Configuration Manager (現在のブランチ) に適用
Microsoft Endpoint Configuration Manager は、機能の複数の部分で分散コンポーネント オブジェクト モデル (DCOM) リモート プロトコルを使用します。 Windows 用の 2022 年 6 月のセキュリティ更新プログラムでは、DCOM の変更が既定で有効になります。 この記事では、Windows 用の 2022 年 6 月のセキュリティ更新プログラムがインストールされた後に Configuration Manager で発生する可能性がある問題の解決策について説明します。
現象
Windows 以降の 2022 年 6 月のセキュリティ更新プログラムをインストールした後、Configuration Manager 管理者は次のいずれかの問題に遭遇します。
Configuration Manager コンソールは、任意のユーザー アカウントで SMS プロバイダーにリモートでアクセスできません。 ただし、同じ資格情報の下で、SMS プロバイダーへのローカル接続は成功します。
Configuration Manager 管理者がクライアント コンピューターにリモートで接続すると、サポート センターや Policy Spy などの Configuration Manager ツールで同じ問題が発生します (どのユーザー アカウントでもリモート接続は失敗しますが、ローカル接続は成功します)。
コンテンツをリモート配布ポイントに配布できません。
それぞれのログ ファイルまたはクライアント アプリケーションに記録されるエラー コードは、次のようになります。
| エラー コード | エラー メッセージ |
|---|---|
| 0x80070005 | Access is Denied. |
| 0x800706ba | RPC サーバーが利用できません。 |
たとえば、管理者がコンソールをリモートで開こうとすると、 SmsAdminUI.log ファイルに次のエラー メッセージが表示されます。
接続する権限が不十分です。エラー: 'アクセスが拒否されました。 (HRESULT からの例外: 0x80070005 (E_ACCESSDENIED))'System.UnauthorizedAccessException
アクセスが拒否されました。 (HRESULT からの例外: 0x80070005 (E_ACCESSDENIED))" "
at System.Management.ThreadDispatch.Start()
at System.Management.ManagementScope.Initialize()
at System.Management.ManagementObjectSearcher.Initialize()
at System.Management.ManagementObjectSearcher.Get()
at Microsoft.ConfigurationManagement.ManagementProvider.WqlQueryEngine.WqlConnectionManager.Connect(String configMgrServerPath)
at Microsoft.ConfigurationManagement.AdminConsole.SmsSiteConnectionNode.GetConnectionManagerInstance(String connectionManagerInstance)
解決方法
これらの問題を解決するには、接続を開始し (リモート コンソールまたはサイト サーバー)、それを受信する両方のコンピューター (SMS プロバイダー、配布ポイント、またはリモート クライアント) に Windows の最新の累積的な更新プログラムをインストールします。 セキュリティの強化に加えて、更新プログラムをインストールすると、同じレベルの DCOM のセキュリティ強化とログ記録の機能を確保できます。
Configuration Manager の最新バージョンではセキュリティが変更されるため、 Configuration Manager バージョン 2203 以降のバージョンにアップグレードすることをお勧めします。
DCOM のセキュリティ強化の変更
2021 年、Windows DCOM Server のセキュリティ機能バイパスの脆弱性が検出され、 CVE-2021-26414 でリリースされました。 その後、Microsoft は DCOM プロトコルのセキュリティ強化を強化するセキュリティ更新プログラムをリリースしました。 ただし、一部のアプリケーションでは、新しいセキュリティ レベルに準拠するためにコードを変更する必要があります。 そのため、Microsoft は、 RequireIntegrityActivationAuthenticationLevel レジストリ キーによって構成可能な段階的なアプローチでこの脆弱性に対処しました。 次のタイムラインを参照してください。
| 更新プログラムのリリース | 動作変更: |
|---|---|
| 2021 年 6 月 8 日 | 変更のセキュリティ強化は既定では無効になっていますが、レジストリ キーを使用して変更を有効にできます。 |
| 2022 年 6 月 14 日 | 既定で有効になっているが、レジストリ キーを使用して変更を無効にする機能を使用して変更を強化する。 |
| 2023 年 3 月 14 日 | 既定で有効になっている変更を強化し、無効にすることはできません。 この時点までに、環境内のセキュリティ強化の変更とアプリケーションとの互換性に関する問題を解決しておく必要があります。 |
詳細については、「 KB5004442 - Windows DCOM Server セキュリティ機能バイパスの変更の管理 (CVE-2021-26414)」を参照してください。
DCOM のセキュリティ強化の問題を確認する
DCOM のセキュリティ強化の問題を確認するには、サーバーとクライアント コンピューターのシステム イベント ログで次のイベント ID を確認します。 詳細については、 KB5004442の「新しい DCOM エラー イベント」セクションを参照してください。
これらのイベントをログに記録するには、少なくとも Windows 用の 2021 年 10 月の累積的な更新プログラムをインストールします。 次の時間相関イベントでは、Configuration Manager アプリケーションと、それらが実行されているユーザー名について説明する必要があります。
サーバー側イベント
イベント ID メッセージ 10036 サーバー側の認証レベル ポリシーでは、ユーザー %1\%2 SID (%3) をアドレス %4 から DCOM サーバーをアクティブ化することはできません。 少なくともクライアント アプリケーションでRPC_C_AUTHN_LEVEL_PKT_INTEGRITYするには、アクティブ化認証レベルを上げてください。
(%1 – ドメイン、%2 – ユーザー名、%3 – ユーザー SID、%4 – クライアント IP アドレス)クライアント側のイベント
イベント ID メッセージ 10037 PID %2 を使用するアプリケーション %1 が、認証レベル %5 を明示的に設定したコンピューター %4 で CLSID %3 のアクティブ化を要求しています。 DCOM に必要な最も低いアクティブ化認証レベルは 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。 10038 PID %2 のアプリケーション %1 は、%5 の既定のアクティブ化認証レベルを持つコンピューター %4 で CLSID %3 をアクティブ化することを要求しています。 DCOM に必要な最も低いアクティブ化認証レベルは 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) です。 ライセンス認証レベルを上げるには、アプリケーション ベンダーにお問い合わせください。
(%1 – アプリケーション パス、%2 – アプリケーション PID、%3 – アプリケーションがアクティブ化を要求している COM クラスの CLSID、%4 – コンピューター名、%5 – 認証レベルの値)
DCOM のセキュリティ強化を一時的に無効にする場合は、 RequireIntegrityActivationAuthenticationLevel レジストリ キーの値を 0x00000000に設定します。
- パス:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat - 値の名前:
RequireIntegrityActivationAuthenticationLevel - 型: dword
- 値データ:
0x00000000
DCOM のセキュリティ強化を有効にするには、レジストリ値を 0x00000001 に設定します。 このレジストリ キーが定義されていない場合は、既定で有効になります。
Note
2023 年 3 月 14 日以降、このレジストリ キーは無視されます。 この日付より前にオペレーティング システムをアップグレードします。
上記の手順を完了しても問題が解決しない場合は、Microsoft サポートを確認してください。