セキュリティ更新プログラム 899587 のインストール後、レジストリ エントリ RequireAsChecksum を変更する方法

文書翻訳 文書翻訳
文書番号: 904766 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

はじめに

この資料では、レジストリ エントリ RequireAsChecksum の編集方法について説明します。マイクロソフトのセキュリティ更新プログラム 899587 をインストールした後に、このレジストリ エントリを設定することで、コンピュータの保護の強化に役立ちます。セキュリティ更新プログラム 899587 の関連情報は、セキュリティ情報 MS05-042 に記載されています。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
899587 [MS05-042] Kerberos の脆弱性により、サービス拒否、情報漏えいおよびなりすましが行われる

詳細

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

セキュリティ更新プログラム 899587 には、セキュリティに関連する機能変更が含まれています。セキュリティ情報 MS05-042 によって、外部で報告されたセキュリティ上の脆弱性が修正されます。ただし、セキュリティ更新プログラム 899587 には、セキュリティ情報 MS05-042 の「脆弱性の詳細」で個別に記載されている変更の他にも機能変更が含まれており、今後発生する可能性のある PKINIT 関連の脆弱性に対する保護を強化するために、レジストリ エントリ (RequireAsChecksum) が追加されています。このレジストリ エントリの設定は省略可能ですが、設定することが推奨されています。レジストリ エントリ RequireAsChecksum は、次のレジストリ サブキーの下にあります。
  • Microsoft Windows XP
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 および Microsoft Windows Server 2003
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

レジストリ エントリ RequireAsChecksum には、次の値を設定できます。
  • RequireAsChecksum = 1 または他の値 (ゼロを除く)
    この設定が有効な場合、クライアントで受け付けられるのは、スマート カード ログオン用のドメイン コントローラからの、PKINIT の最新の改定 (PKINIT-27) に準拠する応答のみです。
  • RequireAsChecksum = 0 (ゼロ)
    この設定が無効な場合、クライアントでは、新しい改定または以前の改定のいずれかに準拠する応答が受け付けられます。
: このレジストリ エントリがない場合のコンピュータの動作は、設定が無効の場合と同じです。

次の条件にすべて該当する場合、スマート カード ログオンは失敗します。
  • ログオンがクライアントから開始されました。
  • セキュリティ更新プログラム 899587 がクライアントにインストールされています。
  • レジストリ エントリ RequireAsChecksum の値がクライアントで 1 に設定されています。
  • 認証要求に対して応答するドメイン コントローラに、セキュリティ更新プログラム 899587 がインストールされていません。
セキュリティ更新プログラム 899587 をドメイン内のすべてのドメイン コントローラに展開してから、クライアント コンピュータのレジストリ設定を有効にすることをお勧めします。

: Windows 2000 ベースのコンピュータの場合、レジストリ エントリの変更後、コンピュータを再起動する必要があります。ただし、Windows XP または Windows Server 2003 を実行しているコンピュータでは、再起動は必要ありません。

プロパティ

文書番号: 904766 - 最終更新日: 2005年8月12日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowto kbinfo kbsecurity KB904766
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com