重要: この記事で以前に示したリリース日が変更されました。 「対処方法」セクションと「これらの Windows 更新プログラムのタイミング」セクションの新しいリリース日に注意してください。
概要
Key Distribution Center (KDC) を使用して Kerberos Constrained Delegation (KCD) を介した委任に Kerberos サービス チケットを使用できるかどうかを判断する方法に、セキュリティ機能のバイパスの脆弱性が存在します。 この脆弱性を悪用するために、KCD を使用するように構成されている侵害されたサービスにより、委任に有効ではない Kerberos サービス チケットを改ざんし、KDC にそれを受け入れさせる可能性があります。 これらの Windows 更新プログラムは、KDC が KCD で使用される Kerberos サービス チケットを検証する方法を変更することにより、この脆弱性を解決します。
この脆弱性の詳細については、CVE-2020-17049 を参照してください。
対処方法 環境を保護し、停止を防ぐには、次のすべての手順を実行する必要があります。
|
これらの Windows 更新プログラムのタイミング
これらの Windows 更新プログラムは、次の 3 つのフェーズでリリースされます。
-
2020 年 12 月 9 日以降にリリースされた Windows 更新プログラムの初期展開フェーズ。
-
PerformTicketSignature 設定 0 を削除し、2021 年 4 月 13 日以降に設定 1 または 2 のいずれかを必要とする 2 番目の展開フェーズ。
-
2021 年 7 月 13 日以降にリリースされる Windows 更新プログラムの強制フェーズ。
2020 年 12 月 8 日: 初期展開フェーズ
最初の展開フェーズは 2020 年 12 月 8 日にリリースされた Windows 更新プログラムから始まり、その後の強制フェーズの Windows 更新プログラムに続きます。 これらと以降の Windows 更新プログラムを適用すると、Kerberos が変更されます。 この 2020 年 12 月 9 日の更新プログラムには、CVE-2020-17049 の 2020 年 11 月 11 日のリリースによって最初に導入されたすべての既知の問題に対する修正が含まれています。 この更新プログラムを適用すると、Windows Server 2008 SP2 および Windows Server 2008 R2 のサポートも追加されます。
このリリースの内容:
-
CVE-2020-17049 の問題を修正します (既定では展開モード)。
-
PerformTicketSignature レジストリ値のサポートを追加して、Active Directory ドメイン コントローラー サーバーでの保護を有効にします。 既定では、この値は存在しません。
緩和策は、Active Directory ドメイン コントローラーの役割と読み取り専用ドメイン コントローラー (RODC) をホストするすべてのデバイスに Windows 更新プログラムをインストールしてから、強制モードを有効にすることで構成されます。
2021 年 4 月 13 日: 2 番目の展開フェーズ
2 番目の展開フェーズは、2021 年 4 月 13 日にリリースされた Windows 更新プログラムから始まります。 このフェーズでは、PerformTicketSignature 設定 0 が削除されます。 この更新プログラムのインストール後に PerformTicketSignature を 0 に設定すると、PerformTicketSignature を 1 に設定した場合と同じ効果があります。 DC は展開モードになります。
注意事項
-
お使いの環境で PerformTicketSignature が 0 に設定されていない場合、このフェーズは必要ありません。 このフェーズは、PerformTicketSignature を 0 に設定したお客様が、強制フェーズの前に設定 1 に移動されることを確認するのに役立ちます。
-
2021 年 4 月 13 日の更新プログラムの展開に伴い、PerformTicketSignature を 1 に設定すると、サービス チケットを更新できるようになります。 これは、PerformTicketSignature を 1 に設定した場合の、2021 年 4 月以前の Windows 更新プログラムからの動作の変更であり、サービス チケットを更新できなくなりました。
-
この更新プログラムは、すべてのドメイン コントローラーが 2020 年 12 月 8 日以降の更新プログラムで更新されることを前提としています。
-
この更新プログラムをインストールし、手動またはプログラムで PerformTicketSignature を 1 以上に設定すると、サポートされていない Windows Server ドメイン コントローラーは、サポートされているドメイン コントローラーでは機能しなくなります。 これには、拡張セキュリティ更新プログラム (ESU) のない Windows Server 2008 と Windows Server 2008 R2、および Windows Server 2003 が含まれます。
2021 年 7 月 13 日: 強制フェーズ
2021 年 7 月 13 日のリリースは、強制フェーズに移行します。 強制フェーズでは、CVE-2020-17049 の問題を修正するための変更を強制します。 Active Directory ドメイン コントローラーは、強制モードに対応できるようになりました。 強制モードに移行するには、すべての Active Directory ドメイン コントローラーに 2020 年 12 月 8 日の更新プログラムまたはそれ以降の Windows 更新プログラムがインストールされている必要があります。 現時点では、PerformTicketSignature レジストリ キーの設定は無視され、強制モードを上書きすることはできません。
インストールのガイダンス
この更新プログラムをインストールする前に
この更新プログラムを適用するには、次の必要な更新プログラムをインストールする必要があります。 Windows Update を使用している場合、これらの必須の更新プログラムは必要に応じて自動的に提供されます。
-
2019 年 9 月 23 日またはそれ以降の SHA-2 更新プログラムをインストールした SHA-2 更新プログラム (KB4474419) をインストールし、この更新プログラムを適用する前にデバイスを再起動する必要があります。 SHA-2 の更新プログラムの詳細については、「Windows および WSUS の 2019 SHA-2 コード署名サポートの要件」を参照してください。
-
Windows Server 2008 R2 SP1 の場合、2019 年 3 月 12 日のサービス スタック更新プログラム (SSU) (KB4490628) をインストールしておく必要があります。 更新プログラム KB4490628 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
-
Windows Server 2008 SP2 の場合、2019 年 4 月 9 日のサービス スタック更新プログラム (SSU) (KB4493730) をインストールしておく必要があります。 更新プログラム KB4493730 をインストールした後に、最新の SSU 更新プログラムをインストールすることをお勧めします。 最新の SSU 更新プログラムの詳細については、「ADV990001 | Latest Servicing Stack Updates」(英語情報) を参照してください。
-
2020 年 1 月 14 日に延長サポートが終了した後は、Windows Server 2008 SP2 または Windows Server 2008 R2 SP1 のオンプレミス バージョンの拡張セキュリティ更新プログラム (ESU) を購入していただく必要があります。 ESU を購入したお客様は、引き続きセキュリティ更新プログラムを受け取るために、KB4522133 の手順に従う必要があります。 ESU およびサポートされているエディションの詳細については、KB4497181 を参照してください。
重要:これらの必要な更新プログラムをインストールした後、デバイスを再起動する必要があります。
すべての更新プログラムをインストールする
セキュリティの脆弱性を解決するには、次の手順に従って、すべての Windows 更新プログラムをインストールし、強制モードを有効にします。
-
2020 年 12 月 8 日から 2021 年 3 月 9 日までの更新プログラムの少なくとも 1 つを、フォレスト内のすべての Active Directory ドメイン コントローラーに展開します。
-
手順 1 の少なくとも 1 週間後に 2021 年 4 月 12 日の更新プログラムを展開します。
-
すべての Active Directory ドメイン コントローラーを更新した後、すべての未処理の Service for User to Self (S4U2self) Kerberos サービス チケットの有効期限が切れるまで、少なくとも 1 週間待ちます。その後に、Active Directory ドメイン コントローラーの強制モードを展開することで、完全な保護が有効になります。
注-
Kerberos サービス チケットの有効期限を既定の設定 (既定値は 7 日) から変更している場合、お使いの環境で構成されている日数以上は待つ必要があります。
-
これらの手順は、PerformTicketSignature がお使いの環境で 0 に設定されたことがないことを前提としています。 PerformTicketSignature が 0 に設定されている場合は、設定 2 (強制モード) に移動する前に設定 1 に移動し、少なくとも 1 週間待って、未処理の Service for User to Self (S4U2self) Kerberos サービス チケットがすべて期限切れになるようにする必要があります。 設定 0 から設定 2 (強制モード) に直接移動しないでください。
-
手順 1: Windows 更新プログラムをインストールする
読み取り専用ドメイン コントローラーを含め、フォレスト内の Active Directory ドメイン コントローラーの役割をホストするすべてのデバイスに 2020 年 12 月 8 日の Windows 更新プログラムまたはそれ以降の Windows 更新プログラムをインストールします。
Windows Server 製品 |
KB 番号 |
更新プログラムの種類 |
Windows Server, version 20H2 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 2004 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 1909 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server Version 1903 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2019 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2019 |
セキュリティ更新プログラム |
|
Windows Server 2016 (Server Core インストール) |
セキュリティ更新プログラム |
|
Windows Server 2016 |
セキュリティ更新プログラム |
|
Windows Server 2012 R2 (Server Core インストール) |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 R2 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 (Server Core インストール) |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2012 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2008 R2 Service Pack 1 |
マンスリー ロールアップ |
|
セキュリティのみ |
||
Windows Server 2008 Service Pack 2 |
マンスリー ロールアップ |
|
セキュリティのみ |
手順 2: 強制モードを有効にする
Active Directory ドメイン コントローラーの役割をホストするすべてのデバイスを更新した後、すべての未処理の S4U2self Kerberos サービス チケットの有効期限が切れるまで、少なくとも丸 1 週間待ちます。 その後に、強制モードを展開することで、完全な保護を有効にします。 これを行うには、強制モードのレジストリ キーを有効にします。
警告: レジストリ エディターまたは別の方法でレジストリを誤って変更すると、重大な問題が発生することがあります。 その場合、オペレーティング システムの再インストールが必要になる可能性があります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更は、自己の責任において行ってください。
注 この更新プログラムにより、次のレジストリ値のサポートが導入され、強制モードが有効になります。 このレジストリ値は、この更新プログラムをインストールしても作成されません。 このレジストリ値は手動で追加する必要があります。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
値 |
PerformTicketSignature |
データの種類 |
REG_DWORD |
データ |
1: 強制モードを有効にします。 この修正プログラムはドメイン コントローラー上では有効になっていますが、Active Directory ドメイン コントローラーでは、Kerberos サービス チケットがこの修正プログラムに準拠している必要はありません。 このモードでは、CVE-2020-17049 で更新されたドメイン コントローラーでチケット署名のサポートが追加されますが、ドメイン コントローラーではチケットに署名する必要はありません。 これにより、初期展開フェーズ (12 月の初期展開更新プログラムに更新された DC) と更新されたドメイン コントローラーを共存させることができます。 すべてのドメイン コントローラーが更新され、設定 1 で、すべての新しいチケットが署名されます。 このモードでは、新しいチケットは更新可とマークされます。 2: 強制モードを有効にします。これにより、この修正プログラムが必須モードで有効になります。その結果、すべてのドメインを更新する必要があり、すべての Active Directory ドメイン コントローラーには署名付きの Kerberos サービス チケットが必要になります。 この設定では、有効と見なされるためにすべてのチケットに署名する必要があります。 このモードでは、チケットは更新可とマークされます。 0: お勧めしません。 Kerberos サービス チケットの署名を無効にします。ドメインは保護されません。 重要: 設定 0 は、強制設定 2 と互換性がありません。 ドメインが 0 に設定されているときに、後の段階で強制モードが適用されると、断続的な認証エラーが発生する可能性があります。 強制段階の前 (強制を適用する少なくとも 1 週間前) に設定 1 に移行することをお勧めします。 |
既定値 |
1 (レジストリ キーが設定されていない場合) |
再起動の必要性 |
いいえ |