[MS15-121] なりすましを解決する Schannel のセキュリティ更新プログラム (2015 年 11 月 10 日)

Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

概要


このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。 この脆弱性により、攻撃者がクライアントと正規のサーバー間で man-in-the-middle (MiTM) 攻撃を実行する場合になりすましが行われる可能性があります。

この脆弱性の詳細については、マイクロソフト セキュリティ情報 MS15-121 をご覧ください。

詳細


重要
  • 今後の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム 2919355 がインストールされている必要があります。 将来の更新プログラムをインストールするために、Windows RT 8.1 ベース、Windows 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」をご覧ください。

このセキュリティ更新プログラムの既知の問題

  • 3144474 セキュリティ更新プログラム 3081320 を Windows Server 2012 R2 にインストールすると、TFS アプリケーション プールと Certreq.exe がクラッシュする
  • この更新プログラムは、Extended Master Secret Transport Layer Security (TLS) 拡張オプションに必要な変更を加えます。 これらの変更は既存の暗号化次世代 (CNG) SSL プロバイダーを機能しなくします。 ベンダーと連携して CNG SSL プロバイダーを更新することをお勧めします。 それまでの間この問題を回避するため、レジストリを編集して Extended Master Secret 拡張オプションを無効にできます。


    警告: この回避策は CNG SSL プロバイダーを更新するまでの一時的な手段としてご使用ください。 この回避策はこのセキュリティ更新プログラムを無効にし、このセキュリティ更新プログラムにより提供される保護を無効にします。 この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。 この回避策は、自己の責任において使用してください。


    詳細については、次のマイクロソフト Web ページを参照してください。
    重要このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 バックアップおよび復元方法の詳細を参照するには、以下のマイクロソフト サポート技術情報番号をクリックしてください。
    322756 Windows でレジストリをバックアップおよび復元する方法
    これらのレジストリの変更を実行するには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. レジストリで次のサブキーを見つけてクリックします。
      HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
    3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
      • 接続要求を受信するコンピューターでは、DWORD の名前に「DisableServerExtendedMasterSecret: REG_DWORD」と入力し、ENTER を押します。
      • 接続要求を発信するコンピューターでは、DWORD の名前に「DisableClientExtendedMasterSecret: REG_DWORD」と入力し、ENTER を押します。
    4. 新しい DWORD エントリを右クリックし、[変更] をクリックします。
    5. [値のデータ] ボックスに 1 (または 0 以外の数値) を入力し、TLS 拡張オプションを無効にします。
    : DisableClientExtendedMasterSecret レジストリ設定の変更後に、コンピューターを再起動する必要はありません。 ただし、DisableClientExtendedMasterSecret レジストリ設定の削除後には、コンピューターを再起動する必要があります。

更新プログラムを入手してインストールする方法


方法 1: Windows Update

この更新プログラムは、Windows Update から入手できます。 自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。 自動更新を有効にする方法の詳細については、 「セキュリティ更新プログラムを自動的に入手」をご覧ください。

注: Windows RT や Windows RT 8.1 の場合、この更新プログラムは、Windows Update からのみ利用できます。

詳細