[MS15-096] Active Directory サービスの脆弱性により、サービス拒否が起こる (2015 年 9 月 8 日)

概要

このセキュリティ更新プログラムは、Active Directory ドメイン サービス (AD DS) の脆弱性を解決します。この脆弱性により、認証された攻撃者が複数のコンピューター アカウントを作成した場合にサービス拒否が起こる可能性があります。この脆弱性を悪用するには、攻撃者が有効な資格情報を持っている必要があります。

このセキュリティ更新プログラムは、管理者以外のユーザーの既存のユーザーとコンピューターのアカウントが変更されるのを防ぎます。このセキュリティ更新プログラムのインストール後、アカウントの種類を変更するために UserAccountControl レジストリ エントリのフラグを変更することはできません。アプリケーションで対話的にまたはプログラム的に Active Directory 内にユーザー アカウントとしてオブジェクトを作成し、UserAccountControl 値を変更することで、それらをコンピューター アカウントに変換するかまたはその逆に変換する場合に、最も頻繁に影響を受ける操作が発生します。1 つの緩和策として、オブジェクトを作成するときに目的の UserAccountControl 値を持つユーザー オブジェクトまたはコンピューター オブジェクトを作成します。たとえば、コンピューター アカウントにするオブジェクトには、オブジェクト作成中に WORKSTATION_TRUST_ACCOUNT を含む UserAccountControl 値を持たせるようにする必要があります。

このセキュリティ更新プログラムは、SeMachineAccountPrivilege コンピューター アカウント特権を使用して異なるドメイン内に追加のコンピューター アカウントが作成されることも防止します。このようなシナリオが必要な場合は、管理者が、コンピューター アカウントを作成する必要があるコンテナー上でクロスドメインのコンピューター アカウントに明示的なアクセス許可を付与することができます。

この脆弱性の詳細については、マイクロソフト セキュリティ情報 MS15-096 を参照してください。

詳細

重要
  • 今後の Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム 2919355 がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

更新プログラムを入手してインストールする方法

方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法の詳細については、 「セキュリティ更新プログラムを自動的に入手」を参照してください。

方法 2: Microsoft ダウンロード センター

詳細

セキュリティ更新プログラムの展開に関する情報
ファイル ハッシュ情報
ファイルに関する情報
このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法
プロパティ

文書番号:3072595 - 最終更新日: 2015/11/24 - リビジョン: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 Foundation, Windows Server 2008 for Itanium-Based Systems

フィードバック