Microsoft セキュリティ アドバイザリ 2871997

資格情報の保護と管理を強化するための更新

公開日: 2014 年 5 月 13 日 |更新日: 2016 年 2 月 9 日

バージョン: 5.0

一般情報

概要

Microsoft は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 のサポートされているエディションに対する更新プログラムの提供を発表しています。これにより、資格情報の保護と実行メイン認証制御が強化され、資格情報の盗難が軽減されます。

更新 このアドバイザリに関連する

推奨。 Microsoft では、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックすることにより、これらの更新プログラムを直ちに適用することをお勧めします。 これらの更新プログラムは、任意の順序でインストールできます。

• 2014 年 5 月 13 日、Microsoft は、資格情報の盗難を減らすために資格情報の保護と実行メイン認証制御を強化する Windows 8、Windows RT、Windows Server 2012、Windows 7、および Windows Server 2008 R2 のサポートされているエディションの2871997更新プログラムをリリースしました。 この更新プログラムは、ローカル セキュリティ機関 (LSA) の保護を強化し、資格情報セキュリティ サポート プロバイダー (CredSSP) の制限付き管理者モードを追加し、保護されたアカウント制限付き doメイン ユーザー カテゴリのサポートを導入し、クライアントとして Windows 7、Windows Server 2008 R2、Windows 8、および Windows Server 2012 コンピューターに対してより厳密な認証ポリシーを適用します。 ダウンロード リンクなど、この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2871997を参照してください。

• 2014 年 7 月 8 日、Microsoft は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT のサポートされているエディション、および 2919355 (Windows 8.1 Update) がインストールされている Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 のサポートされているエディションの2973351更新プログラムをリリースしました。 Microsoft は、2919355 (Windows 8.1 Update) 更新プログラムがインストールされていない Windows 8.1 および Windows Server 2012 R2 のサポートされているエディションの2975625更新プログラムをリリースしました。 この更新プログラムは、資格情報セキュリティ サポート プロバイダー (CredSSP) の制限付き管理 モードを管理するための構成可能なレジストリ設定を提供します。 ダウンロード リンクなど、この更新プログラムの詳細については、 マイクロソフト サポート技術情報の記事2973351 および マイクロソフト サポート技術情報の記事の2975625を参照してください。

• 2014 年 9 月 9 日、Microsoft は、サポートされているエディションの Windows 7 および Windows Server 2008 R2 の2982378更新プログラムをリリースしました。 この更新プログラムは、Kerberos TGT (チケット付与チケット) が取得されるまで待たずに、資格情報がすぐにクリーンされるようにすることで、Windows 7 または Windows Server 2008 R2 システムにログオンするときにユーザーの資格情報の保護を追加します。 ダウンロード リンクなど、この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2982378を参照してください。

   

• 2014 年 10 月 14 日、Microsoft は次の更新プログラムをリリースしました。 該当する更新プログラムは、リモート デスクトップ接続とリモート デスクトップ プロトコルの制限付き管理モードを追加します。

  • Windows 7 および Windows Server 2008 R2 のサポートされているエディションの2984972
  • 更新プログラム 2592687 (RDP) 8.0 更新プログラムがインストールされている Windows 7 および Windows Server 2008 R2 のサポートされているエディションの2984976。 更新プログラムの2984976をインストールするユーザーは、更新プログラムの2984972もインストールする必要があります。
  • 更新プログラム 2830477 (RDC) 8.1 クライアント更新プログラムがインストールされている Windows 7 および Windows Server 2008 R2 のサポートされているエディションの2984981。 更新プログラムの2984981をインストールするユーザーは、更新プログラムの2984972もインストールする必要があります。
  • Windows 8、Windows Server 2012、および Windows RT のサポートされているエディションの2973501。

• 2016 年 2 月 9 日、Microsoft は、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows RT、および Windows Server 2012 の更新プログラム 3126593をリリースしました。 この更新プログラムでは、既定で資格情報セキュリティ サポート プロバイダー (CredSSP) の制限付き管理 モードが有効になります。 この機能により、ログオフ後にユーザー ログオン セッションが強制的にクリアされます。 この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2973351を参照してください。

該当するソフトウェア

このアドバイザリでは、次のソフトウェアについて説明します。

アドバイザリに関する FAQ

アドバイザリの範囲は何ですか? 
このアドバイザリの目的は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 で更新プログラムが利用可能であり、資格情報の追加の保護と管理を提供することを顧客に通知することです。

資格情報の盗難によって主に危険にさらされているシステムは何ですか? 
Windows が展開メインエンタープライズ環境は、主に危険にさらされます。 管理者がユーザーにサーバーへのログオンとプログラムの実行を許可すると、サーバーのリスクが高くなります。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。

更新プログラムの2973351と更新2975625機能に変更はありますか?
はい。 制限付き管理 モードの既定の動作は、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 で変更されました。 制限付き管理 モードが既定でオフになりました。この機能を使用する場合は、更新プログラムの2973351または2975625をインストールした後で再度有効にする必要があります。 以前は、制限付き管理 モードは既定でオンでした。 制限付き管理 モードを有効にする方法については、マイクロソフト サポート技術情報の記事2973351またはマイクロソフト サポート技術情報の記事の2975625を参照してください。

Update 2973351 では、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012、または Windows RT の既定の動作は変更されません。 これらのオペレーティング システムでは、制限付き管理 モードは既定でオフになっています。

更新プログラム2973351、または更新プログラム2871997 2975625置き換えますか? 
いいえ。 更新プログラムの2973351または2975625をインストールするには、更新プログラムの2871997が必要です。 これらの更新プログラムは、更新プログラムの2871997をインストールしたときに追加された制限付き管理 モードの構成可能なレジストリ設定を提供します。

Windows 8.1 と Windows Server 2012 R2 には、複数の更新プログラムが一覧表示されています。 すべての更新プログラムをインストールする必要がありますか? 
いいえ。 更新プログラムを受信するようにシステムを構成する方法に応じて、Windows 8.1 または Windows Server 2012 R2 の更新プログラムの 1 つだけが適用されます。

Windows 8.1 または Windows Server 2012 R2 を実行しているシステムの場合:

Update 2973351は、2919355 (Windows 8.1 Update) 更新プログラムが既にインストールされているシステム用です。

更新プログラムの2975625は、2919355更新プログラムがインストールされていないシステム用です。 2975625更新プログラムは、Windows Server Update Services (WSUS)、Windows Intune、または System Center Configuration Manager を使用して更新プログラムを管理しているお客様のみが使用できます。

Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 の場合、2973351更新プログラムの前提条件はありますか?
はい。 Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 を実行しているお客様は、2973351更新プログラムをインストールする前に、2014 年 4 月にリリースされた2919355 (Windows 8.1 Update) 更新プログラムをインストールする必要があります。 前提条件の更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2919355を参照してください。

このアドバイザリ用にリリースされたすべてのセキュリティ更新プログラムをインストールする必要がありますか? 
はい。 お客様は、システムにインストールされているソフトウェアに提供されるすべての更新プログラムを適用して、すべての資格情報保護機能を取得する必要があります。

想定されるデプロイ シナリオは何ですか?
これらの変更により、すべてのシステムの資格情報保護が向上しますが、Windows が展開されているエンタープライズ環境で最も役立つメイン。 これらの変更の一部は、Windows Server 2012 R2 ベースの doメイン で使用できる機能に依存し、その他の変更はすべてのエンタープライズ環境で役立ちます。

ローカル セキュリティ機関サブシステム サービス (LSASS) とは
ローカル セキュリティ機関サブシステム サービス (LSASS) は、ローカル セキュリティ、doメイン 認証、および Active Directory プロセスを管理するためのインターフェイスを提供します。 クライアントとサーバーの認証を処理します。 また、Active Directory ユーティリティをサポートするために使用される機能も含まれています。

ローカル セキュリティ機関 (LSA) とは
ローカル セキュリティ機関セキュリティ サービス (LSASS) プロセス内に存在するローカル セキュリティ機関 (LSA) は、ローカルおよびリモート サインインでユーザーを検証し、ローカル セキュリティ ポリシーを適用します。

この更新プログラムは何を行いますか? 
この更新プログラムにより、資格情報の保護が強化されメイン認証コントロールが強化され、次の 4 つの領域が改善され、資格情報の盗難が軽減されます。

• 資格情報セキュリティ サポート プロバイダー (CredSSP) の制限付き管理 モード

  ホスト サーバーに資格情報を送信せずにリモート サーバーに接続するために、この変更を使用するようにアプリケーションを記述できます。 これにより、サーバーが侵害されていても、最初の接続処理の際に資格情報が回収されるのを防ぎます。

  ホストに接続するユーザー アカウントに管理者権限が割り当てられていることをホストが確認し、ホストが制限付きの管理モードをサポートしていると、接続が確立されます。 これ以外の場合は、接続の試行は失敗します。 制限付き管理モードでは、どの時点であっても資格情報がプレーンテキストまたは他の再利用可能な形式でリモート コンピューターに送信されることはありません。

  制限付き管理 モードを管理するために、2 つのレジストリ キー設定を構成できます。 DisableRestricted管理 キーは、Restricted 管理 モードを有効または無効にするために使用されます。 制限付き管理 モードが有効になっている場合、DisableRestricted管理OutboundCreds を使用して、制限付き管理モードのリモート デスクトップを使用してシステムに接続されているユーザーがローカル コンピューター アカウントを使用してリモート リソースに自動的に認証する機能を有効または無効にします。

• LSA での資格情報クリーンアップ 

  この機能により、LSA 内の doメイン 資格情報の攻撃対象領域が減少します。 この機能の変更には、ネットワーク ログオンとリモート対話型ログオンの禁止メインローカル アカウントを使用した参加済みコンピューター、ログオン資格情報キャッシュのログオン有効期間の制限、Kerberos/NTLM/Digest/CredSSP 提供の資格情報キャッシュの制限、プレーン テキスト パスワードの Kerberos キャッシュの制限、資格情報委任ポリシーで許可されない限り CredSSP にログオン資格情報をキャッシュしない、ダイジェストのログオン資格情報の使用の制限などがあります。

• Protected Users セキュリティ グループ

  この機能により、Windows 8.1 および Windows Server 2012 R2 で導入された Protected Users セキュリティ グループのサポートが追加されます。 このサポートは、Windows Server 2012 R2 ベースの doメイン メンバー マシンに適用メイン。

  Protected Users グループのメンバーは、以下の認証方法によって更に制限を受けます。

  • Protected Users グループのメンバーは Kerberos プロトコルのみを使用してサインオンできます。 NTLM、ダイジェスト認証、または CredSSP を使用してアカウントを認証できません。 Windows 8 を実行しているデバイスでは、パスワードはキャッシュされないため、これらのセキュリティ サポート プロバイダー (SP) のいずれかを使用するデバイスは、アカウントが Protected User グループのメンバーである場合メイン do に対する認証に失敗します。
  • Kerberos プールは、事前認証プロセスで弱い DES または RC4 の暗号化の種類を使用しません。 つまり、少なくとも AES 暗号スイートをサポートするようにドメインを構成する必要があります。
  • Kerberos の制約付き委任または制約なしの委任で、ユーザーのアカウントを委任することはできません。 つまり、ユーザーが Protected Users グループのメンバーである場合、他のシステムへの以前の接続が失敗する可能性があります。

• リモート デスクトップ接続の制限付き管理 モード

  この機能により、Windows 8.1 および Windows Server 2012 R2 で導入された Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 のリモート デスクトップ接続とリモート デスクトップ プロトコルに制限付き管理 モードのサポートが追加されます。

  • 制限付き管理モードでは、サーバーに資格情報を送信せずにリモート ホスト サーバーに対話的にログオンできます。 これにより、サーバーが侵害されていても、最初の接続処理の際に資格情報が回収されるのを防ぎます。
  • 管理者資格情報と共にこのモードを使用することで、リモート デスクトップ クライアントは、このモードをサポートするホストに資格情報を送信せずに対話的にログオンを試みます。 ホストに接続するユーザー アカウントに管理者権限が割り当てられていることをホストが確認し、ホストが制限付きの管理モードをサポートしていると、接続が確立されます。 これ以外の場合は、接続の試行は失敗します。 制限付き管理モードでは、どの時点であっても資格情報がプレーンテキストまたは他の再利用可能な形式でリモート コンピューターに送信されることはありません。
  • 詳細については、「Windows Server のリモート デスクトップ サービスの新機能」を参照してください。

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

• V1.0 (2014 年 5 月 13 日): アドバイザリが公開されました。
• V2.0 (2014 年 7 月 8 日): 制限付き管理設定をさらに制御できるように、更新プログラムの2973351と2919355のリリースを発表するアドバイザリを再リリースしました。 システムにインストールされているソフトウェアに応じて、2973351または2919355を直ちに適用する必要があります。 詳細については、更新このアドバイザリとアドバイザリに関する FAQ に関するページを参照してください。
• V3.0 (2014 年 9 月 9 日): Windows 7 または Windows Server 2008 R2 システムにログオンするときにユーザーの資格情報の保護を強化するために、更新プログラムの2982378のリリースを発表するアドバイザリを再リリースしました。 詳細については、このアドバイザリに関連する更新を参照してください。
• V4.0 (2014 年 10 月 14 日): リモート ホスト サーバーにログオンするときに、ユーザーの資格情報に対する追加の保護を提供する更新プログラムのリリースを発表するアドバイザリを再リリースしました。 詳細については、更新このアドバイザリとアドバイザリに関する FAQ に関するページを参照してください。
• V5.0 (2016 年 2 月 9 日): 資格情報セキュリティ サポート プロバイダー (CredSSP) の制限付き管理モードを既定で有効にするために、更新プログラム3126593のリリースを発表するアドバイザリを再リリースしました。 詳細については、このアドバイザリに関連する更新を参照してください。

Page generated 2016-02-04 14:22Z-08:00。