Windows Kerberosセキュリティ強化で認証障害のリスク——来月の更新前に管理者は対応を

Windows Kerberosセキュリティ強化、一部環境で認証障害の可能性

Microsoftは、来月リリース予定のWindowsアップデートに含まれるKerberos認証のセキュリティ強化（ハードニング）について、一部の環境で認証障害を引き起こす可能性があるとして、システム管理者に事前対応を呼びかけている。

Kerberosとは

Kerberos（ケルベロス）は、Windowsのエンタープライズ環境で広く使われているネットワーク認証プロトコルだ。Active Directory（AD）環境では、ユーザーがPCにログインしたり、社内サーバーやアプリケーションにアクセスしたりする際に、このKerberosが裏側で認証処理を担っている。日本企業の多くはActive Directory環境を採用しており、このKerberos認証への影響は国内のIT担当者にとっても他人事ではない。

今回の変更の背景

Microsoftはここ数年、Kerberos認証のセキュリティ強化を段階的に進めてきた。今回の変更もその一環で、従来は「互換モード」として動作していた設定が、次回更新以降は「強制モード（Enforcement Mode）」へと切り替わる見通しだ。

このような段階的な移行アプローチはMicrosoftがよく採用する手法で、移行期間中に管理者が環境を修正できるよう猶予を設けている。しかし、対応が遅れると更新適用後にユーザーが突然ログインできなくなるなど、業務に直接影響が出るリスクがある。

どのような環境が影響を受けるか

影響が出る可能性があるのは、主に以下のような環境とされている。

• 古い構成のActive Directory環境：証明書ベースの認証やNPS（ネットワークポリシーサーバー）を利用しているケース
• サードパーティのKerberos実装を使用している環境：LinuxサーバーやmacOSをADに参加させているハイブリッド環境など
• 長期間アップデートが適用されていないサーバーやクライアント

逆に、最新状態に保たれている標準的なWindows Active Directory環境では、影響が出ない可能性が高い。

管理者が取るべき対応

Microsoftは管理者に対し、以下の対応を推奨している。

• イベントログの確認：強制モード移行前に、Kerberosに関連する警告イベントが記録されていないか確認する
• 環境の棚卸し：証明書認証やNPSを使用しているシステムを洗い出す
• テスト環境での検証：本番適用前に更新プログラムをテスト環境で適用し、認証が正常に動作することを確認する
• 必要に応じてポリシーを更新：古い認証設定を使っているシステムがあれば、事前に修正しておく

まとめ

Kerberosのセキュリティ強化自体は、認証プロトコルの脆弱性を突いた攻撃（Pass-the-Ticketなど）への対策として重要な施策だ。しかし準備不足のまま強制モードに移行すると、ユーザーが業務システムにログインできなくなるといった深刻な障害につながりかねない。

特に多くのユーザーを抱える企業のIT部門では、来月の更新前に余裕を持って動作確認と対応を済ませておくことを強くおすすめしたい。

元記事: Windows Kerberos hardening may cause authentication issues for some PCs next month