「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」(2016 年 11 月 9 日) を適用すると一部シナリオを除き NTLM でのパスワード変更が再度可能となる

こんにちは、プラットフォーム サポート チームの高田です。   今回は「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」について情報をお知らせいたします。 MS16-137: Description of the security update for Windows authentication methods: November 8, 2016 https://support.microsoft.com/en-us/kb/3198510 (英語) https://support.microsoft.com/ja-jp/kb/3198510 (日本語) 上記の更新プログラムには先月更新されました MS16-101 の動作をさらに変更する更新が含まれております。MS16-101 により影響を受けたお客様は、本記事をご一読いただけますと幸いです。MS16-101 については、以下の記事も参照ください。   2016/10/19 更新:「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある   MS16-137 の概要 上記更新プログラム MS16-137 は、特権の昇格に関する脆弱性を修正します。攻撃者がこの脆弱性を悪用した場合、特権のないユーザー アカウントの権限を管理者に昇格させる可能性があります。また攻撃者は、NTLM のパスワード変更要求を操作するように特別に細工されたアプリケーションをローカルで実行することにより、特権を昇格させようとする可能性があります。MS16-137 を適用することで、これらの問題が解消します。   MS16-137 で行われた動作変更 MS16-137 では、当初 MS16-101 で実装された「パスワード変更時に Kerberos…

0

Windows 10 でパスワードに空白のパスワードが設定される場合がある

皆さま、こんにちは。 今回は、Windows 10 で特定の条件下でパスワードの変更を求められた時、正常に新しいパスワードを指定できない事象についてと、その回避策についてご紹介いたします。   どのような問題なのか 下記の前提条件が適用されている端末にて、自身のユーザーアカウントのプロパティの [ユーザーは次回ログオン時にパスワードの変更が必要] にチェックを入れた場合、あるいは、ログオン中にパスワードの有効期限が切れた場合、その後のログオン時に正常にパスワードの変更が行えず、自身のアカウントに空白のパスワードが設定されます。 また、画面に表示されるパスワード変更の案内文と実際に表示される画面が異なるという不具合が Windows 10 にあります。   前提条件 以下の 1  あるいは 2 の条件を満たす場合に本事象が発生することが確認されています。 以下のA, B の両条件を満たしている場合 A. グループ ポリシーの [コンピューターの構成] – [管理用テンプレート] – [システム] – [ログオン] 配下の [ユーザーの簡易切り替えのエントリ ポイントを非表示にする] が “無効” に設定され、端末に適用されている B. グループ ポリシーの [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [ローカル ポリシー]  – [セキュリティ オプション] 配下の「対話型ログオン:最後のユーザー名を表示しない」が “有効” に設定され、端末に適用されている…

0

マイクロソフトのパスワードに関するガイダンス

こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおりです。   1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない) 非常に長いパスワード要件 (10 文字以上) を強要すると、ユーザーは攻撃者から予測しやすいパスワードを設定する可能性があります。例えば、16 文字のパスワード長を要件として設定した場合、ユーザーは fourfourfourfour や passwordpassword など、とにかく要件を満たすために簡単なパスワードを設定するかもしれません。 また、長いパスワードを要件とすると、すべてのパスワードが最低要件より数文字だけ長いものになる傾向を生みます。この結果として攻撃者は長さを絞り込むことが可能になります。さらに、長いパスワードが要求されると、ユーザーはパスワードを紙に書いたり、別のアカウントにも使ったりと、そのほかにも望ましくない行動をしがちです。   2. 文字の組み合わせ (複雑さ) に関する要件を廃止する パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。 ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。   3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする 定期的なパスワード変更も、メリットよりもデメリットの方が大きいです。このポリシーがあることで、ユーザーは、連続性のある言葉や数字をつかうようになり、攻撃者は現在のパスワードから次の新しいパスワードを予測しやすくなります。定期的なパスワード変更は長らくセキュリティ上の良いプラクティスと言われていましたが、攻撃者に対しても効果はなく、反対にユーザーの望ましくない行動を招きやすくなります。   4. わかりやすい一般的なパスワード使うことを禁止する…

0

複雑さの要件を満たす必要があるパスワードについて

  こんにちは。Windows サポート チームの戸室です。 今回はパスワードの複雑さの要件における注意事項について紹介します。 このポリシーを有効化した場合、パスワードの作成時や変更時に複雑さの要件を満たせなければ、パスワードを登録することができません。 既定の状態は以下のようになります。 – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – ドメイン コントローラーの場合: 有効 スタンドアロン サーバーの場合: 無効 ** ドメイン内のメンバー コンピューターは、既定で Default Domain Policy に複雑さの要件が有効化されております。 – – – – -…

0