証明機関の CA 証明書の書き換えについて

こんにちは。Windows プラットフォーム サポートの馬場です。 AD CS サービスで構築した CA サーバーの CA 証明書の更新の動作についてお問い合わせいただくことがございます。 そのため、今回はメッセージの意味と選択肢における動作の違いについて紹介いたします。   <目次> CA 証明書の書き換えについて CA 書き換え時のオプション 対処策後の動作     1 . CA 証明書の書き換えについて Windows OS で提供されている “Active Directory 証明機関サービス” で証明機関を構築すると、CA 証明書には有効期間が設定されます。 CA 証明書の有効期限を更新されたい場合は [証明機関] の管理コンソールより [CA 証明書の書き換え] から有効期限の延長を行うことができます。 また、CA 証明書を書き換えるシナリオとして、CA の証明書の有効期間を延長する以外に、CA 証明書のキーペアとなる秘密キーが漏洩する等、セキュリティ上の理由から行う場合もございます。 先ずは、CA 証明書の秘密キーが漏えいすることのリスクについてご説明をします。 秘密キーは、証明機関で発行する証明書に付与するデジタル署名に利用されます。 そのため、以下の図の通り、秘密キーが漏洩してしまうと悪意を持った第三者が証明書を偽造することができます。 証明書のデジタル署名の検証には信頼している CA 証明書が使用されますが、同じ秘密キーを用いて署名しているため、一般のユーザーは正規の証明書と偽造された証明書を見分けることができません。 そのため、偽造された証明書も正当な証明書として信頼してしまう恐れがあります。   偽造された証明書を使うと悪意を持った第三者は、社内ネットワークに不正に入りこんだり、不正な Web サーバーを構築して悪用することも可能です。…

0

Windows 10 version 1803 から version 1809 にアップグレードするとビルトイン Administrator が無効化される

現在、Windows 10 version 1803 をご利用されている方で、version 1809 にアップグレードをご検討されている方がいらっしゃいましたら、意図せずビルトイン Administrator アカウントが無効化されてしまう問題が報告されていますので、ご注意いただけますようお願い申し上げます。 この問題は以下の条件がともに成り立つ時に、Windows 10 version 1803 から version 1809 にアップグレードすると発生することが分かっています。 // 本問題の発生条件 * ビルトイン Administrator アカウントが有効である。 * 他にも Administrators 権限を持っているアカウントが存在している。 現在弊社ではこの問題の解決に向けて取り組んでおり、現時点では 2019 年 1 月下旬に修正プログラムをリリースすることを目標としています。 そのため、もし修正プログラムがリリースされる前にアップグレードする必要がある場合には、お手数ですが予めビルトイン Administrator 以外の管理者権限を持つユーザーで確実にサインインができることを確認してから、アップグレードをご実施ください。 また、既にアップグレードを実施してしまい、ビルトイン Administrator が無効化されてしまったお客様におかれましては、恐れ入りますが一旦ビルトイン Administrator 以外の管理者権限を持つユーザーでサインインし、ビルトイン Administrator を有効化していただけますようお願いいたします。

0

Appidcertstorecheck.exe が大量に起動する問題について

こんにちは。Windows サポート チームの依田です。 今回は、ある特定の条件下で、Appidcertstorecheck.exe というプロセスが大量に起動してしまう問題についての原因と対処策についてご案内します。     ============================== ■ 事象概要と事象が発生した時の影響 ============================== Windows 10 / Windows Server 2016 端末にて、ある特定の条件下で、上の図の様に Appidcertstorecheck.exe というプロセスが大量に起動してしまう事象が発生することがあります。 このプロセスが大量に起動することで、対象端末のメモリが逼迫し、システムに影響を及ぼす可能性があります。   ============================== ■ 事象発生原因と対処策の概要 ============================== Appidcertstorecheck.exe は、Applocker と呼ばれるアプリケーションの実行を制御する為の OS の機能が、証明書のチェックを行う際に呼び出される実行ファイルです。 今回の Appidcertstorecheck.exe が大量に起動してしまう事象は、後述の “事象の発生条件” に合致している環境下で、証明書の検証時にクライアントからインターネット上のサイト “http://ctldl.windowsupdate.com” に公開されている ”Pinrulesstl.cab” という名前のファイルにアクセスが出来ないことが原因で発生します。 その為、結論としては、”Pinrulesstl.cab” をクライアントが参照できるようにすることで事象は解消されます。   ============================== ■ 事象の発生条件 ============================== ・ OS バージョンが Windows 10 / Windows Server…

0

Windows 10 のバージョンアップを行った際にファイアウォールの許可規則が削除されてしまう

皆様、こんにちは。Windows プラットフォーム サポートです。 今回は Windows 10 のバージョン アップを行った際にファイアウォールの許可規則が削除されてしまうという事例を紹介します。 [現象] Windows 10 のバージョンアップを行った際にファイアウォールの許可規則が削除されてしまう場合があります。 [原因] アプリケーション パッケージに対するファイアウォールの規則をカスタマイズし、その規則がアプリケーション パッケージの通信を許可するうえで不完全な規則と判断した場合に削除されます。この動作は想定された動作です。 例としてリモート デスクトップを取り上げます。リモート デスクトップ アプリケーション パッケージへのファイアウォール許可規則は下図のように “リモート デスクトップ – シャドウ (TCP 受信)”, “リモートデスクトップ – ユーザー モード (TCP 受信)”, “リモート デスクトップ – ユーザー モード (UDP 受信)” の 3 個のファイアウォール規則にて構成されます。一部の規則を無効化していても使い方によっては問題なくリモート デスクトップ接続が可能ですが、リモート デスクトップ アプリケーション パッケージに対する通信許可規則としては 3 個すべての規則が有効化されている必要があり、一部が無効化されていた場合には不完全と判断されます。     不完全と判断されていることは [許可されたアプリ] から確認することが出来ます。下図はリモート デスクトップ アプリケーション…

0

モバイル ブロードバンド接続 (LTE 等) の ”自動接続を抑止する” 手順について

皆様、こんにちは。Windows プラットフォーム サポート担当の永谷です。 今回はモバイル ブロードバンド接続 (LTE 等) の “自動接続を抑止する” 手順を紹介します。   – 対象の環境 Windows 10 v1607 (RS 1) 以降の OS にてモバイル ブロードバンド接続をご利用頂いている環境 今回の Blog では、弊社サポート部門へのお問合せも数多くお寄せいただいておりますモバイル ブロードバンド接続の自動接続設定を [無効] にする設定をご案内致します。 自動的にモバイル ブロードバンド接続が行われてしまう動作を抑止したいお客様は是非お役立てください。   =============================== 設定方法 =============================== 下記レジストリ値を端末に設定いただくことでモバイル ブロードバンド接続が “自動的に接続すること” を抑止することが可能です。 – レジストリ: キー : HKLM\Software\Policies\Microsoft\Windows\WwanSvc\GroupPolicy 名前 : DisableWwanAutoConnect 種類 : REG_DWORD 値 : 1   (補足) ・レジストリ…

0

2018 年 9 月 11 日の更新プログラムを Hyper-V ホストに適用すると、NLB ユニキャストモードの仮想マシンが通信不可となる

こんにちは。Windows プラットフォーム サポートです。 2018 年 9 月 11 日公開の更新プログラムを適用すると、以下の問題が発生することが判明しましたので、本 Blog で問題の内容と対応策をご案内します。   [ 問題の概要 ] 2018 年 9 月 11 日公開の更新プログラムを Hyper-V ホストに適用後、NLB ユニキャストモードを構成している仮想マシンを再起動すると、その仮想マシンへの通信ができなくなります。 ※ NLB マルチキャストモードまたは IGMP マルチキャストモードを利用している仮想マシンは影響ありません。 ※ Hyper-V 以外の仮想化環境は影響ありません。   [ 対象 OS ] この現象は、現在サポートしているすべての OS バージョンで発生します。   [ 原因 ] Hyper-V ホストで MAC アドレス スプーフィング機能が動作しなくなることで発生します。   仮想マシンで NLB をユニキャストモードで構成している場合、本来は仮想マシン上のネットワークアダプタの MAC アドレスが…

0

Windows Hello における多要素のロック解除について

こんにちは。Windows サポートチームの矢澤です。 今回は RS3 (1709) から新しく実装された Windows Hello の多要素認証についてご紹介します。 詳細は以下の公開情報に記載されておりますが、わかりにくい点もありますのでこちらの blog にて補足します。

0

ドメインコントローラ(DC)の正常性の確認方法について

こんにちは。Windowsプラットフォームサポートの大鳥です。 今回は、「ドメインコントローラ(以下DC)の正常性の確認について」をご紹介していきたいと思います。DCを降格させたり、DCに昇格させたりと動作をさせていく上で、実際にDCが正常に降格されているのか、またはDCへ正常に昇格されているのか確認したいですよね。DC正常性の確認の手順を下記にお纏めいたしました。   ================================================== DCの正常性を確認する方法 ================================================== <作業の流れ> (1) AD データベースの複製状況の確認 (2) SYSVOL、NETLOGON 共有の確認 (3) ドメイン コントローラーの正常性の確認 (4) 各種イベント ログの確認   <詳細な手順> —————————————- (1) AD データベースの複製状況の確認 —————————————- コマンド プロンプトにて repadmin /showrepl コマンドを実行し、Active Directory データベースの複製にエラーが無いことを確認します。 また、グローバル カタログ サーバーの場合は “DSA OPTIONS: IS_GC” という項目があることを確認します。   > repadmin /showrepl   出力結果例) ————– Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています Default-First-Site-Name\DC02…

0