連載
» 2018年05月15日 05時00分 公開

山市良のうぃんどうず日記(127):Windows Updateは適切な更新サイクルで――CredSSP脆弱性対策について (2/2)

[山市良,テクニカルライター]
前のページへ 1|2       

早急に以前の接続環境を回復するには

 CredSSPの脆弱性対策は、3月から段階的に行われてきたわけですが、予告を知らずに突然、接続エラーに遭遇すると驚くかもしれません。特に、サーバ機はなかなか止められないものです。Microsoftが想定している期間(最大35日)を超えたサイクルで更新を管理し、データセンター内のサーバへの管理アクセスをリモートデスクトップ接続に依存している企業も多いでしょう。接続エラーを回避する方法は、次の【A】〜【D】の4つのいずれかになります。CredSSPの脆弱性を放置しないためには、できるだけ速やかに【A】の対策を講じるべきですが、それまでの間は【B】〜【D】のいずれかで一時的に接続可能にできます。

・【A】サーバ側に3月以降の累積的な品質更新プログラムを適用します。

・【B】「ローカルグループポリシーエディター」(Gpedit.msc)を使用してクライアント側の以下の「暗号化オラクルの修復」ポリシーを有効にして、保護レベルを「脆弱」に設定します(画面2)。つまり、3月または4月時点のポリシー未構成に戻します。

  • コンピューターの構成\管理用テンプレート\システム\資格情報の委任\暗号化オラクルの修復

画面2 画面2 「暗号化オラクルの修復」ポリシーを有効にして、保護レベルを「脆弱」に設定する
  • 【C】上記のポリシー設定と同等のレジストリ設定を行います。コマンドプロンプトを管理者として開き、以下のコマンドラインを実行します。PCの再起動は必要ありません。CredSSPの脆弱性対策は、ポリシーをサポートしないHomeエディションでも行われています。Homeエディションの場合は、この方法でポリシーと同等の設定が可能です。

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters" /v AllowEncryptionOracle /t REG_DWORD /d 2 /f


 また、レジストリ設定は、次のコマンドラインで削除することができます。

REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP" /f


  • 【D】リモートデスクトップ接続のサーバ側で、ネットワークレベル認証(NLA)を求めないように構成します(画面3)。次に説明しますが、これは別の脆弱性のリスクを高めることに注意してください。
画面3 画面3 リモートデスクトップ接続のサーバ側の「システムのプロパティ」で、ネットワークレベル認証なしの接続を許可する(右はWindows 8.1以降、左はWindows 7の場合)。Windows 10 バージョン1803からは、「設定」アプリの「システム」→「リモートデスクトップ」→「詳細設定」から設定できる

ネットワークレベル認証なしはDoS攻撃のリスクあり

 CredSSPは、リモートデスクトップ接続のネットワークレベル認証で利用されるため、CredSSPの脆弱性対策の目に見える影響はリモートデスクトップ接続が主なものになります。しかし、CredSSPは、「WinRM(Windowsリモート管理)」や「PowerShell Remoting」「Hyper-Vマネージャー」などの管理ツールでも使用される場合があります。今回の対策がこれらにどう影響するのか明確になっていませんが、リモートデスクトップ接続の接続エラーで判断できるかもしれません。

 ネットワークレベル認証は、Windows XP Service Pack(SP)3からリモートデスクトップ接続のセキュリティ強化のために導入されました。ネットワークレベル認証を使用しない以前の接続では、まずリモートデスクトップ接続のセッションを確立し、その後、そのセッション内で認証を行います。

 一方、ネットワークレベル認証は、資格情報をまず送信し、認証された時点で初めてセッションを確立します。そのため、ネットワークレベル認証は、悪意のあるユーザーが接続先のサーバをスプーフィングするMan-in-the-Middle攻撃や、認証のためのセッション確立とUIの表示を悪用したサービス拒否(DoS)攻撃から保護する防御層になります。

 例えるなら、ネットワークレベル認証は建物のエントランスにオートロックシステムのようなものです。ネットワークレベル認証を要求しないということは、誰でも玄関先までやってきて、ドアを蹴り上げて脅したり、ピッキングやバールでドアをこじ開けたりする機会を与えてしまうことになります(画面4)。

画面4 画面4 ネットワークレベル認証を不要にした場合、ログオン(サインイン)画面でユーザー認証をチャレンジできてしまう。これはDoS攻撃のリスクも増加する

 前述したように、CVE-2018-0886のCredSSPの脆弱性は、DoS攻撃の対象になるものではありませんが、CredSSPの脆弱性対策の影響を一時的に回避するためにネットワークレベル認証を不要にすること(前述の【D】の対応)は、DoS攻撃のリスクを増加させることになる点に十分に注意してください。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。