KB5005413: Active Directory 証明書サービス (AD CS) に対する NTLM リレー攻撃の軽減

主な軽減策

AD CS サーバーで EPA を有効にし、HTTP を無効にすることをお勧めします。 インターネット インフォメーション サービス (IIS) マネージャーを開き、次の操作を行います。

1. 証明機関 Web 登録の EPA を有効にします。セキュリティが強化され、推奨されるオプションである 必要 があります。

   

2. 証明書登録 Web サービスの EPA を有効にする。セキュリティで保護され推奨されるオプションである必要があります:
   
   
   
   UI で EPA を有効にした後、CES ロールによって作成されたWeb.config ファイル (<%windir%>\systemdata\CES\<CA Name>_CES_Kerberos\web.config も、上記の IIS UI で選択されている [WhenSupported] または [Always] の値で設定< extendedProtectionPolicy>を追加することで更新する必要があります。

   注:  [常に] 設定は、UI が [必須] に設定されている場合に使用されます。これは推奨され、最も安全なオプションです。

   extendedProtectionPolicy で使用できるオプションの詳細については、「基本的なHttpBinding>のトランスポート><<」を参照してください。 最も使用される可能性の高い設定は次のとおりです。

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. [ SSL が必要] を有効にします。これは HTTPS 接続のみを有効にします。
   
   

その他の軽減策

主な軽減策に加えて、可能な場合は NTLM 認証を無効にすることをお勧めします。 次の軽減策は、より安全から安全性の低い順に一覧表示されます。

• Windows ドメイン コントローラーで NTLM 認証を無効にします。 これは、「 ネットワーク セキュリティ: NTLM を制限する: このドメインの NTLM 認証」のドキュメントに従うことで実現できます。

• グループ ポリシー [ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィック] を使用して、ドメイン内のすべての AD CS サーバーで NTLM を無効にします。 この GPO を構成するには、グループ ポリシーを開き、[コンピューターの構成] -> [Windows 設定] -> [セキュリティ設定] -> [ローカル ポリシー] -> [セキュリティ オプション] に移動し、[ネットワーク セキュリティの制限: NTLM: 着信 NTLM トラフィックをすべてのアカウントを拒否] または [すべてのドメイン アカウントを拒否] に設定します。  必要に応じて、[ ネットワーク セキュリティ: NTLM を制限する: このドメインにサーバーの例外を追加する] の設定を使用して、必要に応じて例外を追加できます。

• "証明機関 Web 登録" または "証明書登録 Web サービス" サービスを実行しているドメイン内の AD CS サーバーで、インターネット インフォメーション サービス (IIS) の NTLM を無効にします。

IIS マネージャー UI を開くには、Windows 認証を Negotiate:Kerberos に設定します。 

詳細については、「Microsoft セキュリティ アドバイザリ ADV210003」を参照してください。