Applies ToWindows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

元の発行日: 2023 年 4 月

KB ID: 5036534

日付の変更

説明

2025 年 4 月 8 日

  • CVE-2025-26647 の Kerberos 認証による脆弱性の保護に関する情報を追加しました。

2025 年 2 月 19 日

  • 「はじめに」セクションの文言を修正しました。

  • 情報が古くなっているので、[変更の一目で強化する] セクションを削除しました。

  • Windows で開発されなくなった機能と機能を参照するために、"Windows のその他の重要な変更" セクションを追加しました。

2025 年 1 月 30 日

  • [月ごとの変更を強化する] セクションに、2026 年 1 月以降のエントリを追加しました。

2025 年 1 月 17 日

  • [月別の変更の強化] セクションに、2024 年 4 月、2025 年 1 月、2025 年 4 月の各エントリを追加しました。

2024 年 3 月 10 日

  • 月次タイムラインを改訂し、強化関連のコンテンツを追加し、タイムラインから 2024 年 2 月のエントリを削除しました。

概要

セキュリティ強化は、お客様が仕事に集中している間、資産を保護し続けるのに役立つ、継続的なセキュリティ戦略の重要な要素です。 ますますクリエイティブなサイバー脅威は、チップからクラウドまで、可能な限りあらゆる場所で弱点をターゲットにします。

この記事では、Windows セキュリティ更新プログラムを介して実装された変更を強化している脆弱な領域について説明します。 また、Windows メッセージ センター にリマインダーを投稿して、キーの日付を近づくにつれて強化することについて IT 管理者に警告します。  

注: この記事は、変更とタイムラインの強化に関する最新情報を提供するために、時間の経過とともに更新されます。 最新の変更を追跡するには、「 変更ログ 」セクションを参照してください。

月別の変更の強化

各フェーズと最終的な適用の計画に役立つ、最新および今後の強化の変更の詳細を月別に参照してください。

  • Netlogon プロトコルの変更KB5021130 |フェーズ 2 最初の強制フェーズ。 RequireSeal レジストリ サブキーに値 0 を設定して RPC シールを無効にする機能を削除します。

  • 証明書ベースの認証KB5014754 |フェーズ 2 無効モードを 削除します。

  • セキュア ブート バイパス保護KB5025885 |フェーズ 1 初期デプロイ フェーズ。 2023 年 5 月 9 日以降にリリースされた Windows Updatesは、CVE-2023-24932 で説明されている脆弱性、Windows ブート コンポーネントの変更、および手動で適用できる 2 つの失効ファイル (コード整合性ポリシーと更新されたセキュア ブート禁止リスト (DBX)) に対処します。

  • Netlogon プロトコルの変更KB5021130 |フェーズ 3 既定では適用されます。 RequireSeal サブキーは、互換性モードで明示的に構成しない限り、強制モードに移動されます。

  • Kerberos PAC Signatures KB5020805 |フェーズ 3 第 3 のデプロイ フェーズ。 KrbtgtFullPacSignature サブキーを値 0 に設定して、PAC 署名の追加を無効にする機能を削除します。

  • Netlogon プロトコルの変更KB5021130 |フェーズ 4 最終的な適用。 2023 年 7 月 11 日にリリースされた Windows 更新プログラムでは、 RequireSeal レジストリ サブキーに値 1を設定する機能が削除されます。 これにより、CVE-2022-38023 の強制フェーズが有効になります。

  • Kerberos PAC Signatures KB5020805 |フェーズ 4 初期強制モード。 KrbtgtFullPacSignature サブキーの値 1 を設定する機能を削除し、既定で強制モード (KrbtgtFullPacSignature = 3) に移動します。これは、明示的な監査設定でオーバーライドできます。 

  • セキュア ブート バイパス保護KB5025885 |フェーズ 2 2 番目のデプロイ フェーズ。 2023 年 7 月 11 日以降にリリースされた Windows のUpdatesには、失効ファイルの自動展開、失効の展開が成功したかどうかを報告する新しいイベント ログ イベント、および WinRE 用の SafeOS 動的更新プログラム パッケージが含まれます。

  • Kerberos PAC Signatures KB5020805 |フェーズ 5

    完全適用フェーズ。 レジストリ サブキー KrbtgtFullPacSignature のサポートを削除し、監査 モードのサポートを削除し、新しい PAC 署名を持たないすべてのサービス チケットは認証を拒否します。

  • Active Directory (AD) のアクセス許可の更新プログラムKB5008383 |フェーズ 5 最終的なデプロイ フェーズ。 最後のデプロイ フェーズは、 KB5008383の [アクションの実行] セクションに記載されている手順を完了すると開始できます。 強制モードに移行するには、「デプロイ ガイダンス」セクションの指示に従って、dSHeuristics 属性に 28 ビットと 29 ビットを設定します。 次に、イベント 3044-3046 を監視します。 監査モードで以前に許可されていた LDAP の追加または変更操作が適用モードでブロックされた場合に報告されます。 

  • セキュア ブート バイパス保護KB5025885 |フェーズ 3 第 3 のデプロイ フェーズ。 このフェーズでは、ブート マネージャーの軽減策が追加されます。 このフェーズは、2024 年 4 月 9 日以降に開始されます。

  • PAC 検証 の変更KB5037754 |互換モード フェーズ

    最初のデプロイ フェーズは、2024 年 4 月 9 日にリリースされた更新プログラムから始まります。 この更新プログラムは、CVE-2024-26248 および CVE-2024-29056 説明されている特権の脆弱性の昇格を防ぐ新しい動作を追加しますが、環境内の Windows ドメイン コントローラーと Windows クライアントの両方が更新されない限り、適用されません。

    新しい動作を有効にし、脆弱性を軽減するには、Windows 環境全体 (ドメイン コントローラーとクライアントの両方を含む) が更新されていることを確認する必要があります。 監査イベントは、更新されていないデバイスを識別するためにログに記録されます。

  • セキュア ブート バイパス保護KB5025885 |フェーズ 3 必須の強制フェーズ。 失効 (コード整合性ブート ポリシーとセキュア ブート禁止リスト) は、無効にするオプションのない影響を受けるすべてのシステムに Windows の更新プログラムをインストールした後、プログラムによって強制されます。

  • PAC 検証 の変更KB5037754 |既定のフェーズでの適用

    2025 年 1 月以降にリリースされたUpdatesは、環境内のすべての Windows ドメイン コントローラーとクライアントを強制モードに移行します。 このモードでは、既定でセキュリティで保護された動作が適用されます。 以前に設定されている既存のレジストリ キー設定は、この既定の動作の変更をオーバーライドします。

    既定の強制モード設定を管理者がオーバーライドして互換性モードに戻すことができます。

  • 証明書ベースの認証 KB5014754 |フェーズ 3 完全適用モード。 証明書を厳密にマップできない場合、認証は拒否されます。

  • PAC 検証の変更 KB5037754 |適用フェーズ 2025 年 4 月以降にリリースされた Windows セキュリティ更新プログラムでは、レジストリ サブキー PacSignatureValidationLevelCrossDomainFilteringLevel のサポートが削除され、新しいセキュリティで保護された動作が適用されます。 2025 年 4 月の更新プログラムをインストールした後、互換モードはサポートされません。

  • CVE-2025-26647 KB5057784 の Kerberos 認証保護 |監査モード 最初のデプロイ フェーズは、2025 年 4 月 8 日にリリースされた更新プログラムから始まります。 これらの更新プログラムは、 CVE-2025-26647 で説明されている特権の昇格の脆弱性を検出する新しい動作を追加しますが、適用されません。 新しい動作を有効にし、脆弱性から保護するには、すべての Windows ドメイン コントローラーが更新され、AllowNtAuthPolicyBypass レジストリ キー設定が 2 に設定されていることを確認する必要があります。

  • CVE-2025-26647 KB5057784の Kerberos 認証保護 |既定のフェーズで適用Updates 2025 年 7 月以降にリリースされ、既定で NTAuth ストア チェックが適用されます。 AllowNtAuthPolicyBypass レジストリ キー設定を使用すると、必要に応じてお客様は監査モードに戻ります。 ただし、このセキュリティ更新プログラムを完全に無効にする機能は削除されます。

  • CVE-2025-26647 KB5057784 の Kerberos 認証保護 |強制モード ​​​​​​​2025 年 10 月以降にリリースされたUpdatesは、AllowNtAuthPolicyBypass レジストリ キーに対する Microsoft のサポートを中止します。 この段階では、すべての証明書を NTAuth ストアの一部である機関によって発行する必要があります。

  • セキュア ブート バイパス保護 KB5025885 |適用フェーズ 適用フェーズは 2026 年 1 月までに開始されず、このフェーズが始まる前に、この記事で少なくとも 6 か月間の事前警告を行います。 施行フェーズの更新プログラムがリリースされると、次のものが含まれます:

    • "Windows Production PCA 2011" 証明書は、対応デバイスのセキュア ブート UEFI 禁止リスト (DBX) に追加されることで自動的に取り消されます。 これらの更新プログラムは、影響を受けるすべてのシステムに Windows 用の更新プログラムをインストールした後にプログラムによって適用されます。無効にするオプションはありません。

Windows のその他の主な変更

Windows クライアントとWindows Serverの各バージョンでは、新しい機能と機能が追加されます。 新しいバージョンでは、多くの場合、新しいオプションが存在するため、機能も削除される場合があります。 Windows で開発されなくなった機能の詳細については、次の記事を参照してください。

クライアント

サーバー

最新のニュースを取得する

Windows メッセージ センターにブックマークを付けて、最新の更新プログラムやリマインダーを簡単に見つけてください。 また、Microsoft 365 管理センターにアクセスできる IT 管理者の場合は、Microsoft 365 管理センターにEmail基本設定を設定して、重要な通知や更新プログラムを受け取ります。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター