CVE-2021-42287とActive DirectoryにバインドされたmacOSデバイスに関する警告

脆弱性の詳細

2021年秋、MicrosoftはActive Directory Domain Services（ADDS）において、深刻なセキュリティ問題、CVE-2021-42287を発見しました。この脆弱性により、攻撃者はドメインコントローラになりすますことができます。この問題は、Kerberos Privilege Attribute Certificate（PAC）に影響するセキュリティバイパスの脆弱性です。

Microsoftは、この問題に関する詳細と、修正ガイドを同社のサポートサイトで発表しましたが、修正措置を実施すると、修正されたサーバーでmacOSがActive Directoryにバインドできなくなるという二次的な問題が発生するということが分かりました。

対応推奨事項

• 環境の評価：macOSをActive Directoryドメインコントローラにバインドする必要がない場合、何もする必要はありません。しかし、共有デバイスを使う多くの企業は、ADへのバインドによりユーザアカウントの一元管理を行っています
• Active Directoryの保護：上述のMicrosoftによる修正措置を実施する際、PacRequestorEnforcementのレジストリキーを「1」に設定し、macOSデバイスがドメインコントローラと通信することをご確認ください
• Appleにフィードバック提出：デバイスをADにバインドするようにワークフローが要求する場合、影響を受けたデバイス数、ユースケース、お客様への影響を明確にAppleに報告してください
• 将来の計画：Microsoftは2022年7月12日以降、ドメインコントローラの検証を実施します。この間、ドメインコントローラは検証段階に入り、組織のインフラによっては、ADDSを使って認証を行っているmacOSデバイスにはアクセスできなくなる可能性があります。事業を継続するために代替案の検討を推奨します

バインドが必要なくなる未来

Microsoftは今後何かしらのアクションを取るかもしれませんが、バインド方法の変更が実行されると、ワークフローのサポートが困難になります。同時に、今日の作業環境は明らかにリモートやハイブリッドに移っており、組織の多くがデバイスの管理やアプリケーションとサービス、アクセス、アイデンティティサービスをクラウド型に移行しています。つまり、組織のリソースやインフラをクラウド化することで、ドメインにバインドして利用する機能の必要性が少なくなっています。

Jamf Connectは、macOSで動くAppleのコンピュータに、クラウドID認証情報を使用したユーザアカウントを提供し、集中管理権限によるアカウントへのアクセスを確保します。そしてオンサイトかオフサイトかに関わらず、ADへのバインドなしに認証情報を同期させることを可能にします。

リモートで作業する場合、ユーザは組織の認証情報（オンプレミスで使用するのと同じ使い慣れたユーザ名とパスワード）を使ってMacにログインすることができます。IT管理者は、アイデンティティプロバイダー（IdP）のクラウド型ディレクトリサービスの力を借りて、誰がローカルアカウントの管理者権限を取得するかを決定します。また、シングルサインオン（SSO）により、ユーザはマネージドデバイスとサービス用にパスワードを1つだけ記憶すれば済むので、パスワード忘れに関するヘルプデスクへの問い合わせも減少します。

オフィスで作業する場合、Jamf ConnectはActive Directoryにバインドせずに、Kerberos証明と同じ認証情報を使用します。そして、Kerberosのチケットにより、オンサイトの共有リソースにシームレス、かつ安全にアクセスできるようになります。

制限

マネージドユーザ、またはMDM対応のユーザ

バインドの削除は、計画的に行う必要があります。管理者は、ADアカウントでMacの認証をしているユーザ全員がユーザチャネルの構成プロファイルにアクセスできることを考慮しておく必要があります。バインドがない場合、自動デバイス登録時に作成された最初のアカウントや、ユーザ主導の登録プロセスでMDMにデバイスを登録したユーザのみが、ユーザレベルの構成プロファイルを利用することができます。

どのプロファイルがユーザレベルの対象となるかは、MDMサーバでお客様のMacに適用された構成プロファイル一覧を確認し、評価してください。

デバイスが一人に一台配布されている場合には、プロファイルがコンピュータレベルに適用されてもほとんど問題はないはずです。例えば、車の鍵を持っているのが自分一人の場合、運転免許証が車の中にあっても、手元の財布の中にあっても違いはないはずです。

Ciscoのネットワークセキュリティ製品には、ユーザレベルの証明書ベースのアクセスで、ユーザをネットワーク上で追跡するものがあります。IT管理者は、ここまでのレベルのトラッキングの必要性を評価し、Jamf Private Accessをはじめとした最新のクラウド型のネットワークセキュリティ製品への移行を考慮する必要があるでしょう。

802.1x RADIUSネットワーク

Jamf Connectでは、クラウド型IdPに対して認証を行うためのネットワーク接続が必要になります。ユーザベースの802.1x RADIUSアクセス（ユーザ名とパスワードまたは証明書のいずれかを使用）は、このシナリオでは不可能です。

ログイン画面はルートユーザが所有しています。セキュリティを満たすため、ルートにはストレージがなく、認証情報や証明書を安全に保管できるmacOSのキーチェーンもないので、ユーザレベルの認証情報は使用できません。

管理対象デバイスは、管理された証明書を使用して、管理されたネットワークにアクセスする必要があります。このシナリオにおいて管理者は、RADIUSネットワークへアクセスするために、マシンベースのSCEP証明書をコンピュータレベルの構成プロファイルに設定する必要があります。これでセキュリティを多層化し、ユーザが誰一人ログインしていないとしても、管理者とMDMのコマンドによってデバイスにアクセスできるようになります。