CVE-2021-42287に関する2022年のアップデート

脆弱性に関する詳細：

Microsoftは2021年秋、CVE-2021-42287と呼ばれるActive Directory Domain Services（ADDS）においてセキュリティ問題を発見しました。攻撃者はドメインコントローラを偽装できる可能性があり、Kerberos Privilege Attribute Certificate（PAC）に影響を及ぼすセキュリティバイパスの脆弱性の問題です。

Microsoftのウェブサイトで問題の追加情報ならびに修復ガイダンスが公表された一方、措置を取ると修復されたサーバはActive DirectoryにmacOSをバインドできないという問題が後発することが分かりました。

初期の修正で壊れたもの：

Microsoftは2022年3月22日にCVE-2021-42287に関する情報を更新し、サードパーティのデバイスをActive Directoryに割り当てると発生する新たなエラーの情報を発表しました。「既知の問題」セクションより：

「2021年11月9日またはそれ以降にリリースされたのWindowsアップデートをインストールすると、『サードパーティによるドメイン参加のデバイスのパスワード変更』といったようなパスワードの設定や変更操作の後に、新しい監査イベントID 37がログされることがあります。」

この情報においてはmacOSデバイスは特定されていませんが、パッチが完全に実行されるとActive DirectoryへのバインドができなくなることがJamf NationのApple管理者によって分かっています。

「enforcement mode」とは何か

パッチをユーザ環境でテストすることを奨励するためにMicrosoftは、パッチを有効にログレベルを設定するためのレジストリキー（Appleの環境設定キーに同等）を作成しました。デフォルトでは、このレジストリキーは存在しないため、ソフトウェアをテストするために管理者が意図的にキーを追加する必要があります。レベル1はログのみで、レベル2はパッチを完全に有効するものでした。レベル2の強制を有効にすると、macOSデバイスをバインドできなくなります。当初Microsoftは、2022年7月12日にパッチを適用してすべてのサーバにおいて有効にする計画でした。しかし、管理者がテストならびに問題を報告できるように2022年10月11日に変更されています。

AppleデバイスをまだオンプレミスのActive Directory（AD）に割り当てている場合、Windowsサーバのリリースノートに細心の注意を払うとともに、Jamf Nationにおいても最新情報を常に入手することを強くお勧めします。特に、Apple環境に影響を与える可能性があると言及していないリリースノートには注意が必要です。

問題の修正：

パッチ、テスト、評価、ドキュメント化

Microsoftは2022年4月12日にアップデートされたパッチを発表しており、Windowsサーバを最新バージョンにアップデートする方法の詳細を紹介しています。現時点で、macOS向けのクライアントパッチの必要ありませんが、WindowsとmacOSデバイスの両方を使用している環境では、後にパッチが配布される場合を想定してWindowsとAppleのどちらのリリースチャネルにも注意を払うことが望まれます。「エラー37」の問題に対して、ベータ版とプレビュー版のリリースチャネルでWindows 11のパッチが行われています。

次に、Appleが毎年開催する開発者向けイベント、WWDCのセッションにおいて、Appleは過去3年間、企業で導入する場合極めて限られた状況を除いて、デバイスをActive Directoryにバインドしないよう指導しています。

• 複数のユーザが同じデバイスを共有している環境において、オンプレミスネットワークを離れることはありません。

• デバイスアクセスと証明書検証にPIV/CACスマートカードの要件の強制

他のあらゆる状況において、MDMを使ったデバイス管理、Kerberos SSO拡張機能といったツールを利用するなど、バインド以外の手段を検討することを強く推奨します。

バインドのない未来：

macOSデバイスをActive Directoryにバインドすることが問題になるのは今回に始まったことではありません。バインドが全くできなくなったり（2011年のOS X Lionの初期リリースの例）、またはユーザのキーチェーンの破損、FileVaultパスワードの同期エラー、エンドユーザがデバイスと認証がとれなくなるといったデバイスとAD間の接続が途切れることで発生する管理者の頭痛の種となるような問題までがあります。

Jamf Connect、Appleのエンタープライズ向けKerberosSSO拡張機能、NoMADなどのツールは特にこういった問題が発生しないよう開発されました。

同時に、働き方は確実にリモートまたはハイブリッドへと移行しており、多くの企業がデバイスやアプリケーション、アクセス、IDサービスの管理をクラウドベースで行うようになっています。さらに、リソースやインフラストラクチャがクラウドに移動されるにあたり、ドメインコントローラにバインドすることで利用できる機能の必要性はますます低くなっています。

Jamf Connectは、macOSを実行するAppleコンピュータがクラウドID資格情報を使ってユーザアカウントをプロビジョンし、一元化された管理権で安全なアカウントアクセスをできるようにします。また、ADにバインドしないでオンサイトでもオフサイトでも証明書を常に同期させることができます。

リモートで作業する場合、ユーザは会社発行による資格情報を使いMacにログインします。これは、オンプレミスで使い慣れているものと同じユーザ名とパスワードです。IT管理者は、IDプロバイダ（IdP）のクラウドベースのディレクトリサービスにもアクセスできる、ローカルアカウント管理者権限を持つユーザを決定します。また、シングルサインオン（SSO）によってすべての管理対象デバイスとサービスに必要なのは1つのパスワードだけなので、ヘルプデスクでパスワードを忘れたというコールに対応することが減少します。

オフィスで作業する場合、Jamf ConnectはActive Directoryへのバインド無しで同じ資格情報を使いKerberos証明書を取得します。その後Kerberosのチケットによって、オンサイト上の共通のリソースにシームレスかつ安全にアクセスします。

制限:

管理対象ユーザまたはMDMに登録されていないユーザ

バインドを完全になくすには、準備が重要ですADアカウントを使ってMacに認証するすべてのユーザはユーザチャネル構成プロファイルへアクセスできることを考慮する必要があります。バインドする必要がない場合、自動デバイス登録時に作成された最初のアカウント、またはMDMへのデバイス登録プロセスを自分で実行したユーザのみがユーザレベルの構成プロファイルを使用できます。

どのプロファイルがユーザレベルに適用されているかを確認するには、MDMソリューションでお客様の組織に適用される構成ファイル完全リストをご参照ください。

次に、構成プロファイルが組織でどのように使用されているかを評価します。デバイスが1対1でバインドされている場合、コンピュータレベルでプロファイルが適用されている場合にはほとんど心配はありません。例えて言うなら、車の鍵を持っているのが車のオーナーだけであるなら、運転免許書を保管する場所は車の中でも、オーナーが持ち歩いていても変わりはないはずです。

Ciscoネットワークセキュリティ製品には、ユーザレベルで証明書ベースのアクセスをしているネットワーク上の個々のユーザを追跡するものもあります。こういったレベルの追跡が必要か判断すると同時に、Jamf Private Accessのような最新のクラウドベースのネットワークセキュリティ製品への移行も検討してみることをお勧めします。

802.1x RADIUSネットワーク

Jamf Connectでは、ログイン画面でクラウドベースのIdPに対する認証にネットワークへの接続が必要です。ユーザ名とパスワードまたは証明書のいずれかといった、ユーザベースの802.1x RADIUSアクセスはできません。

ログイン画面はルートユーザが管理しています。セキュリティのためルートには資格情報や証明書を保存するストレージやmacOSキーチェーンがないため、ユーザレベルの資格情報は使えません。

管理対象デバイスは、管理下にあるネットワークへのアクセスに証明書を使う必要があります。こういったシナリオでは管理者がRADIUSネットワークに対して、マシンベースのSCEP証明書アクセスを持ったコンピュータレベルの構成プロファイルを適用することができます。これならセキュリティを強化して、ユーザがデバイスにログインしていない時でもMDMコマンドを使って管理者がいつでもデバイスにアクセスできます。