MS16-101: Windows 認証方法用のセキュリティ更新プログラム (2016 年 8 月 9 日)

概要

このセキュリティ更新プログラムは、Microsoft Windows の複数の脆弱性を解決します。この脆弱性により、影響を受けるシステムで攻撃者が特別に細工されたアプリケーションを実行した場合、特権の昇格が起こる可能性があります。

脆弱性の詳細については、マイクロソフト セキュリティ情報 MS16-101 を参照してください。

詳細

重要

• 今後の Windows 8.1 および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム2919355がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows 8.1 ベースまたは Windows Server 2012 R2 ベースのコンピューターに更新プログラム2919355をインストールしておくことをお勧めします。

• この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムの関連情報

以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。資料には、既知の問題に関する情報が掲載されている場合があります。

• 3177108 [MS16-101]Windows 認証方法用のセキュリティ更新プログラムについて (2016 年 8 月 9 日)

• 3167679 [MS16-101]Windows 認証方法用のセキュリティ更新プログラムについて (2016 年 8 月 9 日)

• 3192392 2016 年 10 月 Windows 8.1 および Windows Server 2012 R2 用のセキュリティのみの品質更新プログラム

• 3185331 2016 年 10 月 Windows 8.1 および Windows Server 2012 R2 用のセキュリティ月例品質ロールアップ

• 3192393 2016 年 10 月 Windows Server 2012 用のセキュリティのみの品質更新プログラム

• 3185332 2016 年 10 月 Windows Server 2012 用のセキュリティ月例品質ロールアップ

• 3192391 2016 年 10 月 Windows 7 SP1 および Windows Server 2008 R2 SP1 用のセキュリティのみの品質更新プログラム

• 3185330 2016 年 10 月 Windows 7 SP1 および Windows Server 2008 R2 SP1 用のセキュリティ月例品質ロールアップ

• 3192440 Windows 10 用の累積的な更新プログラム2016 年 10 月 12 日

• 3194798 Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム: 2016 年 10 月 12 日

• 3192441 Windows 10 Version 1511 用の累積的な更新プログラム2016 年 10 月 12 日

置き換えられるセキュリティ更新プログラム次のセキュリティ更新プログラムが置き換えられました。

• 3176492 Windows 10 用の累積的な更新プログラム (2016 年 8 月 9 日)

• 3176493 Windows 10 Version 1511 用の累積的な更新プログラム (2016 年 8 月 9 日)

• 3176495 Windows 10 Version 1607 用の累積的な更新プログラム (2016 年 8 月 9 日)

以下に示すのは、上記のセキュリティ更新プログラムを置き換える新しいセキュリティ更新プログラムです。

• 3192440 Windows 10 用の累積的な更新プログラム2016 年 10 月 12 日

• 3194798 Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム: 2016 年 10 月 12 日

• 3192441 Windows 10 Version 1511 用の累積的な更新プログラム2016 年 10 月 12 日

このセキュリティ更新プログラムの既知の問題

• 既知の問題 1
  
  MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。
  
  

  16 進	10 進	記号	フレンドリ
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。

  
  
  回避策
  
  MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。
  
  
  

  1. インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。
     
     ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。
     
     注 TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。
     
     
     

     1. ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. 結果の中に、"TCP:[SynReTransmit" フレームを探します。
        
        

  2. 目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)

  3. サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。
     
     詳細は、Kerberos and Self-Service Password Reset を参照してください。

• 既知の問題 2
  
  ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (表示されることは少ない)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  次の表は、完全なエラー マッピングを示しています。
  
  

  16 進	10 進	記号	フレンドリ
  0x56	86	ERROR_INVALID_PASSWORD	指定されたネットワーク パスワードが間違っています。
  0x267	615	ERROR_PWD_TOO_SHORT	入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	パスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	パスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。

  
  
  解決方法
  
  この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。
  
  

• 既知の問題 3
  
  ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。
  
  次の表は、完全なエラー マッピングを示しています。
  
  

  16 進	10 進	記号	フレンドリ
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。

  
  
  解決方法
  
  この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。
  
  

• 既知の問題 4
  
  無効でロックアウトされたユーザ アカウントのパスワードは、ネゴシエート パッケージを使用して変更できません。
  
  
  無効でロックアウトされたアカウントのパスワードの変更は、LDAP Modify 操作を直接使用するなど、他の方法でも実行できます。たとえば、PowerShell コマンドレット Set-ADAccountPassword で "LDAP Modify" 操作を使用してパスワードを変更し、影響を受けません。
  
  回避策
  
  これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。
  
  

• 既知の問題 5
  
  NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。
  
  Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。
  
  ドメイン名 [in]
  

  機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。 状態
  
  ローカル コンピュータのローカル アカウント用のパスワードがリセットされていない限り、このガイダンスは MS16-101 に置き換わっています。
  
  MS16-101 以降、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API に渡す必要があります。

• 既知の問題 6
  
  MS16-101 に記載されているセキュリティ更新プログラムをインストールした後に、ローカル ユーザー アカウントのパスワードをリモートからプログラムで変更する操作と、信頼されていないフォレスト全体のパスワードの変更は失敗します。
  
  
  この操作が失敗する理由は、この操作が NTLM フォールバックに依存しているためです。MS16-101 のインストール後、ローカル以外のアカウントでは NTLM フォールバックがサポートされなくなりました。
  
  
  この変更を無効にすることができるレジストリ エントリが用意されています。
  
  警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。
  
  重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

  322756Windows でレジストリをバックアップおよび復元する方法
  
  この変更を無効にするには、NegoAllowNtlmPwdChangeFallback DWORD エントリの値を 1 に設定します。
  
  
  重要NegoAllowNtlmPwdChangeFallback レジストリ エントリの値を 1 に設定すると、このセキュリティ修正プログラムが無効になります。
  

  レジストリの値	説明
  0	既定値。フォールバックは回避されます。
  1	フォールバックは常に許可されます。このセキュリティ修正プログラムは無効になります。リモート ローカル アカウントまたは信頼されないフォレストのシナリオで問題が発生している場合、レジストリをこの値に設定することができます。

  これらのレジストリ値を追加するには、以下の手順を実行します。
  

  1. [スタート]ボタンをクリックし、[ファイル名を指定して実行]をクリックします。[名前]ボックスに「regedit」と入力し、[OK]をクリックします。

  2. レジストリで次のサブキーを見つけてクリックします。
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. [編集]メニューの [新規]をポイントし、[DWORD 値]をクリックします。

  4. DWORD 値の名前として「NegoAllowNtlmPwdChangeFallback」と入力し、Enter キーを押します。

  5. [NegoAllowNtlmPwdChangeFallback]を右クリックし、[修正]をクリックします。

  6. [値のデータ]ボックスに「1」と入力し、[OK]をクリックします。
     
     
     注 既定値を復元するには、「0」と入力し、[OK]をクリックします。

  状態
  
  この問題の根本原因が分かりました。追加の情報が利用可能になった時点で、この資料は更新されます。

更新プログラムの入手方法およびインストール方法

方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法の詳細については、 「セキュリティ更新プログラムを自動的に入手」を参照してください。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。

詳細