Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

概要

Microsoft は、Windows プラットフォームの新機能である認証の拡張保護 (EPA) に関する発表を行いました。 この機能は、統合 Windows 認証 (IWA) の利用によりネットワーク接続を認証する際の資格情報の保護および処理を強化します。 この更新プログラム自体は資格情報の転送などの特定の攻撃に対する保護を直接提供するわけではありませんが、アプリケーションが EPA にオプトインできるようにします。 このアドバイザリでは、この新しい機能に関する簡潔な情報を開発者やシステム管理者に提供し、認証に必要となる資格情報を保護するための展開方法について説明を行います。 詳細については、「Microsoft セキュリティ アドバイザリ 973811」を参照してください。

詳細情報

このセキュリティ更新プログラムは、セキュリティ サポート プロバイダー インターフェイス (SSPI) を修正し、IWA が有効化されている場合に資格情報が簡単に転送されないように Windows 認証の動作を改善します。 EPA が有効化されている場合、認証要求はクライアントが接続を試みているサーバーのサービス プリンシパル名 (SPN) と、IWA 認証が行われる外部のトランスポート層セキュリティ (TLS) チャネルの両方にバインドされます。

この更新プログラムにより、拡張保護の管理を目的とした以下の新しいレジストリ入力値が追加されます。

  • レジストリ SuppressExtendedProtection の値を設定します。

    レジストリ キー

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    SuppressExtendedProtection

    REG_DWORD

    データ

    0 保護技術を有効化します。1 拡張保護が無効化されます。3 拡張保護が無効化され、アプリケーションから提供された場合でも Kerberos によって送信されたチャネルのバインドも無効化されます。

    既定値: 0x0

    EPA が既定で有効化されている場合に発生する問題については、Microsoft の Web サイトにあるトピック「Authentication failure from non-Windows NTLM or Kerberos servers (Windows 以外の NTLM または Kerberos サーバーからの認証エラー)」を参照してください。

  • レジストリ LmCompatibilityLevel の値を設定します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel3 に設定します。 これは NTLMv2 認証を有効化する既存のキーです。 EPA は NTLMv2、Kerberos、Digest、ネゴシエーションの認証プロトコルにのみ適用され、NTLMv1 には適用されません。

SuppressExtendedProtectionLmCompatibilityLevel のレジストリ値を Windows コンピューターで設定した後、コンピューターを再起動する必要があります。

拡張保護を有効にする

既定では、拡張保護と NTLMv2 はどちらもサポートされているすべてのバージョンの Windows で有効化されています。 このガイドを使用してこれが該当するかどうかを確認することができます。

重要 このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

  • KB322756 Windows でレジストリをバックアップおよび復元する方法

ご利用のプラットフォームのセキュリティ更新プログラムをダウンロードしてインストールした後で拡張保護を自分で有効にするには、以下の手順に従ってください。

  1. レジストリ エディターを起動します。 これを行うには、[スタート] をクリックし、[実行] をクリックします。[開く] ボックスに「regedit」と入力したら、[OK] をクリックします。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. レジストリ値 SuppressExtendedProtectionLmCompatibilityLevel が存在することを確認します。 これらのレジストリ値が存在しない場合には、以下の手順に従って作成してください。

    1. 手順 2 のレジストリ サブキーを選択した状態で [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

    2. SuppressExtendedProtection」と入力して、Enter キーを押します。

    3. 手順 2 のレジストリ サブキーを選択した状態で [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

    4. LmCompatibilityLevel」と入力して、Enter キーを押します。

  4. レジストリ値 SuppressExtendedProtection をクリックして選択します。

  5. [編集] メニューの [修正] をクリックします。

  6. [値のデータ] ボックスに「0」と入力し、[OK] をクリックします。

  7. LmCompatibilityLevel レジストリ値をクリックして選択します。

  8. [編集] メニューの [修正] をクリックします。メモ この手順では、NTLM 認証の要件を変更します。 この動作について理解できているかどうかを確認するには、Microsoft サポート技術情報にある以下の記事をご確認ください。

    KB239869 NTLM 2 認証を有効にする方法

  9. [値のデータ] ボックスに「3」と入力し、[OK] をクリックします。

  10. レジストリ エディターを終了します。

  11. Windows コンピューターでこれらの変更を行う場合には、変更内容が適用される前にコンピューターを再起動する必要があります。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。