[MS15-096] Active Directory サービスの脆弱性により、サービス拒否が起こる (2015 年 9 月 8 日)

適用対象: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

概要


このセキュリティ更新プログラムは、Active Directory ドメイン サービス (AD DS) の脆弱性を解決します。この脆弱性により、認証された攻撃者が複数のコンピューター アカウントを作成した場合にサービス拒否が起こる可能性があります。この脆弱性を悪用するには、攻撃者が有効な資格情報を持っている必要があります。

このセキュリティ更新プログラムは、管理者以外のユーザーの既存のユーザーとコンピューターのアカウントが変更されるのを防ぎます。このセキュリティ更新プログラムのインストール後、アカウントの種類を変更するために UserAccountControl レジストリ エントリのフラグを変更することはできません。アプリケーションで対話的にまたはプログラム的に Active Directory 内にユーザー アカウントとしてオブジェクトを作成し、UserAccountControl 値を変更することで、それらをコンピューター アカウントに変換するかまたはその逆に変換する場合に、最も頻繁に影響を受ける操作が発生します。1 つの緩和策として、オブジェクトを作成するときに目的の UserAccountControl 値を持つユーザー オブジェクトまたはコンピューター オブジェクトを作成します。たとえば、コンピューター アカウントにするオブジェクトには、オブジェクト作成中に WORKSTATION_TRUST_ACCOUNT を含む UserAccountControl 値を持たせるようにする必要があります。

このセキュリティ更新プログラムは、SeMachineAccountPrivilege コンピューター アカウント特権を使用して異なるドメイン内に追加のコンピューター アカウントが作成されることも防止します。このようなシナリオが必要な場合は、管理者が、コンピューター アカウントを作成する必要があるコンテナー上でクロスドメインのコンピューター アカウントに明示的なアクセス許可を付与することができます。

この脆弱性の詳細については、マイクロソフト セキュリティ情報 MS15-096 を参照してください。

詳細


重要
  • 今後の Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム 2919355 がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

更新プログラムを入手してインストールする方法


方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法の詳細については、 「セキュリティ更新プログラムを自動的に入手」を参照してください。