セキュリティ更新プログラム 899587 のインストール後、レジストリ エントリ RequireAsChecksum を変更する方法

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
はじめに
この資料では、レジストリ エントリ RequireAsChecksum の編集方法について説明します。マイクロソフトのセキュリティ更新プログラム 899587 をインストールした後に、このレジストリ エントリを設定することで、コンピュータの保護の強化に役立ちます。セキュリティ更新プログラム 899587 の関連情報は、セキュリティ情報 MS05-042 に記載されています。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
899587 [MS05-042] Kerberos の脆弱性により、サービス拒否、情報漏えいおよびなりすましが行われる
詳細
警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

セキュリティ更新プログラム 899587 には、セキュリティに関連する機能変更が含まれています。セキュリティ情報 MS05-042 によって、外部で報告されたセキュリティ上の脆弱性が修正されます。ただし、セキュリティ更新プログラム 899587 には、セキュリティ情報 MS05-042 の「脆弱性の詳細」で個別に記載されている変更の他にも機能変更が含まれており、今後発生する可能性のある PKINIT 関連の脆弱性に対する保護を強化するために、レジストリ エントリ (RequireAsChecksum) が追加されています。このレジストリ エントリの設定は省略可能ですが、設定することが推奨されています。レジストリ エントリ RequireAsChecksum は、次のレジストリ サブキーの下にあります。
  • Microsoft Windows XP
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 および Microsoft Windows Server 2003
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

レジストリ エントリ RequireAsChecksum には、次の値を設定できます。
  • RequireAsChecksum = 1 または他の値 (ゼロを除く)
    この設定が有効な場合、クライアントで受け付けられるのは、スマート カード ログオン用のドメイン コントローラからの、PKINIT の最新の改定 (PKINIT-27) に準拠する応答のみです。
  • RequireAsChecksum = 0 (ゼロ)
    この設定が無効な場合、クライアントでは、新しい改定または以前の改定のいずれかに準拠する応答が受け付けられます。
: このレジストリ エントリがない場合のコンピュータの動作は、設定が無効の場合と同じです。

次の条件にすべて該当する場合、スマート カード ログオンは失敗します。
  • ログオンがクライアントから開始されました。
  • セキュリティ更新プログラム 899587 がクライアントにインストールされています。
  • レジストリ エントリ RequireAsChecksum の値がクライアントで 1 に設定されています。
  • 認証要求に対して応答するドメイン コントローラに、セキュリティ更新プログラム 899587 がインストールされていません。
セキュリティ更新プログラム 899587 をドメイン内のすべてのドメイン コントローラに展開してから、クライアント コンピュータのレジストリ設定を有効にすることをお勧めします。

: Windows 2000 ベースのコンピュータの場合、レジストリ エントリの変更後、コンピュータを再起動する必要があります。ただし、Windows XP または Windows Server 2003 を実行しているコンピュータでは、再起動は必要ありません。
プロパティ

文書番号:904766 - 最終更新日: 01/16/2015 16:38:54 - リビジョン: 1.2

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
フィードバック