マイクロソフト セキュリティ アドバイザリ 3174644

Diffie-Hellman キー交換のサポートの更新

公開日: 2016 年 9 月 14 日

バージョン: 1.0

概説

マイクロソフトは、管理者が TLS サーバーに対して長い Diffie-Hellman Ephemeral (DHE) キー共有を構成できるようにサポートを更新しました。このサポートの更新により、管理者は DH 係数のサイズを現在の既定値である 1024 から 2048、3072、または 4096 に増やすことができます。

注意: すべてのバージョンの Windows 10 では、新しい DH 係数の設定をサポートしており、2048 を DH 係数の既定の設定として使用します。

このアドバイザリの目的は何ですか? 
このアドバイザリは、管理者が TLS サーバーに対して長い Diffie-Hellman Ephemeral (DHE) キー共有を構成できるようにサポートを更新したことをお知らせするものです。

DHE キー共有のサポートはどのように更新されましたか? 
DHE キー交換の実装における現在の係数サイズは、1024 ビットです。このサポートの更新により、管理者は 2048、3072、または 4096 の係数サイズを構成できるようになりました。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか? 
いいえ。ただし、管理者が長い DHE キー共有を構成できるようになるため、管理対象の TLS サーバーのセキュリティを強化できます。

管理者が TLS サーバーに対して長い DHE キー共有を構成できるようにした理由は何ですか? 
管理者が TLS サーバーに対して長い DHE キー共有を構成できるようにすることで、TLS サーバーで既定の最小のセキュリティ標準として 2048、3072、および 4096 に対応するグループ 14、15、16 (RFC3526) の実装が容易になります。

管理者は、次の手順でレジストリ キー値を追加することで、係数サイズを変更できます。キー値が存在しない場合、係数の既定値は 1024 ビットのままになります。次の例では、係数サイズを 2048 ビットに設定します。有効なキー値は、十進数の1024、2048、3072、および 4096 です。

既定の係数サイズを変更するには:

警告 レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

  1. レジストリ エディターを開きます。
  2. 次のレジストリの場所に移動します。
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
    
  3. 次のように DWORD 値を更新します。
    "ServerMinKeyBitLength"=dword:00000800
    

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従って、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか明確でない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。自動更新ツールが有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社のアクティブ保護Web サイトを参照してください。

フィードバック

  • フィードバックをご提供いただく際は、マイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。

サポート

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2016 年 9 月 14 日): このアドバイザリを公開しました。
Page generated 2016-09-07 9:16-07:00.
表示: