#はじめに
ADFSサーバーのWindowsトランスポートエンドポイントへのアクセス(Proxy)を無効化する方法に関して記載しています。ADFSサーバーのWindowsトランスポートエンドポイントですが、デフォルトインストールを行った場合、「有効」になっています。
この設定が有効となり、インターネットにADFS Proxy(WAP)などを利用して公開されている場合、インターネットから、NTLMログインを試行することができるるようになります。また、ADFSのロックアウト保護機構をバイパスすることができる可能性があります。
#外部にWindowsトランスポートエンドポイントが公開されていることを確認
STSにアクセスしてエンドポイントが公開されているか確認します。公開されている場合、下記のような認証画面が表示されます。
https://sts-servername/adfs/services/trust/2005/windowstransport
上記のように認証ダイヤログが表示されます。認証用のユーザーID、パスワードの入力画面が表示された場合、エンドポイントが公開されているため、ユーザーID・パスワードを外部から入力されてしまい、ID・パスワードを破られる可能性があります。
#無効化作業
ADFSサーバーに管理者としてログオンします。ADFSサーバーが複数台ある場合、プライマリサーバーにログオンします。(他のサーバーの場合、管理ツールが動きません。)
ADFSサーバーで、ADFS管理ツールを起動します。 サーバーマネージャー 「ツール」―「ADFSの管理」を選択します。
画面左側で、「ADFS」「サービス」「エンドポイント」の順に選択します。
URLパス「/adfs/services/trust/2005/windowstransport」を選択します。 行の左端の「有効」、「プロキシ有効」の両方が「はい」となっています。
この行を選択して、右クリックもしくは、画面左側の「プロキシに対して無効にする」を選択します。
警告画面が表示されるので、「OK」をクリックします。
設定を行うと、該当行のプロキシ有効が「いいえ」に変わります。ADFSの管理画面を閉じます。
#サービスの再起動
ADFSサービスの再起動を行います。ADFSサービスの再起動は、すべてのADFSサーバーで実施します。サーバーマネージャーの「ツール」「サービス」を選択します。
サービス画面が表示されたら、「Active Directory フェデレーションサービス(ADFS)を選択し右クリック、「再起動」をクリックして、サービスを再起動します。
#エンドポイント無効化の確認
ADFSサーバーでWindowsトランスポートエンドポイントへのアクセスが無効化(公開されていない)ことを確認します。
再度ブラウザーで、下記のWindowsトランスポートエンドポイントにアクセスを行います。
URL https://sts-servername/adfs/services/trust/2005/windowstransport
下記のようなサービスが利用できない旨の表示が出ます。
