制約のない委任について
わりと大きな問題になるんじゃないかと思ってます。(注意喚起)
ざっくり意訳すると、『信頼関係先のドメイン内でアプリケーションサーバー等に「制約のない委任」を設定している場合、その委任設定が無視され、委任が無効になる』です。
※本当にざっくり説明
一番危ないのは「2019 年 7 月 10 日」の品質更新プログラム
このタイミングで「EnableTGTDelegation」フラグが無視されるようになります。
私が把握している情報内で、もう少し詳しく書いて行きます。
まず、対象となるOSのバージョンは「Windows Server 2012以降」または、「2019年3月13日の品質更新プログラムを適用したWindows Server 2008/2008R2」(のAD)
上記対象のOSでは、「EnableTGTDelegation」フラグというものが搭載されており、このフラグで「制約のない委任」を許可するかどうかを管理しています。※このフラグはフォレストの信頼関係毎に設定できる
執筆時点(2019年4月)では、このフラグは既定で「有効」となっており、特に何も意識しなくても信頼関係先で設定されている「制約のない委任」を使用したアプリケーション等を信頼関係元から使用することができます。
※ただし、制約のない委任は「フォレストの信頼関係のみ」が利用可能で、外部信頼では使用不可能
次に、2019年5月15日に予定されている品質更新プログラムを適用すると、これまで既定で有効だった「EnableTGTDelegation」フラグが既定で無効になります。
ただし、既に設定済みの信頼関係には影響なく、品質更新プログラム適用後に新規で作成する信頼関係のみに影響があります。
このタイミングで「EnableTGTDelegation」フラグとは別の管理フラグが作成され、「制約のない委任」は新しいフラグで管理することができるようになるとのことです。※ここは詳細がまだ不明確
最後に、「2019 年 7 月 10 日」の品質更新プログラムを適用すると、「EnableTGTDelegation」フラグが無視され、2019年5月に提供予定の新しい管理フラグで許可しない限り、既に制約のない委任が有効になっている信頼関係に対しても委任が無効化される状態となります。
かなりわかりにくい表現ではありますが、個人的には正直かなりのインパクトがあるのではないかと考えています。
そのため、まずは早々に上記URL内にある「制約のない委任を利用するサービスを見つける」欄を参考に、信頼関係先ドメイン内で制約のない委任が設定されていないかどうかを確認し、制約のない委任が設定されている場合は、2019年5月に提供予定の新しい管理フラグを使用して、委任を許可する設定に移行する準備を進めることをおすすめします。
正直、5月に提供されて7月に強制されるのは期間として短すぎるよなーとは思いますが、Microsoftさん曰く、「わりと昔から指摘されているセキュリティの部分のため、延期の可能性はあっても、この件(管理フラグの変更)が無くなることはないではないか」とのことでした。
詳細は上記URLが都度更新されると思いますので、そちらを都度ご確認いただくか、直接Microsoft社へお問い合わせいただくことをお勧めします。
