許可する最小の DHE キーの鍵長のサイズ変更の影響について

こんにちは、Windows プラットフォーム サポートの馬場です。 今回は、2016 年 7 月のWindows 更新プログラムの適用後に、一部の Web サーバー等の SSL/TLS サーバーに接続に失敗する問題について紹介します。 なお、今回紹介する問題は、更新プログラムに含まれる不具合ではなく、セキュリティを強化したために発生する事象であり、対処策を実施いただくとクライアント側のセキュリティ レベルが下がることになる点についてご理解ください。 なお、SSL/TLS サーバーが Windows OS であり、IIS などをご利用の環境では発生しない問題となりますので、ご安心ください。   どのような問題なのか ? Web サーバーへの HTTPS 通信など、TLS を用いてサーバーに接続することがあると思います。 クライアント PC に Windows 更新プログラムの適用以前には正常に接続できていたサイトでも、適用後に接続できなくなったという事象について何件かお問い合わせをいただいております。 この問題は、以下の 2 つの修正プログラムでの動作変更により、1024 ビット未満の DHE 鍵を使用する Web サーバーへ TLS 通信を試みた場合、接続が拒否されるという事象です。 タイトル : [MS15-055] Schannel の脆弱性により、情報漏えいが起こる (2015 年 5 月 12 日) URL…

0

PowerShell のスクリプトの出力結果が 80 文字に切り詰められる

こんにちは、Windows プラット フォーム サポートの進藤です。   PowerShell のスクリプトをコマンド プロンプト等から実行したときに、スクリプトの出力結果が 79 文字 (改行を含めると 80 文字) に切り詰められる現象が発生することがあります。 今回は、この 80 文字で切れてしまう現象とその対処策について紹介します。     現象 値を取得してファイルに出力する PowerShell のスクリプトを作成します。   下記は AD からOUのリストを取得して、その結果をファイルに出力する PowerShell のスクリプトのサンプルです。   Get-OUList.ps1   続いて、上記で作成したPowerShell スクリプトを起動するためのバッチファイルを作成します。   Output.bat   上記で作成したOutput.bat を実行すると、下記のように出力結果 (list.txt) の内容が 79 文字 (改行を含めると 80 文字) で切れる現象が発生する場合があります。   原因 Select-Object の出力は PowerShell ホストへの出力を前提としているため、ターミナルのサイズに合わせて切りつめらるのが想定される動作になります。 既定ではターミナルの画面バッファー サイズが 80 に設定されているため、出力結果が…

0

「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」(2016 年 11 月 9 日) を適用すると一部シナリオを除き NTLM でのパスワード変更が再度可能となる

こんにちは、プラットフォーム サポート チームの高田です。   今回は「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」について情報をお知らせいたします。 MS16-137: Description of the security update for Windows authentication methods: November 8, 2016 https://support.microsoft.com/en-us/kb/3198510 (英語) https://support.microsoft.com/ja-jp/kb/3198510 (日本語) 上記の更新プログラムには先月更新されました MS16-101 の動作をさらに変更する更新が含まれております。MS16-101 により影響を受けたお客様は、本記事をご一読いただけますと幸いです。MS16-101 については、以下の記事も参照ください。   2016/10/19 更新:「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある   MS16-137 の概要 上記更新プログラム MS16-137 は、特権の昇格に関する脆弱性を修正します。攻撃者がこの脆弱性を悪用した場合、特権のないユーザー アカウントの権限を管理者に昇格させる可能性があります。また攻撃者は、NTLM のパスワード変更要求を操作するように特別に細工されたアプリケーションをローカルで実行することにより、特権を昇格させようとする可能性があります。MS16-137 を適用することで、これらの問題が解消します。   MS16-137 で行われた動作変更 MS16-137 では、当初 MS16-101 で実装された「パスワード変更時に Kerberos…

0

グループ ポリシーを使用して セキュリティが強化された Windows ファイアウォールのポリシーを変更する場合の注意事項

セキュリティが強化された Windows ファイアウォールの設定を配布する場合の注意点を紹介致します。   グループ ポリシーの管理 (gpmc.msc) から GPO の [編集] を選択し、グループ ポリシー管理エディターを起動、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目を編集することで、セキュリティが強化された Windows ファイアウォールの設定を変更・配布することが可能です。   図 1. セキュリティが強化された Windows ファイアウォール配下   しかし、エディターを閉じずに続けて 「図 2. 管理用テンプレート配下」 のツリー配下の項目を続けて編集すると、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目の変更内容が削除されます。           図 2. 管理用テンプレート配下   これは、セキュリティが強化された Windows ファイアウォールの ポリシー編集内容の一時保存領域が、管理用テンプレートのポリシー編集によって初期化されることにより発生致します。   セキュリティが強化された Windows ファイアウォールの ポリシー編集内容は、レジストリ上に一時的な GUID として格納されます。 その後、管理用テンプレートのポリシー編集内容を保存する際に、新たに別の GUID を使用して保存を行いますが、このタイミングで前の GUID とのハンドルは削除され、編集内容も初期化されます。 これは、セキュリティが強化された Windows…

0

Windows Server 2012 および Windows Server 2012 R2 で ファイル サービス を利用する場合に適用を推奨する更新プログラムの一覧

Windows Server 2012 および Windows server 2012 R2 のファイル サービスで使用する OS コンポーネントは、これまで複数の不具合が存在することが報告されております。 下記の公開情報に記載の修正プログラムを適用いただく事で、既知の不具合のうち修正された内容を全て反映させることが可能です。 Windows Server 2012 および Windows server 2012 R2 のファイル サービスのご利用を検討頂いている、または既にご利用いただいているお客様は、改めてご適用をご検討願います。   List of currently available hotfixes for the File Services technologies in Windows Server 2012 and in Windows Server 2012 R2 https://support.microsoft.com/en-us/kb/2899011 [適用対象] ・ Windows Server 2012 Datacenter ・ Windows Server 2012…

0

AD FS の自動証明書ロールオーバー機能について

こんにちは、プラットフォーム サポート チームの加藤です。 AD FS の自動証明書ロールオーバー機能についてご案内します。   (a) ご案内の目的 (b) 対象の AD FS (c) 自動証明書ロールオーバー機能とは (d) 想定されるリスク (e) 対処策 (f) 補足   (a) ご案内の目的 AD FS の自動証明書ロールオーバー機能が動作することで、連携をしていただいているサービス (RP・IdP) によりましては運用に影響を及ぼす可能性がございます。 そのため、多くのお客様に正しく AD FS の自動証明書ロールオーバー機能をご理解いただけますよう、その一助となればと思いまして本ご案内にて情報の提供を行わせていただくことになりました。   (b) 対象の AD FS 本ご案内の対象となる AD FS は以下になります。   Windows Server 2008 R2 の AD FS 2.0 Windows Server 2012 の…

0

ネットワークドライブ上に新規ファイルを作成するとエラーになる

こんにちは、プラットフォーム サポート チームの前島です。 本記事では Windows 8 / Windows Server 2012 以降の OS にて、ネットワーク ドライブ上にファイルをコピーした場合に以下のエラーになる現象の事例を紹介致します。 現象 Windows 8 / Windows Server 2012 以降の  OS  を SMB クライアントとして利用している場合、エクスプローラーでネットワーク ドライブ上にファイルをコピーした際に「場所が利用できません」のエラーが発生する場合があります。 この現象は、ネットワーク ドライブ経由で共有フォルダにアクセスした場合にのみ発生し、なおかつネットワーク ドライブを割り当てた共有のルート フォルダ (例えば X: ドライブを \\server\share\X に割り当てた場合の \\server\share) のアクセス権を編集している環境で発生する可能性があります。 原因 エクスプローラーでは、共有フォルダ内に新規ファイルをコピーする際に、共有のルート フォルダ に対してボリュームの空き容量などのチェックを行います。 共有のルート フォルダにこのチェックを行うために必要なアクセス権が設定されていないと、前述のエラー メッセージが表示されファイル コピーに失敗します。 回避策 この現象が起きた場合は共有のルート フォルダに設定したアクセス権をご確認ください。 エクスプローラーが共有のルート フォルダ に対して、ボリュームの空き容量などのチェックを行う場合は以下のアクセス権が必要となります。もしこれらのアクセス権が付与されていない場合は後述の手順でアクセス権の付与を行うことで本事象は回避可能となります。 ・フォルダーの一覧/データの読み取り ・拡張属性の読み取り ・アクセス許可の読み取り 設定手順  ファイル…

0

ファイル共有とシンボリックリンクの利用について

こんにちは Windows プラットフォームでネットワークを担当している堀之内です。 今回はファイル共有とシンボリック リンクの利用について取り上げたいと思います。     1.シンボリックリンクについて この機能は Windows 2000 の NTFS で導入された、「リパース ポイント」と呼ばれる機能を使って実現されている機能です。 mklink コマンドを使用して、以下のように C:\ 以下のフォルダへ、D:\ 以下に存在するフォルダをリンクさせることができます。     2.シンボリック リンクの作成方法 この機能を使用して、共有しているフォルダ内に別の共有 (ローカル or リモート問わず) へのリンクを作ると、ユーザー側ではアクセス先を変更せずに参照先を変更する事が出来ます。 以下のコマンド例は、別のサーバーで共有しているフォルダへのリンクを作成した際の例です。   この例で使用した C:\Share フォルダは、\\w2008r2-002\Share として共有されています。 この \\w2008r2-002\Share フォルダ以下に、\\w2008r2-003\Share 以下で共有されている DataFolder をリンクさせた例となります。 ※同様の手順で、ローカル コンピューターで共有している別のファイル/フォルダも、リンク先として指定できます。     3.アクセス元 (クライアント) での注意点 注意点として、アクセス元であるクライアント コンピューターでも設定が必要なことが挙げられます。 上記のシンボリック リンク設定だけが完了している状態では、DataFolder 以下のファイルを参照する事ができません。 これは、リモートからリモートへのシンボリック リンク解決が「クライアント上で」無効に設定されているために発生するエラーです。…

0

2016/11/17 更新:「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある

こんにちは、プラットフォーム サポート チームの高田です。   2016 年 8 月 9 日にリリースされた、「MS16-101: Windows 認証のセキュリティ更新プログラム」について情報をおまとめしました。 MS16-101: Security update for Windows authentication methods: August 9, 2016 https://support.microsoft.com/en-us/kb/3178465 (英語) https://support.microsoft.com/ja-jp/kb/3178465 (日本語) 現在、MS16-101 の動作は、MS16-137 により変更されています。 詳細については、MS16-137 のページもしくは以下の記事を参照いただければと思います。   「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」(2016 年 11 月 9 日) を適用すると一部シナリオを除き NTLM でのパスワード変更が再度可能となる   MS16-101 の動作と影響 上記更新プログラムを適用すると、下記のメッセージが表示されユーザー パスワードの変更が失敗する現象が生じる場合があります。いずれも、0x800704F1 (ERROR_DOWNGRADE_DETECTED) エラーに対応するメッセージです。 セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。 The system detected a…

0

大量のローカル ユーザーが存在する場合にログオン画面がハングする場合がある

こんにちは、プラットフォームサポートチームの高田です。 本日は、大量のローカル ユーザーが存在する場合にログオン画面がハングする場合があるという現象についてお知らせします。   お客様によっては、ドメインに参加していないワーク グループ環境でファイル サーバーなどを利用し、サーバー上に大量のローカル ユーザーを作りサービスを提供している場合があります。この場合、ユーザーがそのワーク グループのサーバーにアクセスすると、ユーザー ID とパスワードが求められ、認証後にサービスが利用可能となります。もしくは、アクセスしてきたユーザーとサーバー上のローカル ユーザー アカウントが同じユーザー ID およびパスワードを保持している場合は、パススルー認証により認証ダイアログなくアクセス可能です。 運用上の理由により、このようにワーク グループ環境に大量のローカル ユーザーを作成している場合、そのサーバーに管理者がローカルログオンしようとすると、ログオン画面がハングアップする報告があります。具体的には、数百を超えるローカル ユーザー アカウントが存在する状態で現象が報告されています。また特に、サーバー管理者がリモート デスクトップ接続した後、直接マシンにローカル ログオンしようとした際に事象が起こりやすい報告があります。 対象 OS は以下のとおりです。 Windows Server 2012 および 2012 R2 Windows 8 および 8.1   事象が発生すると以下のような画面が表示されます。状況により表示は異なりますが、ユーザーのアイコンやテキスト ボックスが表示されないこともあります。このような画面が表示された際、矢印 (戻る) ボタンを押下しても無反応な状態となります。 この後、3 分が経過すると自動的に画面がユーザーの一覧表示に戻ります。しかし、再度ユーザーを選択しても、同じように画面の一部が非表示ならびに無応答となり、ローカル ログオンできません。ワーク グループ環境のログオン画面ではローカル ユーザーを列挙する動作があり、この時ユーザーが大量に存在すると、内部的に処理に時間を要してこのようにハングアップしたような状況が生じます。   この場合、恐れ入りますが、以下のいずれかの対応を実施いただければと思います。 当該サーバーをドメイン参加させる (以下の対処と同じようにログオン画面の表示方法が変化し事象が解消されます。) [対話型ログオン : 最後のユーザー名を表示しない] ポリシーを構成する   2 点目のポリシーを構成するには、以下の手順を実施ください。 対象のサーバーに管理者権限を持つアカウントでログオンします。…

0