃では、侵入者がサーバーとクライアント デバイスの間のパケットをキャプチャし、それらを変更してから、クライアント デバイスに転送します。 LDAP サーバーに関して、攻撃者はクライアント デバイスが LDAP ディレクトリからの false レコードに基づいて決定を下す可能性があります。 組織のネットワークへのこのような侵入のリスクを減らすために、ネットワーク インフラストラクチャを保護するための強力な物理的なセキュリティ対策を実装できます。 また、IP トラフィックの相互認証とパケット整合性を実行して、すべての種類の中間者攻撃を困難にするインターネット プロトコル セキュリティ (IPsec) 認証ヘッダー モードを実装することもできます。
対抗策
[ドメイン コントローラー: LDAP サーバー署名要件] 設定を [署名が必要] に構成します。
潜在的な影響
LDAP 署名をサポートしていないクライアント デバイスは、ドメイン コントローラーに対して LDAP クエリを実行できません。