CVE-2020-17049 に対する Kerberos S4U の変更の展開管理

適用対象: Windows Server 2008 Service Pack 2Windows Server 2008 R2 Service Pack 1Windows Server 2012

概要


Key Distribution Center (KDC) を使用して Kerberos Constrained Delegation (KCD) を介した委任に Kerberos サービス チケットを使用できるかどうかを判断する方法に、セキュリティ機能のバイパスの脆弱性が存在します。 この脆弱性を悪用するために、KCD を使用するように構成されている侵害されたサービスにより、委任に有効ではない Kerberos サービス チケットを改ざんし、KDC にそれを受け入れさせる可能性があります。 この Windows 更新プログラムは、KDC が KCD に使用される Kerberos サービス チケットを検証する方法を変更することにより、この脆弱性を解決します。

この脆弱性の詳細については、CVE-2020-17049 を参照してください。

対処方法

お客様の環境を保護し、停止を防ぐには、次のことを行う必要があります。

  1. 2020 年 12 月 9 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをインストールして、Active Directory ドメイン コントローラー ロールをホストするすべてのデバイスを更新します。 この Windows 更新プログラムをインストールしても、このセキュリティの脆弱性は完全に軽減されるわけではないことに注意してください。 手順 2 を実行する必要があります。
  2. すべての Active Directory ドメイン コントローラーで強制モードを有効にします。  2021 年 2 月 10 日の更新プログラム以降、すべての Windows ドメイン コントローラーで強制モードが有効になる予定です。

更新プログラムのタイミング


これらの Windows 更新プログラムは、次の 2 フェーズに分けてリリースされます。

  • 2020 年 12 月 9 日以降にリリースされた Windows 更新プログラムの初期展開フェーズ。
  • 2021 年 2 月 10 日以降にリリースされる Windows 更新プログラムの強制フェーズ。

2020 年 12 月 9 日: 初期展開フェーズ

最初の展開フェーズは 2020 年 12 月 9 日にリリースされた Windows 更新プログラムから始まり、その後の強制フェーズの Windows 更新プログラムに続きます。 これらと以降の Windows 更新プログラムを適用すると、Kerberos が変更されます。 この 2020 年 12 月 9 日の更新プログラムには、CVE-2020-17049 の 2020 年 11 月 11 日のリリースによって最初に導入されたすべての既知の問題に対する修正が含まれています。 この更新プログラムを適用すると、Windows Server 2008 SP2 および Windows Server 2008 R2 のサポートも追加されます。

このリリースの内容:

  • CVE-2020-17049 の問題を修正します (既定では展開モード)。
  • PerformTicketSignature レジストリ キーを追加して、Active Directory ドメイン コントローラー サーバーの保護を有効にします。

緩和策は、Active Directory ドメイン コントローラー ロールと読み取り専用ドメイン コントローラー (RODC) をホストするすべてのデバイスに Windows 更新プログラムをインストールしてから、強制モードを有効にする手順で構成されます。

2021 年 2 月 10 日 - 強制フェーズ

2021 年 2 月 10 日のリリースは、強制フェーズに移行します。 強制フェーズでは、CVE-2020-17049 の問題を修正するための変更を強制します。 Active Directory ドメイン コントローラーを強制モードにすることができるようになりました。 強制モードに移行するには、すべての Active Directory ドメイン コントローラーに 2020 年 12 月 9 日の更新プログラムまたはそれ以降の Windows 更新プログラムをインストールする必要があります。現時点では、PerformTicketSignature レジストリ キーの設定は無視され、強制モードを上書きすることはできません。 

インストールのガイダンス


この更新プログラムをインストールする前に

この更新プログラムを適用するには、次の必要な更新プログラムをインストールする必要があります。 Windows Update を使用している場合、これらの必須の更新プログラムは必要に応じて自動的に提供されます。

  • 2019 年 9 月 24 日の SHA-2 更新プログラム (KB4474419) またはそれ以降の SHA-2 更新プログラムをインストールした後は、この更新プログラムを適用する前にデバイスを再起動する必要があります。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。
  • Windows Server 2008 R2 SP1 の場合、2019 年 3 月 13 日のサービス スタック更新プログラム (SSU) (KB4490628) をインストールする必要があります。 更新プログラム KB4490628 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。  最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
  • Windows Server 2008 SP2 の場合、2019 年 4 月 10 日のサービス スタック更新プログラム (SSU) (KB4493730) をインストールする必要があります。 更新プログラム KB4493730 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。  最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
  • 2020 年 1 月 14 日に延長サポートが終了した後は、Windows Server 2008 SP2 または Windows Server 2008 R2 SP1 のオンプレミス バージョンの拡張セキュリティ更新プログラム (ESU) を購入していただく必要があります。   ESU を購入した場合、引き続きセキュリティ更新プログラムを受け取るには、KB4522133 の手順を実行する必要があります。ESU およびサポートされているエディションの詳細については、KB4497181 を参照してください。 

重要: これらの必要な更新プログラムをインストールした後に、デバイスを再起動する必要があります。

更新プログラムをインストールする

このセキュリティの脆弱性を解決するには、次の手順に従って Windows 更新プログラムをインストールし、強制モードを有効にします。

  1. 2020 年 12 月 9 日の更新プログラムを、フォレスト内のすべての Active Directory ドメイン コントローラーに展開します。
  2. すべての Active Directory ドメイン コントローラーを更新した後、すべての未処理の Service for User to Self (S4U2self) Kerberos サービス チケットの有効期限が切れるまで、少なくとも 1 週間待ちます。その後に、Active Directory ドメイン コントローラーの強制モードを展開することで、完全な保護が有効になります。

    注: Kerberos サービス チケットの有効期限を既定の設定 (既定値は 7 日) から変更している場合、お使いの環境で構成されている日数以上は待つ必要があります。


手順 1: Windows 更新プログラムをインストールする

読み取り専用ドメイン コントローラーを含め、フォレスト内の Active Directory ドメイン コントローラー ロールをホストするすべてのデバイスに、2020 年 12 月 9 日の Windows 更新プログラム、またはそれ以降の Windows 更新プログラムをインストールします。

手順 2: 強制モードを有効にする

Active Directory ドメイン コントローラー ロールをホストするすべてのデバイスを更新した後、すべての未処理の S4U2self Kerberos サービス チケットの有効期限が切れるまで、少なくとも丸 1 週間待ちます。 その後に、強制モードを展開することで、完全な保護を有効にします。 これを行うには、強制モードのレジストリ キーを有効にします。

警告: レジストリ エディターまたは別の方法を使用してレジストリを誤って編集すると、深刻な問題が発生することがあります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更は、自己の責任において行ってください。

この更新プログラムを適用すると、次のレジストリ設定が導入され、強制モードが有効になります。

レジストリ サブキー

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

PerformTicketSignature

データの種類

REG_DWORD

データ

1: 展開モードを有効にします。 この修正プログラムはドメイン コントローラー上では有効になりますが、Active Directory ドメイン コントローラーでは、Kerberos サービス チケットがこの修正プログラムに準拠している必要はありません。このモードを使用すると、CVE-2020-17049 により更新されたドメイン コントローラーにチケット署名のサポートが追加されますが、ドメイン コントローラー側でチケットに署名する必要はありません。   そのため、更新されたドメイン コントローラーと更新されていないドメイン コントローラーが混在していても問題ありません。 すべてのドメイン コントローラーが更新され、設定 1 で、すべての新しいチケットが署名されます。  このモードでは、新しいチケットは更新不可とマークされます。

2: 強制モードを有効にします。これにより、この修正プログラムが必須モードで有効になります。その結果、すべてのドメインを更新する必要があり、すべての Active Directory ドメイン コントローラーには署名付きの Kerberos サービス チケットが必要になります。この設定の場合、有効と見なされるには、すべてのチケットに署名されている必要があります。  このモードでは、チケットは更新可とマークされます。

0: 推奨されません。 Kerberos サービス チケットの署名を無効にします。ドメインは保護されません。

重要: 設定 0 は、強制設定 2 と互換性がありません。 ドメインが 0 に設定されているときに、後の段階で強制モードが適用されると、断続的な認証エラーが発生する可能性があります。   強制段階の前 (強制を適用する少なくとも 1 週間前) に設定 1 に移行することをお勧めします。

既定値

1 (レジストリ キーが設定されていない場合)

再起動の必要性

なし