KB5066014 — Netlogon RPC Hardening (CVE-2025-49716)

この記事では、次の操作を行います。

• 要約

• 対処方法

• Windows 更新プログラムのタイミング

• 展開ガイダンス

• 新しく追加したイベント

• よく寄せられる質問 (FAQ)

要約

CVE-2025-49716 は、リモート認証されていないユーザーが一連の Netlogon ベースのリモート プロシージャ コール (RPC) を行い、最終的にドメイン コントローラー (DC) 上のすべてのメモリを消費する可能性があるサービス拒否の脆弱性に対処します。 この脆弱性を軽減するために、2025 年 5 月の Windows セキュリティ Update for Windows Server 2025 および 2025 年 7 月のWindows セキュリティ Updatesで、Windows Server 2008SP2 からWindows Server 2022(包括的)。  この更新プログラムには、Microsoft RPC Netlogon プロトコルに対するセキュリティ強化の変更が含まれています。 この変更により、一連のリモート プロシージャ コール (RPC) 要求のアクセス チェックを強化することで、セキュリティが強化されます。 この更新プログラムがインストールされると、Active Directory ドメイン コントローラーは、匿名クライアントが Netlogon RPC サーバーを介して一部の RPC 要求を呼び出すことを許可しなくなります。 通常、これらの要求はドメイン コントローラーの場所に関連します。

この変更後、一部のファイル & 印刷サービス ソフトウェアが影響を受ける可能性があります (Samba を含む)。 Samba は、この変更に対応するための更新プログラムをリリースしました。 詳細については、「 Samba 4.22.3 - リリース ノート 」を参照してください。

影響を受けるサード パーティ製ソフトウェアを更新できないシナリオに対応するために、2025 年 8 月の Windows セキュリティ Update で追加の構成機能をリリースしました。 この変更では、既定の強制モード、変更をログに記録するが認証されていない Netlogon RPC 呼び出しをブロックしない監査モード、無効モード (推奨されません) の間にレジストリ キーベースのトグルが実装されます。

対処方法

環境を保護し、停止を回避するには、まず、最新の Windows 更新プログラムをインストールして、Active Directory ドメイン コントローラーまたは LDS Server ロールをホストするすべてのデバイスを更新します。 2025 年 7 月 8 日以降のWindows セキュリティ Updates (または 5 月の更新プログラムが適用された Windows Server 2025 DC) を持つ DC は、既定でセキュリティで保護されており、認証されていない Netlogon ベースの RPC 呼び出しは既定では受け付けません。 2025 年 8 月 12 日以降の DC Windows セキュリティ Updatesでは、認証されていない Netlogon ベースの RPC 呼び出しは既定では受け入れませんが、一時的に構成できます。

1. 環境でアクセスの問題を監視します。 発生した場合は、Netlogon RPC のセキュリティ強化の変更が根本原因であるかどうかを確認します。

   1. 7 月の更新プログラムのみがインストールされている場合は、コマンド "Nltest.exe /dbflag:0x2080ffff" を使用して詳細な Netlogon ログを有効にし、次の行に似たエントリの結果のログを監視します。 [OpNum] フィールドと [メソッド] フィールドは異なる場合があり、ブロックされた操作と RPC メソッドを表します。

      06/23 10:50:39 [CRITICAL] [5812] NlRpcSecurityCallback: [IPAddr] OpNum:34 Method:DsrGetDcNameEx2 からの不正な RPC 呼び出しを拒否する

   2. 8 月以降の Windows 更新プログラムがインストールされている場合は、DC Security-Netlogon イベント 9015 を探して、どの RPC 呼び出しが拒否されているかを確認します。 これらの呼び出しが重要な場合は、トラブルシューティング中に DC を監査モードまたは無効モードに一時的に配置できます。

   3. アプリが認証された Netlogon RPC 呼び出しを使用しているような変更を行うか、ソフトウェア ベンダーに問い合わせて詳細を確認してください。

2. DC を監査モードにした場合は、Security-Netlogon イベント 9016 を監視して、強制モードをオンにした場合に拒否される RPC 呼び出しを決定します。 次に、アプリが認証された Netlogon RPC 呼び出しを使用しているような変更を行うか、ソフトウェア ベンダーに問い合わせて詳細を確認してください。

Windows 更新プログラムのタイミング

これらの Windows 更新プログラムは、いくつかのフェーズでリリースされました。

1. Windows Server 2025 の初期変更 (2025 年 5 月 13 日) – 認証されていない Netlogon ベースの RPC 呼び出しに対して強化された元の更新プログラムは、2025 年 5 月の Windows セキュリティ Update for Windows Server 2025 に含まれていました。

2. 他のサーバー プラットフォームでの初期変更 (2025 年 7 月 8 日) – 他のサーバー プラットフォームに対する認証されていない Netlogon ベースの RPC 呼び出しに対して強化された更新プログラムは、2025 年 7 月のWindows セキュリティ Updatesに含まれていました。

3. 監査モードと無効モードの追加 (2025 年 8 月 12 日) – 2025 年 8 月のWindows セキュリティ Updatesには、監査モードまたは無効モードのオプションが既定で適用されました。

4. 監査モードと無効モード (TBD) の削除 – 後日、監査モードと無効モードが OS から削除される場合があります。 この記事は、詳細が確認されると更新されます。

展開ガイダンス

August Windows セキュリティ Updatesを展開し、DC を監査モードまたは無効モードに構成する場合は、適切な値で以下のレジストリ キーをデプロイします。 再起動は必要ありません。

新しく追加したイベント

2025 年 8 月 12 日のWindows セキュリティ Updatesでは、Windows Server 2022 ドメイン コントローラーを通じてWindows Server 2012に新しいイベント ログも追加されます。

よく寄せられる質問 (FAQ)