Microsoft セキュリティ情報 MS02-001 - 中

Trusting Doメインs Doメイン Membership of SID in Authorization Data

公開日: 2002 年 1 月 30 日 |更新日: 2003 年 5 月 9 日

バージョン: 1.3

投稿日: 2002 年 1 月 30 日
更新日: 2003 年 5 月 9 日

まとめ

このセキュリティ情報を読む必要があるユーザー: Microsoft® Windows NT® 4.0 または Windows® 2000 を使用する管理管理者はメインコントローラーを使用します。

脆弱性の影響: 特権の昇格。

推奨事項: システム管理者は、以下のセキュリティ情報とこの問題に関する技術的なホワイト ペーパーを確認し、必要に応じて doメイン コントローラーに SID フィルタリングを展開する必要があります。

影響を受けるソフトウェア:

• Microsoft Windows NT 4.0
• Microsoft Windows 2000

一般情報

技術詳細

技術的な説明:

Windows NT または Windows 2000 doメイン の間に信頼関係が作成されメインユーザーはメイン他の doメイン のリソースにアクセスできます。各操作に対して個別に認証する必要はありませんメイン。 信頼された doメイン のユーザーが信頼する do 内のリソースへのアクセスを要求するとメイン信頼された doメイン は、ユーザーの ID とグループ メンバーシップを示すセキュリティ識別子 (SID) の一覧の形式で承認データを提供します。 信頼はメインこのデータを使用して、ユーザーの要求を許可するかどうかを決定します。

信頼が行うメインが承認データ内のすべての SID に対して実際に信頼された操作メインが権限を持っていることを確認しないため、脆弱性が存在します。 一覧の SID の 1 つで、信頼された DO に含まれていないユーザーまたはセキュリティ グループが識別された場合メイン信頼する操作メインは情報を受け入れ、後続のアクセス制御の決定に使用します。 攻撃者が信頼できる do の承認データに任意の SID を挿入した場合メイン、信頼する doメイン 管理istrators グループを含め、任意のユーザーまたはグループに関連付けられているユーザーまたはグループに特権を昇格させることができますメイン。 これにより、攻撃者は信頼しているコンピューターで Doメイン 管理istrator の完全なアクセス権を取得メイン。

この脆弱性の悪用は困難であり、信頼できる doメイン に対する管理特権と、低レベルのオペレーティング システムの機能とデータ構造を変更するための技術的な権限が必要になります。

• Windows NT 4.0 には、承認データに追加の SID を追加できるメカニズムはありません。 この脆弱性を悪用するには、攻撃者がカスタム オペレーティング システム コンポーネントを開発してインストールし、SID を追加する必要があります。
• Windows 2000 には、SIDHistory と呼ばれる承認データに追加の SID を導入するためのメカニズムが用意されています。 ただし、攻撃者が管理者権限を持っていても、SIDHistory 情報に目的の SID を導入できるようにするプログラミング インターフェイスはありません。代わりに、攻撃者は SIDHistory 情報を保持するデータ構造のバイナリ編集を実行する必要があります。

Microsoft は、SID フィルタリングと呼ばれるメカニズムを開発しました。このメカニズムにより、脆弱性が排除され、信頼の間の保護がさらに強化メイン。 信頼する doメイン の doメイン コントローラーにインストールして有効にすると、SID フィルタリングにより、システムはすべての受信承認データを検査し、信頼された do で定義されているユーザーまたはセキュリティ グループを識別しない SID を削除メイン。

ただし、SID フィルタリング メカニズムの使用に関連するトレードオフがあります。 これらは、以下の FAQ と注意事項のセクションにまとめられています。詳細については、Microsoft サポート技術情報の記事Q289243と 、SID フィルタリングを使用する前に管理者に読むよう Microsoft が強くお勧めするテクニカル ホワイト ペーパー で説明します。 これは、ネットワークを Windows NT 4.0 から Windows 2000 に移行している管理者の場合に特に重要です。

軽減要因:

• 攻撃者は、この脆弱性を悪用するためにメイン信頼できる操作でメイン管理者特権を持っている必要があります。
• 攻撃者の操作メインは、ターゲットの操作メインまたはターゲットの操作によって既に信頼されている必要がありますメインの管理者は、新しい信頼関係の確立を承認する必要があります。 攻撃者が他の do と一方的に信頼関係を開始したりメイン攻撃者の操作を信頼させたりする機能はありませんメイン。
• 攻撃者はオペレーティング システムのコンポーネントとデータを変更する必要があります。

重大度の評価:

	インターネット サーバー	イントラネット サーバー	クライアント システム
Windows NT 4.0	低	中	なし
Windows 2000	低	中	なし

上記 の評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。 この脆弱性を利用するには、脆弱な doメイン と攻撃者が行っていた doメイン 管理者特権との間に信頼関係を確立する必要があります。それでも、攻撃者はシステムの実行中にオペレーティング システムの機能とデータ構造を変更する技術的な権限を持っている必要があります。

脆弱性識別子:CAN-2002-0018

テスト済みバージョン:

Microsoft は、Windows NT 4.0 と Windows 2000 をテストして、これらの脆弱性の影響を受けるかどうかを評価しました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

この脆弱性の範囲は何ですか?
これは特権昇格攻撃です。 攻撃者が doメイン に対してメイン管理者特権を持っていて、その doメイン が別の doメイン によって信頼されていた場合、攻撃者は管理者特権までメインメインに対する特権を取得する可能性があります。 この脆弱性の悪用は困難です。

• 攻撃者は、信頼できる操作を完全に管理する必要がありますメイン。
• この脆弱性は、攻撃者の doメイン と他のユーザーとの間に既存の信頼関係がある場合にのみ悪用される可能性があります。 攻撃者は自分で 1 つを確立することはできません。
• Windows NT 4.0 システムと Windows 2000 システムの両方で、攻撃者は低レベルのオペレーティング システムの機能とデータを変更するための技術的スキルを持っている必要があります。

ただし、この脆弱性に関連する最悪のケースは深刻であり、すべての Windows NT 4.0 および Windows 2000 管理者は、物理的および人的なセキュリティに関する考慮事項が十分なリスクを示している場合は、修正プログラムの展開を検討することをお勧めします。

この脆弱性の原因は何ですか?
この脆弱性の原因は、2 つの doメイン の間に信頼関係が存在する場合、信頼する doメイン は、信頼された DO によって提供される承認データ内で指定された SID を受け入れるからですメイン - SID が信頼されたタスク以外のメインからのものであっても。 信頼できる操作の攻撃者がメイン自分が選択した SID を承認データに挿入できた場合は、別の doメイン のユーザーに関連付けられた特権 (信頼の実行メイン自体を含む) を自分に付与できます。

信頼関係とは
信頼関係により、ある Windows NT または Windows 2000 のユーザーが認証されメイン別の do のリソースへのアクセスが許可メイン。 信頼関係には次の 2 つの当事者があります。

• 信頼の実行メイン(リソースの実行とも呼ばれますメイン。 これは、ファイル サーバーなどのリソースが配置されている doメイン です。
• 信頼できる操作メインは、アカウントと同じように認識メイン。 これは、ユーザー アカウントとセキュリティ グループが定義されている doメイン です。

アカウントはメインユーザーがログオンしてネットワーク サーバーに接続するときにユーザーを認証し、リソースに ID 情報を提供しますメインアカウントが正しくこれを行うにはメインこれを正しく行います。この理由からメインは通常、信頼の実行メインと呼ばれメイン通常は信頼できる do と呼ばれます。メイン。

SID とは
SID はセキュリティ識別子であり、Windows NT または Windows 2000 のユーザー アカウントまたはグループに関連付ける一意の識別値です。 SID は、認証をサポートし、アクセス制御を実装するために、Windows NT および Windows 20000 セキュリティ アーキテクチャで広く使用されています。

SID を使用してリソースへのアクセスを決定する方法
Windows NT と Windows 2000 では、リソースの所有者がアクセス制御リスト (ACL) を使用してアクセスを制御します。 ACL は、アクセス制御エントリ (ACE) のテーブルで構成され、それぞれが 1 つのユーザー アカウントまたはグループの SID と、リソースに対して持つアクセス許可を指定します。 ユーザーが保護されたリソースへのアクセスを要求するたびに、そのアカウントはメインユーザーを認証する要求を受け取ります。 このプロセス中に、アカウントはメイン承認データを生成し (ユーザーのアカウントと自分が属するすべてのグループの SID を一覧表示します)、応答の一部として送信します。 リソースをホストするマシンが応答を受信すると、承認データを使用してアクセス トークンが作成されます。 次に、トークン内の SID を ACL 内の SID と比較し、ユーザーが付与する権限を決定します。 例を示すために、次のシナリオを想定してみましょう。

• Doメイン A と Doメイン B という 2 つの doメイン 間に信頼関係が存在します。
• Doメイン B trusts Doメイン A.
• Joe は Doメイン A のユーザー アカウントを持ち、そこで販売グループのメンバーでもあります。
• Joe は、Doメイン A\Joe アカウントを使用してシステムにログインします。
• Joe は、Doメイン B のコンピューターでホストされているファイルにアクセスしたいと考えています。共有とファイル名は \\ServerB\projects\plans.txt です。
• plans.txtの所有者は、管理istrators グループのメンバーにフル コントロールを付与し、Doメイン A の Sales グループのメンバーに対する読み取りアクセスを許可し、Doメイン A のユーザー Joe への書き込みアクセスを許可する ACL を指定しました。

Joe がファイルを開こうとすると、Doメイン A の doメイン コントローラーの 1 つが、Joe を認証するために接続されます。 認証要求の処理中に、Joe は Sales グループのメンバーであるため、Doメイン A \Joe と Doメイン A\ Sales の SID を含む承認データが生成されます。 ServerB は、この承認データを受信すると、Joe がメンバーになっているローカル コンピューター グループの SID を追加し、アクセス トークンを構築します。 ServerB はこのトークンを使用して Joe を偽装し、ファイルを開きます。 ファイル システムは、トークン内の SID をファイルの ACL 内の SID と比較します。 ファイル システムは、Joe が Doメイン A \Sales グループのメンバーシップによって読み取りアクセス許可を持ち、Doメイン A \Joe であるために書き込みアクセス許可を持っていることを判断するため、ファイルに対する読み取りと書き込みの両方のアクセス許可を付与します。

承認データの受け入れ方法に何が問題がありますか?
信頼する Windows NT または Windows 2000 がメイン信頼できる do からの承認データを受け入れる方法に欠陥がありますメイン。 具体的には、信頼する doメイン は、一覧内の SID の一部が信頼できる SID から取得されている場合でもメインメインが権限を持たない場合でも、承認データを正しく受け入れます。

しかし、信頼は常に信頼メインの認証を受け入れるメインと述べました。 これは、そのステートメントに従っているように聞こえます。 問題は、信頼が行うことですメイン、この場合は信頼しすぎるということです。 設計上、信頼できる doメイン の認証を信頼する必要がありますが、信頼できる操作が優先されるアカウントに対してのみメイン。 信頼された doメイン は、他の doメイン に存在するアカウントに関するアサーションを作成することはできません。 この脆弱性により、信頼できる doメイン が他の操作に含まれるユーザーとグループに関するアサーションを作成メイン可能性があります。

明確にするために、この脆弱性は信頼できる機能メイン信頼している脆弱性にありますか?
この脆弱性は、信頼が承認データを使用メインメカニズムにあります。 信頼する操作メイン信頼する側がメイン信頼する権限を超えないようにする責任メイン付与します。 したがって、信頼する doメイン は、信頼された do によって提供されるすべての承認情報をチェックする必要がありますメイン。 信頼できる do メインに脆弱性はありません。

この脆弱性により、攻撃者は何を実行できるでしょうか。
攻撃者が信頼された doメイン で十分な特権を持っていて、doメイン コントローラーのセキュリティ サブシステムの動作を変更できる場合は、承認データに自分の選択した SID を挿入し、信頼するコンピューターに接続するときに特権を昇格させる可能性がありますメイン。 たとえば、上で説明したシナリオでは、Joe がファイルへの読み取りアクセス権のみを持っていたとします(plans.txt)。 Joe が承認データに SID を追加できた場合は、別の doメイン 内の別のグループのメンバー (Doメイン B/Doメイン 管理istrators など) として自分自身を識別できます。 これにより、plans.txtに対する追加の特権が付与されるだけでなく、Doメイン B のコンピューターを完全に制御することもできます。

認証データを変更するために攻撃者はどのような特権を必要としますか?
攻撃者は、信頼された do メインでメイン管理者特権を持っている必要があります。

しかし、攻撃者が管理者特権を持っている場合、すべてのベットはオフになります。 これは、セキュリティの第 6 の不変の法則ではありませんか?
実際には、この状況は、6 番目の 不変セキュリティ 法 ("マシンは管理者が信頼できるのと同じくらい安全です") を少し超えています。 マシンの管理者 (この場合は doメイン) が信頼できない場合は、実質的にセキュリティが確保されません。 ただし、損害は、管理者が権限を持つ doメイン に限定する必要があります。他の操作メインに制御を拡張することはできません。 この問題によって制御が拡張されるという事実により、これはセキュリティの脆弱性になります。

攻撃者が承認データを変更するのはどのくらい難しいでしょうか。
それは非常に難しいでしょう。 上で説明したように、この脆弱性は、攻撃者が信頼できる do から認証データに SID を導入メイン場合、信頼する doメイン がそれらを受け入れることを意味します。 ただし、この脆弱性に攻撃者がこれを行う方法は何もありません。 Windows NT 4.0 には、承認データに SID を追加するためのメカニズムがありません。 攻撃者は、このようなメカニズムを最初に実装し、システムにインストールした場合にのみ、この脆弱性を悪用する可能性があります。 これには、攻撃者が低レベルのオペレーティング システム コンポーネントを記述する技術的スキルと、コンポーネントを doメイン コントローラーにインストールするために必要な管理特権が必要です。 Windows 2000 には、SIDHistory と呼ばれる承認データに SID を追加するためのメカニズムが用意されています。 ただし、攻撃者が管理者特権を持っていても SIDHistory データを任意に操作できる機能がないため、これは最初に見えるほど簡単には悪用されません。 この脆弱性を悪用するには、攻撃者はそのような機能を実装するか、システムの実行中に低レベルのオペレーティング システムのデータ構造内でデータを操作する必要があります。

SIDHistory とは何ですか。また、その機能は何ですか?
SIDHistory は、Windows NT 4.0 doメインs から Active Directory へのユーザー アカウントの移行を支援するために Windows 2000 で導入されたメカニズムです。 通常、Windows NT 4.0 ネットワークが Windows 2000 に移行すると、Windows 2000 が提供する新しい効率を利用するために doメイン 構造が変更されます。 doメイン の数は通常減り、ユーザー アカウントは新しい大規模な doメイン に移行されます。 ユーザー アカウントが新しい do に移行されるとメインアカウントには新しい SID が割り当てられますが、既存のリソース上のすべての ACL は引き続きアカウントの古い SID を参照します。 その結果、アカウントが移行されたユーザーは、ネットワーク上のすべてのリソースにアクセスできなくなります。 たとえば、Joe の doメイン Doメイン A が NewDoメイン に移行されたとします。 NewDoメイン\Joe は Doメイン A\Joe とは異なる SID を持ち、NewDoメイン\Joe は Doメイン A\Joe と同じリソースにアクセスできません。 SIDHistory メカニズムは、Active Directory 内でユーザーの前の doメイン の SID を保持し、それを doメイン が生成する承認データに含めます。 そのため、NewDoメインが SIDHistory メカニズムと NewDoメイン\Joe が \\ServerB\projects\plans.txt へのアクセスを要求した場合、NewDoメイン は、NewDoメイン\Joe の SID だけでなく、そこに属していたグループだけでなく、Do の SIDメイン A\Joe も含む承認データを生成します。

SIDHistory 機能はセキュリティ リスクですか?
いいえ。 SIDHistory に欠陥はありません。 攻撃者が重要な技術的スキルを持ち、コンピューターを完全に管理している場合に、悪用される可能性のあるメカニズムにすぎません。

攻撃者は新しい SIDHistory データを自分用に追加できますか?
いいえ。 SIDHistory データの変更を可能にするシステム呼び出しと LDAP API のどちらも存在しません。 代わりに、攻撃者は独自のシステム呼び出しを実装するか、デバッガーを使用して SIDHistory データを保持するデータ構造の内容を変更する必要があります。

攻撃者はネットワーク上に不正な doメイン を設定し、ネットワーク内の他の doメイン に対する特権を自分自身に付与できますか?
マシンを独自にセットアップするだけではメイン攻撃者に他の操作メインに対する信頼は与えられません。 ただし、これにより、doメイン 管理者が他の doメイン との信頼関係を確立する際に十分に注意し、信頼できるメインのみを付与する必要性が強化されます。

この脆弱性の解決策は何ですか?
Microsoft は、この脆弱性を排除するために SID フィルタリングと呼ばれるメカニズムを開発しました。 SID フィルター処理が doメイン コントローラーに信頼する doメイン にインストールされ、特定の信頼された do に対して有効になっている場合メインは、信頼された do に対して "検疫" を確立する効果がありますメイン。 その後、信頼によってメイン チェックその信頼された do からのすべての受信承認データがメインされ、その信頼されていない SID が削除されます。 たとえば、SID フィルタリングが、前の例の Doメイン B の doメイン コントローラーにインストールされ、有効になっているとします。 Doメインメイン A\Joe、Doメイン A\Sales、Doメイン B\Doメイン 管理istrators の SID を含むアクセス トークンが Doメイン A から受信された場合、SID フィルターは Doメイン B\Doメイン 管理istrators の SID を削除しますメイン A はユーザーまたはグループに対して権限がありません。Doメイン B.

パッチがインストールされると、SID フィルタリングは既定で有効になっていますか?
いいえ。 以下で詳しく説明するように、SID フィルター処理は、特定の doメイン コントローラーでのみ有効にする必要があります。また、ネットワークへの影響を慎重に検討した後にのみ有効にする必要があります。 SID フィルター処理の有効化と構成の詳細については、Q289243マイクロソフト サポート技術情報の記事を参照してください。 ただし、大まかに言えば、Windows NT 4.0 では、SID フィルター処理が有効になり、レジストリ エントリ (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\QuarantinedDoメインs) を使用して構成され、Windows 2000 では NetDom コマンドを使用して有効になり、構成されます。

ネットワーク内のすべてのマシンで SID フィルター処理を有効にする必要がありますか?
いいえ。 doメイン を保護するには、doメイン コントローラーで SID フィルタリングを有効にする必要があります。 do 内のメンバー サーバーとワークステーションはメイン SID フィルタリングを使用したり実装したりしません。 ただし、保護する doメイン 内のすべての doメイン コントローラーで SID フィルター処理が有効になっていることを確認する必要があります。 実行メインコントローラー サーバーを見逃した場合、攻撃者がそのコンピューターを介してこの脆弱性を悪用する可能性があります。

WINDOWS 2000 ネットワーク内の同じフォレスト内メインに SID フィルター処理を適用できますか?
いいえ。 SID フィルター処理は、外部の信頼 (つまり、同じフォレスト内にない doメイン 間の信頼関係) にのみ適用する必要があります。 これにより、フォレストの適切な操作に不可欠なレプリケーションやその他の機能がブロックされるため、フォレスト内の信頼関係には適用しないでください。 doメイン が SID フィルタリングの適用を保証するのに十分に信頼できない場合は、実際にはフォレストのメンバーであるべきではありません。

SID フィルター処理の使用に関連する欠点はありますか?
はい。 SID フィルター処理は、do に属していないすべての SID を削除するだけで動作しメイン送信します。 これにより、すべての改ざんされた SID が効果的にスクリーン アウトされますが、単に元の SID から得られない正当な SID も除外メイン。 これが正当な操作を妨げる可能性がある 2 つのケースは次のとおりです。

• SIDHistory を使用して、リソースを再 ACLed できるようになるまで移行の影響を軽減するネットワーク移行。 SID フィルター処理により、SIDHistory メカニズムが検疫された doメイン で動作できなくなります。
• ユーザーのアカウントの外部で管理されるユニバーサル グループはメインします。

SID フィルタリングを展開する前に確認する必要があるその他の情報はありますか?
読むことをお勧めする特に便利な参照が 2 つあります。

• Active Directory での管理の委任に関する設計上の考慮事項。ここでは、Active Directory の管理とセキュリティの重要な概念について詳しく説明します。 このホワイト ペーパーでは SID フィルタリングについては説明しませんが、バックグラウンドでの読み取りは非常に便利です。
• SID フィルターを使用して特権攻撃の昇格を防ぎます。セキュリティの問題に関する技術的な詳細が提供されます。これには、上記で説明した欠点の詳細な説明や、SID フィルター処理を最も効果的に使用するための戦略が含まれます。 SID フィルタリングを展開する前に、すべてのシステム管理者にホワイト ペーパーを読んでもらうことを強くお勧めします。

パッチの可用性

このパッチのダウンロード場所

• Windows NT 4.0 Server および Windows NT 4.0 Server、Enterprise Edition:

  Windows NT 4.0 セキュリティ ロールアップ パッケージに含まれています。

• Windows NT 4.0 Server、ターミナル サーバー エディション:

  Windows NT Server 4.0、ターミナル サーバー エディション セキュリティ ロールアップ パッケージに含まれています。

• Windows 2000 Server と Advanced Server:

  この問題の修正プログラムは、Windows 2000 セキュリティ ロールアップ パッケージ 1 に含まれています

• Windows 2000 Datacenter Server:

  Windows 2000 Datacenter Server のパッチは、ハードウェア固有であり、元の機器の製造元から入手できます。

このパッチに関する追加情報

インストール プラットフォーム:

• Windows NT 4.0 セキュリティ ロールアップ パッケージは、Service Pack 6a を実行しているシステムにインストールできます。
• Windows 2000 セキュリティ ロールアップ パッケージ 1 は、Windows 2000 Service Pack 2 を実行しているシステムにインストールできます。

今後のサービス パックに含める:

• Windows 2000 の修正プログラムは、Windows 2000 Service Pack 3 に含まれます。 Windows NT 4.0 では、今後のサービス パックは計画されていません。

置き換えられたパッチ:

• Windows NT 4.0 セキュリティ ロールアップ パッケージは、次のセキュリティ情報に記載されているパッチよりも優先されます。
  • Microsoft セキュリティ情報 MS99-003。
  • Microsoft セキュリティ情報 MS99-019。
  • Microsoft セキュリティ情報 MS99-022。
  • Microsoft セキュリティ情報 MS99-029。
  • Microsoft セキュリティ情報 MS99-039。
  • Microsoft セキュリティ情報 MS99-046。
  • Microsoft セキュリティ情報 MS99-047。
  • Microsoft セキュリティ情報 MS99-053。
  • Microsoft セキュリティ情報 MS99-055。
  • Microsoft セキュリティ情報 MS99-056。
  • Microsoft セキュリティ情報 MS99-057。
  • Microsoft セキュリティ情報 MS99-058。
  • Microsoft セキュリティ情報 MS99-061。
  • Microsoft セキュリティ情報 MS00-003。
  • Microsoft セキュリティ情報 MS00-004。
  • Microsoft セキュリティ情報 MS00-005。
  • Microsoft セキュリティ情報 MS00-006。
  • Microsoft セキュリティ情報 MS00-007。
  • Microsoft セキュリティ情報 MS00-008。
  • Microsoft セキュリティ情報 MS00-018。
  • Microsoft セキュリティ情報 MS00-019。
  • Microsoft セキュリティ情報 MS00-021。
  • Microsoft セキュリティ情報 MS00-023。
  • Microsoft セキュリティ情報 MS00-024。
  • Microsoft セキュリティ情報 MS00-027。
  • Microsoft セキュリティ情報 MS00-029。
  • Microsoft セキュリティ情報 MS00-030。
  • Microsoft セキュリティ情報 MS00-031。
  • Microsoft セキュリティ情報 MS00-036。
  • Microsoft セキュリティ情報 MS00-040。
  • Microsoft セキュリティ情報 MS00-044。
  • Microsoft セキュリティ情報 MS00-047。
  • Microsoft セキュリティ情報 MS00-052。
  • Microsoft セキュリティ情報 MS00-057。
  • Microsoft セキュリティ情報 MS00-060。
  • Microsoft セキュリティ情報 MS00-063。
  • Microsoft セキュリティ情報 MS00-070。
  • Microsoft セキュリティ情報 MS00-078。
  • Microsoft セキュリティ情報 MS00-080。
  • Microsoft セキュリティ情報 MS00-083。
  • Microsoft セキュリティ情報 MS00-086。
  • Microsoft セキュリティ情報 MS00-091。
  • Microsoft セキュリティ情報 MS00-094。
  • Microsoft セキュリティ情報 MS00-095。
  • Microsoft セキュリティ情報 MS00-100。
  • Microsoft セキュリティ情報 MS01-003。
  • Microsoft セキュリティ情報 MS01-004。
  • Microsoft セキュリティ情報 MS01-008。
  • Microsoft セキュリティ情報 MS01-009。
  • Microsoft セキュリティ情報 MS01-017。
  • Microsoft セキュリティ情報 MS01-025。
  • Microsoft セキュリティ情報 MS01-026。
  • Microsoft セキュリティ情報 MS01-033。
• Windows 2000 セキュリティ ロールアップ パッケージ 1 は、次のセキュリティ情報に記載されている修正プログラムよりも優先されます。
  • Microsoft セキュリティ情報 MS00-077
  • Microsoft セキュリティ情報 MS00-079
  • Microsoft セキュリティ情報 MS01-004
  • Microsoft セキュリティ情報 MS01-007
  • Microsoft セキュリティ情報 MS01-011
  • Microsoft セキュリティ情報 MS01-013
  • Microsoft セキュリティ情報 MS01-015 (Windows 2000 SRP1 には、Windows 2000 に付属するバージョンであるため、IE のバージョン 5.01 の修正プログラムのみが含まれています)
  • Microsoft セキュリティ情報 MS01-024
  • Microsoft セキュリティ情報 MS01-025
  • Microsoft セキュリティ情報 MS01-026
  • Microsoft セキュリティ情報 MS01-031
  • Microsoft セキュリティ情報 MS01-033
  • Microsoft セキュリティ情報 MS01-035
  • Microsoft セキュリティ情報 MS01-036
  • Microsoft セキュリティ情報 MS01-037
  • Microsoft セキュリティ情報 MS01-040
  • Microsoft セキュリティ情報 MS01-041
  • Microsoft セキュリティ情報 MS01-043
  • Microsoft セキュリティ情報 MS01-044
  • Microsoft セキュリティ情報 MS01-046
  • Microsoft セキュリティ情報 MS01-052

修正プログラムのインストールの確認:

Windows NT 4.0:

• Windows NT 4.0 セキュリティ ロールアップ パッケージがコンピューターにインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Hotfix\Q299444。

• 個々のファイルを確認するには、サポート技術情報の記事のファイル マニフェストを参照してくださいQ299444

• コンピューターで SID フィルター処理が有効になっていることを確認するには、次のレジストリ キーが存在し、検疫する doメイン の NetBIOS 名が含まれていることを確認します。

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\QuarantinedDoメインs

Windows 2000:

• Windows 2000 セキュリティ ロールアップ パッケージ 1 がコンピューターにインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP3\SP2SRP1。

• 個々のファイルを確認するには、次のレジストリ キーで提供される日付/時刻とバージョン情報を使用します。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP3\SP2SRP1\Filelist

注意事項:

• このセキュリティ情報の最初のリリース以降、Windows 2000 セキュリティ ロールアップ パッケージ 1 に付属するものを含め、COM+ の複数のバージョンに影響するメモリ リークが見つかりました。 リークはセキュリティ リスクを構成するものではありませんが、一部の条件下では可用性に影響を与える可能性があります。 COM+ を使用しているお客様は、リークを排除する方法Q313582サポート技術情報の記事を参照してください。
• パッチをインストールするだけでは、SID フィルタリングは有効になりません。 SID フィルター処理を明示的に有効にし、検疫する doメイン を明示的に指定する必要があります。これについては、Microsoft サポート技術情報の記事Q289243およびQ289246で説明します。
• SID フィルター処理を有効にするには、保護を必要とする doメイン のすべての doメイン コントローラーで有効にする必要があります。
• Windows 2000 ネットワークで使用する場合、SID フィルター処理は外部の信頼 (つまり、異なるフォレスト内の doメイン 間の信頼関係) にのみ適用する必要があります。 これは、FAQ と、 ソリューションを展開する前にシステム管理者が十分に読むよう Microsoft が強く推奨する技術的なホワイト ペーパー で詳しく説明されています。
• SID フィルター処理は、do に属していないすべての SID を削除しメイン送信することで機能します。 これはすべての改ざんされた SID をスクリーンアウトしますが、単に元の SID から来ない正当な SID もスクリーン アウトしますメイン。 これにより、SIDHistory メカニズムを使用するネットワーク移行が妨げられるだけでなく、ユーザーのアカウントの外部で管理されるユニバーサル グループメインを妨げる可能性があります。

ローカライズ:

ローカライズされたバージョンの Windows NT 4.0 セキュリティ ロールアップ パッケージと Windows 2000 セキュリティ ロールアップ パッケージ 1 は、「このパッチのダウンロード場所」に記載されている URL から入手できます。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

• セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
• コンシューマー プラットフォームのパッチは、WindowsUpdate Web サイトから入手できます。

その他の情報:

受信確認

Microsoft は、この問題を報告し、お客様を保護するために Microsoft と協力していただき、次のお客様に感謝 します。

• Aelita Software (https://www.aelita.com)
• CMT Inc. および Loto-Québec の Michel Trépanier。

サポート:

• マイクロソフト サポート技術情報の記事Q311401、Q289243、Q289246でこの問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります。
• テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース: Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• V1.0 (2002 年 1 月 30 日): セキュリティ情報が作成されました。
• V1.1 (2002 年 4 月 24 日): Windows NT 4.0 Server、ターミナル サーバー エディションセキュリティ ロールアップ パッケージの可用性に関する情報を提供するように更新されました。
• V1.2 (2002 年 11 月 27 日): Windows 2000 セキュリティ ロールアップ パッケージ 1 に付属している COM+ のバージョンに関連付けられているメモリ リークについて説明するために更新された警告セクション。
• V1.3 (2003 年 5 月 9 日): Windows Update へのダウンロード リンクを更新しました。

ビルド日: 2014-04-18T13:49:36Z-07:00