【Windows】証明書を利用した認証における脆弱性の対処について
ドメイン コントローラーでの証明書を利用した Kerberos 認証に関して、なりすましによる特権昇格の脆弱性が確認されました。 この脆弱性の影響への対処として、証明書を利用した Kerberos 認証の処理に対してセキュリティ強化が行われます。このセキュリティ強化では、Kerberos 認証において認証対象となるアカウントと証明書のマッピングの有無を確認する処理が追加されます。 この変更により、 […]
【AD基礎】ユーザー アカウントのパスワード ポリシーについて
ユーザー アカウントには、認証を行うためにパスワードを設定することができます。 パスワードの設定時において、パスワードに必要な文字数や、英文字の大文字、小文字、数字、記号などの組み合わせや複雑さの条件を指定することができます。このようなパスワードの設定において、満たす必要がある条件の規則を決めたものをパスワード ポリシーと呼びます。 Active Directory のドメイン環境でも、パスワード […]
【AD基礎】ドメイン機能レベル/フォレスト機能レベルとは?
Active Directory ドメイン サービスを利用すると、システム管理者が各端末やユーザーを一元的に管理することができます。Active Directory は Windows 2000 Server から導入されており、OS のバージョンが上がるごとに新しい機能が追加されています。 Active Directory ドメインでは複数のドメイン コントローラーを構築することができますが、端 […]
【AD基礎】AD スキーマとは?スキーマの仕組みや拡張について
Active Directory ドメイン サービスを利用すると、システム管理者が各端末やユーザーを一元的に管理することができます。管理を行うサーバーをドメイン コントローラーと呼びますが、ドメイン コントローラーでは管理している端末やユーザーをオブジェクト データとして管理しています。 ユーザーやグループ、端末などのように、ドメイン コントローラーで扱うデータには様々な種類があるため、種類ごとに […]
【解決方法】DFS Replication ID 4012 について詳細と対処策
イベント ビューアーにある [アプリケーションとサービス ログ] の配下にある、[DFS Replication] にイベント ID 4012 は、ドメイン コントローラーが長期間 SYSVOL の DFSR 複製ができない状況であったために、複製を停止している状態であることを示すイベント ログです。 今回は、DFSR ID 4012 エラーの詳細や対処策について紹介します。 イベン […]
【AD基礎】ADドメインにおける管理単位の各用語について
Active Directory ドメイン サービスとは、システム管理者が、組織内のユーザーやリソースを管理するための仕組みを提供しているサービスです。 多数の社員がおり、複数のリソース(パソコンやプリンタなど)を管理している会社や組織では、数が多くなる程、Active Directory 内で管理するアカウント数も増えます。そのため、大規模な組織を管理するドメインにおいては、構成を整理する必要が […]
【PKI応用】Windows TLS 1.0/TLS 1.1 廃止に関する仕様変更
BEAST 攻撃やダウングレード攻撃など、TLS 1.1 以下の SSL/TLS バージョンについては脆弱性が確認されています。脆弱性を利用した攻撃を受けて、SSL/TLS の暗号化された通信を傍聴されたり、改ざんされたり等のリスクから身を守るために、TLS 1.2 以上のバージョンを利用することを推奨しております。 すでに SSL 3.0 は廃止が進んでおりますが、今回、TLS 1.0、TLS […]
【AD CS】証明書テンプレートのプロパティ画面の各種設定①
Active Directory 証明書サービスを利用して、エンタープライズ CA という種類の証明機関を構築すると、証明書の発行には証明書テンプレートを指定する必要があります。証明書テンプレートとはエンタープライズ CA で使用される証明書のひな型となるもので、証明書に記載される内容や公開鍵の長さなどの設定、また証明書の発行・登録を定義したものとなります。 バージョン 2 以上の証明書テンプレー […]
【AD基礎】FSMOとは?FSMOの各役割について詳説!
Active Directory ドメイン サービスを利用すると、システム管理者が各端末やユーザーを一元的に管理することができます。管理を担っているのがドメイン コントローラーというサーバーとなりますが、その中でも特別な役割をもったドメイン コントローラーが存在します。 その特別な役割を総称して「FSMO」もしくは「操作マスター」と呼ばれます。 今回は、FSMO の各役割について詳細に紹介します。 […]
【AD CS基礎】エンタープライズCAでの証明書の発行の仕組み
Active Directory 証明書サービスでは、スタンドアロンとエンタープライズの2種類の CA を構築することができます。エンタープライズ CA の方は、Active Directory ドメイン サービスと連携して、ドメイン参加している端末が証明書を発行したり、自動で配布することができます。 今回は、ドメイン端末がエンタープライズ CA から証明書が発行される仕組みについて紹介します。 […]