Microsoft アカウントでサインイン
サインインするか、アカウントを作成します。
こんにちは、
Select a different account.
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

更新日: 2022 年 11 月 23 日 

  • [概要] セクション - すべての新しいコンテンツ

  • セキュリティ強化の変更を有効または無効にするレジストリ設定 - 5 番目の 注意

要約

分散コンポーネント オブジェクト モデル (DCOM) リモート プロトコルは、リモート プロシージャ コール (RPC) を使用してアプリケーション オブジェクトを公開するためのプロトコルです。 DCOM は、ネットワークデバイスのソフトウェアコンポーネント間の通信に使用されます。 CVE-2021-26414 では、DCOM の変更を強化する必要がありました。 そのため、強化の変更が有効になっている状態で、DCOM または RPC を使用する環境内のクライアントまたはサーバー アプリケーションが期待どおりに動作するかどうかを確認することをお勧めします。

DCOM 更新プログラムの最初のフェーズは、2021 年 6 月 8 日にリリースされました。 この更新プログラムでは、DCOM のセキュリティ強化は既定で無効になっています。 以下の「セキュリティ強化の変更を有効または無効にするレジストリ設定」セクションの説明に従って、レジストリを変更することで、それらを有効にすることができます。 DCOM 更新プログラムの第 2 フェーズは、2022 年 6 月 14 日にリリースされました。 そのため、セキュリティ強化は既定で有効に変更されましたが、レジストリ キー設定を使用して変更を無効にする機能が保持されました。 DCOM 更新プログラムの最終フェーズは、2023 年 3 月にリリースされる予定です。 DCOM のセキュリティ強化が有効なままになり、無効にする機能が削除されます。

DCOM の強化の変更により、環境内でアプリの互換性の問題が発生する可能性があることを理解しています。 2022 年 11 月にリリースされた最新のセキュリティ更新プログラムには、この移行を簡単に管理するための次の機能が含まれています。

  • 新しい DCOM エラー イベント - DCOM セキュリティ強化の変更を有効にした後に互換性の問題が発生する可能性があるアプリケーションを特定するために、システム ログに新しい DCOM エラー イベントを追加しました。 リリース タイムラインとサポートされているプラットフォームの詳細については、以下を参照してください。

  • すべての非匿名アクティブ化要求の認証レベル – アプリの互換性の問題を軽減するために、Windows ベースの DCOM クライアントからのすべての匿名アクティブ化要求の認証レベルを、少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに自動的に上げました。 この変更により、ほとんどの Windows ベースの DCOM クライアント要求は、DCOM クライアントにさらに変更を加えることなく、サーバー側で DCOM のセキュリティ強化の変更を有効にして自動的に受け入れられます。 詳細については、以下を参照してください。

最新のセキュリティ更新プログラムをインストールすることをお勧めしますが、お使いの環境に最新のセキュリティ更新プログラムがインストールされていない場合は、さらに詳細な制御を行うことをお勧めします。

  • DCOM のセキュリティ強化を有効にします。 2022 年 6 月 14 日以降の更新プログラムをインストールしていない場合は、すべての DCOM サーバーに対して RequireIntegrityActivationAuthenticationLevel レジストリ キーを 1 に設定できます。 これにより、環境内で DCOM のセキュリティ強化が有効になります。

  • 認証レベルを上げる。 2022 年 11 月 8 日以降の更新プログラムをインストールしていない場合は、すべての Windows ベースの DCOM クライアントに対して RaiseActivationAuthenticationLevel レジストリ キーを 2 に設定できます。 これにより、Windows ベースの DCOM クライアントからのすべての匿名アクティブ化要求の認証レベルが上がり、RPC_C_AUTHN_LEVEL_PKT_INTEGRITY

環境内でテストを完了し、これらの強化の変更をできるだけ早く有効にすることをお勧めします。 テスト中に問題が見つかった場合は、2023 年 3 月の更新プログラムがリリースされる前に、影響を受けるクライアントまたはサーバー ソフトウェアの更新プログラムまたは回避策についてベンダーに問い合わせる必要があります。

利用可能な最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。 これらは、最新のセキュリティ脅威からの高度な保護と、移行をサポートするために追加された機能を提供します。 DCOM の強化方法の詳細とコンテキストについては、「 DCOM 認証の強化: 知っておくべきこと」を参照してください。

タイムライン

更新プログラムのリリース

動作の変更

2021 年 6 月 9 日:

変更の強化は既定では無効になっていますが、レジストリ キーを使用して有効にすることができます。

2022 年 6 月 14 日

変更の強化は既定で有効になっていますが、レジストリ キーを使用して無効にすることができます。

2022 年 11 月 8 日

フィードバックに応じて、2022 年 11 月 8 日の更新プログラムには、クライアント側 (DCOM クライアントとして機能するデバイス、アプリケーション、またはサービス) パッチが含まれています。 このパッチにより、匿名以外のすべてのアクティブ化要求の認証レベルが自動的にRPC_C_AUTHN_LEVEL_PKT_INTEGRITYされます。 サード パーティの Windows DCOM クライアント アプリケーションを使用していて、DCOM の強化の変更をサポートするためにライセンス認証レベルを上げるためにソフトウェア プロバイダーに依存している場合、この修正プログラムは依存関係を削除します。 これにより、ライセンス認証レベルを Windows OS レベルで自動的に生成できます。 これにより、DCOM のセキュリティ強化の変更を有効にしている DCOM サーバーによってアクティブ化要求が拒否されるのを防ぐことができます。

2023 年 3 月 14 日

既定で有効になっている変更を強化し、無効にすることはできません。 この時点で、環境内の変更とアプリケーションの強化に関する互換性の問題を解決する必要があります。

2022 年 11 月 8 日の DCOM クライアント側パッチ

この更新プログラムは、DCOM クライアントからの匿名以外のすべてのアクティブ化要求の認証レベルを、少なくともRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに自動的に上げます。 この変更により、ほとんどの Windows DCOM クライアントは、DCOM クライアントをさらに変更することなく、サーバー側で DCOM の強化変更を自動的に処理します。 この更新プログラムは既定でアクティブ化されますが、レジストリ キーを 1 に設定することで非アクティブ化できます。 このパッチは、Windows 10、バージョン 1809、1607、Windows Server 2016では既定で無効になっています。 有効にするには、RaiseActivationAuthenticationLevel のレジストリ キー値を 2 に設定します。

セキュリティ強化の変更を有効または無効にするレジストリ設定

CVE-2021-26414 の強化変更を有効または無効にできるタイムライン フェーズでは、次のレジストリ キーを使用できます。

  • パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 値名: "RequireIntegrityActivationAuthenticationLevel"

  • 型: dword

  • 値データ: 既定値 = 0x00000000は無効を意味します。 0x00000001は有効を意味します。 この値が定義されていない場合は、既定で有効になります。

値データは 16 進形式で入力する必要があります。 

重要 このレジストリ キーを有効にするには、このレジストリ キーを設定した後でデバイスを再起動する必要があります。

上記のレジストリ キーを有効にすると、DCOM サーバーでアクティブ化にRPC_C_AUTHN_LEVEL_PKT_INTEGRITY以上の Authentication-Level が適用されます。 これは、匿名アクティブ化 (認証レベル RPC_C_AUTHN_LEVEL_NONEを使用したアクティブ化) には影響しません。 DCOM サーバーで匿名アクティブ化が許可されている場合は、DCOM のセキュリティ強化の変更が有効になっている場合でも許可されます。

このレジストリ値は既定では存在しません。作成する必要があります。 存在する場合は Windows によって読み取られ、上書きされません。

以降の更新プログラムのインストールでは、既存のレジストリ エントリと設定は変更も削除も行いません。

アクティブ化認証レベルを上げるレジストリ設定

次のレジストリ キーを使用して、アクティブ化認証レベルを上げることができます。

  • パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 値名: "RaiseActivationAuthenticationLevel"

  • 型: dword

  • 値データ: 1 は、既定の認証レベルをRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げることを意味します。

    2 つ (2) は、匿名以外のすべてのアクティブ化要求の認証レベルを上げて、パケット整合性を下回る場合にRPC_C_AUTHN_LEVEL_PKT_INTEGRITYすることを意味します。 これには、アクティブ化関数で明示的に設定された認証レベル ( CoCreateInstanceEx など) が含まれます。 この値が定義されていない場合、既定値は 1 (2022 年 11 月 8 日より前) と 2 (2022 年 11 月 8 日以降) になります。

値データは 16 進形式で入力する必要があります。 

重要 このレジストリ キーを有効にするには、このレジストリ キーを設定した後でデバイスを再起動する必要があります。

このレジストリ値は既定では存在しません。作成する必要があります。 存在する場合は Windows によって読み取られ、上書きされません。

新しい DCOM エラー イベント

DCOM セキュリティ強化の変更を有効にした後に互換性の問題が発生する可能性があるアプリケーションを特定するために、新しい DCOM エラー イベントをシステム ログに追加しました。以下の表を参照してください。 システムは、DCOM クライアント アプリケーションが、RPC_C_AUTHN_LEVEL_PKT_INTEGRITY未満の認証レベルを使用して DCOM サーバーをアクティブ化しようとしていることを検出すると、これらのイベントをログに記録します。 サーバー側のイベント ログからクライアント デバイスにトレースし、クライアント側のイベント ログを使用してアプリケーションを見つけることができます。

サーバー イベント

イベント ID

メッセージ

10036

"サーバー側の認証レベル ポリシーでは、ユーザー %1\%2 SID (%3) をアドレス %4 から DCOM サーバーをアクティブ化することはできません。 ライセンス認証レベルを少なくともクライアント アプリケーションでRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。

(%1 – ドメイン, %2 – ユーザー名, %3 – ユーザー SID, %4 – クライアント IP アドレス)

クライアント イベント

イベント ID

メッセージ

10037

"PID %2 のアプリケーション %1 では、コンピューター %4 で CLSID %3 をアクティブ化し、認証レベルを %5 に明示的に設定するように要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。

10038

"PID %2 を使用するアプリケーション %1 では、既定のアクティブ化認証レベルが %5 のコンピューター %4 で CLSID %3 をアクティブ化することを要求しています。 DCOM で必要な最も低いアクティブ化認証レベルは 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。

(%1 – アプリケーション パス, %2 – アプリケーション PID, %3 – アプリケーションがアクティブ化を要求している COM クラスの CLSID, %4 – コンピューター名, %5 – 認証レベルの値)

可用性

これらのエラー イベントは、Windows バージョンのサブセットでのみ使用できます。次の表を参照してください。

Windows バージョン

これらの日付以降に利用可能

Windows Server 2022

2021 年 9 月 27 日

KB5005619

Windows 10、バージョン 2004、Windows 10、バージョン 20H2、Windows 10、バージョン 21H1

2021 年 9 月 1 日

KB5005101

Windows 10 Version 1909

2021 年 8 月 26 日

KB5005103

Windows Server 2019、Windows 10、バージョン 1809

2021 年 8 月 26 日

KB5005102

Windows Server 2016、Windows 10、バージョン 1607

2021 年 9 月 14 日

KB5005573

R2 とWindows 8.1のWindows Server 2012

2021 年 10 月 12 日

KB5006714

Windows 11バージョン 22H2

2022 年 9 月 30 日

KB5017389

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

ご意見をいただきありがとうございます。

×