マイクロソフト セキュリティ情報 MS15-011 - 緊急 > グループ ポリシーの脆弱性により、リモートでコードが実行される (3000483)
[URL] https://technet.microsoft.com/ja-jp/library/security/MS15-011
この更新プログラムは、Windows に UNC Hardened Access という新しいポリシーを追加するもので、グループポリシーの脆弱性を解決するにはグループポリシー関連のスクリプトや実行ファイルが配置される NETLOGON 共有と SYSVOL 共有に対して、UNC Hardened Access を構成する必要があります。具体的には、ドメイン レベルのグループ ポリシー オブジェクトで以下のポリシーを有効化して...
コンピューターの構成\ポリシー\管理用テンプレート\ネットワーク\ネットワーク プロバイダー\強化された UNC パス
次の 2 つの UNC パスに対して、相互認証と整合性の確認を要求するようにします。
\\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1
\\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
Windows Server 2003 に対しては MS15-011 の更新プログラムは提供されません。もちろん、Windows XP も。これらのバージョン以前は、グループポリシーの脆弱性を抱えたままということ。
「強化された UNC パス」ポリシーで構成できる RequireMutualAuthentication は Kerberos 認証の相互認証の検証、RequireIntegrity は SMB 署名による整合性の検証、RequrePrivacy は SMB 暗号化 (SMB 3.0 以上が必要) の検証を行うもの。このポリシーを設定したからといって、相互認証や SMB 署名、SMB 暗号化のオン/オフが行われるわけではありません。ですので、ドメイン内に Windows Server 2003 や Windows XP Professional のメンバーがいたとしても、このポリシーの設定で NETLOGON 共有や SYSVOL 共有にアクセスできなくなることは決してありません。
「強化された UNC パス」ポリシーは任意の UNC パスに対して設定できますが、旧バージョンの Windows や NAS デバイス、あるいは Kerberos 相互認証を利用できないワークグループ構成の共有に対して設定してしまうと、その UNC パスに接続できなくなることがあるので要注意。例えば、SMB 暗号化に対応していない Windows Server 2003 (2008、2008 R2 でも) の共有に対して RequirePrivacy = 1 を設定したり、NTLM 認証しか使用できない共有に RequreMutualAuthentication = 1 を設定すると、Windows Vista/2008 以降のドメイン メンバーからこれらの共有に対するアクセスは拒否されます。
詳しくは、以下のサポート技術情報とブログを参照してください。
[MS15-011] グループ ポリシーの脆弱性により、リモートでコードが実行される (2015 年 2 月 10 日)
[URL] https://support.microsoft.com/kb/3000483/ja
TechNet Blogs > Security Research and Defense Blog > MS15-011 & MS15-014: Hardening Group Policy
[URL] http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx
2/23 追記)
TechNet Blogs > 日本のセキュリティチーム > マイクロソフト セキュリティ情報 MS15-011「グループ ポリシーの脆弱性により、リモートでコードが実行される」適用ガイド (Active Directory 環境をご利用のお客様のみ対象)
[URL] http://blogs.technet.com/b/jpsecurity/archive/2015/02/20/ms15-011-deployment-guide.aspx
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。