セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 973811

公開日: 2009 年 8 月 11 日 |更新日: 2013 年 1 月 8 日

バージョン: 1.14

Microsoft は、Windows プラットフォームで新しい機能である認証用の拡張保護が利用可能であることを発表しています。 この機能により、統合 Windows 認証 (IWA) を使用してネットワーク接続を認証するときの資格情報の保護と処理が強化されます。

更新プログラム自体は、資格情報の転送などの特定の攻撃に対する保護を直接提供しませんが、アプリケーションは認証用の拡張保護にオプトインできます。 このアドバイザリでは、この新機能について開発者とシステム管理者に説明し、認証資格情報の保護に役立つ展開方法について説明します。

軽減要因:

• セッション署名と暗号化 (プライバシーと整合性を備えたリモート プロシージャ コール (RPC) や、署名が有効なサーバー メッセージ ブロック (S MB (メガバイト)) を使用するアプリケーションは、資格情報の転送の影響を受けません。

アドバイザリの目的: このアドバイザリは、Windows プラットフォームで新しい機能である認証のための拡張保護を利用できるように、セキュリティ以外の更新プログラムのリリースをお客様に発表するためにリリースされました。

アドバイザリの状態: アドバイザリが公開されました。

推奨事項: 推奨されるアクションを確認し、必要に応じて構成します。

このアドバイザリは、次のプラットフォーム向けのこの機能のリリースを発表します。

アドバイザリの範囲は何ですか?
Microsoft はこのアドバイザリをリリースし、資格情報の転送に対処するための Windows SSPI の更新プログラムとして、認証のための拡張保護という新機能のリリースを発表しました。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ではありません。 この機能には、一部のお客様がデプロイを選択できるオプションの構成が必要です。 この機能を有効にすることは、すべての顧客に適しているわけではありません。 この機能の詳細と、その機能を適切に構成する方法については、マイクロソフト サポート技術情報の記事973811を参照してください。 この機能は、Windows 7 および Windows Server 2008 R2 に既に含まれています。

Windows 認証の拡張保護とは
Microsoft サポート技術情報968389の更新プログラムは、統合 Windows 認証 (IWA) が有効になっている場合に資格情報が簡単に転送されないように、Windows 認証の動作方法を強化するために SSPI を変更します。

認証の拡張保護が有効になっている場合、認証要求は、クライアントが接続を試みるサーバーのサービス プリンシパル名 (SPN) と、IWA 認証が行われる外部トランスポート層セキュリティ (TLS) チャネルの両方にバインドされます。 これは、アプリケーションが新しい機能にオプトインできるようにする基本更新プログラムです。

今後の更新では、IWA 認証を実行する個々のシステム コンポーネントが変更され、コンポーネントでこの保護メカニズムが使用されるようになります。 お客様は、Microsoft サポート技術情報の記事968389更新プログラムと、認証の拡張保護をアクティブ化する必要があるクライアント アプリケーションとサーバーのアプリケーション固有の更新プログラムの両方をインストールする必要があります。 インストール時に、認証の拡張保護は、レジストリ キーを使用してクライアントで制御されます。 サーバーでは、構成はアプリケーションに固有です。

この機能を実装するために Microsoft が実行しているその他のアクションは何ですか?

統合 Windows 認証 (IWA) を使用する特定のサーバーおよびクライアント アプリケーションに変更を加えて、この新しい保護テクノロジを確実にオプトインする必要があります。

2009 年 8 月 11 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート 技術情報の記事 968389では、Windows セキュリティ サポート プロバイダー インターフェイス (SSPI) で認証の拡張保護を実装しています。 この更新プログラムを使用すると、アプリケーションは認証用の拡張保護にオプトインできます。
• Microsoft セキュリティ情報 MS09-042 には、セキュリティ以外の多層防御更新プログラムも含まれています。これにより、Telnet クライアントとサーバーは認証用の拡張保護にオプトインできます。

2009 年 10 月 13 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft セキュリティ情報 MS09-054 には、セキュリティ以外の多層防御更新プログラムが含まれています。これにより、WinINET は認証用の拡張保護にオプトインできます。

2009 年 12 月 8 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート技術情報971737 には、Windows HTTP サービス (WinHTTP) API が認証用の拡張保護にオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報 970430 には、HTTP プロトコル スタック (http.sys) が認証用の拡張保護にオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報の記事973917には、インターネット インフォメーション サービス (IIS) が認証の拡張保護にオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。 この更新プログラムは、2010 年 3 月 9 日に再リリースされました。 詳細については、Microsoft サポート技術情報の記事973917の既知の問題を参照してください。

2010 年 6 月 8 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート技術情報の記事982532 には、Windows Vista Service Pack 1 の .NET Framework 2.0 Service Pack 2 で認証の拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報982533 には、Windows Vista Service Pack 2 の .NET Framework 2.0 Service Pack 2 で認証の拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報の記事982535 には、Windows Vista Service Pack 1 の .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 で認証のための拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報の記事982536 には、Windows Vista Service Pack 2 の .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 で認証の拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報の記事982167 には、Windows XP および Windows Server 2003 の .NET Framework 2.0 Service Pack 2 で認証のための拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。
• Microsoft サポート技術情報982168 には、Windows XP および Windows Server 2003 の .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 で認証用の拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。

2010 年 9 月 14 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート技術情報の記事2141007 には、Outlook Express と Windows メールで認証のための拡張保護をオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。

2010 年 10 月 12 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート技術情報の記事2345886には、Windows Server メッセージ ブロック (S MB (メガバイト)) が認証の拡張保護にオプトインできるようにするセキュリティ以外の更新プログラムが含まれています。

2010 年 12 月 29 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft® Office Live Meeting Service Portal の新しいリリースでは、認証の拡張保護をサポートできます。

2011 年 4 月 12 日に Microsoft によってリリースされた更新プログラムは次のとおりです。

• Microsoft サポート技術情報2509470 には、Microsoft Outlook が認証用の拡張保護を選択できるようにするセキュリティ以外の更新プログラムが含まれています。

2013 年 1 月 8 日に Microsoft によってリリースされた Microsoft Fix it ソリューションは次のとおりです。

• Microsoft サポート技術情報2793313には、Windows XP および Windows Server 2003 システムで NTLMv2 のみを許可するように設定する Microsoft Fix it ソリューションが含まれています。 これらの Microsoft Fix it ソリューションを適用すると、Windows XP および Windows Server 2003 ユーザーが認証用の拡張保護を利用するために必要な NTLMv2 設定が有効になります。

Microsoft は、これらの保護メカニズムに追加の Microsoft サーバーおよびクライアント アプリケーションを含む将来の更新プログラムをリリースすることで、カバレッジを拡張する予定です。 このセキュリティ アドバイザリは、更新プログラムがリリースされたときに更新された情報を含むよう改訂されます。

開発者はこの保護テクノロジをアプリケーションに埋め込む方法を説明します。

開発者は、拡張保護による認証テクノロジの使用方法の詳細については、次の MSDN の記事「 拡張保護を使用した統合 Windows 認証」を参照してください。

この機能操作方法有効にしますか?

クライアントでは、お客様は次のレジストリ キー設定を実装する必要があります。

このレジストリ キーを有効にする詳細な手順については、Microsoft サポート技術情報の 記事968389を参照してください。

• 保護テクノロジを有効にするには、キー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection を 0 に設定します。 既定では、このキーはインストール時に 1 に設定され、保護が無効になります。
• キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel を 3 に設定します。 これは、Windows XP および Windows Server 2003 の既定値ではありません。 これは、NTLMv2 認証を有効にする既存のキーです。 Windows 認証の拡張保護は、NTLMv2 および Kerberos 認証プロトコルにのみ適用され、NTLMv1 には適用されません。 NTLMv2 認証とこのキー の適用の詳細については、Microsoft サポート技術情報の記事239869を参照してください。

サーバーでは、認証の拡張保護をサービスごとに有効にする必要があります。 次の概要は、現在使用できる一般的なプロトコルで認証の拡張保護を有効にする方法を示しています。

Telnet (KB (キロバイト)960859)

Telnet の場合、DWORD レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection を作成することで、サーバーで認証の拡張保護を有効にすることができます。 このキーの既定値は Legacy です。 キーを次のいずれかの値に設定します。

• レガシ: DWORD 値を 0 に設定すると、サーバーで認証の拡張保護が無効になり、更新されたクライアントや正しく構成されたクライアントの接続も、資格情報転送攻撃から保護されなくなります。
• 拡張保護を許可する: DWORD 値を 1 に設定すると、サーバーは、資格情報リレー攻撃から認証のための拡張保護メカニズムを使用するように構成されているクライアント コンピューターを保護します。 更新されておらず、正しく構成されていないクライアントは保護されません。
• 拡張保護が必要: DWORD 値を 2 に設定すると、サーバーはクライアントに認証の拡張保護をサポートするよう要求するか、それ以外の場合は認証を拒否します。 拡張保護が有効になっていないクライアントは、サーバーに対する認証に失敗します。

このレジストリ キーの作成に関する詳細な手順については、Microsoft サポート技術情報の 記事960859を参照してください。

インターネット インフォメーション サービス (KB (キロバイト)973917)

インターネット インフォメーション サービスの場合、IIS 構成マネージャーを使用するか、ApplicationHost.Config 構成ファイルを直接編集することで、サーバーで認証の拡張保護を有効にすることができます。 IIS の構成方法の詳細については、 Microsoft サポート技術情報の記事973917を参照してください。

認証用の拡張保護を展開する場合に注意する必要がある点

お客様は、Microsoft サポート技術情報の記事968389に含まれる更新プログラムをインストールし、クライアント コンピューターとサーバー コンピューターにそれぞれのアプリケーション更新プログラムをインストールし、資格情報転送攻撃から保護するために、保護メカニズムを使用するように両方のコンピューターを正しく構成する必要があります。

クライアント側で認証の拡張保護が有効になっている場合、IWA を使用するすべてのアプリケーションに対して有効になります。 ただし、サーバーでは、アプリケーションごとに有効にする必要があります。

セキュリティ情報で発表されているセキュリティ更新プログラムではないのはなぜですか?
この更新プログラムは、すべてのユーザーが有効にするのに適していない可能性がある新しい機能を実装します。 お客様が特定のシナリオに基づいてデプロイすることを選択できる追加のセキュリティ機能が提供されます。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 矛盾しているのではないですか?
セキュリティ アドバイザリは、セキュリティ情報を必要としないが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題や、セキュリティ情報がリリースされていない問題に関するセキュリティ関連情報を Microsoft が顧客に伝える方法です。 この場合、特定のセキュリティの脆弱性に対処しない更新プログラムの可用性を伝えています。むしろ、それはあなたの全体的なセキュリティに対処します。

この更新プログラムはどのように提供されますか?
これらの更新プログラムは、Microsoft ダウンロード センターで入手できます。 影響を受ける特定のソフトウェアの更新プログラムへの直接リンクは、[概要] セクションの [影響を受けるソフトウェア] の表に表示されます。 更新プログラムと動作の変更の詳細については、マイクロソフト サポート技術情報の記事968389を参照してください。

この更新プログラムは自動更新で配布されますか?
はい。 これらの更新プログラムは、自動更新メカニズムを介して配布されます。

このアドバイザリに関連付けられている Windows のバージョンは何ですか?
このアドバイザリで説明されている機能は、影響を受けるソフトウェアの概要に記載されているすべてのプラットフォームで使用できるようになります。 この機能は、Windows 7 および Windows Server 2008 R2 のすべてのリリースに存在します。

Microsoft は、NTLMv1 (NT LAN Manager バージョン 1) および LAN Manager (LM) ネットワーク認証に対する攻撃に関する詳細情報とツールを認識していますか?
はい。 Microsoft は、NTLMv1 (NT LAN Manager バージョン 1) と LAN Manager (LM) ネットワーク認証に対する攻撃に関する詳細情報とツールを認識しています。 コンピューターのハードウェアとソフトウェアのアルゴリズムが改善され、これらのプロトコルは、ユーザー パスワードを取得するために広く公開されている攻撃に対して脆弱になっています。 情報と使用可能なツールセットは、特に NTLMv2 認証を適用しない環境を対象としています。

Windows ネットワーク セキュリティと LAN Manager 認証レベルの脅威と対策の詳細については、Microsoft TechNet の脅威と対策ガイドを参照してください。

Microsoft では、お客様が環境を評価し、ネットワーク認証設定を更新し続けるよう強くお勧めします。 Microsoft では、NTLMv2 を実装し、NTLMv1 と LM ネットワーク認証の使用を減らすか、またはなくすために設定を実装することをお勧めします。

• このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認する
  この機能の詳細を知りたがっているお客様は、Microsoft サポート技術情報の記事973811を参照してください。

• このセキュリティ アドバイザリに記載されているセキュリティ以外の更新プログラムを適用して有効にする
  お客様は、このセキュリティ更新プログラムの一部として Microsoft がリリースしたセキュリティ以外の更新プログラムとセキュリティ更新プログラムの一覧を確認し、必要に応じて、これらのメカニズムを実装して構成する必要があります。 利用可能な更新プログラムの一覧については、このアドバイザリの「よく寄せられる質問」セクションの「この機能を実装するために Microsoft が実行しているその他のアクション」エントリを参照してください。

• Microsoft サポート技術情報の記事で説明されている Microsoft Fix it ソリューションを適用2793313
  Windows XP と Windows Server 2003 を使用する環境では、NTLMv2 のみを許可することをお勧めします。 これを行うには、LAN Manager 認証レベルを 3 以上に設定します。 詳細については 、Microsoft サポート技術情報の記事2793313 を参照してください。また、NTLMv2 のみを許可するようにこれらのシステムを設定する自動化された Microsoft Fix it ソリューションを使用する方法について説明します。 これらの Microsoft Fix it ソリューションを適用すると、ユーザーが認証用の拡張保護を利用するために必要な NTLMv2 設定も有効になります。

• PC を保護する
  ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。 インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。

• Windows を更新したままにする
  すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。

資格情報のリフレクションや資格情報の転送からシステムを保護するのに役立つ回避策が多数存在します。 Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、次のセクションで確認できます。

サーバーで S MB (メガバイト) 署名を有効にすると、攻撃者はログオンユーザーのコンテキストでサーバーにアクセスできなくなります。 これにより、S MB (メガバイト) サービスに転送される資格情報から保護できます。 グループ ポリシーを使用して S MB (メガバイト) 署名を構成することをお勧めします。

グループ ポリシーを使用して Microsoft Windows 2000、Windows XP、および Windows Server 2003 の S MB (メガバイト) 署名を有効または無効にする方法の詳細については、Microsoft サポート技術情報の記事887429を参照してください。 Windows XP および Windows Server 2003 用の Microsoft サポート技術情報の記事887429の手順は、Windows Vista および Windows Server 2008 にも適用されます。

回避策の影響: S MB (メガバイト) パケット署名を使用すると、ファイル サービス トランザクションで S MB (メガバイト)v1 のパフォーマンスが低下する可能性があります。 このポリシーが設定されているコンピューターは、クライアント側のパケット署名が有効になっていないコンピューターと通信しません。 S MB (メガバイト) 署名と潜在的な影響の詳細については、MSDN の記事「Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に)」を参照してください。

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

• NTLMv1 (NT LAN Manager バージョン 1) および LAN Manager (LM) ネットワーク認証に対する攻撃からお客様を保護するために、Microsoft と協力する T-Mobile USA の Mark Gamache

• フォームに入力すると、Microsoft のヘルプとサポートにアクセスしてフィードバックを 提供できます。お問い合わせください。
• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2009 年 8 月 11 日): アドバイザリが公開されました。
• V1.1 (2009 年 10 月 14 日): WinINET に関連する MS09-054 に含まれるセキュリティ以外の更新プログラムに関する情報を含む FAQ を更新しました。
• V1.2 (2009 年 12 月 8 日): Windows HTTP サービス、HTTP プロトコル スタック、およびインターネット インフォメーション サービスに関連する 3 つのセキュリティ以外の更新プログラムに関する情報を含む FAQ を更新しました。
• V1.3 (2010 年 3 月 9 日): インターネット インフォメーション サービスが認証用の拡張保護にオプトインできるようにする更新プログラムの再リリースを発表するために、FAQ を更新しました。 詳細については、マイクロソフト サポート技術情報の記事973917の既知の問題を参照してください。
• V1.4 (2010 年 4 月 14 日): [Suggested Actions]\(推奨されるアクション\) セクションを更新し、お客様に「この機能を実装するために Microsoft が実行しているその他のアクション」エントリ「よく寄せられる質問」に移動しました。
• V1.5 (2010 年 6 月 8 日): セキュリティ以外の 6 つの更新プログラムに関する情報を含む FAQ が更新され、.NET Framework が認証用の拡張保護にオプトインできるようにしました。
• V1.6 (2010 年 9 月 14 日): セキュリティ以外の更新プログラムに関する情報を含む FAQ を更新しました。Outlook Express と Windows メールで認証の拡張保護をオプトインできるようにしました。
• V1.7 (2010 年 10 月 12 日): Windows Server メッセージ ブロック (S MB (メガバイト)) による認証の拡張保護のオプトインを有効にするセキュリティ以外の更新プログラムに関する情報を含む FAQ を更新しました。
• V1.8 (2010 年 12 月 14 日): セキュリティ以外の更新プログラムに関する情報を含む FAQ を更新し、Microsoft Outlook が認証用の拡張保護にオプトインできるようにします。
• V1.9 (2010 年 12 月 17 日): Microsoft Outlook による認証の拡張保護のオプトインを有効にするセキュリティ以外の更新プログラムについて、最初に 2010 年 12 月 14 日に追加された FAQ エントリを削除しました。
• V1.10 (2011 年 1 月 11 日): 新しいリリースに関する情報を含む FAQ が更新され、Microsoft® Office Live Meeting Service Portal で認証の拡張保護をオプトインできるようになりました。
• V1.11 (2011 年 1 月 12 日): FAQ の Microsoft® Office Live Meeting Service Portal のリリース ノートへのリンクを修正しました。
• V1.12 (2011 年 4 月 12 日): セキュリティ以外の更新プログラムに関する情報を含む FAQ を更新し、Microsoft Outlook が認証用の拡張保護にオプトインできるようにします。
• V1.13 (2012 年 10 月 31 日): 軽減要因を修正しました。
• V1.14 (2013 年 1 月 8 日): NTLMv1 (NT LAN Manager バージョン 1) および LAN Manager (LM) ネットワーク認証に対する攻撃に関する情報を含む FAQ と推奨されるアクションを更新しました。 これらの攻撃から保護するために、Windows XP および Windows Server 2003 用の Microsoft Fix it ソリューションを利用できます。 これらの Microsoft Fix it ソリューションを適用すると、ユーザーが認証用の拡張保護を利用するために必要な NTLMv2 設定が有効になります。

ビルド日: 2014-04-18T13:49:36Z-07:00