セキュリティ パッケージの登録とインストールに関する制限事項

受信トレイ セキュリティ パッケージ (Kerberos や NTLM など) の削除、置換、または折り返しは、Windows ではサポートされていません。2017 年 1 月 10 日の時点では、この操作は禁止されています。 サード パーティのセキュリティ パッケージ (SSP/AP) を追加できます。ただし、Windows では、事前構成済みの SP/AP の削除はサポートされていません。 具体的には、 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages レジストリ設定の編集はサポートされていません。

Windows 8.1以降、追加機能を提供したいお客様は、レジストリ設定 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Registering SSP/AP DLL) と、関連するレジストリ設定 SecurityProviders (セキュリティ サポート プロバイダーの作成とインストール) を使用して、セキュリティ パッケージを追加できます (該当する場合)。 さらに、セキュリティ パッケージの目的は、セキュリティ サポート プロバイダー (SSP) または認証パッケージ (AP) の形式で使用できる新しいセキュリティ プロトコルを実装することです。 SSP の目的は、システムでまだサポートされていない 認証された接続、 メッセージの整合性、 およびメッセージ暗号化サービス を提供することです。一方、AP は、ユーザーのログオンを許可するかどうかを判断するために使用される新しい 認証ロジック を追加するために使用されます。

Microsoft は顧客のセキュリティに投資しており、SP や AP などの重要なプロセスがシステムから簡単に取り外されないようにしようとしています。 そのため、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages レジストリ設定は、Windows 8.1以降は変更されないように制限されていました。 サード パーティのセキュリティ パッケージを容易にするために、 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages をカスタム SSP/AP に対して指定された設定にしました。 さらに、Microsoft によって定義されたセキュリティ パッケージの範囲外にあるカスタム SSP/AP の機能は、このようなカスタム SSP/AP から削除し、受信トレイ セキュリティ パッケージは製品によって削除されないことをお勧めします。