|
printed by () 2024/04/26 21:59:38
|
| FAQ#: 6100140 / Windows AD の Zerologon脆弱性 (CVE-2020-1472) について |
FAQ情報:
|
|
| Votes: |
0 |
| 結果: |
0.00 % |
| Last update: |
2020/10/31 13:50:52 |
|
|
|
Question: (公開)
| Windows AD の Zerologon脆弱性 (CVE-2020-1472) について |
|
|
Answer: (公開)
この FAQ では、2020年8月に配布された Windows Update に含まれる Netlogon の脆弱性
(CVE-2020-1472) 対策について、FOBAS CSC の影響についてまとめています。
まず、FOBAS CSC では、SMB プロトコルの実装として、Samba を利用しておりますが、
ドメインコントローラとしての動作は行いませんので、本脆弱性による影響はございません。
以下は、Samba コミュニティが発表している、今回の脆弱性に関する影響の情報です。
https://www.samba.org/samba/security/CVE-2020-1472.html
Microsoft 社では、本脆弱性に対して2段階の対応を予定しています。
https://support.microsoft.com/ja-jp/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
2020年8月の Windows Update では、脆弱な Netlogon の実行をイベントログに記録する
修正が行われています。2021年2月に予定されている Update では、セキュアモードでの
Netlogon を強制する変更が行われる予定です。
FOBAS CSC Ver.4.x では、Sambaのバージョンは、4.8.x となっておりまして、
初期状態でセキュアモードでの Netlogon を利用する設定となっており
この Update による影響はありません。
FOBAS CSC Ver.3.x をお使いのお客様では、Samba の設定状態によって、
この Update の影響をうける可能性があります。
以下の手順にて、設定の確認、および必要に応じて対策をお願いいたします。
1) コマンドにより Samba の Netlogon 設定状態を確認する。
# testparm --verbose | grep schannel
表示される、"client schannel", "server schannel" が共に "Yes" の場合
対応は必要ありません。
2) 設定が "Auto" あるいは "No" の場合、
/etc/samba/custom.conf に以下のエントリを追加する。
client schannel = yes
server schannel = yes
3) Samba の設定を再ロードする
# smbcontrol all reload-config
以上、 |
|
|
|
|