Windows 10 Windows Server Windows Update 情報

2020年11月のKerberos認証問題の修正パッチが提供

2020年11月20日

本記事について

本記事は、2020年11月のKerberos認証における問題の修正パッチについて記載したものです。

概要

企業のネットワーク環境において、ドメイン コントローラー (DC) および読み取り専用ドメイン コントローラー (RODC) にをインストールした後、11月のWindows Updateを適用すると、Kerberos 認証の問題が生じていることが報告されています。
これは、脆弱性である「CVE-2020-17049」に関する修正が原因です。脆弱性を修正するための「 PerformTicketSignature」のレジストリ設定値がありますが、問題が発生する可能性があります。

本不具合を修正したパッチは以下の通りです。

Windows 10 1809、Windows Server 2019 -KB4586839 (OS ビルド 17763.1613)

ハイライト

  • デバイスがタブレット モードのときに、Chromium Edge ブラウザーがバックグラウンドで開く問題を更新
  • 特定のエラー状況でハード ドライブがいっぱいとなる問題を修正
  • USB 3.0 ハブの問題を修正

更新された内容

  • Internet Explorer の [情報] ダイアログ を更新して、標準のモダン ダイアログを使用
  • デバイスがタブレット モードのときに、Chromium Edge ブラウザーがバックグラウンドで開く問題を修正
  • 特定のエラー状況でハード ドライブが満杯となる問題を修正
  • USB 3.0 ハブに関する問題を修正
  • イベント転送サブスクリプションの更新にwecutil ss /c:コマンドを使用すると、発生する不具合を修正
  • Windows Defender アプリケーション コントロールが動的なコード生成に関連するイベントを生成する原因となる問題を修正
  • ロック画面の "Pin を忘れた" 機能が失敗する問題を修正
  • 起動時にシステムが動作しなくなる問題を修正
  • 条件付きアクセス ポリシー エラーが原因で、Google Chrome ブラウザーを使用して Azure アクティブ ディレクトリ (AD) にアクセスできない問題を修正
  • グループ ポリシー セキュリティ設定を編集するときに Microsoft 管理コンソール (MMC) のグループ ポリシー アプリケーションが動作を停止する問題を修正
  • システムの非ページ プールを解放できず、システムの再起動が必要な問題を修正
  • エンドポイントの Microsoft Defender での高いメモリと CPU 使用率を分散させる
  • 分散ファイル システム レプリケーション (DFSR) サービスが応答を停止する原因となる Microsoft リモート プロシージャ コール (RPC) ランタイムの問題を修正
  • クライアントからの DHCP 要求パケットで、動的ホスト構成プロトコル (DHCP) サーバーがリンク選択情報 (DHCP オプション 82、サブオプション 5) を無視する問題を修正
  • PDF24 アプリ 9.1.1 が.txtファイルを開けなくなる問題を修正
  • 仮想プライベート ネットワーク (VPN) シナリオ上のリモート デスクトップ プロトコル (RDP) で、非ページ プール メモリ リークが発生する問題を修正
  • コンテナー シナリオでファイルをコピーする際に.sys bindfltでメモリ リークが発生する可能性がある問題を修正
  • Active Directory 証明書サービス (AD CS) が有効になっている場合に証明書の透過性 (CT) ログが送信されないようにする問題を修正
  • ターミナル サービス (termsrv.dll) のアイドル タイムアウト設定の実装に失敗する問題を修正
  • ユーザー データグラム プロトコル (UDP) レート コントローラ機能の問題を修正し、リモート デスクトップ サービス (ターミナル サービス) が断続的に動作を停止する原因となる問題を修正
  • 不正な標準ディスプレイ ドライバー (CDD) のバッファーのフラッシュの問題を修正

確認されているエラー

症状①

KB4493509をインストールした後、アジア言語パックがインストールされているデバイスに”0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND” というエラーが表示される

①の回避策

①最近追加した言語パックをアンインストールして再インストールします。手順については、「Windows 10 での入力言語と表示言語設定の管理」を参照してください。
②「更新プログラムの確認」を選択し、2019 年 4 月の累積的な更新プログラムをインストールします。手順については、「Windows 10 の更新」を参照してください。

※言語パックを再インストールしても問題が軽減されない場合は、次のように PC をリセットします。

①「設定」 アプリー「回復」に移動します。
②「この PC回復のリセット」オプションの下にある 「開始」を選択します。
③「ファイルを保持する」を選択します。

Windows 10 1607、Windows Server 2016 KB4594441 (OS ビルド 14393.4048) 

ハイライト

更新された内容

2020 年 11 月 10 日の Windows 更新プログラムの一部であったCVE-2020-17049の PerformTicketSignature レジストリ サブキー値に関連する Kerberos 認証に関する問題を修正

  • Kerberos サービス チケットとチケット保証チケット (TGT) は、Windows Kerberos 以外のクライアントの場合、1 (既定値) に設定されている場合に更新されないことがあります。
  • スケジュールされたタスク、クラスタリング、基幹業務アプリケーションのサービスなど、ユーザー向けサービス (S4U) は、PerformTicketSignature が 0 に設定されている場合、すべてのクライアントで失敗する可能性があります。
  • 中間ドメインの DC が一貫して更新されず、「PerformTicketSignature」 が 「1」 に設定されている場合、クロスドメイン シナリオでのチケットの参照中に S4UProxy 委任が失敗します。

確認されているエラー

症状①

KB4467684をインストールした後、グループ ポリシー “パスワードの長さ NERR_PasswordTooShort” が 14 文字を超えるグループ ポリシーが構成されている場合、クラスタ サービスはエラー “2245 (NERR_PasswordTooShort)” で起動できないことがあります。

①の回避策

ドメインのデフォルトの「パスワードの長さ」ポリシーを14文字以下に設定します

おまけ:2020年12月のオプション更新プログラムはなし

2020年12月はMicrosoft 社にとって、お休み、かつ2021年にも近いため、オプションの更新プログラム配信を停止することを決定したとのことです。

重要:祝日と西暦の新年のため、2020年12月のプレビューリリースはありません。毎月のサービスは、2021年1月のセキュリティリリースで再開されます。

https://support.microsoft.com/en-us/help/4586781/windows-10-update-kb4586781 

更新履歴

2020年11月20日 初版作成

参考URL

-Windows 10, Windows Server, Windows Update, 情報
-, , , , , , ,