はじめに
マイクロソフトはセキュリティ情報 MS09-042 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。
-
ホーム ユーザー向け:
http://www.microsoft.com/japan/security/bulletins/MS09-042e.mspx詳細をスキップ: ご自宅のコンピューターまたはラップトップに、Microsoft Update Web サイトから更新プログラムを今すぐダウンロードします。
-
IT プロフェッショナル向け:
http://www.microsoft.com/japan/technet/security/bulletin/MS09-042.mspx
このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:
ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/common/international.aspx?rdpath=4 北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。
http://support.microsoft.com/oas/default.aspx?&prid=7552 企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。
詳細
このセキュリティ更新プログラムの関連情報
-
このセキュリティ情報で解決される内容
このセキュリティ更新プログラムは、Telnet プロトコルのリフレクション保護の問題が解決します。リフレクション保護の詳細については、次のセキュリティ情報を参照してください。http://www.microsoft.com/japan/technet/security/bulletin/MS09-042.mspx
-
拡張保護について
このセキュリティ更新プログラムには、多重防御の修正が含まれており、Telnet クライアントおよびサーバーでは拡張保護を必要に応じて選択できます。既定では、この機能は無効になっています。このセキュリティ更新プログラムと、拡張保護の詳細を説明している以下のセキュリティ アドバイザリを十分に検討し、これらの変更の影響を理解してください。973811 マイクロソフト セキュリティ アドバイザリ: 認証の拡張保護
-
コンピューターで拡張保護を有効にする方法
拡張保護を有効にする前に、クライアント コンピューターとサーバー コンピューターの両方に以下の更新プログラムがインストールされていることを確認します。968389 認証の拡張保護 Telnet の拡張保護を有効にするには、セキュリティ アドバイザリ 968389 およびこの資料で説明している更新プログラムを、クライアント コンピューターとサーバー コンピューターの両方にインストールしてください。
注: 拡張保護を有効にするクライアント側の設定は、システム全体の設定です。この設定を有効にすると、クライアント コンピューター上のすべてのコンポーネントについて拡張保護が有効になります。
サーバーでは、各コンポーネントについて個別に拡張保護を有効にする必要があります。サーバーで拡張保護を有効にする前に、特定のサーバーのクライアント コンポーネントがすべて拡張保護用に更新されていることを確認してください。更新されていない場合、認証エラーが発生する可能性があります。両方のセキュリティ更新プログラムをインストールした後、クライアント コンピューターとサーバー コンピューターの両方で拡張保護を有効にする必要があります。
コンピューターで拡張保護を有効にするには、以下の変更を行う必要があります。
重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。322756 Windows でレジストリをバックアップおよび復元する方法
-
コンピューターが Telnet クライアントである場合:
-
レジストリ値 SuppressExtendedProtection および LmCompatibilityLevel が、以下のレジストリ サブキーに存在していることを確認します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
-
このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
-
次のレジストリ キーを見つけてクリックします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
「SuppressExtendedProtection」と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
「0」と入力し、[OK] をクリックします。
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
「LmCompatibilityLevel」と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
注: この手順では、NTLM 認証の要件が変更されます。この動作について理解するには、サポート技術情報の以下の資料を参照してください。239869 NTLM 2 認証を有効にする方法
-
「3」と入力し、[OK] をクリックします。
-
レジストリ エディターを終了します。
-
-
-
Telnet サーバーの場合:
以下の変更を行う前に、次の MSDN の記事で強化モードの設定について参照してください。http://msdn.microsoft.com/ja-jp/library/dd767318.aspx
-
レジストリ値 ExtendedProtection が、以下のレジストリ サブキーに存在していることを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
-
このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
-
次のレジストリ キーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
-
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
「Type」と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
使用する Telnet の要件に基づいて、以下のいずれかの値を使用してレジストリ値を設定し、[OK] をクリックします。
-
Legacy: すべての種類のクライアントを許可します。[ExtendedProtection] を 0 に設定します。
-
Partial: (Legacy + EP) サービス プリンシパル名 (SPN) を送信しないクライアントを許可します。また、正しい SPN を送信するクライアントを許可します。[ExtendedProtection] を 1 に設定します。
-
Fully Hardened: (EP のみ) 正しい SPN のみを送信するクライアントを許可します。[ExtendedProtection] を 2 に設定します。
-
-
レジストリ エディターを終了します。
-
-
-
-
このパッケージをインストールする場合
以下のレジストリ キーおよび値は、Windows XP を実行しているコンピューターおよび Windows Server 2003 を実行しているサーバーでのみ作成されます。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
[ExtendedProtection] の既定値は 0 に設定されます。Windows Vista では、手動でこのキーを作成し、選択した強化モードに基づいて、適切な値を設定する必要があります。レジストリ値を追加するには、この資料の「コンピューターで拡張保護を有効にする方法」で説明した手順に従ってください。 -
Telnet サーバー上で既定で許可される SPN:
-
既定では、Telnet サーバーは以下の一覧に示す名前および IP を許可します。
-
"localhost" という英語の文字列
-
使用しているサーバーまたはコンピューターのすべての種類の IP (IPv4 & IPv6)
-
127.0.0.1 & ::1
-
NetBIOS 形式のホスト名
-
FQDN 形式のホスト名
-
-
管理者が他の SPN も許可することを決定した場合は、次のように名前を追加できます。名前は、NetBIOS から FQDN へ、または FQDN から NetBIOS へは変換されません。
-
レジストリ値 AllowedSPN が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
-
次のレジストリ キーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
-
[編集] メニューの [新規] をポイントし、[複数行文字列値] をクリックします。
-
「AllowedSPN」と入力し、Enter キーを押します。
-
[編集] メニューの [修正] または [変更] をクリックします。
-
SPN として許可するエイリアスを追加します。以下のエントリは、Telnet で有効な SPN です。
telnet/machineName
-
[OK] をクリックし、レジストリ エディターを終了します。
-
-
-
このセキュリティ更新プログラムに関する既知の問題
-
Windows XP を実行しているコンピューター、または Windows Server 2003 を実行しているサーバーでは、IPv6 アドレスおよびコンピューターのエイリアスについて以下の localhost のエラーが発生する可能性があります。
Microsoft Telnet クライアントが、ローカルの IPv6 アドレス、および "localhost" や "hostname" 以外のすべての localhost エイリアスに接続できません。
この問題を解決するには、以下のうち該当する手順を実行します。 -
アドレス範囲が 127.*.*.* の任意の IP アドレスに対して Telnet セッションを作成しようとすると、IP アドレスが 127.0.0.1 の場合を除いて、Telnet セッションはエラーになります。
この問題は、Windows 2000、Windows XP、および Windows Server 2003 で発生します。 -
既定では、Windows 2000 ではリフレクション保護を使用できません。
-
リレー (拡張) 保護は、以下のオペレーティング システムでのみ使用できます。
-
Windows Vista のすべてのバージョン
-
Windows Server 2003 Service Pack 2 QFE および Windows Server 2003 Service Pack 2 GDR
-
Windows XP Service Pack 2 QFE、Windows XP Service Pack 2 GDR、Windows XP Service Pack 3 QFE、および Windows XP Service Pack 3 GDR
-
-
クラスター名および FQDN に対しては Telnet を実行できません。クラスター名および FQDN を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
-
エイリアス名を使用してサーバーに Telnet を実行できません。エイリアス名を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
-
この更新プログラムは、システムに Services for Unix をインストールしている Windows 2000 ユーザーには提供されません。
ファイル情報
セキュリティ更新プログラム (日本語版) のファイル属性は、
セキュリティ情報 MS09-042 の「ファイル情報」セクションをご覧ください。