マイクロソフト セキュリティ アドバイザリ 2871997

資格情報の保護と管理を改善する更新プログラム

公開日: 2014 年 5 月 14 日 | 最終更新日: 2016 年 2 月 10 日

バージョン: 5.0

概説

概要

マイクロソフトは、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 用として、資格情報の保護とドメイン認証の制御を改善して資格情報の盗用を低減する更新プログラムが利用可能になったことをお知らせします。

推奨する対応策:マイクロソフトは、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することにより、この更新プログラムを直ちに適用することを推奨します。これらの更新プログラムは任意の順番でインストールできます。

  • 2014 年 5 月 14 日、マイクロソフトはサポートされているエディションの Windows 8、Windows RT、Windows Server 2012、Windows 7、および Windows Server 2008 R2 用として、資格情報の保護とドメイン認証の制御を改善して資格情報の盗用を低減する更新プログラム 2871997 をリリースしました。この更新プログラムは、Local Security Authority (LSA) の保護を強化し、Credential Security Support Provider (CredSSP) の制限管理モードを追加し、保護されているアカウント制限のあるドメイン ユーザー カテゴリのサポートを導入し、クライアントとしての Windows 7、Windows Server 2008 R2、Windows 8、および Windows Server 2012 コンピューターに対してより厳格な認証ポリシーを適用します。ダウンロード用のリンクなど、この更新プログラムに関する情報については、サポート技術情報 2871997 を参照してください。
    Dn690109.note(ja-JP,Security.10).gif注:
    注: サポートされているエディションの Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 は、これらの機能をあらかじめ備えているため、更新プログラム 2871997 を必要としません。

  • 2014 年 7 月 9 日、マイクロソフトはサポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT 用、および 2919355 (Windows 8.1 Update) がインストールされている、サポートされているエディションの Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 用の更新プログラム 2973351 をリリースしました。マイクロソフトは、2919355 (Windows 8.1 Update) がインストールされていない、サポートされているエディションの Windows 8.1、Windows Server 2012 R2 用の更新プログラム 2975625 をリリースしました。この更新プログラムは、Credential Security Support Provider (CredSSP) の制限管理モードを管理するための構成可能なレジストリ設定を提供します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 2973351 およびサポート技術情報 2975625 を参照してください。
    Dn690109.note(ja-JP,Security.10).gif注:
    :Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 の場合、この更新プログラムは制限管理モードの既定の機能を変更します。詳細については、アドバイザリの「よく寄せられる質問」を参照してください。

  • 2014 年 9 月 10 日、マイクロソフトはサポートされているエディションの Windows 7 および Windows Server 2008 R2 用の更新プログラム 2982378 をリリースしました。この更新プログラムは、Kerberos TGT (チケット保証チケット) が取得されるまで待機するのではなく、資格情報が即座に消去されるようにすることで、Windows 7 または Windows Server 2008 R2 システムにログオンするときのユーザー資格情報の保護を強化します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 2982378 を参照してください。

     

  • 2014 年 10 月 15 日、マイクロソフトは以下の更新プログラムを公開しました。該当する更新プログラムは、リモート デスクトップ接続およびリモート デスクトップ プロトコル用の制限管理モードを追加します。
    • サポートされているエディションの Windows 7 および Windows Server 2008 R2 向けの 2984972
    • 更新プログラム 2592687 (リモート デスクトップ プロトコル (RDP) 8.0 更新プログラム) がインストールされたサポートされているエディションの Windows 7 および Windows Server 2008 R2 向けの 2984976 更新プログラム 2984976 をインストールする場合、更新プログラム 2984972 もインストールする必要があります。
    • 更新プログラム 2830477 (リモート デスクトップ接続 (RDC) 8.1 クライアント更新プログラム) がインストールされたサポートされているエディションの Windows 7 および Windows Server 2008 R2 の 2984981 更新プログラム 2984981 をインストールする場合、更新プログラム 2984972 もインストールする必要があります。
    • サポートされているエディションの Windows 8、Windows Server 2012、および Windows RT 向けの 2973501
      Dn690109.note(ja-JP,Security.10).gif注:
      注: サポートされているエディションの Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 は、これらの機能をあらかじめ備えているため、この更新プログラムを必要としません。

  • 2016 年 2 月 10 日、マイクロソフトはサポートされているエディションの Windows 7 および Windows Server 2008 R2、Windows 8、Windows RT、および Windows Server 2012 用の更新プログラム 3126593 をリリースしました。この更新プログラムは、資格情報のセキュリティ サポート プロバイダー (CredSSP) の制限付き管理モードを既定で有効にします。この機能は、ユーザーのログアウト後にログオン セッションを強制的に削除します。この更新プログラムに関する詳細は、サポート技術情報 2973351 を参照してください。

このアドバイザリは次のソフトウェアについて説明しています。

オペレーティング システム

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows Server 2012

Windows Server 2012 R2

Windows RT

Windows RT 8.1

Server Core インストール オプション

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

 

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT, Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 用として、資格情報に保護と管理を追加する更新プログラムが入手できることをお客様にお知らせすることです。

主にどのようなコンピューターが資格情報の盗用による危険にさらされますか? 
主に、Windows ドメインが展開されている企業環境が危険にさらされます。管理者がユーザーにサーバーへのログオンおよびプログラムの実行を許可している場合、サーバーが影響を受ける可能性が高くなります。しかし、最善策では、これを許可しないことを強く推奨しています。

更新プログラム 2973351 および更新プログラム 2975625 について、機能への変更はありますか? 
はい。Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 で、制限管理モードの既定の動作が変わりました。制限管理モードは、既定ではオフになったため、この機能を使用するには更新プログラム 2973351 または更新プログラム 2975625 をインストールした後に有効にする必要があります。以前は、制限管理モードは既定でオンになっていました。制限管理モードを有効にする方法の詳細については、サポート技術情報 2973351 またはサポート技術情報 2975625 を参照してください。

更新プログラム 2973351 は、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012、および Windows RT での既定の動作を変更しません。これらのオペレーティング システムの場合、制限管理モードは既定ではオフになっています。

更新プログラム 2973351 および 2975625 は更新プログラム 2871997 を置き換えるものですか? 
いいえ。更新プログラム 2871997 は、更新プログラム 2973351 および 2975625 のどちらをインストールする場合も必要です。これらの更新プログラムは、更新プログラム 2871997 をインストールするときに追加された制限管理モードのための構成可能なレジストリ設定を提供します。

Windows 8.1 および Windows Server 2012 R2 用の複数の更新プログラムが記載されています。すべての更新プログラムをインストールする必要がありますか? 
いいえ。どの方法で更新プログラムを受信するようにシステムが構成されているかに応じて、Windows 8.1 または Windows Server 2012 R2 用のいずれかの更新プログラムのみが適用されます。

Windows 8.1 または Windows Server 2012 R2 を実行しているシステムの場合:

更新プログラム 2973351 は、更新プログラム 2919355 (Windows 8.1 Update) がインストールされたシステム用です。

更新プログラム 2975625 は、更新プログラム 2919355 がインストールされていないシステム用です。更新プログラム 2975625 は、Windows Server Update Services (WSUS)、Windows Intune、または System Center Configuration Manager を使用して更新プログラムを管理しているお客様のみが利用できます。

Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 の場合、更新プログラム 2973351 の必要条件はありますか? 
はい。Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 を実行しているお客様は、更新プログラム 2973351 をインストールする前に、まず、2014 年 4 月にリリースされた更新プログラム 2919355 (Windows 8.1 Update) をインストールする必要があります。必要条件となる更新プログラムの詳細については、サポート技術情報 2919355 を参照してください。

このアドバイザリでリリースされたすべてのセキュリティ更新プログラムをインストールする必要がありますか? 
はい。お客様は、資格情報の保護機能をすべて得るために、各システムにインストールされているソフトウェア向けに提供されている、すべての更新プログラムを適用する必要があります。

想定されている展開シナリオはどのようなものですか? 
このような変更によりすべてのシステムで資格情報の保護が改善されますが、最も効果が高いのは Windows ドメインが展開されている企業環境です。これらの変更には、Windows Server 2012 R2 ベースのドメインで使用できる機能に依存するものもあれば、すべての企業環境で有用なものもあります。

Local Security Authority Subsystem Service (LSASS) とは何ですか? 
Local Security Authority Subsystem Service (LSASS) は、ローカルのセキュリティ、ドメインの認証および Active Directory のプロセスを管理するためのインターフェイスを提供します。これはクライアントおよびサーバーの認証を処理します。また、Active Directory ユーティリティをサポートするために使われる機能も含まれています。

Local Security Authority (LSA) とは何ですか?
Local Security Authority (LSA) は、Local Security Authority Security Service (LSASS) プロセス内に存在するもので、ローカルとリモートのサインインに関してユーザーを検証し、ローカル セキュリティ ポリシーを適用します。

この更新プログラムはどのように問題を修正しますか? 
この更新プログラムは、次の 4 つの領域で改善を行うことで、資格情報の保護とドメイン認証の制御を強化し、資格情報の盗用を低減します。

  • Credential Security Support Provider (CredSSP) の制限管理モード 

    ホスト サーバーに資格情報を転送することなくリモート サーバーに接続することを目的として、この変更を使用するようにアプリケーションを作成することができます。これにより、サーバーが侵害された場合でも、最初の接続処理で資格情報が取り込まれることを防止できます。

    ホストが、ホストに接続するユーザー アカウントが管理者権限を所有し、制限管理モードをサポートしていることを確認すると、接続が成功します。それ以外の場合、接続試行は失敗します。制限管理モードでは、プレーン テキストやその他の再利用可能な形式で、リモート コンピューターに資格情報を送信することはありません。

    制限管理モードを管理するために、2 つのレジストリ キー設定を構成できます。DisableRestrictedAdmin キーは、制限管理モードを有効にしたり、無効にしたりするために使用します。制限管理モードが有効になっている場合、DisableRestrictedAdminOutboundCreds は、ユーザーが、ローカル コンピューター アカウントを使用してリモートのリソースに自動的に認証してから、システムに接続されているユーザーが制限付きモードでリモート デスクトップを使用する機能を有効にしたり、無効にしたりするために使用します。

  • LSA での資格情報のクリーンアップ 

    この機能により、LSA においてドメイン資格情報の攻撃経路が減ります。この機能への変更には、次のことが含まれます:ローカル アカウントを使用したドメイン参加コンピューターへのネットワーク ログオンおよびリモートの対話型ログオンの防止、ログオン資格情報キャッシュのログオン有効期間の制限、Kerberos/NTLM/ダイジェスト/CredSSP で提供される資格情報キャッシュの制限、プレーン テキスト パスワードに関する Kerberos キャッシュの制限、資格情報の委任ポリシーでダイジェストについてログオン資格情報の使用が許可および制限されている場合を除き、CredSSP でログオン資格情報をキャッシュしないことなど。

  • Protected Users セキュリティ グループ 

    この機能は、Windows 8.1 および Windows Server 2012 R2 で導入された Protected Users セキュリティ グループのサポートを追加します。このサポートは、Windows Server 2012 R2 ベースのドメイン内のドメイン メンバー コンピューターに適用されます。

    Protected Users グループのメンバーは、以下の認証方式により、さらに制限されます。

    • Protected Users グループのメンバーがサインオンできるのは、Kerberos プロトコルを使用した場合だけです。このアカウントでは、NTLM、ダイジェスト認証、または CredSSP を使用して認証することはできません。Windows 8 を実行しているデバイスでは、パスワードはキャッシュされません。そのため、アカウントが Protected Users グループのメンバーである場合、上記のセキュリティ サポート プロバイダー (SSP) のいずれかを使用するデバイスでは、ドメインへの認証が失敗します。
    • Kerberos プロトコルでは、事前認証の処理で、比較的弱い DES または RC4 暗号化の種類を使用しません。これは、少なくとも AES 暗号スイートをサポートするようにドメインを構成する必要があることを意味します。
    • Kerberos の制約付き委任または無制約の委任を使用して、ユーザーのアカウントを委任することはできません。これは、ユーザーが Protected Users グループのメンバーである場合、以前の接続で他のシステムへ接続すると、エラーが発生する可能性があることを意味します。
  • リモート デスクトップ接続の制限管理機能

    この機能は、Windows 8.1 および Windows Server 2012 R2 で導入された制限管理モードのサポートを、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012 上のリモート デスクトップ接続およびリモート デスクトップ プロトコルに追加します。

    • 制限管理モードは、サーバーに資格情報を送信しないでリモート ホスト サーバーに対話的にログオンする方法を提供します。これにより、サーバーが侵害された場合でも、最初の接続処理で資格情報が取り込まれることを防止できます。
    • このモードを管理者資格情報と共に使用することで、リモート デスクトップ クライアントは、資格情報を送信しないでこのモードをサポートするホストに対話的にログオンしようとします。ホストが、ホストに接続するユーザー アカウントが管理者権限を所有し、制限管理モードをサポートしていることを確認すると、接続が成功します。それ以外の場合、接続試行は失敗します。制限管理モードでは、プレーン テキストやその他の再利用可能な形式で、リモート コンピューターに資格情報を送信することはありません。
    • 詳細については、What's New in Remote Desktop Services in Windows Server (Windows サーバーのリモート デスクトップ サービスの新機能) (英語情報) を参照してください。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2014/05/14): アドバイザリを公開しました。
  • V2.0 (2014/07/09): 制限管理の設定に対する制御の強化を実現する更新プログラム 2973351 と 2919355 のリリースをお知らせするために、アドバイザリを再リリースしました。システムにインストールされているソフトウェアに応じて、お客様は 2973351 または 2919355 のいずれかを直ちにインストールする必要があります。詳細については、「このアドバイザリに関連する更新プログラム」およびアドバイザリの「よく寄せられる質問」を参照してください。
  • V3.0 (2014/09/10): このアドバイザリを再リリースし、Windows 7 または Windows Server 2008 R2 システムにログオンするときのユーザー資格情報の保護を強化するために、更新プログラム 2982378 をリリースしたことをお知らせしました。詳細については、「このアドバイザリに関連する更新プログラム」を参照してください。
  • V4.0 (2014/10/15): このアドバイザリを再リリースし、リモート ホスト サーバーにログオンするときのユーザー資格情報の保護を強化するために、更新プログラムをリリースしたことをお知らせしました。詳細については、「このアドバイザリに関連する更新プログラム」およびアドバイザリの「よく寄せられる質問」を参照してください。
  • V5.0 (2016/02/10): このアドバイザリを再リリースし、資格情報のセキュリティ サポート プロバイダー (CredSSP) の制限付き管理モードを既定で有効にする更新プログラム 3126593 をリリースしたことをお知らせしました。詳細については、「このアドバイザリに関連する更新プログラム」を参照してください。
Page generated 2016-02-04 14:22Z-08:00.
表示: