Active Directoryに影響がある月例パッチまとめ

Windows環境の認証基盤であるActive Directoryの動作に影響を与える月例パッチがいくつかリリースされています。なぜ動作に影響を与えるようなパッチが出ているかというと脆弱性対応のためです。以下の段階的なフェーズを経て最終的には仕様変更が強制されます。

1. 仕様変更の影響を受けるものがいればイベントログにログが出るようになる
2. 仕様変更をレジストリでオン・オフ切り替えられる（切り替えても問題ないかの確認用）
3. 強制適用フェーズに移行して動作仕様変更が無効化できなくなる

モノによってはグループポリシーなどで除外設定ができる場合がありますが、そういった救済策がないものもあります。Active Directoryの運用や移行作業に影響を与えるため、これらの仕様変更を把握して対策を考える必要があります。

2023年3月末時点で私が確認できた動作影響のある月例パッチを紹介します。
脆弱性対応に関係するものであるため、CVE識別番号で記載します。

CVE-2020-1472

• ドメインコントローラーがのっとられる脆弱性Zerologonへの対応
• 2020年8月～2021年1月のパッチ適用で影響を受けるマシンに関するログがイベントログに出力されるようになる
• 2021年2月以降のパッチ適用で強制適用モードへ移行
• グループポリシーで対応不可なマシンを除外設定することが可能
• 詳細情報：CVE-2020-1472 に関連する Netlogon のセキュリティで保護されたチャネルの接続の変更を管理する方法

CVE-2021-42287

• Kerberos認証で使われるチケットの仕様が変更される
• 2021年11月～2022年9月のパッチ適用でチケット発行の仕様が変更される。ただし、古い仕様のチケットが使われても認証を拒否しない。古い仕様のチケットが使われるとログに出力される。
• 2022年10月以降のパッチ適用で古い仕様のチケットが使われた際に認証を拒否する。
• Kerberosチケットのキャッシュ有効期間がデフォルト7日間であるため、2021年11月～2022年9月のパッチを適用したドメインコントローラで7日以上運用してイベントログに認証拒否される可能性のあるログが出なくなれば2022年10月以降のパッチを適用しても問題ない。
• パッチの適用状況が異なるドメインコントローラが環境内に混在すると互換性がない状態となる。（認証が成功したり失敗したりするような状況が発生すると考えられます）
• 詳細情報1：CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて
• 詳細情報2：KB5008380 - 認証の更新プログラム (CVE-2021-42287)

CVE-2022-37966

• 既定の暗号化タイプが指定されていないアカウントに対してKerberos認証で使われる暗号化タイプがAESを使用されるようになる
• 2022年11月以降のパッチで仕様変更される。 ※2022年11月のパッチには不具合があるため、2023年1月以降のパッチ推奨
• 以下の3条件を満たすとこの仕様変更で認証エラーが発生する可能性あり
  • Windows OS 以外のサードパーティー製品である
  • kerberos 認証の暗号化方式として AES に対応していない製品である
  • 対象製品に紐づくコンピューターオブジェクトまたはサービスアカウントの msDS-SupportedEncryptionTypes 属性が未設定もしくは、0 である
• 詳細情報1：CVE-2022-37966 への対応とその影響について
• 詳細情報2：KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法

CVE-2022-37967

• Kerberosチケットの仕様が変更される。（PAC バッファー領域にPAC 署名を追加する動作となるらしい。）
• 2022年12月～2023年6月のパッチ適用で動作仕様が変更される。拒否はせず、イベントログにログが出るようになる。
• 2023年7月～2023年9月（予定）のパッチ適用で初期強制フェーズとなる。レジストリ設定をおこなうことで無効化はできる。
• 2023年10月以降（予定）のパッチ適用で強制フェーズとなる。無効化不能。
• パッチ適用状況が異なるドメインコントローラが存在すると互換性がない状態となる。
• 内容的にはCVE-2021-42287と似ている。
• 詳細情報：CVE-2022-37967 への対応とその影響について

CVE-2022-38023

• NetLogonの脆弱性対応のため、RPCシールを利用したセキュアチャネルが作成されるようになる
• 2022年11月～2023年3月のパッチ適用ですべてのWindowsOSでRPCシールを利用した通信に切り替わる。WindowsOSでRPCシールを使っていない場合は拒否されるが、サポート外のOSでなければ問題ない。サードパーティ製品はRPCシール非対応でも認証拒否されない。
• 2023年4月～2023年6月（予定）のパッチ適用でレジストリで明示的に互換モードを指定しないと非対応のサードパーティ製品も認証拒否される
• 2023年7月以降（予定）のパッチ適用で完全強制フェーズへ移行。
• グループポリシーにより除外設定が可能。
• 詳細情報：CVE-2022-38023 への対応とその影響について

その他

• Active Directory のアクセス許可の更新プログラム ( CVE-2021-42291 / KB5008383)

  • ドメイン管理者権限がないユーザで一部のLDAP操作を実施すると拒否されるようになります。
  • 強制モードは、2023 年 4 月 11 日以降のパッチで実装される予定

• ユーザー プリンシパル名、サービス プリンシパル名、サービス プリンシパル名のエイリアスの一意性の検証 (CVE-2021-42282 / KB5008382)

  • 2021年11月以降のパッチ適用でActive Directory で利用されるUser Principal Name (UPN) および Service Principal Name (SPN) の一意性、そしてSPN アリアスの一意性が検証されるようになります。
  • 万が一影響が出た場合、一意性検証を無効化する設定はあるようです。

• Active Directory セキュリティ アカウント マネージャーの変更の強化 (CVE-2021-42278 / KB5008102)

  • 2021年11月以降のパッチ適用で管理者権限がないユーザでコンピュータアカウントの特定の属性に対する操作を行った場合に拒否する

• コンピューターアカウント再利用時のドメイン参加におけるセキュリティ強化について[KB5020276]

  • 2022年10月以降のパッチ適用で既存のコンピュータオブジェクトを利用してドメイン参加しようとすると失敗する可能性あり

まとめ

Active Directoryの動作に影響を与える可能性のある仕様変更、月例パッチを列挙しました。それぞれの環境によって影響を受ける・受けないが変わってくるため、各仕様変更の内容を確認して影響があるかないかを見極める必要があります。とはいえ、仕様変更の内容を精査しても影響があるかどうか見極めるのが困難なことが多いと思います。ですので安全に進めていくのであれば、次のような段階的なパッチ適用を検討することになるでしょう。

1. 強制フェーズへ切り替わる直前のパッチまでを適用してしばらく運用する
2. イベントログを確認し影響がある機器があるかどうかを判断。影響を受ける場合は機器側で対応したり、除外設定ができないか確認する
3. 問題ないと判断できれば強制フェーズ以降のパッチを適用

今後も新たな脆弱性が見つかれば新しい仕様変更を伴う月例パッチが出てくるでしょうし、今時点で予定されている強制フェーズへの移行スケジュールが変更されるとがありえます。月次パッチをドメインコントローラへ適用する際には予期せぬ障害を未然に防ぐためにも常に最新の情報を確認しましょう。