Windows 更新プログラムにより、CVE-2022-21857 の新しい NTLM パススルー認証保護が追加されました
元の KB 番号: 5010576
CVE-2022-21857 の保護を含む 2022 年 1 月 11 日以降の Windows 更新プログラムをインストールすると、ドメイン コントローラー (DC) は、ドメインまたはフォレストの信頼を介して信頼ドメインによって送信される NTLM パススルー認証要求、またはセキュリティで保護されたチャネル信頼経由で読み取り専用ドメイン コントローラー (RODC) によって送信される NTLM パススルー認証要求に対して新しいセキュリティ チェックを適用します。 新しいセキュリティ チェックでは、認証されるドメインまたはクライアントが使用されている信頼に適している必要があります。 具体的には、使用されている信頼の種類に適したセキュリティ チェックでは、次の要件が満たされていない場合、NTLM パススルー認証要求が拒否されます。
- ドメイン信頼に対する要求では、信頼するドメインと同じドメイン名を使用する必要があります。
- フォレスト信頼に対する要求では、信頼するフォレストのメンバーであり、他のフォレストからの名前の競合がないドメイン名を使用する必要があります。
- RODC によって転送される要求では、RODC が以前にシークレットをキャッシュする権限を持っているクライアント名を使用する必要があります。
ドメインとフォレストの信頼の検証をサポートするために、各フォレストのルート ドメインのプライマリ ドメイン コントローラー (PDC) が更新され、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリが定期的に発行されます。 各信頼フォレスト内のすべてのドメイン名 ("信頼スキャン" と呼ばれる) に対して、クエリは 8 時間ごとに発行されます。 これらのドメイン名は、対応する信頼されたドメイン オブジェクト (TDO) の属性に msDS-TrustForestTrustInfo 格納されます。
前提条件
更新プログラムによって新しい信頼スキャン動作が追加されると、信頼されたフォレストの PDC から信頼するフォレストへの LDAP アクティビティ トラフィック、認証、承認をブロックするものはすべて問題を引き起こします。
- ファイアウォールを使用する場合は、信頼された PDC と信頼ドメイン DC の間で TCP ポートと UDP ポート 389 を許可する必要があります。また、信頼を操作するための通信 (名前解決、NTLM の RPC、Kerberos の場合はポート 88) も許可する必要があります。
- 信頼されたフォレストの PDC には、信頼ドメイン DC に対して認証を行うネットワーク ユーザー権限 からこのコンピューターにアクセス する権限も必要です。 既定では、"認証済みユーザー" には、信頼されたドメイン PDC を含むユーザー権限があります。
- 信頼されたドメインの PDC には、構成 NC 内の信頼するフォレスト パーティション コンテナーと子オブジェクトに対する十分な読み取りアクセス許可が必要です。 既定では、"認証済みユーザー" にはアクセス権があります。これは、呼び出し元の信頼されたドメイン PDC に適用されます。
- 選択的認証が有効になっている場合、信頼されるフォレストの PDC には、信頼するフォレストを保護するために、信頼するフォレスト DC コンピューター アカウントに対する 認証を許可 するアクセス許可が付与されている必要があります。
信頼するフォレストで信頼されたフォレストが信頼情報のクエリを実行できない場合、信頼するフォレストは NTLM リレー攻撃の危険にさらされる可能性があります。
たとえば、フォレスト A はフォレスト B を信頼し、フォレスト C はフォレスト B を信頼します。フォレスト A がフォレスト B のルート ドメインからの認証または LDAP アクティビティの許可を拒否した場合、フォレスト A は、悪意のあるフォレストまたは侵害されたフォレスト C からの NTLM リレー攻撃の危険にさらされます。
新しいイベント
次のイベントは CVE-2022-21857 の保護の一部として追加され、システム イベント ログに記録されます。
Netlogon サービス関連のイベント
既定では、Netlogon サービスは警告とエラー条件のイベントを調整します。つまり、要求ごとの警告またはエラー イベントはログに記録されません。 代わりに、概要イベント (Netlogon イベント ID 5832 と Netlogon イベント ID 5833) は、NTLM パススルー認証に対して 1 日に 1 回ログに記録されます。この更新プログラムで導入された新しいセキュリティ チェックによってブロックされるか、管理者が構成した除外フラグが存在するためにブロックされている必要がありますが、許可されている必要があります。
Netlogon イベント ID 5832 または Netlogon イベント ID 5833 のいずれかがログに記録され、詳細が必要な場合は、次のレジストリ パスでREG_DWORD値を 0 に設定 ThrottleNTLMPassThroughAuthEvents して、イベント調整を無効にします。
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
注:
この設定は、システムまたはサービスの再起動なしですぐに有効になり、グループ ポリシー オブジェクト (GPO) の制御下にありません。
| Netlogon イベント ID | イベント メッセージ テキスト | Notes (メモ) |
|---|---|---|
| 5832 | Netlogon サービスでは、最新のイベント調整期間中に、信頼されたドメインやフォレストからの 1 つ以上の安全でないパススルー NTLM 認証要求を許可しました。 これらの安全でない要求は通常ブロックされますが、現在の信頼構成により続行が許可されていました。 警告: 安全でないパススルー認証要求を許可すると、Active Directory フォレストが攻撃対象に公開されます。 この問題の詳細については、 を参照 https://go.microsoft.com/fwlink/?linkid=276811してください。管理オーバーライドが原因で許可されるセキュリティで保護されていない要求の数: <Count Number> |
この警告イベントは、管理者が構成した除外フラグがあるために許可された安全でないパススルー認証の数をログに記録します。 |
| 5833 | Netlogon サービスは、最新のイベント調整期間中に、信頼されたクライアント、ドメイン、フォレストからの 1 つ以上の安全でないパススルー NTLM 認証要求をブロックしました。 詳細なログ記録を有効にする方法など、この問題の詳細については、 を参照 https://go.microsoft.com/fwlink/?linkid=276811してください。セキュリティで保護されていない要求の数がブロックされました: <カウント番号> |
この警告イベントは、ブロックされた安全でないパススルー認証の数をログに記録します。 |
| 5834 | Netlogon サービスは、信頼されたクライアント、ドメイン、またはフォレストからの安全でないパススルー NTLM 認証要求を許可しました。 この安全でない要求は通常ブロックされますが、現在の信頼構成により続行が許可されました。 警告: 安全でないパススルー認証要求を許可すると、Active Directory フォレストが攻撃対象に公開されます。 この問題の詳細については、 を参照 https://go.microsoft.com/fwlink/?linkid=276811してください。アカウント名: <アカウント名> 信頼名: <信頼名> 信頼の種類: <信頼の種類> クライアント IP アドレス: <クライアント IP アドレス> ブロック理由: <ブロック理由> リソース サーバーの Netbios 名: <Resource Server Netbios 名> リソース サーバーの DNS 名: <リソース サーバーの DNS 名> リソース ドメイン Netbios 名: <リソース ドメイン Netbios 名> リソース ドメイン DNS 名: <リソース ドメイン DNS 名> |
この警告イベントは、Netlogon イベントの調整が無効になっている場合にのみログに記録されます。 管理者が構成した除外フラグのために許可された特定のパススルー認証要求がログに記録されます。 |
| 5835 | Netlogon サービスは、信頼されたクライアント、ドメイン、またはフォレストからの安全でないパススルー NTLM 認証要求をブロックしました。 詳細については、 を参照 https://go.microsoft.com/fwlink/?linkid=276811してください。アカウント名: <アカウント名> 信頼名: <信頼名> 信頼の種類: <信頼の種類> クライアント IP アドレス: <クライアント IP アドレス> ブロック理由: <ブロック理由> リソース サーバーの Netbios 名: <Resource Server Netbios 名> リソース サーバーの DNS 名: <リソース サーバーの DNS 名> リソース ドメイン Netbios 名: <リソース ドメイン Netbios 名> リソース ドメイン DNS 名: <リソース ドメイン DNS 名> |
この警告イベントは、Netlogon イベントの調整が無効になっている場合にのみログに記録されます。 ブロックされた特定のパススルー認証要求がログに記録されます。 |
ローカル セキュリティ機関 (LSA) 関連のイベント
注:
これらのイベントは調整されません。
| LSA イベント ID | イベント メッセージ テキスト | Notes (メモ) |
|---|---|---|
| 6148 | PDC は、エラーのないすべての信頼に対する自動信頼スキャン操作を完了しました。 詳細については、 を参照してください https://go.microsoft.com/fwlink/?linkid=2162089。 |
この情報イベントは、8 時間ごとに定期的に表示される予定です。 |
| 6149 | PDC は、すべての信頼の自動信頼スキャン操作を完了し、少なくとも 1 つのエラーが発生しました。 詳細については、 を参照してください https://go.microsoft.com/fwlink/?linkid=2162089。 |
この警告イベントは、特に 8 時間ごとに表示される場合に調査する必要があります。 |
| 6150 | PDC は、エラーなしで信頼 '<信頼名>' の管理者が要求した信頼スキャン操作を完了しました。 詳細については、以下を参照してください。 https://go.microsoft.com/fwlink/?linkid=2162089. |
この情報イベントは、管理者がコマンドレットを使用して PDC 信頼スキャナーを手動で呼び出すタイミングを netdom trust <Local Forest> /Domain:* /InvokeTrustScanner 追跡するために使用されます。 |
| 6151 | PDC は、スキャンする指定された信頼 '<信頼名>' を見つけることができませんでした。 信頼が存在しないか、受信または双方向の信頼ではありません。 詳細については、 を参照してください https://go.microsoft.com/fwlink/?linkid=2162089。 |
この警告イベントは、管理者が不適切なフォレスト名を使用して PDC 信頼スキャナーを手動で呼び出すタイミングを追跡します。 |
| 6152 | PDC は、信頼 '<信頼名>' の管理者が要求した信頼スキャン操作を完了し、エラーが発生しました。 詳細については、 を参照してください https://go.microsoft.com/fwlink/?linkid=2162089。 |
この警告イベントは、管理者がコマンドレットを実行 netdom trust <Local Forest> /Domain:* /InvokeTrustScanner して (すべての信頼に対して) PDC 信頼スキャナーを手動で呼び出し、操作が失敗したタイミングを追跡します。 |
| 6153 | PDC で名前付き信頼をスキャンしようとしてエラーが発生しました。 信頼: <信頼名>エラー: <エラー メッセージ>詳細については、 を参照 https://go.microsoft.com/fwlink/?linkid=2162089してください。 |
この警告イベントは、前のイベントを補完し、エラー コードを含みます。 これは、8 時間ごとに発生するスケジュールされた信頼スキャン中にログに記録されます。 |
エラー に関連するイベントの一部にエラー コードが含まれている場合は、さらに調査するためにトレースを有効にする必要があります。
Netlogon ログと LSA ログ記録の機能強化
Netlogon のログ記録 (%windir%\debug\netlogon.log) と LSA ログ (lsp.log) が更新され、更新プログラムの機能強化がサポートされます。
Netlogon ログ記録を有効または無効にする (netlogon.log)
Netlogon ログを有効にするには、次のコマンドを実行します。
nltest /dbflag:2080ffff調査後に Netlogon ログを無効にするには、次のコマンドを実行します。
nltest /dbflag:0
PowerShell を使用して LSA ログ記録 (lsp.log) を有効または無効にする
LSA ログ記録を有効にするには、次のコマンドレットを実行します。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x1820000 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForceLSA ログを無効にするには、次のコマンドレットを実行します。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
reg.exe を使用して LSA ログ記録 (lsp.log) を有効または無効にする (PowerShell を使用しない従来のオペレーティング システムの場合)
LSA ログ記録を有効にするには、次の reg コマンドを実行します。
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x1820000 /fLSA ログを無効にするには、次の reg コマンドを実行します。
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V LspDbgInfoLevel /t REG_DWORD /d 0x0 /f
nltest.exe ツールと netdom.exe ツールの機能強化
この更新プログラムの機能強化をサポートするために、 nltest.exe ツールと netdom.exe ツールが更新されます。
Nltest.exe の機能強化
nltest.exe ツールは、次のコマンドを使用して、msDS-TrustForestTrustInfo信頼されたドメイン オブジェクトの属性内のすべてのレコードを照会して表示できます。
nltest.exe /lsaqueryfti:<Trusting Forest Name>
出力の例を次に示します。
C:\Windows\System32>nltest.exe /lsaqueryfti:contoso.com
TLN: contoso.com
Dom: contoso.com
Scan: contoso.com Sid:(null) Flags:0x0
The command completed successfully
注:
出力の "スキャン" という用語は、PDC 信頼スキャナー操作中に保持される新しい "スキャナー" レコードの種類を指します。
Netdom.exe の機能強化
netdom.exe ツールは、新しい PDC 信頼スキャナー操作を開始し、信頼するフォレスト内の特定の信頼ドメインまたは特定の子ドメインのセキュリティ チェック除外フラグを設定できます。
PDC 信頼スキャナー操作を開始します。
信頼しているすべてのフォレストに対して、次のコマンドを実行します。
netdom trust <Local Forest> /Domain:* /InvokeTrustScanner特定の信頼フォレストの場合は、次のコマンドを実行します。
netdom trust <Local Forest> /Domain:<Trusting Forest> /InvokeTrustScanner注:
このコマンドは、ローカル フォレストの PDC でローカルに実行する必要があります。
このコマンドは、操作のみを開始できます。 結果を確認するには、新しい LSA イベントのシステム イベント ログを調び、必要に応じて LSA トレースを有効にします。
失敗した NTLM パススルー認証の調査
注:
これらの手順を実行する前に、「 前提条件 」セクションの説明に従って、構成が要件を満たしていることを確認してください。
基本的な手順を次に示します。
関連するすべての DC で Netlogon と LSA のログ記録を有効にします。
問題を再現します。
Netlogon と LSA のログ記録を無効にします。
netlogon.log ファイルで次の用語をSearchし、エラーを説明するログ エントリを確認します。
- "LsaIFilterInboundNamespace"
- "NlpValidateNTLMTargetInfo"
- "NlpVerifyTargetServerRODCCachability"
- "ResourceDomainNameCollidesWithLocalForest"
lsp.log ファイルの "LsaDbpFilterInboundNamespace" という用語をSearchし、エラーを説明するログ エントリを確認します。
注:
フォレスト信頼の認証に失敗した場合は、新しい nltest.exe オプションを使用して、PDC 信頼スキャナーによって永続化されたすべての新しいレコードをダンプします。
失敗した PDC 信頼スキャナー操作の調査
注:
これらの手順を実行する前に、「 前提条件 」セクションの説明に従って、構成が要件を満たしていることを確認してください。
基本的な手順を次に示します。
PDC で LSA ログ記録を有効にします。
特定の信頼スキャナー操作の場合、このトレースは TRACE_LEVEL_LSP_FOREST_SCANNER フラグに制限される場合があります。
新しいnetdom.exe機能を使用して問題 を
/InvokeTrustScanner再現します。LSA ログ記録を無効にします。
"fail" または "failed" という用語のlsp.log ファイルをSearchし、ログ エントリを確認します。
信頼スキャナーは、次の理由で失敗する可能性があります。
パーティション コンテナーにアクセス許可がありません。
DC 間とメンバーと DC の間で必要なファイアウォール ポートが開いていません。 ファイアウォール ポートを次に示します。
- UDP+TCP/389
- TCP/88
- UDP+TCP/53
問題の軽減策
ドメイン名の競合、構成の誤り、または予期しない状況によって認証が失敗した場合は、問題を軽減するための競合を防ぐために、衝突するドメインの名前を変更します。
RODC セキュリティで保護されたチャネル信頼に対する認証が失敗した場合は、軽減方法がないため、この問題について Microsoft サポートにお問い合わせください。
PDC 信頼スキャナーが失敗した場合、軽減策は特定のコンテキストに依存します。 たとえば、信頼されたフォレスト内の DC には、信頼するフォレストの構成名前付けコンテキスト (NC) に対する LDAP クエリアクセス許可が付与されません。 軽減策は、アクセス許可を付与することです。
よく寄せられる質問 (FAQ)
Q1: PDC 信頼スキャナーの頻度は構成できますか?
A1: いいえ。
Q2: 新しいフォレスト信頼の作成時に PDC 信頼スキャナーが自動的に呼び出されますか?
A2: いいえ。 管理者は、必要に応じて手動で呼び出すことができます。それ以外の場合、新しいフォレストは次の定期的な間隔でスキャンされます。
Q3: 新しいスキャナー レコードはドメイン管理者によって変更できますか?
A3: はい。ただし、推奨またはサポートされていません。 スキャナー レコードが予期せず作成、変更、または削除された場合、PDC 信頼スキャナーは次回実行されたときに変更を元に戻します。
Q4: NTLM が環境で使用されていないことを確認します。 この動作を無効にする方法
A4: 一般に、新しい動作をオフにすることはできません。 RODC 固有のセキュリティ検証を無効にすることはできません。 ドメイン信頼ケースまたはフォレスト信頼ケースのセキュリティ チェック除外フラグを設定できます。
Q5: この更新プログラムをインストールする前に構成を変更する必要がありますか?
A5: 多分。 「 前提条件」 セクションの説明に従って、構成が要件を満たしていることを確認します。
Q6: この更新プログラムを有効にするには、特定の順序で DC にパッチを適用する必要がありますか?
A6: パッチ適用順序のすべてのバリエーションがサポートされています。 新しい PDC 信頼スキャナー操作は、PDC にパッチが適用された後にのみ有効になります。 修正プログラムが適用されたすべての DC は、RODC 制限の適用を直ちに開始します。 修正プログラムが適用された非 PDC では、PDC に修正プログラムが適用され、msDS-TrustForestTrustInfo 属性に新しいスキャナー レコードの作成が開始されるまで、NTLM パススルー制限は適用されません。 パッチが適用されていない DC (PDC 以外) は、新しいスキャナー レコードが存在すると無視されます。
Q7: フォレストはいつセキュリティで保護されますか?
A7: すべてのドメインのすべての DC にこの更新プログラムがインストールされると、フォレストはセキュリティで保護されます。 PDC 信頼スキャナーが少なくとも 1 つの正常な操作を完了し、レプリケーションが成功すると、フォレストの信頼はセキュリティで保護されます。
Q8: 信頼するドメインまたはフォレストを制御しません。 フォレストのセキュリティを確保するにはどうすればよいですか?
A8: 前の質問を参照してください。 フォレストのセキュリティは、信頼しているドメインまたはフォレストの修正プログラムの状態に依存しません。 すべてのお客様が DC にパッチを適用することをお勧めします。 さらに、「 前提条件」 セクションで説明されている構成を変更します。
関連情報
特定の技術的な詳細の詳細については、次を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示