現在オフラインです。再接続するためにインターネットの接続を待っています

パスワードの変更後または移動プロファイルの使用時に証明書機能にアクセスできない

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
現象
パスワードの変更後または移動プロファイルの使用時に証明書機能を使用するとき、その証明書機能へのアクセスが拒否されることがあります。たとえば、以下の証明書機能を以前と同じように使用できないことがあります。
  • 暗号化ファイル システム (EFS) によって暗号化されたファイルへのアクセス
  • 証明書の認証が必要な、セキュリティで保護された Web ページへのアクセス
  • S/MIME (Secure/Multipurpose Internet Mail Extensions) による電子メールの署名
セキュリティで保護された Web サイトにアクセスしようとすると、次のエラー メッセージがログに出力されます。
Schannel のイベント : 36870
SSL クライアント資格情報の秘密キーにアクセスしようとして致命的なエラーが発生しました。暗号化モジュールから返されたエラーは 0x80090016 です。
原因
この問題は、Microsoft Windows NT 4.0 ドメインにあるクライアント ユーザー アカウントを使用して、Microsoft Windows XP Professional を実行するワークステーションにログオンしている場合にのみ発生します。Windows XP 版の DPAPI (Data Protection API) 機能は、EFS 秘密キーなど、セキュリティで保護しておく必要があるデータの保護に役立ちます。Microsoft Windows NT 4.0 以前を実行しているドメインに所属するユーザーについては、DPAPI の回復機能はサポートされません。
解決方法
パスワードの変更後または移動プロファイルの使用時に証明書機能へのクライアント アクセスを維持するには、ドメインを Active Directory ディレクトリ サービスにアップグレードします。Active Directory ドメインには、公開キーと秘密キーのペアを使用して DPAPI マスタ キーを保護するためのメカニズムがあります (DPAPI マスタ キーは、EFS 秘密キーなど、証明書に基づく機能を保護するために使用されます)。

Windows NT 4.0 ドメインでは、証明書のキーとデータへのアクセス権を回復するための機能がワークステーションにあります。Windows 2000 ドメインでは、そのような回復機能がワークステーションにありません。そのため、Windows 2000 ドメインでは、ワークステーションが物理的に侵害された場合の証明書の保護が大幅に強化されています。

DPAPI ドメイン回復メカニズムを活用するためにアップグレードが必要なドメイン コントローラは 1 台のみですが、フォールトトレランスのため、少なくとも 2 台のドメイン コントローラのアップグレードを検討してください。

Active Directory を実装する前に、その実装計画を作成することを強くお勧めします。Active Directory の設計の詳細については、次のマイクロソフト Web サイトを参照してください。
回避策
この問題を回避するには、クライアント ワークステーションに Windows XP Service Pack 1 (SP1) 以降をインストールした後、次のレジストリ エントリを作成します。これにより、Windows 2000 の動作がエミュレートされます。

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。 次の手順を実行した後、レジストリ エディタを終了します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. MasterKeyLegacyNt4Domain と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] をクリックします。
  6. 1 と入力し、[OK] をクリックします。
このエントリの作成後、ユーザーが Windows NT 4.0 ドメインのメンバかどうかがクライアント側で確認されるようになります。ユーザーが Windows NT 4.0 ドメインのメンバである場合、Windows XP クライアントによって Windows 2000 の動作がエミュレートされます。このとき、パスワードを変更したユーザーには、DPAPI により、そのユーザーのキーへのアクセス権が与えられます。

: レジストリを編集してこの問題を回避する場合、レジストリに加えた変更は、レジストリの変更以後の、この資料の「現象」に記載された動作にのみ適用されます。レジストリの変更前に変更したパスワードを使用して EFS ファイルを開くと、引き続きアクセス拒否のエラー メッセージが表示されます。

セキュリティに対する重要な影響

このレジストリ エントリを使用すると、物理的に侵害されたコンピュータのセキュリティが大幅に低下します。コンピュータに物理的にアクセス可能な攻撃者が、EFS で暗号化されたファイルの一部またはすべて、さらにコンピュータに保存されている証明書の秘密キーにアクセスすることができます。

パスワードの変更後にファイルへのアクセス権を回復する

パスワードの変更後に各ワークステーション上で証明書機能へのアクセス権を回復するには、変更後のパスワードを、ファイルを最後に暗号化したときに使用していたパスワードに戻します。

: 以下の手順では、コンピュータへのログオンに使用するパスワードのみが変更されます。ドメイン パスワードは変更されません。
  1. 変更後のパスワードを使用してコンピュータにログオンします。
  2. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
  3. [ユーザー アカウント] をクリックします。
  4. 対象のユーザー名をクリックします。
  5. [パスワードのリセット] をクリックします。
  6. [新しいパスワード] ボックスに変更前のパスワードを入力し、[新しいパスワードの確認入力] ボックスに同じパスワードを入力します。[OK] をクリックします。
  7. コンピュータを再起動します。
状況
この動作は仕様です。
詳細
この資料の「現象」に記載された動作は、Windows NT 4.0 ドメインに属するアカウントを使用して、Windows XP を実行するコンピュータにログオンするユーザーにのみ該当します。ワークグループのメンバ、または Windows 2000 Active Directory ドメインのメンバである Windows XP Professional クライアントの動作は、この資料の記述とは大幅に異なります。

Windows XP における DPAPI の詳細については、以下のマイクロソフト Web サイトを参照してください。 秘密キーや EFS ファイルへのアクセス権が失われる問題を含めた、DPAPI のトラブルシューティングの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
309408 DPAPI (データ保護 API) のトラブルシューティング
プロパティ

文書番号:331333 - 最終更新日: 08/28/2007 02:37:00 - リビジョン: 4.3

  • Microsoft Windows XP Professional
  • kbprb KB331333
フィードバック