Microsoft Office Communicator で 標準以外の完全修飾ドメイン名 (FQDN) を持つ SIP サーバーを自動的に検出し セキュリティで保護された通信を行うことを禁止します 注意: このポリシー設定は Microsoft ...

"Microsoft Office Communicator で、標準以外の完全修飾ドメイン名 (FQDN) を持つ SIP サーバーを自動的に検出し、セキュリティで保護された通信を行うことを禁止します。  注意: このポリシー設定は、Microsoft Office Communicator で SIP サーバー一覧の DNS クエリ用に自動構成が使用されており、Microsoft Office Communicator が TLS トランスポートを使用する SIP サーバーと通信している場合のみ有効です。この場合、サポートされるサーバー FQDN は Microsoft Office Communicator を開始したユーザーの SIP URI に依存します。  たとえば、このポリシー設定を無効にするか構成しない状態で、ユーザーの SIP URI が SIP:[email protected] である場合は、FQDN が EXAMPLE.COM か SIP.EXAMPLE.COM であるときのみ、Microsoft Office Communicator は TLS トランスポートで SIP サーバーと通信できます。つまり、サーバーの FQDN はユーザーの SIP URI のドメイン部分と完全に一致するか、サーバーの FQDN でユーザーの SIP URI のドメイン部分の前に "SIP." がある必要があります。これにより、"man-in-the-middle" 攻撃に対するセキュリティ保護の脆弱性を防ぐことができます。この攻撃では、悪意のあるユーザーは、クライアントが DNS 参照を実行するために使用する UDP メッセージを検出し、認証されていない SIP サーバーの名前でクライアントに応答することができます。これにより、悪意のあるユーザーは信頼されたユーザーを偽装する、または、強度の弱い暗号を使って、サーバーでクライアントを認証することができます。  このポリシー設定を有効にすると、Microsoft Office Communicator は、ユーザーの SIP URI のドメイン部分で終わる FQDN を持つすべての SIP サーバーと TLS トランスポートで通信することができるようになります。上記の例では、ユーザーの SIP URI が SIP:[email protected] である場合、Microsoft Office Communicator は SIP.DIVISION.EXAMPLE.COM や LC.EXAMPLE.COM という名前を持つサーバーと通信できるようになります。しかし、悪意のあるユーザーは、ATTACKER.EXAMPLE.COM というサーバー名を含む応答で最初の DNS クエリへの応答ができるようになります。  注意: このポリシー設定は、[コンピュータの構成] と [ユーザーの構成] の両方で構成できますが、[コンピュータの構成] 内の設定が優先されます。  注意: Communicator 2.0 Beta 3 では、このポリシーは既定で無効に設定されるため、Communicator が man-in-the-middle 攻撃に対して脆弱になる可能性があります。このポリシーを有効にすることを強くお勧めします。"