SYSVOL 堅牢化の Tenable Identity Exposure に対する干渉

SYSVOL は、Active Directory ドメインの各ドメインコントローラー (DC) にある共有フォルダーです。SYSVOL には、グループポリシー (GPO) 用のフォルダーとファイルが保存されます。SYSVOL のコンテンツはすべての DC で複製され、\\<example.com>\SYSVOL\\<DC_IP_or_FQDN>\SYSVOL などの汎用命名規則 (UNC) パスを使ってアクセスできます。

SYSVOL 堅牢化とは、強化された UNC パスパラメーターの使用のことで、「UNC の強化されたアクセス」、「強化された UNC パス」、「UNC パスの堅牢化」、または「強化されたパス」とも呼ばれています。この機能は、グループポリシーの MS15-011 (KB 3000483) の脆弱性に対処するために導入されました。CIS ベンチマークなどの多くのサイバーセキュリティ標準では、この機能の強制実行が義務付けられています。

この堅牢化パラメーターをサーバーメッセージブロック (SMB) クライアントに適用すると、ドメインに参加しているマシンのセキュリティが実際に向上し、SYSVOL から取得する GPO コンテンツがネットワーク上の攻撃者に改ざんされないようになります。ただし、特定の状況では、このパラメーターが Tenable Identity Exposure の操作に干渉することもあります。

強化された UNC パスが Tenable Identity Exposure と SYSVOL 共有間の接続を乱していることに気付いた場合は、このトラブルシューティングセクションにあるガイダンスに従ってください。

影響を受ける環境

次の Tenable Identity Exposure デプロイメントオプションでは、この問題が発生する可能性があります。

  • オンプレミス

  • セキュアリレーを備えた SaaS

次のデプロイメントオプションは影響を受けません。

  • VPN を備えた SaaS

SYSVOL 堅牢化はクライアント側のパラメーターであり、ドメインコントローラーではなく、SYSVOL 共有に接続するマシンで動作します。

Windows はこのパラメーターをデフォルトで有効にし、Tenable Identity Exposure に干渉する場合があります

企業によっては、関連する GPO 設定を使用するか、対応するレジストリキーを直接設定することで、このパラメーターを確実にアクティブ化し強制実行したいと思うかもしれません。

  • UNC 堅牢化パスに関連するレジストリキーは、「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths」にあります。

  • 対応する GPO 設定は、「Computer Configuration/Administrative Templates/Network/Network Provider/Hardened UNC paths」にあります。

SYSVOL 堅牢化の強制実行は、SYSVOL を参照する UNC パス (「\\*\SYSVOL」など) にパラメーター「RequireMutualAuthentication」があり、「RequireIntegrity」の値が「1」に設定されている場合に発生します。

SYSVOL 堅牢化の問題の兆候

SYSVOL 堅牢化が Tenable Identity Exposure に干渉していることが疑われる場合は、次の点をチェックします。

  1. Tenable Identity Exposure で、[システム] > [ドメイン管理] に進み、各ドメインの LDAP と SYSVOL 初期化ステータスを表示します。

    接続性に問題のないドメインでは緑のインジケーターが表示されますが、接続性に問題のあるドメインでは無限に続くクロールインジケーターが表示されます。

  2. ディレクトリリスナーまたはリレーマシンで、ログフォルダー <Installation Folder>\DirectoryListener\logs を開きます。

  3. Ceti ログファイルを開き、「SMB mapping creation failed」(SMB マッピング作成が失敗しました) または「Access is denied」(アクセスが拒否されました) という文字列を検索します。このフレーズを含むエラーログがある場合、UNC 堅牢化がディレクトリリスナーまたはリレーマシンに存在する可能性が高いことを示しています。

修正オプション

Kerberos 認証に切り替えるまたはSYSVOL 堅牢化の無効化の 2 つの修正オプションがあります。

SYSVOL 堅牢化を無効にした場合のリスク

SYSVOL 堅牢化はセキュリティ機能であり、無効にすると重大な懸念が生じる可能性があります。

  • ドメインに参加していないマシン - SYSVOL 堅牢化を無効にしてもリスクはありません。これらのマシンは GPO を適用していないため、SYSVOL 共有から GPO を実行するコンテンツを取得しません。

  • Tenable Identity Exposure推奨しないドメイン参加マシン (ディレクトリリスナーまたはリレーマシン) — 攻撃者がディレクトリリスナーまたはリレーマシンとドメインコントローラーとの間の「中間者」になるという状態が発生する潜在的なリスクがある場合、SYSVOL 堅牢化を無効にするのは安全ではありません。この場合、Tenable Identity Exposure は代わりに Kerberos 認証に切り替えることを推奨しています。

この非アクティブ化の範囲は、ディレクトリリスナーまたはリレーマシンにのみであり、その他のドメインコンピューターは対象になりません。また、ドメインコントローラーは決して対象になりません。