IC カード(スマートカード)を用いたログインについて

こんにちは、プラットフォームサポートです。 今回は、IC カード (スマートカード) を用いたログインについてお知らせいたします。   IC カードを用いてインターネット サイトへのログインや、コンピュータへのログインを行う際、その IC カードの PIN コード (Personal Identification Number: 個人識別番号) を入力し、ログインを行う場合があります。このログインでは、IC カードの紛失や盗難等、不正な IC カードの利用に備え、PIN コード入力の誤りが一定回数以上発生しますと、一時的に IC カードの利用を停止させるようロックする機能が同時に組み込まれていることが一般的です。 ただし、通常の利用では問題は発生いたしませんが、PIN コードを入力する際に改行キー (Enterキー) が押下され続けたり、連続的に入力した場合には、PIN コードの入力が連続的に実行されたと判断され、PIN コード入力の誤りが一定回数以上発生した時と同様に、IC カードのロックやログインエラーに至る場合があります。 技術的な詳細につきましては、下記にてご説明申し上げますが、PIN コード入力時のキー連続押下などにつきましては、想定していない入力であるためご注意ください。   現象の説明 SSL 認証 (注釈 1) 時など、Microsoft Base Smart Card Cryptographic Service Provider (以下 BaseCSP (注釈 2)) が表示するスマートカードの PIN 認証テキスト ボックスにおいてキーを連続押下した場合、当該キーから手を放した場合でも、キーを長押ししていた秒数に応じて Enter…

0

KB3200970 適用後にインターネット接続が失敗する現象と、対処方法について

問題の概要 Windows Update により KB3200970 の更新プログラムを適用後、インターネット接続ができなくなる問題が発生することがあります。 この問題は、Windows 10 バージョン 1607 で KB3200970 を適用して以降、OS 再起動を実施していないコンピューターで発生します。 この問題が発生すると、ネットワーク アダプターの IP アドレスが意図せず APIPA (169.254.x.x の範囲の IP アドレス) となり、ネットワーク通信ができない状態となります。   原因 KB3200970 の更新プログラムを適用して以降、OS 再起動をしていない等、いくつかの条件によって CDPSVC サービスが停止することで、IP アドレスの取得に失敗します。   解決方法 本問題を修正する更新プログラム KB3206632 (2016/12/14 に公開) を適用します。   タイトル : December 13, 2016—KB3206632 (OS Build 14393.576) URL : https://support.microsoft.com/en-us/help/4004227/windows-10-update-kb3206632   更新プログラムの適用方法は、以下をご参照ください。 a. Windows…

0

AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。 トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。 自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。 ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. セカンダリのトークン署名/トークン暗号化解除証明書を作成 2. 証明書利用者信頼 (Office 365) の証明書情報を更新 3. セカンダリのトークン署名/トークン暗号化解除証明書をプライマリに昇格 4. Active Directory…

0

AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成 それぞれの詳細を後述致します。 —————————————————————- 1. 証明書の取得 —————————————————————- ご利用になる認証機関から SSL…

0

FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。 今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。   1. PDC エミュレーターの時刻同期について ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。 このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。 多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。   2. FSMO の役割を転送する場合の注意 PDC エミュレーターは、FSMO の役割のひとつです。 FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。 このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。   設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。 英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。 “It’s Simple!” ? Time Configuration in Active Directory https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/   なお、時刻の同期は、前述の通り、PDC…

0

ドメイン コントローラーのコンピューター名の変更における注意事項について

こんにちは。Windows プラットフォーム サポートの馬場です。 今回は、過去に名前変更を行ったことがあるドメイン コントローラーが含まれている、ドメイン環境における注意点についてご案内します。 OS のバージョン アップによるドメイン コントローラーの移行作業等で、ドメイン コントローラーのコンピューター名を変更することがあるかと思います。 以下の公開情報でも紹介されている通り、ドメイン コントローラーのコンピューター名を変更した際に、AD データベースにある SYSVOL の複製を行うための FRS メンバー オブジェクトの名前は、新しい名前に応じて変更されず、元のコンピューター名のままのオブジェクトとなります。 タイトル: Windows Server 2003 ドメイン コントローラの名前を変更するには SYSVOL メンバ オブジェクトの名前を変更する必要がある URL: https://support.microsoft.com/ja-jp/kb/316826 公開情報に記載されている通り、FRS メンバー オブジェクトの名前が元のコンピューター名のままであると、各ドメイン コントローラーは複製を行うメンバーの情報を正しく保持できないため、その後の移行作業等で SYSVOL の複製に失敗するといった影響がでる可能性があります。 そのため、ドメイン コントローラーの名前を変更した後は FRS メンバー オブジェクトの名前を、ADSI エディターを使用して手動で変更する必要があります。(手順は後述) なお上述の KB316826 には記載はありませんが、この事象は、Windows Server 2003 以降の以下の OS でも同様に発生します。 Windows Server 2008 / Windows Server…

0

権限のある DNS サーバーからの Upward Referral 応答

こんにちは、Windows プラットフォーム サポート チームの高田です。 今回は、Microsoft Windows DNS, DHCP and IPAM Team のブログ “Upward Referral Responses from Authoritative DNS Servers” (2015 年 9 月 3 日 米国時間公開) を翻訳した記事です。   DNS サーバーの挙動で広く議論されるものの 1 つとして、自身が権限を持たない (自身で保持しないゾーン) に対する名前解決要求を受けた場合の応答が挙げられます。2012 R2 以前の Windows DNS サーバーでは、再帰問い合わせが無効化されている場合、Upward Referral 応答 としてルート ネーム サーバーの一覧を返していました。この挙動により、攻撃者が DNS サーバーにランダムなクエリを送信した場合に、何倍ものサイズの応答を生成させる (増幅させる) ことができるため、攻撃者によって悪用される可能性があります。この何倍ものサイズの応答を生成させる (応答内容を増幅させる) 攻撃による影響は Windows Server 2016 の DNS サーバーで追加された…

0

許可する最小の DHE キーの鍵長のサイズ変更の影響について

こんにちは、Windows プラットフォーム サポートの馬場です。 今回は、2016 年 7 月のWindows 更新プログラムの適用後に、一部の Web サーバー等の SSL/TLS サーバーに接続に失敗する問題について紹介します。 なお、今回紹介する問題は、更新プログラムに含まれる不具合ではなく、セキュリティを強化したために発生する事象であり、対処策を実施いただくとクライアント側のセキュリティ レベルが下がることになる点についてご理解ください。 なお、SSL/TLS サーバーが Windows OS であり、IIS などをご利用の環境では発生しない問題となりますので、ご安心ください。   どのような問題なのか ? Web サーバーへの HTTPS 通信など、TLS を用いてサーバーに接続することがあると思います。 クライアント PC に Windows 更新プログラムの適用以前には正常に接続できていたサイトでも、適用後に接続できなくなったという事象について何件かお問い合わせをいただいております。 この問題は、以下の 2 つの修正プログラムでの動作変更により、1024 ビット未満の DHE 鍵を使用する Web サーバーへ TLS 通信を試みた場合、接続が拒否されるという事象です。 タイトル : [MS15-055] Schannel の脆弱性により、情報漏えいが起こる (2015 年 5 月 12 日) URL…

0