マイクロソフト セキュリティ アドバイザリ 3057154

DES 暗号化の使用を強化する更新プログラム

公開日:2015 年 7 月 15 日 | 最終更新日:2015 年 12 月 9 日

バージョン: 1.1

マイクロソフトは、データ暗号化標準 (DES) の暗号化キーがアカウントで使用されるシナリオを強化するための更新プログラムが利用可能になったことをお知らせします。このアップデートでは、他の暗号化種類をサポートするドメイン ユーザー、サービス、コンピューターを、資格情報の盗用または特権を昇格させる攻撃から保護します。よく知られたブルート フォースやブルート フォースよりも高速の攻撃により、データ暗号化標準は弱い暗号化とみなされています。この暗号化アルゴリズムは、標準からも削除されています [RFC 6649]。ユーザーの保護を強化するため、マイクロソフトは Windows 7 と Windows Server 2008 R2 以降のオペレーティング システムでデータ暗号化標準を既定で無効にしました。ただしこの更新プログラムでは、アプリケーションの互換性の理由からデータ暗号化標準を必要とするシナリオに対応するため、クライアントとサーバー間でのデータ暗号化標準の使用を許可しています。この改善は、従来の基幹業務アプリケーションのサポートを継続しながら、Windows の暗号化の効果を強化するための取り組みの一環です。

Kerberos プロトコルをサポートするすべての Windows ドメイン コントローラーでは RC 4 以上もサポートしているため、次のアカウントではデータ暗号化標準を使って TGT やサービス チケットを保護することはできません。

  • krbtgt アカウント
  • ドメイン コントローラー アカウント

さらに、次のアカウントではサポートされる暗号化種類がデータ暗号化標準しかない場合を除き、TGT やサービス チケットの保護にデータ暗号化標準を使うことはできません。

  • コンピューター アカウント
  • サービス アカウント
  • 信頼アカウント
  • ユーザー アカウント

詳細および展開の手引きについては、マイクロソフト サポート技術情報 3057154 をご覧ください。

オペレーティング システム

Windows Server 2003 Service Pack 2

Windows Server 2003 R2 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 R2 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows Server 2012

Windows Server 2012 R2

Windows RT

Windows RT 8.1

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)


このアドバイザリの目的は何ですか?
データ暗号化標準 (DES) 暗号化キーを使用できるドメイン アカウントのシナリオを強化するための更新プログラムが利用可能になったことをお知らせすることです。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムでは、クライアントに Kerberos Key Distribution Center (KDC) でデータ暗号化標準の使用を許可することなく、データ暗号化標準を使用するサービスにアクセスできるようにします。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/07/15):アドバイザリを公開しました。
  • V1.1 (2015/12/09):アドバイザリを更新し、Windows 7 および Windows Server 2008 R2 以降のオペレーティング システムでデータ暗号化標準が既定で無効になることに関して詳細を追加しました。この更新プログラムは、アプリケーションの互換性の理由からデータ暗号化標準を必要とするシナリオに対応するため、クライアントとサーバー間におけるデータ暗号化標準に使用できます。

Page generated 2015-12-03 13:53Z-08:00.
表示: