概要
2022 年 1 月 11 日、Windows の更新プログラムとそれ以降の Windows の更新プログラムは、CVE-2022-21913 用の保護を追加します。
2022 年 1 月 11 日の Windows 更新プログラムおよびそれ以降の Windows 更新プログラムをインストールすると、ネットワーク経由で送信される信頼できるドメイン オブジェクトのパスワード操作に、従来のローカル セキュリティ機関 (ドメイン ポリシー) (MS-LSAD) プロトコルを使用する場合、Windows クライアントで推奨される暗号化方式として Advanced Encryption Standard (AES) 暗号化が設定されます。 これは、AES 暗号化がサーバーでサポートされている場合にのみ当てはまります。 サーバーで AES 暗号化がサポートされていない場合、システムは従来の RC4 暗号化へのフォールバックを許可します。
CVE-2022-21913 での変更は、MS-LSAD プロトコルに固有です。 これらは他のプロトコルから独立しています。 MS-LSAD は、リモートプロシージャ コール
(RPC) および名前付きパイプを介してサーバー メッセージ ブロック (SMB) を使用します。 SMB は暗号化もサポートしますが、既定では有効になっていません。 既定では、CVE-2022-21913 の変更が有効になっており、LSAD レイヤーで追加のセキュリティが提供されます。 2022 年 1 月 11 日、サポートされているすべてのバージョンの Windows での Windows 更新プログラムおよびそれ以降の Windows 更新プログラムに含まれている CVE-2022-21913 の保護をインストールする以外に、追加の構成変更は必要ありません。 サポートされていないバージョンの Windows の利用を中止するか、サポートされているバージョンにアップグレードする必要があります。
注: CVE-2022-21913 は、MS-LSAD プロトコルの特定の API を使用する場合に、転送中に信頼パスワードを暗号化する方法のみを変更します。具体的には、保存時にパスワードを保存する方法を変更しません。 Active Directory およびローカルの SAM データベース (レジストリ) でパスワードを暗号化する方法の詳細については、「パスワードの技術概要」を参照してください。
詳細情報
2022 年 1 月 11 日の更新プログラムで行われた変更
-
ポリシー オブジェクト パターン
更新プログラムは、クライアントとサーバーが AES サポートに関する情報を共有できるようにする新しい Open Policy メソッドを追加することにより、プロトコルのポリシー オブジェクト パターンを変更します。RC4 を使用した以前のメソッド
AES を使用した新しいメソッド
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
MS-LSAR プロトコル opnum の完全なリストについては、「[MS-LSAD]: メッセージ処理イベントとシーケンス規則」を参照してください。
-
信頼されたドメイン オブジェクト パターン
更新プログラムは、認証データを暗号化するために AES を使用する信頼を作成するための新しいメソッドを追加することにより、プロトコルの信頼されたドメイン オブジェクト作成パターンを変更します。
LsaCreateTrustedDomainEx API は、クライアントとサーバーの両方が更新されている場合は新しいメソッドを優先し、それ以外の場合は以前のメソッドにフォールバックします。
RC4 を使用した以前のメソッド
AES を使用した新しいメソッド
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
更新プログラムは、LsarSetInformationTrustedDomain (Opnum 27)、LsarSetTrustedDomainInfoByName (Opnum 49) メソッドに 2 つの新しい信頼された情報クラスを追加することにより、プロトコルの信頼されたドメイン オブジェクト セット パターンを変更します。 信頼されたドメイン オブジェクト情報は次のように設定できます。
RC4 を使用した以前のメソッド
AES を使用した新しいメソッド
LsarSetInformationTrustedDomain (Opnum 27) と TrustedDomainAuthInformationInternal または TrustedDomainFullInformationInternal (RC4 を使用する暗号化された信頼パスワードを保持)
LsarSetInformationTrustedDomain (Opnum 27) と TrustedDomainAuthInformationInternalAes または TrustedDomainFullInformationAes (AES を使用する暗号化された信頼パスワードを保持)
LsarSetTrustedDomainInfoByName (Opnum 49) と TrustedDomainAuthInformationInternal または TrustedDomainFullInformationInternal (RC4 および他のすべての属性を使用する暗号化された信頼パスワードを保持)
LsarSetTrustedDomainInfoByName (Opnum 49) と TrustedDomainAuthInformationInternalAes または TrustedDomainFullInformationInternalAes (AES および他のすべての属性を使用する暗号化された信頼パスワードを保持)
新しい動作のしくみ
通常、既存の LsarOpenPolicy2 メソッドは、RPC サーバーへのコンテキスト ハンドルを開くために使用されます。 これは、ローカル セキュリティ機関 (ドメイン ポリシー) のリモート プロトコル データベースに接続するために呼び出す必要がある最初の関数です。 これらの更新プログラムをインストールすると、LsarOpenPolicy2 メソッドは新しい LsarOpenPolicy3 メソッドに置き換えられます。
LsaOpenPolicy API を呼び出す更新されたクライアントは、最初に LsarOpenPolicy3 メソッドを呼び出すようになりました。 サーバーが更新されておらず、LsarOpenPolicy3 メソッドを実装していない場合、クライアントは LsarOpenPolicy2 メソッドにフォールバックし、RC4 暗号化を使用する以前のメソッドを使用します。
更新されたサーバーは、LSAPR_REVISION_INFO_V1 で定義されているように、LsarOpenPolicy3method 応答で新しいビットを返します。 詳細については、MS-LSAD の「AES 暗号の使用法」および「LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES」セクションを参照してください。
サーバーが AES をサポートしている場合、クライアントは、後続の信頼されたドメインの「作成」および「設定」操作に新しいメソッドと新しい情報クラスを使用します。 サーバーがこのフラグを返さない場合、またはクライアントが更新されていない場合、クライアントは RC4 暗号化を使用する以前の方法の使用にフォールバックします。
イベント ログ
2022 年 1 月 11 日の更新プログラムにより、セキュリティ イベント ログに新しいイベントが追加され、更新されていないデバイスを識別し、セキュリティを高めることができます。
|
値 |
意味 |
|---|---|
|
イベント ソース |
Microsoft-Windows-Security |
|
イベント ID |
6425 |
|
レベル |
情報 |
|
エラー メッセージのテキスト |
ネットワーク クライアントは、従来の RPC メソッドを使用して、信頼できるドメイン オブジェクトの認証情報を変更しました。 認証情報は、従来の暗号化アルゴリズムで暗号化されました。 クライアント オペレーティング システムまたはアプリケーションをアップグレードして、このメソッドの最新かつより安全なバージョンを使用することを検討してください。 信頼できるドメイン:
修正者:
クライアント ネットワーク アドレス: 詳細については、https://go.microsoft.com/fwlink/?linkid=2161080 を参照してください。 |
よく寄せられる質問 (FAQ)
Q1: AES から RC4 へのダウングレードをトリガーするシナリオはどのようなものですか?
A1: サーバーまたはクライアントが AES をサポートしていない場合、ダウングレードが発生します。
Q2: どのようにして RC4 暗号化と AES 暗号化のどちらがネゴシエートされたかを確認すればよいでしょうか?
A2: RC4 を使用する従来のメソッドが使用されている場合、更新されたサーバーは イベント 6425 をログに記録します。
Q3: サーバーで AES 暗号化は必要ですか? また、今後の Windows Update はプログラムを使って AES の使用を強制しますか?
A3: 現在、強制モードはありません。 ただし、そのような変更は予定されていませんが、将来的にはあるかもしれません。
Q4: サード パーティ クライアントは、サーバーでサポートされる場合に AES をネゴシエートするために CVE-2022-21913 に対する保護に対応していますか? この質問に対応するには、Microsoft サポートまたはサード パーティのサポート チームに問い合わせたほうがいいですか?
A4: サード パーティのデバイスまたはアプリケーションが MS-LSAD プロトコルを使用していない場合、これは重要ではありません。 MS-LSAD プロトコルを実装するサード パーティ ベンダーは、このプロトコルの実装を選択する場合があります。 詳細については、サード パーティ ベンダーにお問い合わせください。
Q5: 追加の構成変更を行う必要がありますか?
A5: 追加の構成変更は必要ありません。
Q6: このプロトコルを使用するものはどのようなものですか?
A6: MS-LSAD プロトコルは、Active Directory や Active Directory ドメインや信頼コンソールなどのツールを含む多くの Windows コンポーネントで使用されています。 アプリケーションは、LsaOpenPolicy や LsaCreateTrustedDomainEx などの advapi32 ライブラリ API を介してこのプロトコルを使用する場合もあります。
