このセキュリティ更新プログラムは、攻撃者が PAC 署名をデジタルで変更して特権を引き上げる可能性がある Kerberos の脆弱性に対処します。 環境をセキュリティで保護するために、Windows ドメイン コントローラーを含むすべてのデバイスにこの Windows 更新プログラムをインストールしてください。 更新プログラムを強制モードに切り替える前に、ドメイン内のすべてのドメイン コントローラーを最初に更新する必要があります。 この脆弱性の詳細については、「CVE-2022-37967」を参照してください。 対処方法. 環境を保護し、停止を防ぐために、次の手順を実行することをお勧めします:

Xbox で購入するときにエラー メッセージまたはエラー コードが表示されますか? その意味をご確認ください。

このドキュメントでは、Windows レジストリ キーを使用したセキュア ブート証明書の更新プログラムの展開、管理、監視のサポートについて説明します。 キーは次で構成されます。 デバイス上の証明書とブート マネージャーのデプロイをトリガーする 1 つのキー。 デプロイの状態を監視するための 2 つのキー。 2 つの利用可能なデプロイのオプトイン/オプトアウト設定を管理するための 2 つのキーが役立ちます。 これらのレジストリ キーは、デバイス上で手動で設定することも、使用可能なフリート管理ソフトウェアを使用してリモートで設定することもできます。

イベント ID: 21 |AS-REQ エラー イベント Kerberos-Key-Distribution-Center イベント 45 に対処した後、この汎用のレガシ イベントのログは、クライアント証明書がまだ信頼されていないことを示します。 このイベントは複数の理由でログに記録される可能性があります。

2022 年 11 月 8 日以降の日付の Windows 更新プログラムがインストールされると、Kerberos プロトコルで次のレジストリ キーを使用できるようになります: DefaultDomainSupportedEncTypes. 再起動が必要ですか? 注 Active Directory のユーザーまたはコンピューターのサポートされている暗号化の種類の規定値を変更する必要がある場合には、レジストリ キーを手動で追加および構成して新しいサポートされている暗号化の種類を設定してください。 この更新プログラムは、レジストリ キーを自動的に追加しません。

この脆弱性を悪用するために、侵害されたドメイン アカウントが、キー配布センター (KDC) にこの侵害されたアカウントよりも高い特権レベルを持つサービス チケットを作成させる可能性があります。 より高い特権のサービス チケットの対象となるアカウントはどれなのかを KDC が特定できないようにすることで、これを達成します。 CVE-2021-42287 の改善された認証プロセスにより、Kerberos チケット保証チケット (TGT) の PAC に元の要求元に関する新しい情報が追加されます。

このリンカー オプションは、Windows セキュリティ センターにコンポーネントを登録するマルウェア対策と詐欺対策のシナリオに必要です。 信頼された署名 (旧称 Azure Code Signing) を使用して IntegrityCheck にリンクされたユーザー モードの PEs に署名する必要があります。 クロス署名プログラム は非推奨であり、新しい署名証明書は発行されません。 Windows は、クロス署名プログラムによって署名された既存のバイナリを引き続き信頼します。 Microsoft ではまず、Windows 11 バージョン 21H2 でユーザー モードの PEs の署名要件が導入されました。

このリリースに関する最新の更新プログラムを表示するには、Windows 11 バージョン 25H2 および 24H2 の Windows リリース正常性ダッシュボード または更新履歴ページにアクセスします。 このセクションでは、お知らせ、変更ログ、サポート終了通知など、このリリースに関連する重要な通知を提供します。 この OOB 更新プログラムには、品質の向上が含まれています。 この更新プログラムは累積的であり、次に加えて、2026 年 1 月 13 日のセキュリティ更新プログラム (KB5074109) からのセキュリティ修正プログラムと機能強化が含まれています。

Key Distribution Center (KDC) を使用して Kerberos Constrained Delegation (KCD) を介した委任に Kerberos サービス チケットを使用できるかどうかを判断する方法に、セキュリティ機能のバイパスの脆弱性が存在します。 ここでは、その解決する方法について説明します。

この問題は、Windows Server 2012 ベースのドメイン コント ローラーのキー配布センター (KDC) は、Tgt の有効期間に追加のチェックを実行するために発生します。 TGT の有効期限が 2 分未満の場合は、KDC には、"KRB_AP_ERR_TKT_EXPIRED"エラーが返されます。 この問題を解決するには、Windows 8 と 2883201 の Windows Server 2012 の更新プログラムのロールアップをインストールします。 この更新ロールアップ パッケージを入手する方法の詳細については、次の文書番号をクリックしてください。