2019/01/16

1 月のセキュリティ パッチで RDP 認証エラー(7/2008/2008R2、修正パッチあり、説明なし)

Windows 7、Windows Server 2008 R2、Windows Server 2008 向けの 1 月のセキュリティ パッチにローカル Administrators グループに属するローカル アカウントがネットワーク共有(フォルダーやプリンター)にリモートから接続できないという問題があり、1/11(日本では1/12) に修正パッチのダウンロード提供が行われましたが...

どうやらこの問題、リモート デスクトップ接続にも影響するようです。

RDP 接続しかできない Azure VM だと泣いちゃうかも(PowerShell Remoting とか別の接続方法を用意しとかないと)。

次のような環境において、リモート デスクトップ接続すると、上のような認証エラー「ローカル セキュリティ機関にアクセスできません...パスワードの有効期限が切れていることが原因である可能性があります...」で接続不能に(↑は Windows 7)。


・リモート デスクトップ接続が有効
・ネットワーク レベル認証(NLA)を要求(セキュリティのために推奨される構成)
・ローカル Administrators グループのメンバーとなっているローカル アカウント
・ビルトイン Administrator ではない(Windows 7 では Administrator は既定で無効)
・ドメイン アカウントではない(未確認)

もちのろんのこと、パスワードの有効期限は切れてなんかいない。

以下、Windows Server 2008 SP2 の場合。ビルトイン Administrator だと接続できるけど、他の Administrators メンバーでは接続できない。


ネットワーク共有の問題を解決する 1/11 の修正パッチ(Windows 7 の場合は KB4487345)をインストールすると、この問題は解消。ほら。

NLA を要求しない構成にすることでも対処できますが、セキュリティ低下につながるため、決してお勧めしません。


1/16 現在、リモート デスクトップ接続に影響するなんて、以下のどのサポート情報にも書かれていない。

Windows 7 SP1 および Windows Server 2008 R2 SP1 の問題のパッチ
January 8, 2019-KB4480970 (Monthly Rollup)(自動配布対象)
https://support.microsoft.com/en-us/help/4480970/
January 8, 2019-KB4480960 (Security-only update)(Microsoft Update Catalog のみ)
https://support.microsoft.com/en-us/help/4480960/

Windows Server 2008 SP2 の問題のパッチ
January 8, 2019-KB4480968 (Monthly Rollup) (自動配布対象)
https://support.microsoft.com/en-us/help/4480968/
January 8, 2019-KB4480957 (Security-only update)(Microsoft Update Catalog のみ)
https://support.microsoft.com/en-us/help/4480957/

修正パッチ(ネットワーク共有問題だけでなく、RDP 問題も解消)
Description of the update for Windows 7 SP1 and Windows Server 2008 R2: January 11, 2019 (Microsoft Update Catalog のみ)
https://support.microsoft.com/en-us/help/4487345/
Description of the update for Windows Server 2008 SP2: January 11, 2019 (Microsoft Update Catalog のみ)
https://support.microsoft.com/en-us/help/4487354/

修正パッチは現状、Microsoft Update Catalog でのみ提供中。1 月の C または D リリースのプレビュー パッチに累積される予定。→ 1/18 に C リリースのプレビュー パッチ(KB4480955、KB4480974)出てました。これに累積されているはず(ただし、上のパッチで直しちゃったので未確認、こちら↓によると含まれてるってさ)。

2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる
https://blogs.technet.microsoft.com/jpntsblog/2019/01/10/2019_1b_ntlm/
(1/18 最後の更新、いつの間にか当初なかった下線部がタイトルと記事に追加されてました)

1 件のコメント:

Unknown さんのコメント...

自分だけかと思いましたが、タイミング上 WindowsUpdate が原因かと疑っていました。もっと騒がれているかと思いましたがそうでもないんですかね・・・。