Applies ToWindows 10, version 2004, all editions Windows Server version 2004 Windows 10, version 20H2, all editions Windows Server, version 20H2, all editions Windows 10, version 21H1, all editions Windows 10 Enterprise, version 1909 Windows 10 Enterprise and Education, version 1909 Windows 10 IoT Enterprise, version 1909 Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows Server 2012 Windows Embedded 8 Standard Windows 7 Windows Server 2008 R2 Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Thin PC Windows Server 2008 Windows 11 Windows Server 2022 Windows 11 version 22H2, all editions

更新 2023 年 3 月 20 日 - [可用性] セクション

要約

分散コンポーネント オブジェクト モデル (DCOM) リモート プロトコルは、リモート プロシージャ コール (RPC) を使用してアプリケーション オブジェクトを公開するためのプロトコルです。 DCOM は、ネットワークデバイスのソフトウェアコンポーネント間の通信に使用されます。 CVE-2021-26414 では、DCOM の変更を強化する必要がありました。 そのため、強化の変更が有効になっている状態で、DCOM または RPC を使用する環境内のクライアントまたはサーバー アプリケーションが期待どおりに動作するかどうかを確認することをお勧めします。

利用可能な最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。 最新のセキュリティ脅威から高度な保護を提供します。 また、移行をサポートするために追加した機能も提供します。 DCOM の強化方法の詳細とコンテキストについては、「 DCOM 認証の強化: 知っておくべきこと」を参照してください。

DCOM 更新プログラムの最初のフェーズは、2021 年 6 月 8 日にリリースされました。 この更新プログラムでは、DCOM のセキュリティ強化は既定で無効になっています。 以下の「セキュリティ強化の変更を有効または無効にするレジストリ設定」セクションの説明に従って、レジストリを変更することで、それらを有効にすることができます。 DCOM 更新プログラムの第 2 フェーズは、2022 年 6 月 14 日にリリースされました。 そのため、セキュリティ強化は既定で有効に変更されましたが、レジストリ キー設定を使用して変更を無効にする機能が保持されました。 DCOM 更新プログラムの最終フェーズは、2023 年 3 月にリリースされる予定です。 DCOM のセキュリティ強化が有効なままになり、無効にする機能が削除されます。

タイムライン

更新プログラムのリリース

動作の変更

2021 年 6 月 9 日:

フェーズ 1 リリース - 変更のセキュリティ強化は既定では無効になっていますが、レジストリ キーを使用して有効にすることができます。

2022 年 6 月 14 日

フェーズ 2 リリース - 変更の強化は既定で有効になっていますが、レジストリ キーを使用して無効にすることができます。

2023 年 3 月 14 日

フェーズ 3 リリース - 変更を無効にできない状態で、既定で有効になっている変更を強化します。 この時点で、環境内の変更とアプリケーションの強化に関する互換性の問題を解決する必要があります。

DCOM の強化互換性のテスト

新しい DCOM エラー イベント

DCOM セキュリティ強化の変更を有効にした後に互換性の問題が発生する可能性があるアプリケーションを特定するために、システム ログに新しい DCOM エラー イベントを追加しました。 以下の表を参照してください。 システムは、DCOM クライアント アプリケーションが、RPC_C_AUTHN_LEVEL_PKT_INTEGRITY未満の認証レベルを使用して DCOM サーバーをアクティブ化しようとしていることを検出すると、これらのイベントをログに記録します。 サーバー側のイベント ログからクライアント デバイスにトレースし、クライアント側のイベント ログを使用してアプリケーションを見つけることができます。

サーバー イベント - サーバーが下位レベルの要求を受信中であることを示す

イベント ID

メッセージ

10036

"サーバー側の認証レベル ポリシーでは、ユーザー %1\%2 SID (%3) をアドレス %4 から DCOM サーバーをアクティブ化することはできません。 ライセンス認証レベルを少なくともクライアント アプリケーションでRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。

(%1 – ドメイン, %2 – ユーザー名, %3 – ユーザー SID, %4 – クライアント IP アドレス)

クライアント イベント – 下位レベルの要求を送信しているアプリケーションを示します

イベント ID

メッセージ

10037

"PID %2 のアプリケーション %1 では、コンピューター %4 で CLSID %3 をアクティブ化し、認証レベルを %5 に明示的に設定するように要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。

10038

"PID %2 を使用するアプリケーション %1 では、既定のアクティブ化認証レベルが %5 のコンピューター %4 で CLSID %3 をアクティブ化することを要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。

(%1 – アプリケーション パス, %2 – アプリケーション PID, %3 – アプリケーションがアクティブ化を要求している COM クラスの CLSID, %4 – コンピューター名, %5 – 認証レベルの値)

可用性

これらのエラー イベントは、Windows バージョンのサブセットでのみ使用できます。次の表を参照してください。

Windows バージョン

これらの日付以降に利用可能

Windows Server 2022

2021 年 9 月 27 日

KB5005619

Windows 10、バージョン 2004、Windows 10、バージョン 20H2、Windows 10、バージョン 21H1

2021 年 9 月 1 日

KB5005101

Windows 10 Version 1909

2021 年 8 月 26 日

KB5005103

Windows Server 2019、Windows 10、バージョン 1809

2021 年 8 月 26 日

KB5005102

Windows Server 2016、Windows 10、バージョン 1607

2021 年 9 月 14 日

KB5005573

R2 とWindows 8.1のWindows Server 2012

2021 年 10 月 12 日

KB5006714

Windows 11バージョン 22H2

2022 年 9 月 30 日

KB5017389

クライアント側要求の自動昇格パッチ

匿名以外のすべてのアクティブ化要求の認証レベル

アプリの互換性の問題を減らすために、Windows ベースの DCOM クライアントからの匿名以外のすべてのアクティブ化要求の認証レベルを、少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに自動的に上げました。 この変更により、ほとんどの Windows ベースの DCOM クライアント要求は、DCOM クライアントにさらに変更を加えることなく、サーバー側で DCOM のセキュリティ強化の変更を有効にして自動的に受け入れられます。 さらに、ほとんどの Windows DCOM クライアントは、DCOM クライアントをさらに変更することなく、サーバー側で DCOM のセキュリティ強化の変更を自動的に処理します。

このパッチは引き続き累積的な更新プログラムに含まれます。

パッチ更新タイムライン

2022 年 11 月の最初のリリース以降、自動昇格パッチにはいくつかの更新プログラムがありました。

  • 2022 年 11 月の更新プログラム

    • この更新プログラムは、アクティブ化認証レベルをパケットの整合性に自動的に上げました。 この変更は、Windows Server 2016 および Windows Server 2019 で既定で無効になりました。

  • 2022 年 12 月の更新プログラム

    • 11 月の変更は、Windows Server 2016と Windows Server 2019 で既定で有効になりました。

    • この更新プログラムは、Windows Server 2016 と Windows Server 2019 での匿名ライセンス認証に影響を与える問題にも対処しました。

  • 2023 年 1 月の更新プログラム

    • この更新プログラムは、Windows Server 2008 から Windows 10 (2015 年 7 月にリリースされた初期バージョン) へのプラットフォームでの匿名ライセンス認証に影響する問題に対処しました。

クライアントとサーバーに 2023 年 1 月の時点で累積的なセキュリティ更新プログラムをインストールした場合、最新の自動昇格パッチが完全に有効になります。

セキュリティ強化の変更を有効または無効にするレジストリ設定

CVE-2021-26414 の強化変更を有効または無効にできるタイムライン フェーズでは、次のレジストリ キーを使用できます。

  • パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 値名: "RequireIntegrityActivationAuthenticationLevel"

  • 型: dword

  • 値データ: default= 0x00000000 は無効を意味します。 0x00000001は有効を意味します。 この値が定義されていない場合は、既定で有効になります。

値データは 16 進形式で入力する必要があります。

重要 このレジストリ キーを有効にするには、このレジストリ キーを設定した後でデバイスを再起動する必要があります。

上記のレジストリ キーを有効にすると、DCOM サーバーでアクティブ化にRPC_C_AUTHN_LEVEL_PKT_INTEGRITY以上の Authentication-Level が適用されます。 これは、匿名アクティブ化 (認証レベル RPC_C_AUTHN_LEVEL_NONEを使用したアクティブ化) には影響しません。 DCOM サーバーで匿名アクティブ化が許可されている場合は、DCOM のセキュリティ強化の変更が有効になっている場合でも許可されます。

このレジストリ値は既定では存在しません。作成する必要があります。 存在する場合は Windows によって読み取られ、上書きされません。

以降の更新プログラムのインストールでは、既存のレジストリ エントリと設定は変更も削除も行いません。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders