重要 この記事で前述した強制モードの日付は、2021 年 3 月 9 日に変更されました。 

概要

保護対象ユーザーリソースに基づく制約付き委任 (RBCD) を使用している場合、Active Directory ドメイン コントローラーにセキュリティの脆弱性が存在する可能性があります。 セキュリティの脆弱性の詳細については、CVE-2020-16996 を参照してください。

対処方法

お客様の環境を保護し、停止を防ぐには、次のことを行う必要があります。

  1. 2020 年 12 月 9 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをインストールして、Active Directory ドメイン コントローラー ロールをホストするすべてのデバイスを更新します。 Windows 更新プログラムをインストールしても、セキュリティの脆弱性は完全に軽減されるわけではないことに注意してください。 手順 2 を実行する必要があります。

  2. すべての Active Directory ドメイン コントローラーで強制モードを有効にします。 2021 年 3 月 9 日の更新プログラム以降、すべての Windows ドメイン コントローラーで強制モードを有効にすることができます。

更新のタイミング

これらの Windows 更新プログラムは、次の 2 フェーズに分けてリリースされます。

  • 2020 年 12 月 9 日以降にリリースされた Windows 更新プログラムの初期展開フェーズ。

  • 2021 年 3 月 9 日以降にリリースされる Windows 更新プログラムの強制フェーズ。

2020 年 12 月 8 日: 初期展開フェーズ

最初の展開フェーズは 2020 年 12 月 9 日にリリースされた Windows 更新プログラムから始まり、その後の強制フェーズの Windows 更新プログラムに続きます。 これらと以降の Windows 更新プログラムを適用すると、Kerberos が変更されます。

このリリースの内容:

  • CVE-2020-16996 に対応します (既定では無効)。

  • NonForwardableDelegation レジストリ値のサポートを追加して、Active Directory ドメイン コントローラー サーバーでの保護を有効にします。 既定では、この値は存在しません。

緩和策は、Active Directory ドメイン コントローラー ロールと読み取り専用ドメイン コントローラー (RODC) をホストするすべてのデバイスに Windows 更新プログラムをインストールしてから、強制モードを有効にする手順で構成されます。

2021 年 3 月 9 日: 強制フェーズ

2021 年 3 月 9 日のリリースは、強制フェーズに移行します。 強制フェーズでは、CVE-2020-16996 に対応するための変更が適用されます。 強制モードのレジストリ キーが 1 (無効) に設定されていない限り、Active Directory ドメイン コントローラーは強制モードになります。 強制モードのレジストリ キーが設定されている場合、その設定が尊重されます。 強制モードに移行するには、すべての Active Directory ドメイン コントローラーに 2020 年 12 月 8 日の更新プログラムまたはそれ以降の更新プログラムがインストールされている必要があります。

インストールのガイダンス

この更新プログラムをインストールする前に

この更新プログラムを適用するには、次の必要な更新プログラムをインストールする必要があります。 Windows Update を使用している場合、これらの必須の更新プログラムは必要に応じて自動的に提供されます。

  • 2019 年 9 月 23 日またはそれ以降の SHA-2 更新プログラムをインストールした SHA-2 更新プログラム (KB4474419) をインストールし、この更新プログラムを適用する前にデバイスを再起動する必要があります。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。

  • Windows Server 2008 R2 SP1 の場合、2019 年 3 月 12 日のサービス スタック更新プログラム (SSU) (KB4490628) をインストールしておく必要があります。 更新プログラム KB4490628 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。

  • Windows Server 2008 SP2 の場合、2019 年 4 月 9 日のサービス スタック更新プログラム (SSU) (KB4493730) をインストールしておく必要があります。 更新プログラム KB4493730 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。

  • 2020 年 1 月 14 日に延長サポートが終了した後は、Windows Server 2008 SP2 または Windows Server 2008 R2 SP1 のオンプレミス バージョンの拡張セキュリティ更新プログラム (ESU) を購入していただく必要があります。 ESU を購入したお客様は、引き続きセキュリティ更新プログラムを受け取るために、KB4522133 の手順に従う必要があります。 ESU およびサポートされているエディションの詳細については、KB4497181 を参照してください。

重要これらの必要な更新プログラムをインストールした後、デバイスを再起動する必要があります。

更新プログラムをインストールする

セキュリティの脆弱性を解決するには、次の手順に従って Windows 更新プログラムをインストールし、強制モードを有効にします。

警告: レジストリ エディターまたは別の方法でレジストリを誤って変更すると、重大な問題が発生することがあります。 次のシナリオの一方または両方で、これらの Windows 更新プログラムとレジストリ値の適用に一貫性がない場合、断続的な認証の問題が発生する可能性があります。

  • 2020 年 12 月 8 日の Windows 更新プログラムは、Active Directory ドメイン コントローラーに一貫性なくインストールされ、NonForwardableDelegation 値はそれらのドメイン コントローラーで一貫性なく 0 に設定されます。

  • 2021 年 3 月 9 日の Windows 更新プログラムは、Active Directory ドメイン コントローラーに一貫性なくインストールされます。これは、発信者、中間、またはターゲット ドメインにあるすべての Windows Server 2008 R2 以前の Active Directory ドメイン コントローラーに 2020 年 12 月 8 日の Windows 更新プログラムを最初にインストールすることで暗黙的に有効になります。

重要 Windows 更新プログラムとレジストリ値の両方を、環境内のすべての Active Directoryドメイン コントローラーに一貫して適用する必要があります。


手順 1: Windows 更新プログラムをインストールする

読み取り専用ドメイン コントローラーを含め、フォレスト内の Active Directory ドメイン コントローラー ロールをホストするすべてのデバイスに、2020 年 12 月 9 日の Windows 更新プログラム、またはそれ以降の Windows 更新プログラムをインストールします。

Windows Server 製品

KB 番号

更新プログラムの種類

Windows Server, version 20H2 (Server Core インストール)

4592438

セキュリティ更新プログラム

Windows Server Version 2004 (Server Core インストール)

4592438

セキュリティ更新プログラム

Windows Server Version 1909 (Server Core インストール)

4592449

セキュリティ更新プログラム

Windows Server Version 1903 (Server Core インストール)

4592449

セキュリティ更新プログラム

Windows Server 2019 (Server Core インストール)

4592440

セキュリティ更新プログラム

Windows Server 2019

4592440

セキュリティ更新プログラム

Windows Server 2016 (Server Core インストール)

4593226

セキュリティ更新プログラム

Windows Server 2016

4593226

セキュリティ更新プログラム

Windows Server 2012 R2 (Server Core インストール)

4592484

マンスリー ロールアップ

4592495

セキュリティのみ

Windows Server 2012 R2

4592484

マンスリー ロールアップ

4592495

セキュリティのみ

Windows Server 2012 (Server Core インストール)

4592468

マンスリー ロールアップ

4592497

セキュリティのみ

Windows Server 2012

4592468

マンスリー ロールアップ

4592497

セキュリティのみ

Windows Server 2008 R2 Service Pack 1

4592471

マンスリー ロールアップ

4592503

セキュリティのみ

Windows Server 2008 Service Pack 2

4592498

マンスリー ロールアップ

4592504

セキュリティのみ

手順 2: 強制モードを有効にする

Active Directory ドメイン コントローラーの役割をホストするすべてのデバイスが更新されたら、少なくとも 1 日待って、すべての未処理の Service for User to Self (S4U2self) Kerberos サービス チケットの有効期限が切れるようにします。 次に、強制モードを展開して完全な保護を有効にします。 これを行うには、強制モードのレジストリ キーを有効にします。

警告: レジストリ エディターまたは別の方法でレジストリを誤って変更すると、重大な問題が発生することがあります。 その場合、オペレーティング システムの再インストールが必要になる可能性があります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更は、自己の責任において行ってください。

 このレジストリ値は、この更新プログラムをインストールしても作成されません。 このレジストリ値は手動で追加する必要があります。

レジストリ サブキー

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

NonForwardableDelegation

データの種類

REG_DWORD

データ

1: 強制モードを無効にします。  

0: 強制モードを有効にします。 これは保護された状態です。

既定値

1

再起動の必要性

いいえ


NonForwardableDelegation」レジストリ値に関する注意事項:

  • レジストリ値が設定されている場合、2021 年 3 月 9 日の Windows 更新プログラムに含まれる強制モード設定よりも優先されます。

    • レジストリ値が 1 (無効) に設定されている場合、転送可能としてマークされていない Kerberos サービス チケットでは転送が許可されます。

    • レジストリ値が 0 (有効) に設定されている場合、転送可能としてマークされていない Kerberos サービス チケットでは転送が許可されません。

  • ドメインに Windows Server 2008 R2 以前の Active Directory ドメイン コントローラーが含まれている場合、これらのドメイン コントローラーは RBCD をサポートしていないため、強制モードを設定する必要はありません。

  • 強制モードを有効にするときにすべての Active Directory ドメイン コントローラーを一貫して更新しないと、断続的なサービス委任エラーが発生します。

  • 強制モードを設定する前に:

    • すべての Active Directory ドメイン コントローラーは、2020 年 12 月 8 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムで更新する必要があります。

    • すべての未処理の S4USelf Kerberos サービス チケットは、すべての Active Directory ドメイン コントローラーへの Windows 更新プログラムの展開が完了してから 1 日待機して期限切れになっている必要があります。

その他の考慮事項

この保護を有効にすると、リソースに基づく制約付き委任 (RBCD) のロジックが元の制約付き委任と統合されます。 これにより、次の 2 つのシナリオで問題が発生する可能性があります。

  • 単一のサービスでは、別のターゲットへのプロトコル移行を伴う RBCD を使用しているときに、1 つのターゲットへのプロトコル移行なしで元の Kerberos 制約付き委任 (KCD) を同時に使用します。 この変更後、プロトコル移行の拒否は両方のスタイルの委任に適用されます。

  • RBCD は、CVE-2020-16996 で更新されていないドメイン コントローラーを使用するドメイン、または CVE-2020-16996 に対する利用可能な更新プログラムがない以前のバージョンの Windows Server (Window Server 2012 以前) を実行しているドメインで使用されます。 更新されていないキー配布センター (KDC) は、委任に問題がないというフラグを S4USelf Kerberos サービス チケットに設定せず、プロトコルの移行は拒否されます。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

ご意見をいただきありがとうございます。

×