ネットワーク セキュリティ: 必須の署名をしている LDAP クライアント
適用対象
- Windows 11
- Windows 10
IT プロフェッショナル向けのこのセキュリティ ポリシー リファレンス トピックでは、このポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。 この情報は、少なくとも Windows Server 2008 オペレーティング システムを実行しているコンピューターに適用されます。
リファレンス
このポリシー設定は、LDAP BIND 要求を発行するクライアント デバイスに代わって要求されるデータ署名のレベルを決定します。 データ署名のレベルについては、次の一覧で説明します。
- なし。 LDAP BIND 要求は、呼び出し元が指定したオプションで発行されます。
- 署名をネゴシエートします。 トランスポート層のセキュリティ/セキュリティ ソケット層 (TLS/SSL) が開始されていない場合、LDAP BIND 要求は、呼び出し元が指定したオプションに加えて LDAP データ署名オプションを設定して開始されます。 TLS/SSL が開始されている場合、LDAP BIND 要求は呼び出し元が指定したオプションで開始されます。
- 署名が必要です。 このレベルは、 ネゴシエート署名と同じです。 ただし、LDAP サーバーの中間 saslBindInProgresss 応答が LDAP トラフィック署名が必要であることを示していない場合、呼び出し元は LDAP BIND コマンド要求が失敗したことを示すメッセージを返します。
このポリシー設定の誤用は、データの損失やデータ アクセスやセキュリティの問題を引き起こす可能性がある一般的なエラーです。
値
- なし
- ネゴシエート署名
- 署名を要求する
- 定義されていません
ベスト プラクティス
- [ネットワーク セキュリティ: LDAP クライアント署名要件] と [ドメイン コントローラー: LDAP サーバー署名要件] 設定の両方を [署名が必要] に設定します。 署名されていないトラフィックの使用を回避するには、クライアント側とサーバー側の両方を署名が必要に設定します。 いずれかの辺を設定しないと、クライアント コンピューターがサーバーと通信できなくなります。 この防止により、ユーザー認証、グループ ポリシー、ログオン スクリプトなど、多くの機能が失敗する可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、実際のポリシー値と有効なこのポリシーの規定の値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 未定義 |
| 既定のドメイン コントローラー ポリシー | 未定義 |
| スタンドアロン サーバーの既定の設定 | ネゴシエート署名 |
| DC の有効な既定の設定 | ネゴシエート署名 |
| メンバー サーバーの有効な既定の設定 | ネゴシエート署名 |
| クライアント コンピューターの有効な既定の設定 | ネゴシエート署名 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。
再起動の必要性
なし。 変更は、ローカルに保存されたとき、またはグループ ポリシー経由で配布されたときに、デバイスを再起動しなくても有効になります。
グループ ポリシー
この設定を変更すると、クライアント デバイス、サービス、アプリケーションとの互換性に影響する可能性があります。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
署名されていないネットワーク トラフィックは、侵入者がクライアント コンピューターとサーバーの間のパケットをキャプチャし、それらを変更してサーバーに転送する中間者攻撃の影響を受けやすいです。 LDAP サーバーの場合、この脆弱性は、攻撃者が LDAP クエリからの false または変更されたデータに基づいてサーバーに決定を下す可能性があることを意味します。 ネットワークでこのリスクを減らすために、ネットワーク インフラストラクチャを保護するための強力な物理的なセキュリティ対策を実装できます。 また、IPsec 認証ヘッダーを介するすべてのネットワーク パケットにデジタル署名を必要とする場合は、すべての種類の中間者攻撃を困難にすることができます。
対抗策
[ネットワーク セキュリティ: LDAP クライアント署名要件] 設定を [署名が必要] に構成します。
潜在的な影響
LDAP 署名を要求するようにクライアントを構成した場合、署名要求を必要としない LDAP サーバーとの通信が失敗する可能性があります。 この問題を回避するには、[ ネットワーク セキュリティ: LDAP クライアント署名要件 ] と [ドメイン コントローラー: LDAP サーバー署名要件 ] 設定の両方が [ 署名が必要] に設定されていることを確認します。