SCVMM における CredSSP 脆弱性対策の影響について

こんにちは、日本マイクロソフト System Center Support Team の三輪です。

 

本日は、SCVMM において、SCVMM における CredSSP の影響についてご案内致します。

 

SCVMM では、Hyper-V ホストとの通信や処理にて CredSSP と呼ばれる認証プロトコルを利用しております。

例えば、”ホストの情報更新” ジョブでも CredSSP が利用されます。

このため、Hyper-V サーバーにて CredSSP が無効化されている場合は SCVMM に対して応答ができず、”要注意” のステータスとなることが想定されます。

また、ホスト上の仮想マシンは ”ホストが応答しません” のステータスとなります。

 

この CredSSPについて、脆弱性が確認されており、対策として各オペレーティングシステム向けに 3 月の時点で更新プログラムが公開されております。

この対策に対して、5 月に提供された更新プログラムでは対策済みのモジュールの既定の接続方法が変更されます。

以下弊社エンジニア Blog では、リモートデスクトップ接続への影響をご案内しておりますが、同じく CredSSP を利用する SCVMM についても同様に影響が発生します。

 

- 2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響

：https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/

 

例えば、SCVMM サーバーに対して、5月度の更新プログラムを適用し、Hyper-V サーバー側に対して 3月より前の更新プログラムの適用とすると、

SCVMM コンソール上で、対象の Hyper-V サーバーがすべて “要注意” 状態となり、仮想マシンは “ホストが応答しません” 状態となります。

 

上記 Blog の通り、SCVMM サーバーと Hyper-V サーバー両方に5 月度の更新プログラムを適用する、

接続元である SCVMM サーバー側で以下の様にレジストリの設定を行う等にて問題を回避することが可能です。

 

<上記Blog抜粋>

4-2. リモート デスクトップ接続元 (クライアント) での回避策 2

リモートデスクトップ接続元にて以下レジストリを手動もしくは REG ADD コマンドで追加いただくことでも回避策 1 と同様の効果が得られます。

 

レジストリ パス : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

値 : AllowEncryptionOracle

データの種類 : DWORD

値 : 2

 

REG ADD コマンドで追加いただく場合には以下のコマンド ラインとなります。

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

※再起動は不要です。