treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

今後のWindows Updateに不安な予告が(ただしActive Directory環境)

WindowsUpdate

3月のWindows Updateに要注意と思われるMicrosoftからの予告がメールで入電してきたのですが、よく調べると、3月に実施から今年の後半に延期されました、ということのよう。
Active Directoryに影響がありそうなこの内容、ご報告します。

Microsoftからのメール

ある日、メールが来ました。

f:id:treedown:20200212190723p:plain
そのメールは件名に「Microsoft Security Update Minor Revisions」とあり、内容は以下のような内容でした。
英文だけど日本語にしてみると、以下。
--------------------------------------------------------------
***************************************************** **********************************
タイトル:Microsoft Security Update Minor Revisions
発行:2020年2月4日
***************************************************** **********************************
概要
=======

次のアドバイザリは、マイナーリビジョンの増分を受けています。

* ADV190023


改訂情報:
======================

-ADV190023 | LDAPチャネルバインディングとLDAPを有効にするためのMicrosoftガイダンス
署名
-https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023


-改訂理由:推奨されるアクションセクションに、次の情報を追加しました
LDAPの強化を可能にするための2020年3月の更新に含まれる内容の詳細
チャネルバインディングとLDAP署名。将来の毎月に関する情報が含まれています
ドメインコントローラでLDAP署名とチャネルバインディングを行う更新
これらの設定のデフォルト値で構成されています。これらは情報提供です
変更のみ。
-当初の投稿:2019年8月13日
-更新:2020年2月4日
-総CVE深刻度:N / A
-バージョン:1.3

--------------------------------------------------------------

※文中のアドバイザリ情報ページ日本語:

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190023

フーム。
本文には、「LDAPの強化を可能にする、2020年3月の更新に含まれる内容の詳細」(in the March 2020 updates to enable hardening LDAP)という記載があり、「LDAP署名(LDAP Signing)」とか「ドメインコントローラでLDAP署名とチャネルバインディングを行う更新(update that will LDAP signing and channel binding on domain controllers)」という記載があります。

MS製品で署名絡みの更新プログラムって、不具合しか記憶がないな…、注意が必要な気がしてきます。

他ソースを調べてみる

もうちょっと、詳しい解説がないものか、と思い、「ADV190023」をキーワードにさぐってみることにしました。
そのなかで「Microsoft Security Response Center」の記事に同じ内容と思われる記載がありました。こちらのほうがわかりやすそう。
■[AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を!
https://msrc-blog.microsoft.com/2019/10/02/ldapbinding/

おそらくADV190023が合致しているので間違いないだろうと判断。
これを読むと、
「2020 年後半に、Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、LDAP 署名、およびLDAP チャネルバインディング (LDAPS 利用時)を既定で有効化します。」
と記載がありました。メールには2020年3月の更新に含まれるセキュリティの更新プログラムが対象と読み取れましたが、解説ページ内の注釈1の箇所に「2020 年 2 月 5 日時点では、2020 年後半を予定しています。」という記載が見て取れます。どうやら延期してくれた模様です。これは助かる。

2020年3月時点では、「LDAP署名やLDAP channel bindingが既定で有効となる前段階として必要とされる変更が更新プログラムによって実施される(らしい)ということのようです。具体的には「監査イベントやログの追加、GPO 上の変更」と記事で挙げられています。
そして、(恐らく)準備用の更新プログラム配布である2020年3月の段階において、LDAP署名やLDAP channel bindingが変更されることはないようで。

実際の変更は"2020年後半を予定している"(正確には2020年後半に延期した)ということのよう。

せっかく時間に猶予ができたので、Active Directoryの検証をしておくほうがいいのかも。