セキュリティ情報
Microsoft セキュリティ情報 MS06-011 - 重要
制限の緩い Windows サービスの DACL で特権の昇格が許可される (914798)
公開日: 2006 年 3 月 14 日 |更新日: 2006 年 6 月 13 日
バージョン: 2.1
まとめ
このドキュメントを読む必要があるユーザー: Microsoft Windows を使用しているお客様
脆弱性の影響: 特権の昇格
重大度の最大評価: 重要
推奨事項: お客様は、できるだけ早い機会に更新プログラムを適用する必要があります。
セキュリティ更新プログラムの置き換え なし。
注意事項:Microsoft サポート技術情報の記事914798 、お客様がこのセキュリティ更新プログラムのインストール時に発生する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。 詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
テスト済みのソフトウェアとセキュリティ更新プログラムのダウンロード場所:
影響を受けるソフトウェア:
- Microsoft Windows XP Service Pack 1 更新プログラムをダウンロードする
- Microsoft Windows Server 2003 - 更新プログラムをダウンロードする
- Microsoft Windows Server 2003 for Itanium ベースのシステム - 更新プログラムをダウンロードする
- 影響を受けるソフトウェア以外のソフトウェア:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows 98、Microsoft Windows 98 Second Edition (Standard Edition)、Microsoft Windows Millennium Edition (ME)
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Itanium ベースシステム用の Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 x64 Edition
一般情報
概要
エグゼクティブサマリー:
この更新プログラムは、新しく検出されたパブリック脆弱性を解決します。 この脆弱性は、このセキュリティ情報の「脆弱性の詳細」セクションに記載されています。
攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。
お客様は、できるだけ早い機会に更新プログラムを適用することをお勧めします。
重大度の評価と脆弱性識別子:
| 脆弱性識別子 | 脆弱性の影響 | Windows 98、98 Standard Edition、ME | Windows 2000 | Windows XP Service Pack 1 | Windows XP Service Pack 2 | Windows Server 2003 | Windows Server 2003 Service Pack 1 |
|---|---|---|---|---|---|---|---|
| 制限の緩い Windows サービス DACL - CVE-2006-0023 | 特権の昇格\ | なし | なし | 大事な\ | なし | 中 | なし |
この 評価 は、脆弱性の影響を受けるシステムの種類、一般的な展開パターン、および脆弱性を悪用した場合の影響に基づいています。
注: x86 以外のオペレーティング システム バージョンの重大度評価は、次のように x86 オペレーティング システムのバージョンにマップされます。
- Microsoft Windows XP Professional x64 Edition の重大度レーティングは、Windows XP Service Pack 2 の重大度レーティングと同じです。
- Microsoft Windows Server 2003 for Itanium ベースのシステムの重要度の評価は、Windows Server 2003 の重大度評価と同じです。
- Microsoft Windows Server 2003 sp1 for Itanium ベースのシステムの重大度評価は、Windows Server 2003 Service Pack 1 の重大度レーティングと同じです。
- Microsoft Windows Server 2003 x64 エディションの重大度の評価は、Windows Server 2003 Service Pack 1 の重大度評価と同じです。
このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)
Microsoft が 2006 年 6 月 13 日にこのセキュリティ情報を再発行した理由
Microsoft は、NetBT、RemoteAccess、および TCPIP サービスの更新されたレジストリ キー値を含むように、このセキュリティ情報と関連するセキュリティ更新プログラムを更新しました。 これらの値は、Windows XP Service Pack 1 システムの Windows XP Service Pack 2 と同じに変更されています。 Windows XP Service Pack 1 を実行しているお客様は、このセキュリティ情報の「脆弱性の詳細」セクションの説明に従って、特権の昇格からこれらのサービスを通じてセキュリティを強化するために、この更新プログラムを適用することをお勧めします。 サービス パックが適用されていない Windows 2003 システムは、この再発行の影響を受けません。 詳細および更新されたレジストリ キーの値については、マイクロソフト サポート技術情報の記事914798を参照してください。
改訂されたセキュリティ更新プログラムには、どのような変更が含まれますか?
変更後のセキュリティ更新プログラムには、最初のセキュリティ更新プログラムに含まれるバイナリに対する変更は含まれません。 インストール中に、修正されたセキュリティ更新プログラムは、Microsoft サポート技術情報の記事914798に示されているように、NetBT、RemoteAccess、および TCPIP サービスのレジストリの一覧を更新します。
このセキュリティ更新プログラムのインストール時に発生する可能性がある既知の問題は何ですか?
マイクロソフト サポート技術情報の記事914798 、このセキュリティ更新プログラムのインストール時に発生する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。 詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
この更新プログラムをインストールした後、更新されたファイルがシステムに適用されないのはなぜですか?
Windows XP Service Pack 1 システムの場合、この更新プログラムは、サービスの随意アクセス制御リスト (DACL) を Windows XP Service Pack 2 と同じ設定に設定します。 Service Pack がインストールされていない Windows 2003 の場合、この更新プログラムは、選択したサービス DACL を Windows 2003 Service Pack 1 の設定に設定します。 これらの構成変更はインストール プログラムによって行われ、このセキュリティ更新プログラムを適用した結果、システム ファイルは更新されません。
この更新プログラムをアンインストールできますか?
この更新プログラムを適用した結果、システム ファイルは変更されないので、この更新プログラムを削除することはできません。 Service Pack がインストールされていない Windows 2003 および Windows XP SP1 システムの場合、この更新プログラムは、選択したサービス DACL を Windows 2003 SP1 および Windows XP SP2 の設定に設定します。 これらの構成変更はインストール プログラムによって行われ、このセキュリティ更新プログラムを適用した結果、システム ファイルは更新されません。 ただし、システム ユーティリティを使用して変更を元に戻すことができます。 この更新プログラムによって行われた DACL 構成の変更の削除と復元の詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
この更新プログラムには、機能に対するセキュリティ関連の変更が含まれていますか?
はい。 この更新プログラムは、セキュリティ情報の「脆弱性の詳細」セクションに記載されているサービスに加えて、次の表に示すサービスレジストリ キーとサービス レジストリ キーの DACL も変更して、多層防御を強化します。 これらの追加のサービスとサービス レジストリ キーにより、以下に示すサービスの DACL は、Windows XP Service Pack 1 システムの Windows XP Service Pack 2、および Service Pack が適用されていない Windows 2003 システムの Windows 2003 Service Pack 1 と同じに設定されます。 この更新プログラムに含まれるこれらのサービスおよびレジストリ キーの DACL の変更の詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
この更新プログラムに含まれる追加のサービスおよびレジストリ キーの変更
| オペレーティング システム | サービス | レジストリ キー |
|---|---|---|
| Microsoft Windows XP Service Pack 1 | MSDTC | |
| [DHCP] | ||
| Netbt | ||
| リモート アクセス | ||
| TCPIP | ||
| Windows Server 2003 | MSDTC | |
| SysmonLog | ||
| [DHCP] | ||
| DnsCache | ||
| Netbt | ||
| リモート アクセス | ||
| TCPIP |
Windows 98、Windows 98 Second Edition、または Windows Millennium Edition は、このセキュリティ情報で対処されている 1 つ以上の脆弱性の影響を受けますか?
いいえ。 Executive Summary に記載されているソフトウェアは、バージョンが影響を受けるかどうかを判断するためにテストされています。 他のバージョンでは、セキュリティ更新プログラムのサポートが含まれていないか、影響を受けなくなる可能性があります。 製品とバージョンのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクル Web サイトを参照してください。
Microsoft Baseline Security Analyzer (MB (メガバイト)SA) 1.2.1 を使用して、この更新プログラムが必要かどうかを判断することはできますか?
はい。 MB (メガバイト)SA 1.2.1 は、この更新プログラムが必要かどうかを判断します。 MB (メガバイト)SA の詳細については、MB (メガバイト)SA Web サイトを参照してください。 この更新プログラムはアンインストールできないため、影響を受ける DACL が以前の状態に変更または復元された場合、ユーザーはMB (メガバイト)SA のレジストリを編集して、この更新プログラムの必要性を再び正しく特定する必要があります。 MB (メガバイト)SA 1.2.1 のレジストリを変更してこの更新プログラムを手動で削除する方法については、マイクロソフト サポート技術情報の記事 914798を参照してください。
Microsoft Baseline Security Analyzer (MB (メガバイト)SA) 2.0 を使用して、この更新プログラムが必要かどうかを判断することはできますか?
はい。 MB (メガバイト)SA 2.0 は、この更新プログラムが必要かどうかを判断します。 MB (メガバイト)SA 2.0 では、Microsoft Update がサポートする製品のセキュリティ更新プログラムを検出できます。 MB (メガバイト)SA の詳細については、MB (メガバイト)SA Web サイトを参照してください。 この更新プログラムはアンインストールできないため、影響を受ける DACL が以前の状態に変更または復元された場合、ユーザーはMB (メガバイト)SA のレジストリを編集して、この更新プログラムの必要性を再び正しく特定する必要があります。 MB (メガバイト)SA 2.0 のレジストリを変更してこの更新プログラムを手動で削除する方法については、マイクロソフト サポート技術情報の記事914798を参照してください。
Systems Management Server (SMS) を使用して、この更新プログラムが必要かどうかを判断することはできますか?
はい。 SMS は、このセキュリティ更新プログラムを検出して展開するのに役立ちます。 SMS の詳細については、SMS Web サイトを参照してください。
セキュリティ更新プログラム インベントリ ツールは、WINDOWS Update によって提供されるセキュリティ更新プログラム、ソフトウェア更新サービスでサポートされているセキュリティ更新プログラム、および MB (メガバイト)SA 1.2.1 でサポートされているその他のセキュリティ更新プログラムを検出するために SMS で使用できます。 セキュリティ更新プログラム インベントリ ツールの詳細については、次 の Microsoft Web サイトを参照してください。 セキュリティ更新プログラムインベントリ ツールの制限事項の詳細については、Microsoft サポート技術情報の記事 306460 を参照してください。
Sms 2003 Inventory Tool for Microsoft 更新 は、Microsoft Update によって提供され、Windows Server Update Services でサポートされているセキュリティ更新プログラムを検出するために SMS で使用できます。 SMS 2003 Inventory Tool for Microsoft 更新の詳細については、次の Microsoft Web サイトを参照してください。
脆弱性の詳細
制限の緩い Windows サービス DACL で特権の昇格が許可される - CVE-2006-0023
特定された Windows サービスの Windows XP Service Pack 1 に特権昇格の脆弱性が存在します。この脆弱性は、アクセス許可が既定で低い特権を持つユーザーがサービスに関連付けられているプロパティを変更できるレベルに設定されています。 Windows 2003 では、識別されたサービスに対するアクセス許可は、ネットワーク構成オペレーター グループに属するユーザーがサービスに関連付けられているプロパティを変更できるレベルに設定されます。 対象のコンピューター上のネットワーク構成オペレーター グループのメンバーのみが Windows Server 2003 をリモートで攻撃でき、このグループには既定でユーザーが含まれています。 この脆弱性により、有効なログオン資格情報を持つユーザーが Microsoft Windows XP Service Pack 1 上のシステムを完全に制御できる可能性があります。
制限の緩い Windows サービス DACL の軽減要因により、特権が昇格される可能性がある - CVE-2006-0023
- この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を持っている必要があります。 この脆弱性は、匿名ユーザーによって悪用される可能性がありません。
- 特定された 6 つのサービスのうち 4 つ (NetBT、SCardSvr、DHCP、DnsCache) では、攻撃者が特権セキュリティ コンテキストで既に実行されている必要があります。 さらに、認証されたユーザーが脆弱なシステムを攻撃できるようにする 2 つのサービス SSDPSRV と UPNPHost は、Windows XP Service Pack 1 でのみ脆弱です。
「Windows サービスの DACL の脆弱性」の回避策により、特権が昇格される可能性があります - CVE-2006-0023:
Microsoft では、次の回避策をテストしました。 特定された回避策により、Windows XP Service Pack 1 および Windows Server の既定の DACL が、Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 で使用される拡張セキュリティ DACL に変更されます。 したがって、これらの回避策は、この問題の完全な解決策と見なされます。 推奨されるアクセス制御は、しばらくの間、最新のオペレーティング システムに付属しているため、リスクが低いことが予想されます。 ただし、DACL の変更には、アプリケーションの非互換性のリスクがあります。
sc.exe コマンドを使用して、識別されたサービスの変更されたアクセス制御を設定します。
注: sc.exe コマンドを特権ユーザーとして実行する必要があります。 このコマンドは、コンピューターのスタートアップ スクリプトを使用するか、SMS スクリプトを使用して実行できます。 このコマンドを実行すると、DACL のセキュリティが強化され、Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 と同じレベルになります。 sc.exe コマンドと Windows サービスの DACL を設定する方法の詳細については、次の Microsoft 製品ドキュメントを参照してください。 この軽減策では、コンピューターを再起動する必要はありません。
Windows XP Service Pack 1 の場合は、次の各コマンドを実行します。 各コマンドは、関連する影響を受けるサービスの DACL を変更します。
sc sdset ssdpsrv D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;LS)
sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;Dt;;;LS)(A;;Dt;;;NS)(A;;CCLCSWRPLOCRRC;;;いいえ)
sc sdset upnphost
D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;LS)sc sdset sカードsvr D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;LS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)
sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
Windows Server 2003 の場合は、次の各コマンドを実行します。 各コマンドは、関連する影響を受けるサービスの DACL を変更します。
sc sdset netbt D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;Dt;;;LS)(A;;Dt;;;NS)(A;;CCLCSWRPLOCRRC;;;NO)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
sc sdset dhcp D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
sc sdset dnscache D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)
注 : Windows Server 2003 の場合、影響を受けるサービスは、NetBT、DnsCache、DHCP のみです。 Windows Server 2003 シナリオでは、ネットワーク構成オペレーター グループのメンバーが攻撃を開始する必要があります。 既定では、このグループは空です。
回避策の影響: なし
グループ ポリシーを使用して、識別されたサービスの変更されたアクセス制御を展開します。
管理者はメイングループ ポリシーとセキュリティ テンプレートを使用して、変更されたアクセス制御を Windows XP Service Pack 1 システムに展開できます。 グループ ポリシーを使用してセキュリティ テンプレートを実装する方法の詳細については、Microsoft サポート技術情報の記事816585を参照してください。 この軽減策を完了するためにコンピューターを再起動する必要はありません。
Windows XP Service Pack 1 の場合は、次のセキュリティ テンプレートを使用して、Upnphost、SCardSvr、SSDPSRV、DnsCache、DHCP サービスを変更します。
[Unicode]
Unicode=yes
[バージョン]
signature="$CHICAGO$"
Revision=1
[サービス全般設定]
SSDPSRV,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;RPWPDTRC;;;S-1-5-19)"
upnphost,2,"D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;S-1-5-32-549)(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWLOCRRC;;S-1-5-19)"
sカードsvr,2,"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-19)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;S-1-5-32-549)(A;;CCLCSWRPLOCRRC;;;S-1-2-0)"
dhcp,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)"
dnscache,2,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)"Windows Server 2003 の場合は、次のセキュリティ テンプレートを使用して、DnsCache サービスと DHCP サービスを変更します。
[Unicode]
Unicode=yes
[バージョン]
signature="$CHICAGO$"
Revision=1
[サービス全般設定]
dhcp,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)"
dnscache,,"D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCLCSWRPWPDTLOCRRC;;;NO)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;WD)"注 : Windows XP Service Pack 1 および Windows Server 2003 の場合、NetBT サービスのサービス DACL の変更は、Microsoft グループ ポリシー オブジェクト エディターを使用してサポートされていません。 そのため、NetBT サービス DACL の変更は、Windows Server 2003 のセキュリティ テンプレートには含まれません。
注 : Windows Server 2003 の場合、NetBT、DHCP、および DnsCache は、影響を受ける唯一の特定されたサービスです。 Windows Server 2003 シナリオでは、ネットワーク構成オペレーター グループのメンバーが攻撃を開始する必要があります。 このグループは既定では空であり、ほとんど設定されません。
回避策の影響: Windows XP Service Pack 2 の場合と同じサービス DACL を設定することに加えて、提供されるセキュリティ テンプレートでは、影響を受けるサービスのサービススタートアップの種類が、元の既定の構成である "自動" に設定されます。 Windows Server 2003 ではスタートアップの種類の設定を構成する機能がサポートされているため、Windows Server 2003 のスタートアップの種類は変更されません。
Windows レジストリを変更して、識別された各サービスのアクセス制御を変更します。
サービス変更の推奨される方法は、sc.exe コマンドを使用することです。 ただし、次のコマンドを使用して、影響を受けるサービスのセキュリティ DACL を Windows XP Service Pack 2 と同じレベルに変更できます。 ユーザーは、変更を加える前にレジストリをバックアップすることをお勧めします。 レジストリ スクリプトと Windows レジストリを変更する方法の詳細については、マイクロソフト サポート技術情報の記事214752を参照してください。
Windows XP Service Pack 1 の場合は、次のレジストリ キーを変更して、影響を受ける既定の Windows XP Service Pack 1 のサービスを変更します
SSDPSRV サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
0000010100000000000512000000010100000000000512000000NetBT サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000UPnPHost サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
0000010100000000000512000000010100000000000512000000SカードSvr サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\sカードsvr\Security /v Security /t REG_BINARY /d _
01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
0000DHCP サービスの場合:
reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
00000000000512000000DnsCache サービスの場合:
reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
00051200000001010000000000512000000010100000000000512000000Windows Server 2003 の場合は、次のレジストリ キーを変更して、影響を受ける既定の Windows Server 2003 サービスを変更します。
NetBT サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
10100000000000512000000010100000000000512000000DHCP サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000DnsCache サービスの場合:
reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
000000051200000010100000000000512000000010100000000000512000000注: これらのレジストリ キー値では、読みやすくするために "_" 文字と復帰が挿入されています。 コマンドを正しく実行するには、この文字と復帰を削除します。
回避策の影響: Windows Server 2003 Service Pack 1 および Windows XP Service Pack 2 の場合と同じサービス DAC を設定するだけでなく、この軽減策を完了するためにコンピューターを再起動する必要はありません。
制限の緩い Windows サービスの DACL で特権の昇格を許可する場合がある FAQ - CVE-2006-0023
この脆弱性の範囲は何ですか?
これは特権の昇格の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムを完全に制御できる可能性があります。 攻撃者は、影響を受けるサービスに関連付けられている既定のバイナリを変更する可能性があります。 その後、攻撃者はサービスを停止して再起動し、悪意のあるプログラムまたはバイナリを実行する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。
この脆弱性の原因は何ですか?
Windows XP Service Pack 1 では、指定された Windows サービスに対するアクセス許可は、既定で低い特権を持つユーザーがサービスに関連付けられているプロパティを変更できるレベルに設定されます。 Windows Server 2003 では、識別されたサービスに対するアクセス許可は、ネットワーク構成オペレーター グループに属するユーザーがサービスに関連付けられているプロパティを変更できるレベルに設定されます。
攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
特定されたサービスによって実行されるように設定されている既定の関連プログラムを変更することで、低い特権を持つユーザーは、通常、より高い特権アクセスを必要とするコマンドまたは実行可能ファイルを実行できます。
誰がこの脆弱性を悪用する可能性がありますか?
この脆弱性を悪用するには、攻撃者が影響を受けるシステムへの有効なログオン資格情報を持っている必要があります。
攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、攻撃者はまず、影響を受けるシステムへの有効なログオン資格情報を必要とします。 攻撃者はその後、影響を受けるコンポーネントにアクセスし、この脆弱性を悪用し、影響を受けるシステムを完全に制御できる標準アプリケーションを実行する可能性があります。
どのシステムが主に脆弱性のリスクにさらされていますか?
ワークステーションとサーバーの両方がこの脆弱性の危険にさらされます。
Windows 98、Windows 98 Second Edition、または Windows Millennium Edition は、この脆弱性の影響を受ける可能性がありますか?
いいえ。 Windows 98、Windows 98 Second Edition、および Windows Millennium Edition には、影響を受けるコンポーネントは含まれていません。
Windows 2000 はこの脆弱性の影響を受けるのですか?
Power User 管理グループのメンバーを含むシナリオが特定されましたが、このようなユーザーは、広範な特権を持ち、コンピューター全体の設定を変更できる信頼できるユーザーと見なす必要があります。 Power Users 管理グループに関連付けられている権限の詳細については、Microsoft サポート技術情報の記事825069を参照してください。 アクセス制御が過度に制限されているサービスを追加するサード パーティ製のアプリケーション コードがインストールされている場合、Windows 2000 は脆弱になる可能性があります。
サード パーティ製アプリケーションが影響を受けるかどうかを判断操作方法。
ユーザーは、既定以外の Windows サービスが影響を受けるかどうかを判断するために、サービスのインストールを必要とするサード パーティのソフトウェア ベンダーに連絡することをお勧めします。** ソフトウェア開発者は、セキュリティで保護されたアクセス制御をサービスに適用する方法に関する追加情報とベスト プラクティスについては、Microsoft サポート技術情報の記事914392にアクセスすることをお勧めします。
この脆弱性はインターネット経由で悪用される可能性がありますか?
いいえ。 攻撃者は、攻撃対象の特定のシステムへの有効なログオン資格情報を持っている必要があります。
更新プログラムは何を行いますか?
この更新プログラムは、Windows XP Service Pack 1 および Windows Server の既定の DACL を、Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 で使用される強化されたセキュリティ DACL に変更します。
このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか?
はい。 この脆弱性は一般に公開されています。 共通脆弱性と露出番号 CVE-2006-0023 が割り当てられます。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 Microsoft は概念実証コードの例を公開していましたが、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
セキュリティ更新プログラムの情報
影響を受けるソフトウェア:
影響を受けるソフトウェアの特定のセキュリティ更新プログラムの詳細については、適切なリンクをクリックしてください。
Windows Server 2003
前提条件
このセキュリティ更新プログラムには、Windows Server 2003 のリリース バージョンが必要です。
将来のサービス パックに含める:
この問題の更新プログラムには、Windows Server 2003 Service Pack 1 が含まれています。
インストール情報
このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。
| Switch | 説明 |
|---|---|
| /help | コマンド ライン オプションを表示します |
| セットアップ モード | |
| /passive | 無人セットアップ モード。 ユーザーの操作は必要ありませんが、インストールの状態が表示されます。 セットアップの終了時に再起動が必要な場合は、コンピューターが 30 秒以内に再起動することを示すタイマー警告が表示されるダイアログ ボックスがユーザーに表示されます。 |
| /quiet | 非表示モードです。 これは無人モードと同じですが、状態またはエラー メッセージは表示されません。 |
| 再起動オプション | |
| /norestart | インストールが完了したときに再起動しない |
| /forcerestart | インストール後にコンピューターを再起動し、最初に開いているファイルを保存せずに、シャットダウン時に他のアプリケーションを強制的に閉じます。 |
| /warnrestart[:x] | コンピューターが x 秒で再起動することをユーザーに警告するタイマーを含むダイアログ ボックスを表示します。 (既定の設定は 30 秒です)。/quiet スイッチまたは /passive スイッチでの使用を目的としています。 |
| /promptrestart | 再起動を許可するようにローカル ユーザーに求めるダイアログ ボックスを表示する |
| 特別なオプション | |
| /overwriteoem | プロンプトを表示せずに OEM ファイルを上書きする |
| /nobackup | アンインストールに必要なファイルをバックアップしない |
| /forceappsclose | コンピューターのシャットダウン時に他のプログラムを強制的に閉じる |
| /log: path | インストール ログ ファイルのリダイレクトを許可します |
| /integrate:path | Windows ソース ファイルに更新プログラムを統合します。 これらのファイルは、スイッチで指定されているパスにあります。 |
| /extract[:p ath] | セットアップ プログラムを起動せずにファイルを抽出する |
| /Er | 拡張エラー報告を有効にします |
| /verbose | 詳細ログを有効にします。 インストール中に、%Windir%\CabBuild.log を作成します。 このログには、コピーされたファイルの詳細が表示されます。 このスイッチを使用すると、インストールが遅くなる可能性があります。 |
注: これらのスイッチを 1 つのコマンドに結合できます。 下位互換性のために、セキュリティ更新プログラムは、以前のバージョンのセットアップ プログラムで使用されるセットアップ スイッチの多くもサポートしています。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事262841を参照してください。 Update.exe インストーラーの詳細については、Microsoft TechNet Web サイトを参照してください。
デプロイ情報
ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Windows Server 2003 のコマンド プロンプトで次のコマンドを使用します。
Windowsserver2003-kb914798-x86-enu /quiet
注: /quiet スイッチを使用すると、すべてのメッセージが抑制されます。 これには、エラー メッセージの抑制が含まれます。 管理istrator は、サポートされている方法のいずれかを使用して、/quiet スイッチを使用したときにインストールが成功したことを確認する必要があります。 管理リストレーターは、このスイッチを使用するときにエラー メッセージのKB (キロバイト)914798.log ファイルも確認する必要があります。
ソフトウェア更新サービスを使用してこのセキュリティ更新プログラムを展開する方法については、ソフトウェア更新サービスの Web サイトを参照してください。 Windows Server Update Services を使用してこのセキュリティ更新プログラムを展開する方法の詳細については、Windows Server Update Services Web サイトを参照してください。 このセキュリティ更新プログラムは、Microsoft Update Web サイトから入手することもできます。
再起動の要件
この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。 再起動が必要になる可能性を減らすには、セキュリティ更新プログラムをインストールする前に、影響を受けるすべてのサービスを停止し、影響を受けるファイルを使用するすべてのアプリケーションを閉じます。 コンピューターの再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。
削除情報
この更新プログラムは削除できません。 この更新プログラムによって行われた変更を手動で削除する方法の詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
ファイル情報
この更新プログラムは識別されたサービスのシステム プロパティのみを変更するため、更新プログラムのインストールの結果として新しいバイナリはシステムに適用されません。
この動作の詳細については、マイクロソフト サポート技術情報の記事824994を参照してください。
Update.exe インストーラーの詳細については、Microsoft TechNet Web サイトを参照してください。
修正プログラムなど、このセキュリティ情報に表示される用語の詳細については、マイクロソフト サポート技術情報の記事824684を参照してください。
更新プログラムが適用されたことを確認する
Microsoft Baseline Security Analyzer
影響を受けるシステムにセキュリティ更新プログラムが適用されたことを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用します。 MB (メガバイト)SA を使用すると、管理者はローカル システムとリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。
レジストリ キーの検証
次のレジストリ キーを確認することで、このセキュリティ更新プログラムがインストールしたファイルを確認することもできます。
Windows Server 2003、Web Edition;Windows Server 2003 Standard Edition;Windows Server 2003 Enterprise Edition;Windows Server 2003 Datacenter Edition;Windows Small Business Server 2003;Windows Server 2003、Itanium ベースシステム用 Enterprise Edition。Itanium ベースシステム用の Windows Server 2003 Datacenter Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows Server 2003\SP1\KB (キロバイト)914798\Filelist
注: このレジストリ キーには、インストールされているファイルの完全な一覧が含まれていない場合があります。 また、管理者または OEM がセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。
Windows XP
前提条件
このセキュリティ更新プログラムには、Microsoft Windows XP Service Pack 1 が必要です。 詳細については、マイクロソフト サポート技術情報の記事322389を参照してください。
将来のサービス パックに含める:
この問題の更新プログラムは、Windows XP Service Pack 2 に含まれています。
インストール情報
このセキュリティ更新プログラムは、次のセットアップ スイッチをサポートしています。
| Switch | 説明 |
|---|---|
| /help | コマンド ライン オプションを表示します |
| セットアップ モード | |
| /passive | 無人セットアップ モード。 ユーザーの操作は必要ありませんが、インストールの状態が表示されます。 セットアップの終了時に再起動が必要な場合は、コンピューターが 30 秒以内に再起動することを示すタイマー警告が表示されるダイアログ ボックスがユーザーに表示されます。 |
| /quiet | 非表示モードです。 これは無人モードと同じですが、状態またはエラー メッセージは表示されません。 |
| 再起動オプション | |
| /norestart | インストールが完了したときに再起動しない |
| /forcerestart | インストール後にコンピューターを再起動し、最初に開いているファイルを保存せずに、シャットダウン時に他のアプリケーションを強制的に閉じます。 |
| /warnrestart[:x] | コンピューターが x 秒で再起動することをユーザーに警告するタイマーを含むダイアログ ボックスを表示します。 (既定の設定は 30 秒です)。/quiet スイッチまたは /passive スイッチでの使用を目的としています。 |
| /promptrestart | 再起動を許可するようにローカル ユーザーに求めるダイアログ ボックスを表示する |
| 特別なオプション | |
| /overwriteoem | プロンプトを表示せずに OEM ファイルを上書きする |
| /nobackup | アンインストールに必要なファイルをバックアップしない |
| /forceappsclose | コンピューターのシャットダウン時に他のプログラムを強制的に閉じる |
| /log:path | インストール ログ ファイルのリダイレクトを許可します |
| /integrate:path | Windows ソース ファイルに更新プログラムを統合します。 これらのファイルは、スイッチで指定されているパスにあります。 |
| /extract[:p ath] | セットアップ プログラムを起動せずにファイルを抽出する |
| /Er | 拡張エラー報告を有効にします |
| /verbose | 詳細ログを有効にします。 インストール中に、%Windir%\CabBuild.log を作成します。 このログには、コピーされたファイルの詳細が表示されます。 このスイッチを使用すると、インストールが遅くなる可能性があります。 |
注: これらのスイッチを 1 つのコマンドに結合できます。 下位互換性のために、セキュリティ更新プログラムでは、以前のバージョンのセットアップ プログラムで使用されるセットアップ スイッチもサポートされています。 サポートされているインストール スイッチの詳細については、マイクロソフト サポート技術情報の記事262841を参照してください。 Update.exe インストーラーの詳細については、Microsoft TechNet Web サイトを参照してください。
デプロイ情報
ユーザーの介入なしにセキュリティ更新プログラムをインストールするには、Microsoft Windows XP のコマンド プロンプトで次のコマンドを使用します。
Windowsxp-kb914798-x86-enu /quiet
注: /quiet スイッチを使用すると、すべてのメッセージが抑制されます。 これには、エラー メッセージの抑制が含まれます。 管理istrator は、サポートされている方法のいずれかを使用して、/quiet スイッチを使用したときにインストールが成功したことを確認する必要があります。 管理リストレーターは、このスイッチを使用するときにエラー メッセージのKB (キロバイト)914798.log ファイルも確認する必要があります。
再起動の要件
この更新プログラムでは、再起動は必要ありません。 インストーラーは、必要なサービスを停止し、更新プログラムを適用して、サービスを再起動します。 ただし、何らかの理由で必要なサービスを停止できない場合、または必要なファイルが使用されている場合は、この更新プログラムを再起動する必要があります。 この動作が発生すると、再起動を推奨するメッセージが表示されます。 コンピューターの再起動を求められる理由の詳細については、マイクロソフト サポート技術情報の記事887012を参照してください。
削除情報
この更新プログラムは削除できません。 この更新プログラムによって行われた変更を手動で削除する方法の詳細については、マイクロソフト サポート技術情報の記事914798を参照してください。
この更新プログラムは識別されたサービスのシステム プロパティのみを変更するため、更新プログラムのインストールの結果として新しいバイナリはシステムに適用されません。
更新プログラムが適用されたことを確認する
Microsoft Baseline Security Analyzer
影響を受けるシステムにセキュリティ更新プログラムが適用されたことを確認するには、Microsoft Baseline Security Analyzer (MB (メガバイト)SA) ツールを使用します。 MB (メガバイト)SA を使用すると、管理者はローカル システムとリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。 MB (メガバイト)SA の詳細については、Microsoft Baseline Security Analyzer Web サイトを参照してください。
レジストリ キーの検証
次のレジストリ キーを確認することで、このセキュリティ更新プログラムがインストールしたファイルを確認することもできます。
Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition の場合:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows XP\SP2\KB (キロバイト)914798\Filelist
注: このレジストリ キーには、インストールされているファイルの完全な一覧が含まれていない場合があります。 また、管理者または OEM がセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが正しく作成されない場合があります。
その他の情報
受信確認
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- SIA グループの Andres Tarasco が、制限されていない Windows サービスの DACL で作業を行うことで、特権の昇格が可能になる可能性がある - CVE-2006-0023
その他のセキュリティ 更新の取得:
その他のセキュリティの問題の更新は、次の場所で入手できます。
- セキュリティ更新プログラムは、Microsoft ダウンロード センターで入手できます。 "security_patch" のキーワード (keyword)検索を実行すると、最も簡単に見つけることができます。
- コンシューマー プラットフォームの更新は、Microsoft Update Web サイト。
サポート:
- 米国およびカナダのお客様は、Microsoft 製品サポート サービス (1-866-PCSAFETY) からテクニカル サポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポートに対する料金はかかりません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイトを参照してください。
セキュリティ リソース:
- Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。
- Microsoft ソフトウェア更新サービス
- Microsoft Windows Server Update Services
- Microsoft Baseline Security Analyzer (MB (メガバイト)SA)
- Windows Update
- Microsoft Update
- Windows Update カタログ: Windows Update カタログの詳細については、マイクロソフト サポート技術情報の記事323166を参照してください。
- Office Update
ソフトウェア更新サービス:
Microsoft Software Update Services (SUS) を使用すると、管理者は、Windows 2000 および Windows Server 2003 ベースのサーバー、および Windows 2000 Professional または Windows XP Professional を実行しているデスクトップ システムに、最新の重要な更新プログラムとセキュリティ更新プログラムを迅速かつ確実に展開できます。
ソフトウェア更新サービスを使用してセキュリティ更新プログラムを展開する方法の詳細については、ソフトウェア更新サービスの Web サイトを参照してください。
Windows Server Update Services:
Windows Server Update Services (WSUS) を使用すると、管理者は Windows 2000 オペレーティング システム以降、Office XP 以降、Exchange Server 2003、SQL Server 2000 の最新の重要な更新プログラムとセキュリティ更新プログラムを Windows 2000 以降のオペレーティング システムに迅速かつ確実に展開できます。
Windows Server Update Services を使用してセキュリティ更新プログラムを展開する方法の詳細については、Windows Server Update Services Web サイトを参照してください。
システム管理サーバー:
Microsoft Systems Management Server (SMS) は、更新プログラムを管理するための高度に構成可能なエンタープライズ ソリューションを提供します。 管理者は、SMS を使用して、セキュリティ更新プログラムを必要とする Windows ベースのシステムを特定し、エンド ユーザーへの中断を最小限に抑えながら、これらの更新プログラムの展開を企業全体で制御できます。 管理者が SMS 2003 を使用してセキュリティ更新プログラムを展開する方法の詳細については、SMS 2003 Security Patch Management Web サイトを参照してください。 SMS 2.0 ユーザーは、ソフトウェア 更新 Service Feature Pack を使用して、セキュリティ更新プログラムを展開することもできます。 SMS の詳細については、SMS Web サイトを参照してください。
注 : SMS では、Microsoft Baseline Security Analyzer、Microsoft Office 検出ツール、Enterprise Update Scanning Tool を使用して、セキュリティ情報の更新プログラムの検出と展開を幅広くサポートします。 これらのツールでは、一部のソフトウェア更新プログラムが検出されない場合があります。 管理リストレーターは、このような場合に SMS のインベントリ機能を使用して、特定のシステムの更新プログラムを対象にすることができます。 この手順の詳細については、次 の Web サイトを参照してください。 一部のセキュリティ更新プログラムでは、システムの再起動後に管理者権限が必要です。 管理istrator は、管理者特権展開ツール (SMS 2003 管理istration Feature Pack および SMS 2.0 管理istration Feature Pack で利用可能) を使用して、これらの更新プログラムをインストールできます。
免責事項:
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン:
- V1.0 2006 年 3 月 14 日: セキュリティ情報が公開されました。
- V1.1 March 17, 2006: Windows Server 2003 の場合、ファイルの検出に適したレジストリ キーを反映するようにファイル検証セクションが更新されました。
- V2.0 June 13, 2006: この更新プログラムは、NetBT、RemoteAccess、および TCPIP サービスの更新されたレジストリ キー値を含むように改訂されました。 これらの値は、Windows XP Service Pack 1 システムの Windows XP Service Pack 2 と同じで、Service Pack が適用されていない Windows 2003 システムの Windows 2003 Service Pack 1 と同じに変更されています。 お客様は、このセキュリティ情報の「脆弱性の詳細」セクションで説明されているように、これらのサービスを通じて特権の昇格からセキュリティを強化するために、この改訂された更新プログラムを適用することをお勧めします。
- V2.1 2006 年 6 月 14 日: セキュリティ情報が更新され、Service Pack が適用されていない Windows 2003 システムは、2006 年 6 月 13 日の再発行の影響を受けないことを明確にしました。
ビルド日: 2014-04-18T13:49:36Z-07:00