Windows ドメイン コントローラのセキュリティ設定の重要な変更
2022年5月、MicrosoftはWindowsに重要なセキュリティ更新プログラムをリリースし、CVE-2022-34691、CVE-2022-26931、CVE-2022-26923として特定された複数の脆弱性に対処しました。これらの脆弱性は、Kerberos鍵配布センター(KDC)で使用される証明書ベースの認証システムのサービスプロセスを特に標的とする、権限昇格(EoP)の脆弱性に関連しています。
この問題は特にWindowsドメインコントローラー(DC)に影響を及ぼし、マシン名の末尾にあるドル記号(「$」)を認識できませんでした。この見落としにより、サイバー犯罪者が様々な悪意ある方法で証明書を偽装する機会が生じました。これに対し、Microsoftは過去数年間にわたり、システムの互換性を維持しながらIT管理者のスムーズな移行を支援するための一連のアップデートを導入してきました。
今後のパッチ火曜日のアップデート
9月9日現在、次回のパッチ火曜日のアップデートで重要な変更が適用される予定です。特に、Key Distribution Centerレジストリキーはサポート対象外となります。Microsoftは2022年5月に導入された短期的な回避策として、StrongCertificateBindingEnforcementレジストリキーを提供していました。このキーにより、IT管理者は証明書ベースのマッピングと認証を互換モードでのみ引き続き利用することができ、定義された値に基づくさまざまなユーザー認証検証方法とフォールバックメカニズムを利用できるようになりました。
証明書のバックデートキーの影響
StrongCertificateBindingEnforcementキーに加えて、CertificateBackdatingCompensationという別のレジストリキーも9月に変更されます。このキーも互換モードのサポートを目的としており、証明書の時刻がユーザーの作成時刻より前であれば、より弱い証明書マッピングであってもユーザー認証を許可していました。しかし、今後のアップデート以降、弱い証明書マッピングの使用は禁止されます。以前の設定では重要なセキュリティチェックが事実上無効になっていたことを考えると、この変更の根拠は理にかなっています。
互換モードからの移行
IT管理者の皆様は、9月10日以降に完全適用モードを有効にすると、互換モードに戻すことができなくなることにご注意ください。この変更は、Windowsドメインコントローラーのセキュリティ体制の向上に向けたMicrosoftのコミットメントを強調するものであり、組織がコンプライアンスを遵守するだけでなく、潜在的な脅威からも保護されることを保証します。
これらの変更に関する詳しい情報については、Windows ドメイン コントローラーを管理する IT プロフェッショナルは、Microsoft の包括的なガイダンスを参照することをお勧めします。
コメントを残す