このアドバイザリの目的は何ですか?
マイクロソフトは資格情報の転送から保護するために、Windows SSPIを更新して「認証に対する保護の強化」を実装するために、本アドバイザリを公開しました。
これは、マイクロソフトがセキュリティ更新プログラムを公開する必要のあるセキュリティ上の脆弱性ですか?
いいえ。これは、マイクロソフトがセキュリティ更新プログラムを提供する必要のあるセキュリティ上の脆弱性ではありません。この更新プログラムは、オプションとして選択できるオプションの構成です。この機能はすべてのお客様にとって適切であるとは限りません。 この機能はお客様が適用するかどうかを選択することができるオプションの構成です。この機能はすべてのお客様にとって適切であるとは限りません。この機能およびこの機能の適切な構成方法に関する詳細情報は、サポート技術情報 973811 をご覧ください。本機能は Windows 7 および Windows Server 2008 R2 に搭載済みです。
Windows 認証に対する保護の強化とはなんですか?
サポート技術情報 968389に含まれるこの更新プログラムは、Windows SSPI 上の認証処理を行う方法を変更し、Windows 統合認証を使用しているアプリケーションで認証の転送が容易に行えない様にします。
「認証に対する保護の強化」が有効な場合、サーバーのサービス プリンシパル名 (SPN)に接続する場合、Transport Layer Security (TLS)を通じてIWA認証をクライアントとサーバーの両方に要求します。更新プログラムは、新しい機能をアプリケーションから明示的に使用できる様にします。
将来的にセキュリティ以外の更新プログラムで、IWA 認証を使用する各システム コンポーネントを変更して保護メカニズムを使用できるようにします。お客様は、サポート技術情報 968389 の更新プログラムの適用および、「認証に対する保護の強化」を有効にしたクライアントやサーバー アプリケーションを機能させるためにも更新プログラムをインストールする必要があります。インストール後、レジストリ キーを使用して「認証に対する保護の強化」がクライアントで管理できます。サーバーでは、構成はアプリケーション特有のものになります
本機能を実装するためにマイクロソフトはどのような措置を取っていますか?
この更新を有効にするには、Windows 統合認証 (IWA) を使用している特定のサーバーおよびクライアントのアプリケーションをこの新たな保護テクノロジを使用するように、明示的に変更する必要があります。2009 年 8 月 12 日、マイクロソフトは次の更新プログラムを公開しました。
| • |
サポート技術情報 968389 は、Windows Security Support Provider Interface (SSPI) に「認証に対する保護の強化」を実装します。 この更新プログラムにより、アプリケーションが認証に対する保護の強化を選択できます。
|
| • | マイクロソフト セキュリティ情報 MS09-042 は、Telnet クライアントおよびサーバーが「認証に対する保護の強化」を明示的に使用する多層防御ためのセキュリティ以外の変更点を含んでいます。 |
マイクロソフトは、将来的にマイクロソフトのサーバーおよびクライアント アプリケーションをこれらの保護メカ二ズムを有効にする更新プログラムを公開して、対応範囲を広げていく予定です。本セキュリティ アドバイザリは、該当の更新プログラムを公開した場合、新しい情報を追加して更新します。
開発者はどのようにアプリケーションにこの保護テクノロジを埋め込むことができますか?
開発者は、次の MSDN の記事で「認証に対する保護の強化」の使用方法に関する詳細情報を確認できます: Integrated Windows Authentication with Extended Protection (英語情報)
どの様に保護機能を有効にしますか?
| • |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection キーを 0 に設定して保護テクノロジを有効にします。インストール後の既定では、このキーは 1 に設定され、保護が無効に設定されています。
|
| • | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel のキーを 3 に設定します。これは Windows XP および Windows Server 2003 では既定でありません。これは既存のキーで、NTLMv2 認証を有効にします。「認証に対する保護の強化」は、NTLMv1 ではなく NTLM v2 のアプリケーション プロトコルにのみ適用されます。
NTLM v2 の認証プロトコルおよびこのキーの実行に関する詳細情報は、サポート技術情報 239869 をご覧ください。 |
サーバー上では、サービス毎に「認証に対する保護の強化」を有効にする必要があります。次の概要では、現在利用可能な一般的なプロトコルで「認証に対する保護の強化」を有効にする方法を示しています。
Telnet(サポート技術情報 960859)
Telnet については、DWORD レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection を作成し、サーバーで「認証に対する保護の強化」を有効にできます。このキーの既定値は従来のものです。キーを、次の値のひとつに設定します。
| • | レガシ: DWORD 値を 0 に設定すると、サーバー上の「認証に対する保護の強化」が無効になります。そして、どの接続(更新され、正しく構成されたクライアントであっても)も資格情報に依存した攻撃から防御されなくなります。
|
| • | 拡張された保護を許可する場合: DWORD 値を 1 に設定すると、サーバーが資格情報に依存した攻撃に対して拡張された認証メカニズムを使用するように構成されたこれらのクライアント コンピュータ−を保護します。未更新および正しく構成されていないクライアントは保護されません。
|
| • | 拡張された保護が必要な場合: DWORD 値を 2 に設定すると、このサーバーではクライアントによる認証に対する保護の強化のサポートが必要になります。さもなければ認証が拒否されます。認証に対する保護の強化が有効にされていないクライアントは、サーバーの認証に失敗します。Windows認証の保護の強化は、NTLMv2およびKerberos認証プロトコルをに対してのみ有効であり、NTLMv1には適用されません。
|
このレジストリ キーを作成するための詳細な方法については、サポート技術情報 960859 をご覧ください。サーバーでは、アプリケーション毎に有効にする必要があります。
認証に対する保護の強化を適用する際に、何を注意する必要がありますか?
お客様は、サポート技術情報 960859 に含まれている更新プログラム、クライアントおよびサーバー コンピューターに各アプリケーションの更新プログラムをインストールして、両方のコンピューターに保護メカニズムを使用して認証が転送される攻撃から防御する必要があります。
認証に対する保護の強化がクライアント側で有効にされている場合、IWA を使用しているすべてのアプリケーションで有効にされます。しかし、サーバーでは、アプリケーション毎に有効にする必要があります。
なぜこれはセキュリティ情報で公開されるセキュリティ更新プログラムではないのですか?
この更新プログラムは、全てのお客様にとって適切であるとは限らない新しい機能を実装します。特定のシナリオにおいてお客様が展開する事を選択した場合にみ新しいセキュリティ機能が提供されます。
これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリですが、矛盾していませんか?
セキュリティ アドバイザリは、セキュリティ情報が必要ないものの、お客様のセキュリティ全体に影響を与える可能性があるセキュリティの変更を解決します。セキュリティ アドバイザリは、脆弱性として分類されておらずセキュリティ情報の公開を必要としない問題、またはセキュリティ情報がリリースされていない問題について、マイクロソフトがお客様に提供するセキュリティ関連の情報です。今回のケースでは、特定のセキュリティ上の脆弱性に対処する事はありませんが、お客様環境全体のセキュリティに寄与する更新プログラムを公開した事をお伝えしています。
この更新プログラムはどのように提供されますか?
このセキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「概要」のセクションの「影響を受けるソフトウェア」の表に特定の影響を受けるソフトウェア用の更新プログラムのダウンロード サイトへの直接のリンクを記載しています。この更新プログラムおよび動作への変更に関する詳細情報は、サポート技術情報 968389 をご覧ください。
この更新プログラムは自動更新により提供されますか?
はい。これらの更新プログラムは自動更新のメカニズムを通じて提供されます。
Windows のどのバージョンがこのアドバイザリに関連しますか
「影響を受けるソフトウェアの」の一覧にある全プラットフォームの機能がアドバイザリに該当します。本機能は Windows 7 および Windows Server 2008 R2 に搭載済みです。