概要
Microsoft は、Windows プラットフォームの新機能である認証の拡張保護 (EPA) に関する発表を行いました。 この機能は、統合 Windows 認証 (IWA) の利用によりネットワーク接続を認証する際の資格情報の保護および処理を強化します。
この更新プログラム自体は資格情報の転送などの特定の攻撃に対する保護を直接提供するわけではありませんが、アプリケーションが EPA にオプトインできるようにします。 このアドバイザリでは、この新しい機能に関する簡潔な情報を開発者やシステム管理者に提供し、認証に必要となる資格情報を保護するための展開方法について説明を行います。
詳細については、「Microsoft セキュリティ アドバイザリ 973811」を参照してください。
詳細情報
このセキュリティ更新プログラムは、セキュリティ サポート プロバイダー インターフェイス (SSPI) を修正し、IWA が有効化されている場合に資格情報が簡単に転送されないように Windows 認証の動作を改善します。
EPA が有効化されている場合、認証要求はクライアントが接続を試みているサーバーのサービス プリンシパル名 (SPN) と、IWA 認証が行われる外部のトランスポート層セキュリティ (TLS) チャネルの両方にバインドされます。
この更新プログラムにより、拡張保護の管理を目的とした以下の新しいレジストリ入力値が追加されます。
-
レジストリ SuppressExtendedProtection の値を設定します。
レジストリ キー
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
値
SuppressExtendedProtection
型
REG_DWORD
データ
0 保護技術を有効化します。
1 拡張保護が無効化されます。
3 拡張保護が無効化され、アプリケーションから提供された場合でも Kerberos によって送信されたチャネルのバインドも無効化されます。既定値: 0x0
注 EPA が既定で有効化されている場合に発生する問題については、Microsoft の Web サイトにあるトピック「Authentication failure from non-Windows NTLM or Kerberos servers (Windows 以外の NTLM または Kerberos サーバーからの認証エラー)」を参照してください。
-
レジストリ LmCompatibilityLevel の値を設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel を 3 に設定します。 これは NTLMv2 認証を有効化する既存のキーです。 EPA は NTLMv2、Kerberos、Digest、ネゴシエーションの認証プロトコルにのみ適用され、NTLMv1 には適用されません。
注 SuppressExtendedProtection と LmCompatibilityLevel のレジストリ値を Windows コンピューターで設定した後、コンピューターを再起動する必要があります。
拡張保護を有効にする
注 既定では、拡張保護と NTLMv2 はどちらもサポートされているすべてのバージョンの Windows で有効化されています。 このガイドを使用してこれが該当するかどうかを確認することができます。
重要 このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
-
KB322756 Windows でレジストリをバックアップおよび復元する方法
ご利用のプラットフォームのセキュリティ更新プログラムをダウンロードしてインストールした後で拡張保護を自分で有効にするには、以下の手順に従ってください。
-
レジストリ エディターを起動します。 これを行うには、[スタート] をクリックし、[実行] をクリックします。[開く] ボックスに「regedit」と入力したら、[OK] をクリックします。
-
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
レジストリ値 SuppressExtendedProtection と LmCompatibilityLevel が存在することを確認します。
これらのレジストリ値が存在しない場合には、以下の手順に従って作成してください。-
手順 2 のレジストリ サブキーを選択した状態で [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
「SuppressExtendedProtection」と入力して、Enter キーを押します。
-
手順 2 のレジストリ サブキーを選択した状態で [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
-
「LmCompatibilityLevel」と入力して、Enter キーを押します。
-
-
レジストリ値 SuppressExtendedProtection をクリックして選択します。
-
[編集] メニューの [修正] をクリックします。
-
[値のデータ] ボックスに「0」と入力し、[OK] をクリックします。
-
LmCompatibilityLevel レジストリ値をクリックして選択します。
-
[編集] メニューの [修正] をクリックします。
メモ この手順では、NTLM 認証の要件を変更します。 この動作について理解できているかどうかを確認するには、Microsoft サポート技術情報にある以下の記事をご確認ください。KB239869 NTLM 2 認証を有効にする方法
-
[値のデータ] ボックスに「3」と入力し、[OK] をクリックします。
-
レジストリ エディターを終了します。
-
Windows コンピューターでこれらの変更を行う場合には、変更内容が適用される前にコンピューターを再起動する必要があります。
