重要 この資料には、コンピューターのセキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法を示す情報が記載されています。これらの変更によって特定の問題を回避できますが、変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。
概要
このセキュリティ更新プログラムは、Microsoft Windows の複数の脆弱性を解決します。この脆弱性により、影響を受けるシステムで攻撃者が特別に細工されたアプリケーションを実行した場合、特権の昇格が起こる可能性があります。
脆弱性の詳細については、マイクロソフト セキュリティ情報 MS16-101 を参照してください。
詳細
重要
-
今後の Windows 8.1 および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム2919355がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows 8.1 ベースまたは Windows Server 2012 R2 ベースのコンピューターに更新プログラム2919355をインストールしておくことをお勧めします。
-
この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。
このセキュリティ更新プログラムにより、以下の問題も修正されます。
-
ドメインレスクラスタ上にある影響を受けるスケールアウトファイルサーバー(SoFS) 内で、Windows 8.1あるいはWindows Server 2012 R2のいずれかを駆動中のlSMBクライアントがダウンしているノードに接続すると、認証が失敗します。このようなことが発生した場合、次のようなエラー メッセージが表示されることがあります。
STATUS_NO_TGT_REPLY
このセキュリティ更新プログラムの関連情報
以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。資料には、既知の問題に関する情報が掲載されている場合があります。
-
3177108 [MS16-101]Windows 認証方法用のセキュリティ更新プログラムについて (2016 年 8 月 9 日)
-
3167679 [MS16-101]Windows 認証方法用のセキュリティ更新プログラムについて (2016 年 8 月 9 日)
-
3192392 2016 年 10 月 Windows 8.1 および Windows Server 2012 R2 用のセキュリティのみの品質更新プログラム
-
3185331 2016 年 10 月 Windows 8.1 および Windows Server 2012 R2 用のセキュリティ月例品質ロールアップ
-
3192393 2016 年 10 月 Windows Server 2012 用のセキュリティのみの品質更新プログラム
-
3185332 2016 年 10 月 Windows Server 2012 用のセキュリティ月例品質ロールアップ
-
3192391 2016 年 10 月 Windows 7 SP1 および Windows Server 2008 R2 SP1 用のセキュリティのみの品質更新プログラム
-
3185330 2016 年 10 月 Windows 7 SP1 および Windows Server 2008 R2 SP1 用のセキュリティ月例品質ロールアップ
-
3192440 Windows 10 用の累積的な更新プログラム2016 年 10 月 12 日
-
3194798 Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム: 2016 年 10 月 12 日
-
3192441 Windows 10 Version 1511 用の累積的な更新プログラム2016 年 10 月 12 日
置き換えられるセキュリティ更新プログラム次のセキュリティ更新プログラムが置き換えられました。
-
3176492 Windows 10 用の累積的な更新プログラム (2016 年 8 月 9 日)
-
3176493 Windows 10 Version 1511 用の累積的な更新プログラム (2016 年 8 月 9 日)
-
3176495 Windows 10 Version 1607 用の累積的な更新プログラム (2016 年 8 月 9 日)
以下に示すのは、上記のセキュリティ更新プログラムを置き換える新しいセキュリティ更新プログラムです。
-
3192440 Windows 10 用の累積的な更新プログラム2016 年 10 月 12 日
-
3194798 Windows 10 Version 1607 および Windows Server 2016 用の累積的な更新プログラム: 2016 年 10 月 12 日
-
3192441 Windows 10 Version 1511 用の累積的な更新プログラム2016 年 10 月 12 日
このセキュリティ更新プログラムの既知の問題
-
既知の問題 1
MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。16 進
10 進
記号
フレンドリ
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
回避策
MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。-
インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。
ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。
注 TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。-
ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。
ipv4.address== <ip address of client> && tcp.port==464
-
結果の中に、"TCP:[SynReTransmit" フレームを探します。
-
-
目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)
-
サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。
詳細は、Kerberos and Self-Service Password Reset を参照してください。
-
-
既知の問題 2
ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (表示されることは少ない)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
次の表は、完全なエラー マッピングを示しています。16 進
10 進
記号
フレンドリ
0x56
86
ERROR_INVALID_PASSWORD
指定されたネットワーク パスワードが間違っています。
0x267
615
ERROR_PWD_TOO_SHORT
入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
パスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
パスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
解決方法
この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。 -
-
既知の問題 3
ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。
次の表は、完全なエラー マッピングを示しています。16 進
10 進
記号
フレンドリ
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
解決方法
この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。 -
既知の問題 4
無効でロックアウトされたユーザ アカウントのパスワードは、ネゴシエート パッケージを使用して変更できません。
無効でロックアウトされたアカウントのパスワードの変更は、LDAP Modify 操作を直接使用するなど、他の方法でも実行できます。たとえば、PowerShell コマンドレット Set-ADAccountPassword で "LDAP Modify" 操作を使用してパスワードを変更し、影響を受けません。
回避策
これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。 -
既知の問題 5
NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。
Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。
ドメイン名 [in]機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。 状態
ローカル コンピュータのローカル アカウント用のパスワードがリセットされていない限り、このガイダンスは MS16-101 に置き換わっています。
MS16-101 以降、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API に渡す必要があります。 -
既知の問題 6
MS16-101 に記載されているセキュリティ更新プログラムをインストールした後に、ローカル ユーザー アカウントのパスワードをリモートからプログラムで変更する操作と、信頼されていないフォレスト全体のパスワードの変更は失敗します。
この操作が失敗する理由は、この操作が NTLM フォールバックに依存しているためです。MS16-101 のインストール後、ローカル以外のアカウントでは NTLM フォールバックがサポートされなくなりました。
この変更を無効にすることができるレジストリ エントリが用意されています。
警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。
重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。322756Windows でレジストリをバックアップおよび復元する方法
この変更を無効にするには、NegoAllowNtlmPwdChangeFallback DWORD エントリの値を 1 に設定します。
重要NegoAllowNtlmPwdChangeFallback レジストリ エントリの値を 1 に設定すると、このセキュリティ修正プログラムが無効になります。レジストリの値
説明
0
既定値。フォールバックは回避されます。
1
フォールバックは常に許可されます。このセキュリティ修正プログラムは無効になります。リモート ローカル アカウントまたは信頼されないフォレストのシナリオで問題が発生している場合、レジストリをこの値に設定することができます。
これらのレジストリ値を追加するには、以下の手順を実行します。
-
[スタート]ボタンをクリックし、[ファイル名を指定して実行]をクリックします。[名前]ボックスに「regedit」と入力し、[OK]をクリックします。
-
レジストリで次のサブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
[編集]メニューの [新規]をポイントし、[DWORD 値]をクリックします。
-
DWORD 値の名前として「NegoAllowNtlmPwdChangeFallback」と入力し、Enter キーを押します。
-
[NegoAllowNtlmPwdChangeFallback]を右クリックし、[修正]をクリックします。
-
[値のデータ]ボックスに「1」と入力し、[OK]をクリックします。
注 既定値を復元するには、「0」と入力し、[OK]をクリックします。
状態
この問題の根本原因が分かりました。追加の情報が利用可能になった時点で、この資料は更新されます。 -
更新プログラムの入手方法およびインストール方法
方法 1: Windows Update
この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法の詳細については、 「セキュリティ更新プログラムを自動的に入手」を参照してください。
方法 2: Microsoft Update カタログ
この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。
Microsoft ダウンロード センターからスタンドアロンの更新プログラム パッケージを取得できます。ダウンロード ページのインストール手順に従って、更新プログラムをインストールします。
搭載されている Windows のバージョンに対応するマイクロソフト セキュリティ情報 MS16-101のダウンロード リンクをクリックします。
詳細
Windows Vista (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
すべてのサポートされている 32 ビット版の Windows Vista: |
サポートされているすべての x64 ベース エディションの Windows Vista: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307を参照してください。 |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA.exe は更新プログラムのアンインストールをサポートしていません。WUSA によってインストールされた更新プログラムをアンインストールするには、[コントロール パネル]、[セキュリティ] の順にクリックします。Windows 更新プログラムの下のインストールされた更新プログラムを選択して更新プログラム一覧から選択してください。 |
ファイル情報 |
マイクロソフト サポート技術情報 3167679を参照してください。 |
レジストリ キーの確認 |
注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。 |
Windows Server 2008 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
サポートされているすべての Windows Server 2008 (32 ビット) |
サポートされているすべての x64 ベース エディションの Windows Server 2008: |
|
サポートされているすべての Itanium ベース エディションの Windows Server 2008: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307を参照してください。 |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA.exe は更新プログラムのアンインストールをサポートしていません。WUSA によってインストールされた更新プログラムをアンインストールするには、[コントロール パネル]、[セキュリティ] の順にクリックします。Windows更新プログラムの下のインストールされた更新プログラム を選択して更新プログラム一覧から選択してください。 |
ファイル情報 |
マイクロソフト サポート技術情報 3167679を参照してください。 |
Windows 7 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
サポートされているすべてのエディションの Windows 7 (32 ビット版): |
サポートされているすべてのエディションの Windows 7 for 32-bit Systems |
|
サポートされているすべての x64 ベース エディションの Windows 7: |
|
サポートされているすべての x64 ベース エディションの Windows 7: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307 を参照してください |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA によってインストールされた更新プログラムをアンインストールするには、/Uninstall セットアップ スイッチを使用するか、[コントロール パネル]、[システムとセキュリティ] の順にクリックします。[Windows Update] の下の [インストールされた更新プログラムを表示] をクリックし、更新プログラムの一覧から選択します。 |
ファイル情報 |
マイクロソフト サポート技術情報 3192391 を参照してください |
レジストリ キーの確認 |
注 この更新プログラムは、そのインストールを検証するためのレジストリ キーを追加しません。 |
Windows Server 2008 R2 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
すべてのサポートされている x64-based エディションの Windows Server 2008 R2: |
すべてのサポートされている x64-based エディションの Windows Server 2008 R2: |
|
すべてのサポートされている Itanium ベース エディションの Windows Server 2008 R2: |
|
すべてのサポートされている Itanium ベース エディションの Windows Server 2008 R2: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307 を参照してください |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA によりインストールされた更新プログラムをアンインストールするには、/Uninstall セットアップ スイッチを使用するか、[コントロール パネル]、[システムとセキュリティ]の順にクリックし、[Windows Update] で [インストールされた更新プログラム]をクリックして、更新プログラムの一覧から選択します。 |
ファイルに関する情報 |
マイクロソフト サポート技術情報 3192391 を参照してください |
レジストリ キーの確認 |
注: この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。 |
Windows 8.1 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
サポートされているすべてのエディションの Windows 8.1 (32 ビット版): |
サポートされているすべてのエディションの Windows 8.1 (32 ビット版): |
|
サポートされているすべての x64 ベース エディションの Windows 8.1: |
|
サポートされているすべての x64 ベース エディションの Windows 8.1: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307 を参照してください |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA によってインストールされた更新プログラムをアンインストールするには、/Uninstall セットアップ スイッチを使用するか、[コントロール パネル]、[システムとセキュリティ]、[Windows Update] の順にクリックします。[関連項目] の下の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。 |
ファイル情報 |
マイクロソフト サポート技術情報 3192392 を参照してください |
レジストリ キーの確認 |
注 この更新プログラムは、そのインストールを検証するためのレジストリ キーを追加しません。 |
Windows Server 2012 および Windows Server 2012 R2 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
すべてのサポートされているエディションの Windows Server 2012: |
すべてのサポートされているエディションの Windows Server 2012: |
|
すべてのサポートされている Windows Server 2012 R2: |
|
すべてのサポートされている Windows Server 2012 R2: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307 を参照してください |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA によりインストールされた更新プログラムをアンインストールするには、/Uninstall セットアップ スイッチを使用するか、[コントロール パネル]、[システムとセキュリティ]、[Windows Update]の順にクリックし、[関連項目] の下の [インストールされた更新プログラム]をクリックして、更新プログラムの一覧から選択します。 |
ファイル情報 |
マイクロソフト サポート技術情報 3192393 を参照してください |
レジストリ キーの確認 |
注: この更新プログラムがインストールされているかどうかを検証するためのレジストリ キーはありません。 |
Windows 10 (すべてのエディション)参照表
このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
セキュリティ更新プログラムのファイル名 |
サポートされているすべてのエディションの Windows 10 (32 ビット版): |
サポートされているすべての x64 ベース エディションの Windows 10: |
|
サポートされているすべての 32 ビット版 Windows 10 Version 1511: |
|
サポートされているすべての x64 ベース エディションの Windows 10 Version 1511: |
|
サポートされているすべての 32 ビット版 Windows 10 Version 1607: |
|
サポートされているすべての x64 ベース エディションの Windows 10 Version 1607: |
|
インストール スイッチ |
マイクロソフト サポート技術情報 934307 を参照してください |
再起動の必要性 |
このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。 |
アンインストール情報 |
WUSA によってインストールされた更新プログラムをアンインストールするには、/Uninstall セットアップ スイッチを使用するか、[コントロール パネル]、[システムとセキュリティ]、[Windows Update] の順にクリックします。[関連項目] の下の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。 |
ファイル情報 |
マイクロソフト サポート技術情報 3192440 を参照してください |
レジストリ キーの確認 |
注 この更新プログラムは、そのインストールを検証するためのレジストリ キーを追加しません。 |
更新プログラムのインストールのヘルプ: Windows Update サポート ページ
IT 専門家のためのセキュリティ ソリューション: セキュリティに関するトラブルシューティングとサポート
ウイルスとマルウェアから Windows を搭載しているコンピューターを保護する: ウイルスとセキュリティ サポート ページ
国ごとのローカル サポート: その他の地域のサポート