注意事項
このセキュリティ更新プログラムは 2017 年 9 月 13 日に再リリースされ、CVE-2016-3238 の 3170455 更新プログラムの既知の問題を解決します。
マイクロソフトでは、次の現在サポートされている Microsoft Windows のバージョン用の更新プログラムを提供しています。詳細については、マイクロソフト サポート技術情報の次の記事を参照してください。
- Windows Server 2008 用の再リリース更新プログラム 3170455
- Windows 7 および Windows Server 2008 R2 用の月例のロールアップ 4038777 およびセキュリティ更新プログラム 4038779
- Windows Server 2012 用の月例のロールアップ 4038799 およびセキュリティ更新プログラム 4038786
- Windows 8.1 および Windows Server 2012 R2 用の月例のロールアップ 4038792 およびセキュリティ更新プログラム 4038793
- Windows 10 用の累積的な更新プログラム 4038781
- Windows 10 Version 1511 用の累積的な更新プログラム 4038781
- Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム 4038782
Windows Server 2008 を実行している場合は更新プログラム 3170455 を再インストールすることをお勧めします。 他のサポートされるバージョンの Windows を実行している場合は適切な更新プログラムをインストールすることをお勧めします。 詳細については、マイクロソフト サポート技術情報 3170455 を参照してください。
再リリース MS16-087 に含まれているその他の変更点
- プリンター ドライバーのインストール エラーの原因特定に役立つイベント ログの追加
以前までは、ドライバーが MS16-087 の一部として実装された新しい制限の確認処理に失敗した理由を知る唯一の方法は、ETW ログを収集し、分析用にマイクロソフトに送信することでした。
ドライバーの失敗の根本原因をお客様ご自身で調査できるように、失敗の原因を記録する機能をイベント ログ ツールに追加しました。
記録される情報は次のとおりです。
1. ドライバーがパッケージ対応ではないか正しく署名されていない場合、次のメッセージが記録されます。
MSG_CSRSPL_UNTRUSTED_DRIVER: "The print spooler failed to download package for driver <driverName>. Error code= <errorCodeFromListBelow>. Blocking driver as there could be a possibility of potential tampering. (印刷スプーラーはドライバー <ドライバー名> 用のパッケージをダウンロードできませんでした。エラー コード = <以下のエラー コードのいずれか>。改ざんの可能性があるため、ドライバーをブロックします。)"
2. ドライバーが提供されたカタログを使用して署名の検証に失敗した場合、次のメッセージが記録されます。
VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>. (VALIDATINGDRVINFO で、プリンター ドライバー <ドライバー名> の追加に失敗しました。エラー コード <以下のエラー コードのいずれか>。)"
可能性のあるエラー コード:
| コード | 意味 |
| 0x800F0243L | 信頼されていない発行元 |
| 0x800F024BL | カタログにないハッシュ |
| 0x800F022FL | OEM INF 用のカタログがない |
| 0x800F023FL | Authenticode カタログがない |
| 0x800F0240L | Authenticode が使用できない |
| 0x800F0249L | 汎用“ドライバーのインストールがブロックされている” |
概要
脆弱性の詳細については、マイクロソフト セキュリティ情報 MS16-087 を参照してください。
詳細情報
- このセキュリティ更新プログラムをインストールし、プリント サーバーからクライアントにポイント アンド プリント ドライバーをデプロイできるようにした後は、以下の Windows 更新プログラムのロールアップを Windows 8.1 または Windows Server 2012 R2 プリンター サーバーに適用する必要があります。 3000850 2014 年 11 月公開の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラムのロールアップ
- 今後の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム 2919355 がインストールされている必要があります。 将来の更新プログラムをインストールするために、Windows RT 8.1 ベース、Windows 8.1 ベース、または Windows Server 2012 R2 ベースのコンピューターに更新プログラム 2919355 をインストールしておくことをお勧めします。
- この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。
このセキュリティ更新プログラムの関連情報
- 3170455 MS16-087: Windows 印刷スプーラー コンポーネント用のセキュリティ更新プログラムについて 2016 年 7 月 13 日
- 3163912 Windows 10 用の累積的な更新プログラム 2016 年 7 月 13 日
- 3172985 Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム 2016 年 7 月 13 日
既知の問題
お使いの環境内でネットワーク印刷を利用している場合に、次のいずれかの問題が発生する可能性があります。- プリンター ドライバーのインストールに関する警告が表示される場合や、MS16-087 の適用後にドライバーのインストールが何の通知もなしに失敗する場合があります。 この場合の現象は特定のシナリオに応じて異なります。
シナリオ 1
実装を認識できない v3 プリンター ドライバーの場合は、ユーザーがポイント アンド プリント プリンターに接続しようとすると、次の警告メッセージが表示されることがあります。
シナリオ 2
実装を認識できるドライバーは、信頼された証明書で署名されている必要があります。 検証プロセスでは、ドライバーに含まれるすべてのファイルがカタログ内でハッシュされているかどうかを確認します。 検証に失敗した場合、そのドライバーは信頼できないと判断されます。 この場合、ドライバーのインストールはブロックされ、次の警告メッセージが表示されます。
シナリオ 3
非対話型のシナリオの場合 (自動スクリプトによってプリンターがインストールされるなど)、プリンター ドライバーが「シナリオ 1」または「シナリオ 2」で説明した条件に一致すると、プリンターのインストールは失敗し、警告メッセージが表示されます。
このような場合は、プリンターの製造元から更新されたドライバーを入手するようにネットワーク管理者に連絡してください。
ネットワーク管理者向けのガイダンス:
- 影響を受けたプリンター ドライバーを更新してください。 実装を認識できる V3 プリンター ドライバーは Windows Vista で導入されました。 実装を認識できるプリンター ドライバーをインスールすると、問題が解決します。
- 特定の従来のプリンターに適切なプリンター ドライバーが用意されていない場合は、問題のあるプリンター ドライバーをクライアント システムにプレインストールすると、問題が解決します。
- セキュリティ更新プログラム MS16-087 (KB 3170455) を適用した後、Windows 8.1 または Windows Server 2012 R2 を実行しているシステムにインストールされている、信頼済みパッケージ対応プリンターに接続しようとすると、そのプリンターに接続できません。
問題を解決するには、Windows 8.1 または Windows Server 2012 R2 プリンター サーバーに次の Windows 更新プログラムのロールアップを適用します。3000850 2014 年 11 月公開の Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラムのロールアップ
2016 年 10 月公開の更新プログラム: 既知の問題の軽減策
マイクロソフトは、ネットワーク管理者によるポリシーの構成を許可する 2016 年 10 月の更新プログラムをリリースしました。これによりネットワーク管理者が安全と考えるプリント ドライバーのインストールが許可されます。 また、この更新プログラムでは、ネットワーク管理者が安全と考えるプリンター接続のデプロイも許可されます。この更新プログラムは以下のロールアップ パッケージに含まれています。
| Windows 10 RTM | サポート技術情報 3192440 |
| Windows 10 1511 | サポート技術情報 3192441 |
| Windows 10 1607 | サポート技術情報 3194798 |
| Windows 7 および Windows Server 2008 R2 | サポート技術情報 3192403 |
| Windows Server 2012 | サポート技術情報 3192406 |
| Windows 8.1 および Windows Server 2012 R2 | サポート技術情報 3192404 |
グループ ポリシーを構成し、プリント サーバーを許可リストに追加する
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
- 「gpedit.msc」と入力し、[OK] をクリックします。
- [コンピュータの構成] の [管理用テンプレート] を展開します。
- [プリンター] をクリックします。
- [ポイント アンド プリントの制限] をダブルクリックし、[有効] オプションを選択します。
- [オプション] で [ユーザーがポイント アンド プリントを行うことができるサーバー] チェック ボックスをオンにしてから、テキスト ボックスにセミコロンで区切って完全修飾サーバー名を入力します。
- [セキュリティの確認] で、[新しい接続用にドライバをインストールした場合] と [既存の接続用にドライバを更新した場合] リストの両方で [警告または昇格時のプロンプトを表示しない] を選択します。
- [適用]、[OK] の順にクリックします。
- [プリンター] ポリシー ページで [ポイントと印刷の実装 – 許可されたサーバー] をダブルクリックします。
- [有効] オプションを選択します。
- [オプション] で [表示] をクリックします。
- 各行に 1 つずつ完全修飾サーバー名を入力します。
- [OK] をクリックします。
- [適用] をクリックし、[OK] をクリックします。
- スタンドアロン クライアントを使用している場合は、クライアントを再起動してからこれらのポリシーが有効になっていることを確認します。
- ドメイン ポリシーを使用している場合は、ドメイン クライアントにそのポリシーをプッシュしてからこれらのポリシーが有効になっていることを確認します。
2016 年 10 月の更新プログラムに関するよく寄せられる質問
- Q : 以前の更新プログラムをアンインストールする必要はありますか?
A: いいえ。以前の更新プログラムは脆弱性を修正するものです。 2016 年 10 月の更新プログラムは、ネットワーク管理者が安全と考えるドライバーをインストールできるようにする軽減策です。 - Q : 2016 年 10 月の更新プログラムをインストールし、グループ ポリシーを構成しても、ローカル プリンターをインストールしようとすると "このプリンターを信頼しますか" メッセージが表示されます。 この理由は何ですか。
A: この軽減策の対象はローカル プリンターではなくネットワーク プリンターであるため、この動作は想定されています。
注: "このプリンターを信頼しますか" メッセージが表示されない場合は、現在のドライバーを信頼できるパッケージ対応ドライバーで置き換えるか、ローカル プリンターをインストールする前にローカル ドライバー ストアにドライバー ファイルをインストールしてください。 詳細については、「ネットワーク管理者向けガイダンス」を参照してください。