はじめに
マイクロソフトはセキュリティ情報 MS09-012 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。
-
ホーム ユーザー向け:
http://www.microsoft.com/japan/security/bulletins/ms09-012e.mspx詳細をスキップ: ご自宅のコンピューターまたはラップトップに、Microsoft Update Web サイトから更新プログラムを今すぐダウンロードします。
-
IT プロフェッショナル向け:
http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx
このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法
ホーム ユーザーの場合は、無料サポートを利用できます。米国およびカナダのお客様は、電話で 1-866-PCSAFETY にお問い合わせください。他の地域については、各地域の支社にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、以下のマイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/oas/default.aspx?&prid=7552北米のお客様は、次のマイクロソフト Web サイトから、無条件の無償電子メール サポートまたは無条件の個人チャット サポートもご利用ください。
http://support.microsoft.com/oas/default.aspx?&prid=7552 法人のお客様向けのセキュリティ更新プログラムのサポートについては、通常ご使用のサポート連絡先をご利用ください。
詳細
このセキュリティ更新プログラムに関する既知の問題
-
現象
5 つ以上の CPU コアを使用し、Microsoft ISA Server Standard Edition を実行しているサーバー上でこの更新プログラムを適用した後、Microsoft ISA Server Control サービスが開始しません。また、アプリケーション ログに Event ID 14109 が記録されます。 原因 この問題は、2007 年 2 月 7 日以降にリリースされた修正プログラムが、セキュリティ更新プログラムがインストールされる前にインストールされた場合に発生することがあります。この問題が発生するのは、Windows が使用可能な CPU の数を報告する方式が変更されたためです。この変更は、修正プログラム 932730 で最初に導入されました。この変更により、Windows Vista および Windows Server 2008 が情報を報告するとおりに、Windows Server 2003 はこの情報を報告します。Windows が 5 つ以上の CPU コアを報告した場合、ISA Server Control サービスはこれを 5 つ以上の CPU が存在すると解釈します。これにより警告がトリガーされ、Microsoft ISA Server Control サービスとそれに依存するすべてのサービスがシャットダウンされます。 注: 修正プログラム 932730 は、Windows Server 2003 の Service Pack に含まれていませんでした。 修正プログラム 932730 の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。932370Windows Server 2003 で、ハイパースレッディングが有効なプロセッサの物理的な数またはマルチコア プロセッサの物理的な数が誤って報告されるこの問題を回避する方法の関連情報については、次のマイクロソフト Web サイトを参照してください。
http://blogs.technet.com/isablog/archive/2009/04/18/ms09-012-and-isa-server-standard-edition-14109-failures.aspxISA Server 2004 でのこの問題を解決するには、修正プログラム ロールアップ 970454 をインストールします。この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
970454ISA Server 2004 修正プログラム パッケージ (2009 年 6 月 2 日) についてISA Server 2006 でのこの問題を解決するには、修正プログラム ロールアップ 970441 をインストールします。 この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
970441[FIX] Windows Server 2003 を実行していて CPU コアが 4 つを超えるコンピューターに MS09-012 更新プログラムをインストールした後、ISA Server Control サービスを開始できない 注: ISA Server 2000 用の更新プログラムは発行されていません。これは、ISA Server 2000 はメインストリーム サポートを終了し、またこの問題はセキュリティ上の脆弱性にならないためです。
-
この更新プログラムを適用し、以前にリリースされたオペレーティング システムから新しいオペレーティング システムへのインプレース アップグレードを実行した後は、ユーザーが適用した変更が以下のレジストリ サブキーに保存されない場合があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders この問題は、以下のアップグレード状況で発生することがあります。-
Windows XP から Windows Vista へ
-
Windows Server 2003 から Windows Server 2008 へ
-
Windows 2000 Server から Windows Server 2003 へ
-
Windows Vista から Windows 7 へ
-
Windows Server 2008 から新しい Service Pack または将来のサーバーベースのオペレーティング システムへ
この問題を回避するには、インプレース アップグレードを実行する前にこれらのサブキーのバックアップを作成します。アップグレードが完了し、システムがセキュリティ更新プログラムのパッチが適用された後で、サブキーのバックアップを再度適用します。
-
独立系ソフトウェア ベンダー (ISV) 向けの FAQ (COM)
質問 1: 製品にこの問題の脆弱性が存在するかどうかを確認する方法を教えてください。
回答 1: 以下の点を確認してください。-
製品では、非 NT サービス COM サーバー プロセスを起動する必要がある。
-
既定で、製品がインスタンス化する COM サーバーは、Network Service または Local Service アカウントのコンテキストで実行される。
上記の両方が該当する場合、COM サーバーには潜在的な脆弱性が存在する場合があります。COM サーバーに脆弱性が存在するかどうかを確認するための調査を継続するには、以下の手順に従います。
-
以下のマイクロソフト Web サイトから Process Explorer をダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
-
ローカル管理者として Process Explorer を実行します。
-
[View] メニューの [Lower Pane View] をポイントし、[Handles] をクリックします。
-
対象のサーバー プロセスをクリックし、[Type = Token] の下ウィンドウを調べます。
-
製品のすべてのテスト スイートを実行します。
-
システム トークンがキャプチャされているかどうかを確認するため、所有されているすべてのトークンの下ウィンドウを調べます。
サーバー プロセスがシステム トークンを保持していることが判明した場合は、以下の手順に従います。
-
以下のマイクロソフト Web サイトから Windows 用デバッグ ツールをダウンロードしてインストールします。
http://www.microsoft.com/japan/whdc/devtools/debugging/default.mspx
-
ローカル管理者として WinDBG.exe を実行します。
-
[File] メニューをクリックし、[Kernel Debug] をクリックしてローカル カーネル デバッガーを起動します。
-
[File] をクリックし、[Attach to a Process] をクリックします。
-
対象のサーバー プロセスをクリックし、[OK] をクリックしてサーバー プロセスに添付します。
-
次のようにデバッガー シンボル パスを設定します。DownstreamStore の部分は、ダウンストリーム格納パスにします。たとえば C:\Symbols などのようにします。
SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols -
プロセス トークン情報をダンプします。
!process の出力からトークン アドレスを取得し、dt nt!_TOKEN コマンドを使用して TOKEN 構造の個別のフィールドの一覧を表示します。 -
トークンの ImpersonationLevel フィールドを調べます。
サーバー プロセスがシステム トークンを保持し、サーバー プロセスの "ImpersonationLevel" が "SecurityImpersonation" または "SecurityDelegation" であることが判明した場合、コンピューターに COM サーバー アプリケーションをインストールしたユーザーには MS09-012 が悪用される脆弱性が存在します。特別な SID を使用することにより、COM サーバーのセキュリティを確保する必要があります。質問 2: アプリケーションが "Run As" COM サーバーであるかどうかを確認する方法を教えてください。
回答 2: COM "Run As" サーバーでは、AppID レジストリ サブキーには次の RunAs エントリが含まれています。HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID}\"RunAs"="NT Authority\NetworkService"具体的には、"RunAs" エントリの値が "NT Authority\NetworkService" と "NT Authority\LocalService" のいずれかである場合、COM サーバーには、MS09-012 で説明されている脆弱性が存在する場合があります。製品に脆弱性が存在するかどうかを確認するには、「回答 1」の手順に従ってください。
質問 3: 製品レンジによりインストールされた COM サーバーをセキュリティで保護する方法を教えてください。 回答 3: ラボのテスト フェーズの場合: "Run As" アクティベーション モードで実行されている COM サーバー アプリケーションのセキュリティを確保する必要がある場合は、セキュリティで保護する必要がある COM クライアントとすべての COM サーバーの両方を制御する必要があります。社内でテストする場合に "Run As" COM アプリケーションのセキュリティを確保するために実行できる手順は、以下のとおりです。-
MSRC パッケージをインストールします。
-
COM サーバーの構成を次のように変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{APPIDGUID} REG_DWORD AppIDFlags 0x2 /* AppIDFlags レジストリ値の使用例 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{60EE1F45-C0DD-4A1F-AA44-D97424600A16} REG_DWORD AppIDFlags 0x2 */ 注: 変更を行うには、ローカル管理者の資格情報が必要です。
特権トークンが含まれる NS/LS COM サーバーが NT サービスではないか RunAs COM サーバーではない場合、脆弱性が悪用されないように以下のいずれかの構成に変換する必要があります。
回答 3: 既存のインストールの場合: 脆弱性が存在する COM サーバーの既存のインストール環境を所有するユーザー向けに、ISV は、ユーザーのコンピューターでこれらの変更を有効にすることができる更新プログラムを公開する必要があります。
回答 3: 新規インストールの場合: ISV は、セキュリティ更新プログラム 956572 がシステムにインストールされているかどうかを検出でき、AppIDFlags レジストリ キーを有効にすることができるインテリジェントなインストーラーを提供する必要があります。更新プログラムがインストールされていない場合、インストーラーはシステムの非互換性に関するエラー メッセージを表示して終了してもかまいません。 ユーザーは、次の方法を使用することにより、Windows Server 2003 および Windows XP にセキュリティ更新プログラム 956572 がインストールされているかどうかを検出できます。-
インストーラーは、以下のレジストリ キーが存在するかどうかを確認する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572 このレジストリ エントリが存在する場合、セキュリティ更新プログラム 956572 はシステム上に存在します。
Windows プラットフォームのすべてのバージョンでこれを行うために使用できる別の方法としては、WMI クエリを使用します。次のクエリを使用すると、セキュリティ更新プログラム 956572 がコンピューターにインストールされているかどうかを検出できます。
SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like ‘KB956572’Note Windows Vista SP2 および Windows Server 2008 SP2 では、既定でこの脆弱性に対する修正プログラムが存在します。
システム管理者向けの FAQ (COM)
質問 1: 企業内のサービスに脆弱性が存在するかどうかを確認する方法を教えてください。
回答 1: 以下の点を確認してください。-
製品では、非 NT サービス COM サーバー プロセスを起動する必要がある。
-
既定で、製品が起動する COM サーバーは、Network Service または Local Service アカウントのコンテキストで実行される。
上記の両方が該当する場合、これらの COM サーバーには潜在的な脆弱性が存在する場合があります。これらの COM サーバー アプリケーションのセキュリティを確保するには、この製品を所有する ISV に問い合わせてください。このアプリケーションが社内で開発された場合、「独立系ソフトウェア ベンダー (ISV) 向けの FAQ (COM)」の回答 1 の手順に従ってください。
ISV 向けの FAQ (Services.exe)
質問 1: 製品レンジが MS09-012 に記載されている悪用の影響を受けるかどうかを確認する方法を教えてください。
回答 1: 以下の点を確認してください。-
製品は、SCM フレームワークを使用することにより起動されるサービスをインストールする。
-
既定で、製品がインストールするサービスは、Network Service または Local Service アカウントのコンテキストで実行される。
-
サービスが Windows Vista または Windows Server 2008 で実行されている場合、管理者特権を持つコマンド プロンプトから以下のコマンドを実行します。
SC.EXE QSIDTYPE <ServiceName> SERVICE_SID_TYPE 値は NONE である。
出力:[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: NONE
上記の 3 つが該当する場合、サービスには潜在的な脆弱性が存在する場合があります。サービスに脆弱性が存在するかどうかを確認するための調査を継続するには、「独立系ソフトウェア ベンダー (ISV) 向けの FAQ (COM)」の回答 1 の Process Explorer 関連の手順に従ってください。
質問 2: 製品レンジによりインストールされるサービスをセキュリティで保護する方法を教えてください。
回答 2: ラボのテスト フェーズ すべてのユーザーにリリースする前に社内でサービスをテストする場合に、サービスのセキュリティを確保するために実行できる手順は、以下のとおりです。-
MSRC パッケージをインストールします。
-
管理者特権を持つコマンド プロンプトから次のコマンドを実行します。
SC.exe SIDTYPE <ServiceName> UNRESTRICTED
-
サービス コントロール マネージャーからサービスを再起動します。
-
次のコマンドを実行することにより、サービスが Service SID を取得したことを検証します。
SC.exe QSIDTYPE <Service Name> 出力:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: UNRESTRICTED
-
SERVICE_SID_TYPE = UNRESTRICTED が確認できる場合、サービスは SID を取得しています。
-
すべてのテスト ケースを実行し、サービスにより提供されている機能が破損していないことを確認します。
-
次の一連のコマンドを使用すると、サービス上の Service SID を削除できます。
SC.exe SIDTYPE <ServiceName> NONE
SC.exe STOP <ServiceName> SC.exe START <ServiceName>
既存のインストール
脆弱性が存在するサービスの既存のインストール環境を所有するユーザー向けに、ISV は、ユーザーのボックスでサービス SID を有効にすることができる更新プログラムを公開する必要があります。可能であれば、更新プログラムは以下の手順に従う必要があります。-
次のレジストリ キーを変更します:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>\ServiceSidType = 1
-
この更新プログラムの適用後、インストーラーはシステムを再起動する必要があります。
これにより、サービス <ServiceName> の ServiceSID Type が UNRESTRICTED に設定されます。
新規インストール ISV には、セキュリティ更新プログラム 956572 がシステムにインストールされているかどうかを検出し、ServiceSidType レジストリ キーを有効にするインテリジェントなインストーラーが必要です。更新プログラムがインストールされていない場合、インストーラーはシステムの非互換性に関するエラー メッセージを表示して終了してもかまいません。 ユーザーは、次の方法を使用することにより、Windows Server 2003 および Windows XP にセキュリティ更新プログラム 956572 がインストールされているかどうかを検出できます。-
インストーラーは、以下のレジストリ キーが存在するかどうかを確認する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB956572 このレジストリ エントリが存在する場合、セキュリティ更新プログラム 956572 はシステム上に存在します。
Windows プラットフォームのすべてのバージョンでこれを行うために使用できる別の方法としては、WMI クエリを使用します。次のクエリを使用すると、セキュリティ更新プログラム 956572 がコンピューターにインストールされているかどうかを検出できます。
SELECT * FROM WIN32_QUICKFIXENGINEERING WHERE HotfixID like 'KB956572'注: Windows Vista および Windows Server 2008 のリリース版には、既に Services.exe 用の修正プログラムが含まれています。検出は必要ありません。
注: 製品の DACL に Service Account の SID を持つリソースが存在する場合は、これらすべてのリソース (ファイル、レジストリ キーなど) でサービス SID を使用して DACL が再度適用されていることを確認します。これを行わないと、製品の機能は、これらのリソースにアクセスしようとして破損する場合があります。 サービスに割り当てられている SID を確認するには、次のコマンドを使用します。SC.EXE SHOWSID <service name>サービスの SID は、サービス名のハッシュを使用することにより生成され、またサービスの名前が変更されない限り変化しません。
システム管理者向けの FAQ (Services.exe)
質問 1: 企業内で使用されているサービスに脆弱性が存在するかどうかを確認する方法を教えてください。
回答 1: 以下の点を確認してください。-
製品は、SCM フレームワークを使用することにより起動されるサービスをインストールする。
-
既定で、製品がインストールするサービスは、Network Service または Local Service アカウントのコンテキストで実行される。
注 サービスが Windows Vista または Windows Server 2008 で実行されている場合、管理者特権を持つコマンド プロンプトから次のコマンドを実行してコンテキストを確認します。SC.exe QSIDTYPE <Service Name> 出力:
[SC] QueryServiceConfig2 SUCCESS SERVICE_NAME: <Service Name> SERVICE_SID_TYPE: UNRESTRICTED
上記の 3 つが該当する場合、これらのサービスには潜在的な脆弱性が存在する可能性があります。これらのサービスのセキュリティを確保するには、サービスを所有する ISV に問い合わせてください。サービスが社内で開発された場合、「独立系ソフトウェア ベンダー (ISV) 向けの FAQ (COM)」の回答 1 の手順に従ってください。
独立系ソフトウェア ベンダー (ISV) 向けの FAQ (WMI)
質問 1: 製品により使用されている WMI プロバイダーが保護モードで起動されているかどうかを確認する方法を教えてください。
回答 1:-
WMI プロバイダーの ".mof" ファイルを開き、プロバイダーに以下のホスティング モデルのいずれかがあるかどうかを確認します。
-
NetworkServiceHost
-
NetworkServiceHostToSelfHost
-
LocalServiceHost
-
NULL (Windows Vista または Windows Server 2008 の場合のみ)
-
-
トークン キッドナッピング パッケージの一部として、インボックスで出荷される WMI プロバイダーのみが既定でセキュリティで保護されています。プロバイダーがインボックス プロバイダーである場合、可能であれば、トークン キッドナッピング パッケージのインストール後にセキュリティで保護する必要があります。これを確認するには、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders サブキーの下のレジストリ値を確認してください。プロバイダーがセキュリティで保護されている場合、以下のようなエントリが表示されます。
<NameSpace>:_Win32Provider.Name ="<Provider Name>"REG_SZ 0.
-
プロバイダーがここに表示されている場合、その特定のプロバイダーは保護モードで起動されます。
-
プロバイダー名が SecureHostProviders レジストリ キーの下になく、またホスティング モデルが手順 1. にあるモデルのいずれかである場合、このプロバイダーは保護されていない Wmiprvse.exe 内で起動され、またこのプロバイダーによりコンピューターにはトークン キッドナッピング攻撃の脆弱性が存在します。
質問 2: 製品により使用されている WMI プロバイダーが保護モードで起動されているかどうかを確認する方法を教えてください。
回答 2:-
製品がインストールされているコンピューターに管理者としてログオンします。
-
以下のマイクロソフト Web サイトから Process Explorer をダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
-
ローカル管理者として Process Explorer を実行します。
-
[View] メニューの [Lower Pane View] をポイントし、[Handles] をクリックします。
-
タスク マネージャーを使用して、Network Service または Local Service のコンテキストで実行されているすべての Wmiprvse.exe プロセスを確認し、閉じます。
-
特定の WMI プロバイダーを使用することにより、WMI クエリを使用するアプリケーションのテスト ケースを実行します。これにより、実行したばかりの新しい WMI クエリにサービスを提供するために、新しい WMIPrvSE.exe プロセスが作成されます。
-
Process Explorer のツール バーで、[View DLLs] をオンにします。
-
下ウィンドウを調べ、新規作成された WMIPrvSE.exe 内に DLL が読み込まれているかどうかを確認します。
-
WMIPrvSE.exe をダブルクリックして、[Properties] ダイアログ ボックスを開きます。
-
[Security] タブをクリックし、以下のようになっていることを確認します。
-
ログオン SID が形式 (S-1-5-5-****) である。
-
ログオン SID も所有者としてマークされている。
-
ServiceAcccount {Local Service|Network Service} の WMI SID が所有者としてマークされる。
-
Local Service の WMI SID:
S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952 -
Network Service の WMI SID:
S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
-
-
-
[Permission] をクリックし、Network Service と Local Service のどちらも一覧にないことを確認します。これにより、プロバイダーが保護モードで起動されていることが確認できます。
質問 3: ISV が、製品で使用されている WMI プロバイダーをセキュリティで保護する方法を教えてください。
回答 3: トークン キッドナッピング パッケージの一部として、ISV が WMI プロバイダーを構成できるようにする 3 つのレジストリ キーが用意されています。-
HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
このキーの下にあるすべてのプロバイダーは、常に保護モードで実行されます。 -
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
プロバイダーがこのキーの下にある場合、非保護モードで実行されます。このキーが用意されているのは、セーフ モードでの実行の互換性の問題が存在する特定のプロバイダー用に ISV が例外を追加できるようにするためです。既定では、0 (ゼロ) 個のエントリが含まれています。 -
HKLM \SOFTWARE\Microsoft\WBEM\CIMOM\DefaultSecuredHost
このグローバル レジストリ キーが 1 に設定されている場合、WMI プロバイダーが上記のレジストリ キー内に存在するかどうかに関係なく、このグローバル レジストリ キーはコンピューター上ですべての WMI プロバイダーを保護モードで起動します。マイクロソフトは既定でこれを 1 に設定していませんが、これは、このレジストリ キーが 1 に設定されているすべての可能なサードパーティ製アプリケーションの動作をテストしていないためです。
WMI プロバイダーのセキュリティを確保するには、次のレジストリ値を "HKLM\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders" に追加します。
<NameSpace>:_Win32Provider.Name =”<Provider Name>”REG_SZ 0.
この変更を行った後、すべてのテスト シナリオが適切に動作することを確認してください。
システム管理者向けの FAQ (WMI)
質問 1: 組織で使用されている WMI プロバイダーが非保護モードで実行中であるかどうかを確認する方法を教えてください。
回答 1:-
製品がインストールされているコンピューターに管理者としてログオンします。
-
以下のマイクロソフト Web サイトから Process Explorer をダウンロードしてインストールします。
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
-
ローカル管理者として Process Explorer を実行します。
-
[View] メニューの [Lower Pane View] をポイントし、[Handles] をクリックします。
-
タスク マネージャーを使用して、Network Service または Local Service のコンテキストで実行されているすべての Wmiprvse.exe プロセスを確認し、閉じます。
-
特定の WMI プロバイダーを使用することにより、WMI クエリを使用するアプリケーションのテスト ケースを実行します。これにより、実行したばかりの新しい WMI クエリにサービスを提供するために、新しい WMIPrvSE.exe プロセスが作成されます。
-
Process Explorer のツール バーで、[View DLLs] をオンにします。
-
下ウィンドウを調べ、新規作成された WMIPrvSE.exe 内に DLL が読み込まれているかどうかを確認します。
-
WMIPrvSE.exe をダブルクリックして、[Properties] ダイアログ ボックスを開きます。
-
[Security] タブをクリックし、以下のようになっていることを確認します。
-
Wmiprvse.exe プロセスに対して "Network Service" または "Local Service" が完全アクセス許可を持っている。
-
ログオン SID (形式 S-1-5-5-****) が所有者としてマークされていないことを確認する。
-
ServiceAcccount {Local Service|Network Service} の WMI SID が生成されていないことを確認する。つまり、"Group" の下で表示されていないことを確認します。
-
Local Service の WMI SID: S-1-5-86-1544737700-199408000-2549878335-3519669259-381336952
-
Network Service の WMI SID: S-1-5-86-615999462-62705297-2911207457-59056572-3668589837
-
-
質問 2: 脆弱性の存在する WMI プロバイダーをセキュリティで保護する方法を教えてください。
回答 2:-
レジストリ エディターを開きます。
-
次のレジストリ サブキーに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
-
セキュリティで保護する WMI プロバイダー用のレジストリ値を追加します。次の形式を使用します。
<NameSpace>:_Win32Provider.Name =”<Provider Name>”REG_SZ 0
-
次のコマンドを実行して、WMI サービスを再開します。
-
Sc stop winmgmt
-
Sc start winmgmt
-
ファイル情報
セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS10-012 の「ファイル情報」セクションをご覧ください。