セキュリティ アドバイザリ: ADV190023の対応について
拝啓 益々ご健勝のこととお慶び申し上げます。
平素は格別のお引き立てにあずかり、厚く御礼申し上げます。
表題の件につきまして弊社製品への影響などお知らせいたします。
- 記 -
1.概要
Microsoft社より2020年3月にリリースされるセキュリティ更新プログラムによって、Active Directory におけるLDAP署名および、LDAPチャネルバインディングが既定で有効化される件につきまして変更があり
2020年後半に公開されるWindowsセキュリティ更新プログラムで、次の2点のセキュリティが強化(既定で有効化)される予定です。
(1) LDAP署名が既定で必須となる。
(2) LDAPS(LDAP over SSL)利用時のLDAPチャネルバインディングが既定で必須となる。
Active Directory環境へセキュリティ更新プログラム適用すると、弊社製品からActive Directoryへの接続に失敗する可能性があります。
今後の状況によっては変更する場合がありますのでご注意願います。
追記
2/4(米国時間)にMicrosoft社アドバイザリADV190023の情報がアップデートされました。
2020年3月のセキュリティ更新プログラムでは、LDAP署名およびLDAPチャネルバインディングに関する監査イベントやログの追加、グループ ポリシーの名称変更が行われます。
ただし、LDAP署名およびLDAP チャネルバインディングの設定値は変更されません(既定では有効化されません)。
・2020年後半のセキュリティ更新プログラムで配信(既定で有効に設定)される予定です。
2.対象製品
AMS Z!BootOS
AMS Z!Stream
Snet Secure
ezsCOMMUNICATION
vICS
3.回避策
Microsoft社より当該リリースが正式に行われるまでは、弊社製品での対応が難しいため、自動アップデートを有効でご利用中の環境におかれましては、無効に変更いただくことについて、ご検討いただけますようお願い申し上げます。
弊社製品での対応または、回避策等につきましては確認でき次第、ホームページなどでお知らせさせていただく予定です。
以上
参考情報
LDAP署名およびLDAPチャネルバインディングの設定変更(有効化/無効化)方法は、次のMicrosoft社情報を参照ください。
Windows Server 2008 で LDAP 署名を有効にする方法
https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
[AD管理者向け] 2020年 LDAP署名とLDAPチャネルバインディングが有効化。確認を!
https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/
ADV190023 | LDAPチャネルバインディングとLDAP署名を有効にするためのマイクロソフトガイダンス
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
2020年2月14日
ソフト・オン・ネット ジャパン株式会社