2020年11月のWindows Updateを適用すると認証に問題あり

2020年11月のWindows Updateを適用すると認証に問題あり

本記事について

本記事は、2020年11月の更新プログラムを適用すると、Kerberos認証に問題が生じた件を記載したものです。
2020年11月の更新プログラムについては、こちらを参考にしてください。

概要

企業のネットワーク環境において、ドメイン コントローラー (DC) および読み取り専用ドメイン コントローラー (RODC) にをインストールした後、11月のWindows Updateを適用すると、Kerberos 認証の問題が生じていることが報告されています。
これは、脆弱性である「CVE-2020-17049」に関する修正が原因です。脆弱性を修正するための「 PerformTicketSignature」のレジストリ設定値がありますが、問題が発生する可能性があります。

対象

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

問題のある設定値

問題のあるレジストリ値は以下の内容です。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

値:0

値を 0 に設定すると、スケジュールされたタスク、クラスタリング、基幹業務アプリケーションなどのサービスを使用する場合に認証の問題が発生することがあります。

値:1

既定値の 1 を設定すると、Windows 以外のクライアントが Kerberos を使用して Windows ドメインに認証を行い、認証の問題が発生する可能性があります。

設定 1 を使用すると、11月のWindows Updateで更新された DC にて、 更新可能なはずのKerberosチケットを更新しようとしたクライアントは、Windows Server 2008 R2 SP1またはWindows Server 2008 SP2を実行しているDCから発行された場合、Kerberosチケットの更新に失敗します。

値を0 から 1 に変更すると、未処理の Kerberos チケットの問題が発生します。

既定値が 1 の場合、11月のWindows Updateを適用したDC、または Windows Server 2008 R2 SP1 または Windows Server 2008 SP2 にて、ドメイン間での信頼関係を構築している場合、認証の問題が発生します。

値:2

値を 2 に設定すると、強制モードという意味合いで、特定の種類の非準拠 Kerberos チケットを明示的に拒否するため、すべての DC が更新されない環境で問題が発生します。
また、Windows Server 2008 R2 SP1 または Windows Server 2008 SP2 を実行している DC が環境に含まれている場合は設定値2を利用しないことをMicrosoft社が推奨しています。

修正パッチ配信

修正パッチが2020年11月19日に配信されました。
詳しくはこちらを参考にしてください。

更新履歴

2020年11月17日 初版作成
2020年11月19日 修正パッチについて記載

参考URL