更新 2023 年 3 月 20 日 - [可用性] セクション
要約
分散コンポーネント オブジェクト モデル (DCOM) リモート プロトコルは、リモート プロシージャ コール (RPC) を使用してアプリケーション オブジェクトを公開するためのプロトコルです。 DCOM は、ネットワークデバイスのソフトウェアコンポーネント間の通信に使用されます。 CVE-2021-26414 では、DCOM の変更を強化する必要がありました。 そのため、強化の変更が有効になっている状態で、DCOM または RPC を使用する環境内のクライアントまたはサーバー アプリケーションが期待どおりに動作するかどうかを確認することをお勧めします。
注 利用可能な最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。 最新のセキュリティ脅威から高度な保護を提供します。 また、移行をサポートするために追加した機能も提供します。 DCOM の強化方法の詳細とコンテキストについては、「 DCOM 認証の強化: 知っておくべきこと」を参照してください。
DCOM 更新プログラムの最初のフェーズは、2021 年 6 月 8 日にリリースされました。 この更新プログラムでは、DCOM のセキュリティ強化は既定で無効になっています。 以下の「セキュリティ強化の変更を有効または無効にするレジストリ設定」セクションの説明に従って、レジストリを変更することで、それらを有効にすることができます。 DCOM 更新プログラムの第 2 フェーズは、2022 年 6 月 14 日にリリースされました。 そのため、セキュリティ強化は既定で有効に変更されましたが、レジストリ キー設定を使用して変更を無効にする機能が保持されました。 DCOM 更新プログラムの最終フェーズは、2023 年 3 月にリリースされる予定です。 DCOM のセキュリティ強化が有効なままになり、無効にする機能が削除されます。
タイムライン
|
更新プログラムのリリース |
動作の変更 |
|
2021 年 6 月 9 日: |
フェーズ 1 リリース - 変更のセキュリティ強化は既定では無効になっていますが、レジストリ キーを使用して有効にすることができます。 |
|
2022 年 6 月 14 日 |
フェーズ 2 リリース - 変更の強化は既定で有効になっていますが、レジストリ キーを使用して無効にすることができます。 |
|
2023 年 3 月 14 日 |
フェーズ 3 リリース - 変更を無効にできない状態で、既定で有効になっている変更を強化します。 この時点で、環境内の変更とアプリケーションの強化に関する互換性の問題を解決する必要があります。 |
DCOM の強化互換性のテスト
新しい DCOM エラー イベント
DCOM セキュリティ強化の変更を有効にした後に互換性の問題が発生する可能性があるアプリケーションを特定するために、システム ログに新しい DCOM エラー イベントを追加しました。 以下の表を参照してください。 システムは、DCOM クライアント アプリケーションが、RPC_C_AUTHN_LEVEL_PKT_INTEGRITY未満の認証レベルを使用して DCOM サーバーをアクティブ化しようとしていることを検出すると、これらのイベントをログに記録します。 サーバー側のイベント ログからクライアント デバイスにトレースし、クライアント側のイベント ログを使用してアプリケーションを見つけることができます。
サーバー イベント - サーバーが下位レベルの要求を受信中であることを示す
|
イベント ID |
メッセージ |
|---|---|
|
10036 |
"サーバー側の認証レベル ポリシーでは、ユーザー %1\%2 SID (%3) をアドレス %4 から DCOM サーバーをアクティブ化することはできません。 ライセンス認証レベルを少なくともクライアント アプリケーションでRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。 (%1 – ドメイン, %2 – ユーザー名, %3 – ユーザー SID, %4 – クライアント IP アドレス) |
クライアント イベント – 下位レベルの要求を送信しているアプリケーションを示します
|
イベント ID |
メッセージ |
|---|---|
|
10037 |
"PID %2 のアプリケーション %1 では、コンピューター %4 で CLSID %3 をアクティブ化し、認証レベルを %5 に明示的に設定するように要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。 |
|
10038 |
"PID %2 を使用するアプリケーション %1 では、既定のアクティブ化認証レベルが %5 のコンピューター %4 で CLSID %3 をアクティブ化することを要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。 (%1 – アプリケーション パス, %2 – アプリケーション PID, %3 – アプリケーションがアクティブ化を要求している COM クラスの CLSID, %4 – コンピューター名, %5 – 認証レベルの値) |
可用性
これらのエラー イベントは、Windows バージョンのサブセットでのみ使用できます。次の表を参照してください。
|
Windows バージョン |
これらの日付以降に利用可能 |
|---|---|
|
Windows Server 2022 |
2021 年 9 月 27 日 |
|
Windows 10、バージョン 2004、Windows 10、バージョン 20H2、Windows 10、バージョン 21H1 |
2021 年 9 月 1 日 |
|
Windows 10 Version 1909 |
2021 年 8 月 26 日 |
|
Windows Server 2019、Windows 10、バージョン 1809 |
2021 年 8 月 26 日 |
|
Windows Server 2016、Windows 10、バージョン 1607 |
2021 年 9 月 14 日 |
|
R2 とWindows 8.1のWindows Server 2012 |
2021 年 10 月 12 日 |
|
Windows 11バージョン 22H2 |
2022 年 9 月 30 日 |
クライアント側要求の自動昇格パッチ
匿名以外のすべてのアクティブ化要求の認証レベル
アプリの互換性の問題を減らすために、Windows ベースの DCOM クライアントからの匿名以外のすべてのアクティブ化要求の認証レベルを、少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに自動的に上げました。 この変更により、ほとんどの Windows ベースの DCOM クライアント要求は、DCOM クライアントにさらに変更を加えることなく、サーバー側で DCOM のセキュリティ強化の変更を有効にして自動的に受け入れられます。 さらに、ほとんどの Windows DCOM クライアントは、DCOM クライアントをさらに変更することなく、サーバー側で DCOM のセキュリティ強化の変更を自動的に処理します。
注 このパッチは引き続き累積的な更新プログラムに含まれます。
パッチ更新タイムライン
2022 年 11 月の最初のリリース以降、自動昇格パッチにはいくつかの更新プログラムがありました。
-
2022 年 11 月の更新プログラム
-
この更新プログラムは、アクティブ化認証レベルをパケットの整合性に自動的に上げました。 この変更は、Windows Server 2016 および Windows Server 2019 で既定で無効になりました。
-
-
2022 年 12 月の更新プログラム
-
11 月の変更は、Windows Server 2016と Windows Server 2019 で既定で有効になりました。
-
この更新プログラムは、Windows Server 2016 と Windows Server 2019 での匿名ライセンス認証に影響を与える問題にも対処しました。
-
-
2023 年 1 月の更新プログラム
-
この更新プログラムは、Windows Server 2008 から Windows 10 (2015 年 7 月にリリースされた初期バージョン) へのプラットフォームでの匿名ライセンス認証に影響する問題に対処しました。
-
クライアントとサーバーに 2023 年 1 月の時点で累積的なセキュリティ更新プログラムをインストールした場合、最新の自動昇格パッチが完全に有効になります。
セキュリティ強化の変更を有効または無効にするレジストリ設定
CVE-2021-26414 の強化変更を有効または無効にできるタイムライン フェーズでは、次のレジストリ キーを使用できます。
-
パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
値名: "RequireIntegrityActivationAuthenticationLevel"
-
型: dword
-
値データ: default= 0x00000000 は無効を意味します。 0x00000001は有効を意味します。 この値が定義されていない場合は、既定で有効になります。
注値データは 16 進形式で入力する必要があります。
重要 このレジストリ キーを有効にするには、このレジストリ キーを設定した後でデバイスを再起動する必要があります。
注 上記のレジストリ キーを有効にすると、DCOM サーバーでアクティブ化にRPC_C_AUTHN_LEVEL_PKT_INTEGRITY以上の Authentication-Level が適用されます。 これは、匿名アクティブ化 (認証レベル RPC_C_AUTHN_LEVEL_NONEを使用したアクティブ化) には影響しません。 DCOM サーバーで匿名アクティブ化が許可されている場合は、DCOM のセキュリティ強化の変更が有効になっている場合でも許可されます。
注 このレジストリ値は既定では存在しません。作成する必要があります。 存在する場合は Windows によって読み取られ、上書きされません。
注 以降の更新プログラムのインストールでは、既存のレジストリ エントリと設定は変更も削除も行いません。
