変更ログ
変更 1: 2023 年 4 月 5 日: 「CVE-2022-38023 に対処するための更新プログラムのタイミング」セクションで、レジストリ キーの "既定で強制" フェーズを 2023 年 4 月 11 日から 2023 年 6 月 13 日に移動しました。 変更 2: 2023 年 4 月 20 日: 「レジストリ キーの設定」セクションで「ドメイン コントローラー: 脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー オブジェクト (GPO) への不正確な参照を削除しました。 変更 3: 2023 年 6 月 19 日:
|
この資料の内容
概要
2022 年 11 月 8 日以降の Windows 更新プログラムでは、RPC シールではなく RPC 署名を使用する場合の Netlogon プロトコルの弱点に対処します。 詳細については、「CVE-2022-38023」を参照してください。
Netlogon リモート プロトコル リモート プロシージャ コール (RPC) インターフェイスは主に、デバイスとそのドメインのリレーションシップと、 ドメイン コントローラー (DC) とドメインの間のリレーションシップを維持するために使用されます。
この更新プログラムは、Windows デバイスを既定で CVE-2022-38023 から保護します。 サードパーティ製クライアントおよびサードパーティ製ドメインコントローラでは、更新が既定で互換モードになり、そのようなクライアントからの脆弱な接続を許可します。 強制モードに移行する手順については、「レジストリ キーの設定」 セクションを参照してください。
環境の安全性を高めるため、ドメインコントローラーを含むすべてのデバイスに、2022 年 11 月 8 日付けの Windows 更新プログラム、またはそれ以降の Windows 更新プログラムをインストールしてください。
重要: 2023 年 6 月以降、強制モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。 このとき、更新プログラムを無効にすることはできませんが、互換モードの設定に戻すことができます。 互換モードは、「Netlogon の脆弱性 CVE-2022-38023 に対応するための更新のタイミング」 セクションに記載されているように、2023 年 7 月に削除される予定です。
CVE-2022-38023 に対処するための更新プログラムのタイミング
2022 年 11 月 8 日以降にリリースされる更新プログラムについては初期フェーズ、2023 年 7 月 11 日以降にリリースされる更新プログラムについては施行フェーズと、いくつかのフェーズに分かれてリリースされる予定です。
初期展開フェーズは、2022 年 11 月 8 日にリリースされた更新プログラムから始まり、Enforcement フェーズまで、それ以降の Windows 更新プログラムで継続されます。 2022 年 11 月 8 日以降の Windows 更新プログラムでは、すべての Windows クライアントで RPC シーリングを実施することにより、CVE-2022-38023 のセキュリティ回避の脆弱性に対応します。
既定では、デバイスは互換モードで設定されます。 Windows ドメイン コントローラーでは、Netlogon クライアントが Windows を実行している場合、またはドメイン コントローラーまたは信頼アカウントとして機能している場合は、RPC シールを使用する必要があります。
2023 年 4 月 11 日以降にリリースされた Windows 更新プログラムでは、 RequireSeal レジストリ サブキーに値 0 を設定することで、RPC シーリングを無効にする機能が削除されます。
管理者が明示的に互換モードになるように設定しない限り、RequireSeal レジストリ サブキーは強制モードになります。 サードパーティを含むすべてのクライアントからの脆弱な接続は、認証が拒否されます。 「変更 1」を参照してください。
2023 年 7 月 11 日にリリースされた Windows 更新プログラムでは、RequireSeal レジストリ サブキーに値 1 を設定する機能が削除されます。 これにより、CVE-2022-38023 の強制フェーズが有効になります。
レジストリ キーの設定
2022 年 11 月 8 日以降の Windows 更新プログラムがインストールされた後は、Windows ドメイン コントローラーの Netlogon プロトコルで次のレジストリ サブキーが使用できます。
重要 この更新プログラムと今後の強制の変更は、"RequireSeal" レジストリ サブキーを自動的に追加または削除しません。 このレジストリ サブキーを読み取るには、手動で追加する必要があります。 「変更 3」を参照してください。
RequireSeal サブキー
レジストリ キー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
値 |
RequireSeal |
データの種類 |
REG_DWORD |
データ |
0 – 無効 1 – 互換モード。 Windows ドメイン コントローラーでは、Windows を実行している場合、またはドメイン コントローラーまたは信頼アカウントとして機能している場合、Netlogon クライアントは RPC シールを使用する必要があります。 2 - 強制モード。 RPC シールを使用するには、すべてのクライアントが必要です。 「変更 2」を参照してください。 |
再起動が必要ですか? |
X |
CVE-2022-38023 に関連する Windows イベント
注 次のイベントには 1 時間のバッファーがあり、同じ情報を含む重複イベントはバッファー中に破棄される 1ます。
イベント ログ |
System |
イベント タイプ |
Error |
イベント ソース |
NETLOGON |
イベント ID |
5838 |
イベント テキスト |
Netlogon サービスは、RPC シールではなく RPC 署名を使用するクライアントを検出しました。 |
イベント ログでこのエラー メッセージが見つかる場合は、次の操作を実行してシステム エラーを解決する必要があります。
-
デバイスがサポートされているバージョンの Windows を実行していることを確認します。
-
すべてのデバイスが最新であることを確認します。
-
ドメイン メンバー: ドメインメンバーがセキュア チャンネル データをデジタルで暗号化または署名する (常時) が有効に設定されていることを確認します。
イベント ログ |
System |
イベント タイプ |
Error |
イベント ソース |
NETLOGON |
イベント ID |
5839 |
イベント テキスト |
Netlogon サービスは、RPC シールではなく RPC 署名を使用して信頼を検出しました。 |
イベント ログ |
System |
イベント タイプ |
警告 |
イベント ソース |
NETLOGON |
イベント ID |
5840 |
イベント テキスト |
Netlogon サービスは、RC4 を使用するクライアントを使用してセキュリティで保護されたチャネルを作成しました。 |
イベント 5840 が見つかると、これはドメイン内のクライアントが弱い暗号化を使用していることを示しています。
イベント ログ |
System |
イベント タイプ |
Error |
イベント ソース |
NETLOGON |
イベント ID |
5841 |
イベント テキスト |
Netlogon サービスは、'RejectMd5Clients' 設定により RC4 を使用するクライアントを拒否しました。 |
イベント 5841 が見つかった場合、RejectMD5Clients の値が TRUE に設定されています。
RejectMD5Clients の説明」 を参照してください。
RejectMD5Clients キーは、Netlogon サービスの既存のキーです。 詳細については、「抽象データ モデルのよく寄せられる質問 (FAQ)
ドメインに参加しているすべてのコンピューター アカウントは、この CVE の影響を受けます。 2022 年 11 月 8 日以降の Windows 更新プログラムがインストールされた後、この問題の影響を最も受けているユーザーがイベントに表示されます。問題に対処するには、「Eイベント ログのエラー」 セクションを参照してください。
利用可能な最も強力な暗号化を使用していない古いクライアントを検出するために、この更新プログラムでは RC4 を使用しているクライアントのイベント ログが導入されます。
RPC 署名は、Netlogon プロトコルが RPC を使用して、ネットワーク経由で送信されるメッセージに署名する場合です。 RPC シールは、Netlogon プロトコルがネットワーク経由で送信するメッセージの署名と暗号化の両方を行う場合です。
Windows ドメイン コントローラーは、Netlogon クライアントの Active Directory の "OperatingSystem" 属性に対してクエリを実行し、次の文字列を確認することで、Netlogon クライアントが Windows を実行しているかどうかを判断します:
-
"Windows"、"Hyper-V サーバー"、および "Azure Stack HCI"
Netlogon クライアントまたはドメイン管理者がこの属性を Netlogon クライアントが実行しているオペレーティング システム (OS) を表さない値に変更することは、推奨またはサポートされていません。 検索条件はいつでも変更される可能性があることにご注意ください。 「変更 3」を参照してください。
強制フェーズでは、クライアントが使用する暗号化の種類に基づいて Netlogon クライアントは拒否されません。 Netlogon クライアントが RPC シーリングではなく RPC 署名を行う場合にのみ、Netlogon クライアントを拒否します。 RC4 Netlogon クライアントの拒否は、Windows Server 2008 R2 以降の Windows ドメイン コントローラーで使用できる "RejectMd5Clients" レジストリ キーに基づいて行われます。 この更新プログラムの強制フェーズでは、"RejectMd5Clients" の値は変更されません。 ドメインのセキュリティを強化するために、"RejectMd5Clients" の値を有効にすることをお勧めします。 「変更 3」を参照してください。
用語集
Advanced Encryption Standard (AES) は、Data Encryption Standard (DES) に代わるブロック暗号です。 AES を使用して電子データを保護できます。 AES アルゴリズムを使用して、情報の暗号化 (暗号化) と暗号化解除 (解読) を行うことができます。 暗号化は、データを暗号文と呼ばれる判読不能な形式に変換します。暗号化テキストの暗号化を解除すると、データがプレーンテキストと呼ばれる元の形式に変換されます。 AES は対称キー暗号化で使用されます。つまり、暗号化操作と暗号化解除操作に同じキーが使用されます。 これはブロック暗号でもあります。つまり、プレーンテキストと暗号文の固定サイズブロックで動作し、プレーンテキストのサイズと暗号テキストのサイズがこのブロック サイズの正確な倍数である必要があります。 AES は、Rijndael 対称暗号化アルゴリズム [FIPS197] としても知られています。
Windows NT オペレーティング システムと互換性のあるネットワーク セキュリティ環境において、プライマリ ドメインコントローラー (PDC) とバックアップ ドメイン コントローラー (BDC) の間の同期とメンテナンスの機能を担うコンポーネントです。 Netlogon は、ディレクトリ レプリケーション サーバー (DRS) プロトコルの前身です。Netlogon リモート プロトコルの リモート プロシージャ コール (RPC) インターフェイスは、主にデバイスとそのドメイン間の関係、およびドメイン コントローラー (DC) とドメイン間のリレーションシップを維持するために使用されます。 詳細については、「Netlogon リモート プロトコル」を参照してください。
RC4-HMAC (RC4) は、可変キー長対称暗号化アルゴリズムです。 詳細については、「[SCHNEIER] セクション 17.1」を参照してください。
RPC パケットの署名と暗号化に使用される、セキュリティ コンテキストが確立された、ドメイン内の 2 つのマシン間の、認証済みのリモート プロシージャ コール (RPC) 接続です。