元の発行日: 2025 年 4 月 8 日
KB ID: 5057784
|
日付の変更 |
説明を変更する |
|
2025 年 7 月 22 日 |
|
|
2025 年 5 月 9 日 |
|
この資料の内容
要約
2025 年 4 月 8 日以降にリリースされた Windows セキュリティ更新プログラムには、Kerberos 認証の脆弱性に対する保護が含まれています。 この更新プログラムは、セキュリティ プリンシパルの証明書ベースの認証 (CBA) に使用される証明書の発行元が信頼されているが NTAuth ストアには存在せず、証明書ベースの認証を使用してセキュリティ プリンシパルの altSecID 属性にサブジェクト キー識別子 (SKI) マッピングが存在する場合の動作の変更を提供します。 この脆弱性の詳細については、 CVE-2025-26647 を参照してください。
対処方法
環境を保護し、停止を防ぐために、次の手順をお勧めします。
-
2025 年 4 月 8 日以降にリリースされた Windows 更新プログラムを使用して、すべてのドメイン コントローラーを更新します。
-
影響を受ける証明機関を識別するためにドメイン コントローラーで表示される新しいイベントを監視します。
-
有効にする 環境が NTAuth ストア内の機関によって発行されたログオン証明書のみを使用した後の強制モード。
altSecID 属性
次の表に、この変更の影響を受けたすべての代替セキュリティ識別子 (altSecID) 属性と altSecID を示します。
|
altSecID にマップできる証明書属性の一覧 |
NTAuth ストアにチェーンするために一致する証明書を必要とする AltSecID |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
変更のタイムライン
2025 年 4 月 8 日: 初期展開フェーズ – 監査モード
初期デプロイ フェーズ (監査 モード) は、2025 年 4 月 8 日にリリースされた更新プログラムから始まります。 これらの更新プログラムは 、CVE-2025-26647 で説明されている特権の昇格の脆弱性を検出する動作を変更しますが、最初は適用されません。
監査モードでは、安全でない証明書を使用して Kerberos 認証要求を受信すると、イベント ID: 45 がドメイン コントローラーに記録されます。 認証要求は許可され、クライアント エラーは発生しません。
動作の変更を有効にし、脆弱性から保護するには、2025 年 4 月 8 日以降にすべての Windows ドメイン コントローラーが Windows 更新プログラムリリースで更新され、AllowNtAuthPolicyBypass レジストリ キー設定が 2 に設定されていることを確認して 、適用 モードを構成する必要があります。
強制モードの場合、ドメイン コントローラーが安全でない証明書を使用して Kerberos 認証要求を受け取った場合、レガシ イベント ID: 21 がログに記録され、要求が拒否されます。
この更新プログラムによって提供される保護を有効にするには、次の手順に従います。
-
2025 年 4 月 8 日以降にリリースされた Windows 更新プログラムを、環境内のすべてのドメイン コントローラーに適用します。 更新プログラムを適用すると、AllowNtAuthPolicyBypass 設定の既定値は 1 (監査) になり、NTAuth チェックと監査ログ警告イベントが有効になります。大事な この更新プログラムによって提供される保護の適用に進む準備ができていない場合は、レジストリ キーを 0 に設定して、この変更を一時的に無効にします。 詳細については、「 レジストリ キー情報 」セクションを参照してください。
-
ドメイン コントローラーで表示される新しいイベントを監視して、NTAuth ストアに含まれていない影響を受ける証明機関を特定します。 監視する必要があるイベント ID は 、イベント ID: 45 です。 これらのイベントの詳細については、「 監査イベント 」セクションを参照してください。
-
すべてのクライアント証明書が有効であり、NTAuth ストア内の信頼された発行元 CA にチェーンされていることを確認します。
-
すべての イベント ID: 45 個のイベントが解決されたら、 強制 モードに進むことができます。 これを行うには、AllowNtAuthPolicyBypass レジストリ値を 2 に設定します。 詳細については、「 レジストリ キー情報 」セクションを参照してください。手記 2025 年 5 月以降にリリースされた Windows 更新プログラムを複数のシナリオで使用されるサービス自己署名証明書ベースの認証をドメイン コントローラーに適用するまで、 AllowNtAuthPolicyBypass = 2 の設定を一時的に遅延することをお勧めします。 これには、キー信頼とドメイン参加済みデバイス公開キー認証Windows Hello for Businessサービスを提供するドメイン コントローラーが含まれます。
2025 年 7 月: 既定で適用されるフェーズ
2025 年 7 月以降にリリースされたUpdatesは、既定で NTAuth ストア チェックを適用します。 AllowNtAuthPolicyBypass レジストリ キー設定を使用すると、必要に応じてお客様は監査モードに戻ります。 ただし、このセキュリティ更新プログラムを完全に無効にする機能は削除されます。
2025 年 10 月: 強制モード
2025 年 10 月以降にリリースされたUpdatesは、AllowNtAuthPolicyBypass レジストリ キーに対する Microsoft のサポートを中止します。 この段階では、すべての証明書を NTAuth ストアの一部である機関によって発行する必要があります。
レジストリ設定とイベント ログ
レジストリ キー情報
次のレジストリ キーを使用すると、脆弱なシナリオを監査し、脆弱な証明書に対処した後に変更を適用できます。 レジストリ キーは自動的には追加されません。動作を変更する必要がある場合は、レジストリ キーを手動で作成し、必要な値を設定する必要があります。 レジストリ キーが構成されていない場合の OS の動作は、展開のフェーズによって異なります。
AllowNtAuthPolicyBypass
|
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
値 |
AllowNtAuthPolicyBypass |
|
|
データ型 |
REG_DWORD |
|
|
値のデータ |
0 |
変更を完全に無効にします。 |
|
1 |
NTAuth ストアの一部ではない機関によって発行された証明書 (監査モード) を示す NTAuth チェックとログ警告イベントを実行します。 (2025 年 4 月 8 日リリース以降の既定の動作)。 |
|
|
2 |
NTAuth チェックを実行し、失敗した場合はログオンを許可しません。 NTAuth チェック失敗 (強制モード) を示すエラー コードを使用して、AS-REQ エラーの通常のイベント (既存) をログに記録します。 |
|
|
コメント |
AllowNtAuthPolicyBypass レジストリ設定は、2025 年 4 月以降にリリースされた Windows 更新プログラムをインストールした Windows KDC でのみ構成する必要があります。 |
|
監査イベント
イベント ID: 45 |NT Auth Store の監査イベントの確認
管理者は、2025 年 4 月 8 日以降にリリースされた Windows 更新プログラムのインストールによって追加された次のイベントについてwatchする必要があります。 存在する場合は、NTAuth ストアの一部ではない機関によって証明書が発行されたことを意味します。
|
Event Log |
ログ システム |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kerberos-Key-Distribution-Center |
|
イベント ID |
45 |
|
イベント テキスト |
キー配布センター (KDC) で、有効だが NTAuth ストア内のルートにチェーンされていないクライアント証明書が検出されました。 NTAuth ストアにチェーンされていない証明書のサポートは非推奨です。 NTAuth 以外のストアへの証明書チェーンのサポートは非推奨であり、安全ではありません。詳細については 、「https://go.microsoft.com/fwlink/?linkid=2300705 」を参照してください。 ユーザー: UserName>の < 証明書のサブジェクト: <証明書のサブジェクト> 証明書発行者: 証明書発行者<> 証明書シリアル番号: <証明書のシリアル番号> 証明書拇印: < CertThumbprint> |
|
コメント |
|
イベント ID: 21 |AS-REQ エラー イベント
Kerberos-Key-Distribution-Center イベント 45 に対処した後、この汎用のレガシ イベントのログは、クライアント証明書がまだ信頼されていないことを示します。 このイベントは複数の理由でログに記録される可能性があります。そのうちの 1 つは、有効なクライアント証明書が NTAuth ストアの発行元 CA にチェーンされていないことです。
|
Event Log |
ログ システム |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kerberos-Key-Distribution-Center |
|
イベント ID |
21 |
|
イベント テキスト |
Domain\UserName>< ユーザーのクライアント証明書が無効であり、スマートカード ログオンに失敗しました。 スマートカード ログオンに使用しようとしている証明書の詳細については、ユーザーに問い合わせてください。 チェーンの状態は: 認定チェーンが正しく処理されましたが、CA 証明書の 1 つがポリシー プロバイダーによって信頼されていません。 |
|
コメント |
|
既知の問題
お客様は、自己署名証明書を使用した証明書ベースの認証によってトリガーされるイベント ID: 45 とイベント ID: 21 に関する問題を報告しました。 詳細については、 Windows リリースの正常性に関する既知の問題を参照してください。
-
Windows Server 2025: ログオンが失敗し、キー信頼モードでWindows Helloされ、Kerberos イベントがログに記録される
-
Windows Server 2022: ログオンが失敗し、キー信頼モードでWindows Helloされ、Kerberos イベントがログに記録される
-
Windows Server 2019: キー信頼モードのWindows Helloでログオンが失敗し、Kerberos イベントがログに記録される
-
Windows Server 2016: キー信頼モードとログ Kerberos イベントのWindows Helloでログオンが失敗する可能性がある
