MS16-101: Windows認証方法のセキュリティ更新プログラムについて2016年8月9日

適用対象: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials 詳細

重要 この資料には、コンピューターのセキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法を示す情報が記載されています。これらの変更によって特定の問題を回避できますが、変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。

概要


このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。この脆弱性により、影響を受けるシステムで攻撃者が特別に細工されたアプリケーションを実行した場合、特権の昇格が起こる可能性があります。

脆弱性の詳細については、マイクロソフト セキュリティ情報 MS16-101を参照してください。

詳細


重要
  • 今後の Windows 8.1 および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム2919355がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows 8.1 ベースまたは Windows Server 2012 R2 ベースのコンピューターに更新プログラム2919355をインストールしておくことをお勧めします。 
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムの既知の問題

  • 既知の問題 1

    MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。

    16 進10 進記号フレンドリ
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDシステムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
    0x4f11265ERROR_DOWNGRADE_DETECTEDシステムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。


    回避策

    MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。


    1. インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。

      ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。

      TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。


      1. ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。
        ipv4.address== <ip address of client> && tcp.port==464
      2. 結果の中に、"TCP:[SynReTransmit" フレームを探します。

        フレーム
    2. 目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)
    3. サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。

      詳細は、Kerberos and Self-Service Password Reset を参照してください。
  • 既知の問題 2

    ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (表示されることは少ない)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    次の表は、完全なエラー マッピングを示しています。

    16 進10 進記号フレンドリ
    0x5686ERROR_INVALID_PASSWORD指定されたネットワーク パスワードが間違っています。
    0x267615ERROR_PWD_TOO_SHORT入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。
    0xc000006a-1073741718STATUS_WRONG_PASSWORDパスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONパスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。
    0x800704F11265STATUS_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。


    解決方法

    この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。

  • 既知の問題 3

    ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。

    次の表は、完全なエラー マッピングを示しています。

    16 進10 進記号フレンドリ
    0x4f11265ERROR_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。


    解決方法

    この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。

  • 既知の問題 4

    無効でロックアウトされたユーザ アカウントのパスワードは、ネゴシエート パッケージを使用して変更できません。

    無効でロックアウトされたアカウントのパスワードの変更は、LDAP Modify 操作を直接使用するなど、他の方法でも実行できます。たとえば、PowerShell コマンドレット Set-ADAccountPassword で "LDAP Modify" 操作を使用してパスワードを変更し、影響を受けません。

    回避策

    これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。

  • 既知の問題 5

    NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。

    Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。

    ドメイン名 [in]
    機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。
    ただし、パスワード リセットがローカル コンピュータのローカル アカウント用でない限り、このガイダンスはMS16-101 に置き換わっています。Post MS16-101、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API にパスしなければなりません。
  • 既知の問題 6

    MS16-101 に記載されているセキュリティ更新プログラムをインストールした後に、ローカル ユーザー アカウントのパスワードをリモートからプログラムで変更する操作と、信頼されていないフォレスト全体のパスワードの変更は失敗します。


    この操作が失敗する理由は、この操作が NTLM フォールバックに依存しているためです。MS16-101 のインストール後、ローカル以外のアカウントでは NTLM フォールバックがサポートされなくなりました。


    この変更を無効にすることができるレジストリ エントリが用意されています。

    警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。

    重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
    322756 Windows でレジストリをバックアップおよび復元する方法


    この変更を無効にするには、NegoAllowNtlmPwdChangeFallback DWORD エントリの値を 1 に設定します。


    重要NegoAllowNtlmPwdChangeFallback レジストリ エントリの値を 1 に設定すると、このセキュリティ修正プログラムが無効になります。
    レジストリの値説明
    0 既定値。フォールバックは回避されます。
    1フォールバックは常に許可されます。このセキュリティ修正プログラムは無効になります。リモート ローカル アカウントまたは信頼されないフォレストのシナリオで問題が発生している場合、レジストリをこの値に設定することができます。
    これらのレジストリ値を追加するには、以下の手順を実行します。
    1. [スタート]ボタンをクリックし、[ファイル名を指定して実行]をクリックします。[名前]ボックスに「regedit」と入力し、[OK]をクリックします。
    2. レジストリで次のサブキーを見つけてクリックします。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. [編集]メニューの [新規]をポイントし、[DWORD 値]をクリックします。
    4. DWORD 値の名前として「NegoAllowNtlmPwdChangeFallback」と入力し、Enter キーを押します。
    5. [NegoAllowNtlmPwdChangeFallback]を右クリックし、[修正]をクリックします。
    6. [値のデータ]ボックスに「1」と入力し、[OK]をクリックします。


      既定値を復元するには、「0」と入力し、[OK]をクリックします。
    状態

    この問題の根本原因が分かりました。追加の情報が利用可能になった時点で、この資料は更新されます。

更新プログラムの入手方法およびインストール方法


方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法については、セキュリティ更新プログラムを自動的に入手を参照してください。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。

詳細


ファイル情報