CVE-2018-0886 の CredSSP の更新プログラムについて

こんにちは。Windows サポート チームの矢澤です。
今回は CVE-2018-0886 にて公開された CredSSP の脆弱性対応の更新プログラムに関する注意事項についてご案内いたします。

1. 更新プログラムについて

3 月のセキュリティ更新プログラムを適用することで今回の脆弱性に対応することができます。しかしながら、更新プログラムを適用しただけでは脆弱性対応は有効とならず、後述する 5 月の更新プログラムを適用するまではグループ ポリシーの設定が別途、必要となります。また、以下の公開情報に記載されている通り段階的な変更が予定されており、対処なく修正プログラムを適用するとリモート デスクトップ接続ができなくなる場合がございます。

Link: CVE-2018-0886 の CredSSP の更新プログラム

2. 3 月の更新プログラムについて

3 月の更新プログラムを適用することで、脆弱性に対応するモジュールがインストールされると同時にグループ ポリシーの管理用テンプレートに [Encryption Oracle Remediation] が追加されます。3 月の更新プログラムにおける [未構成] 時の既定値が [Vulnerable] となりますので、サーバーに更新プログラムが適用されていない状態においてもクライアントからの接続が失敗することはございません。脆弱性に対応させるためには、クライアントおよびサーバーに更新プログラムを適用し、かつ、[Encryption Oracle Remediation] の設定を [Mitigated] もしくは [Force updated clients] に変更する必要がございます。

グループ ポリシーの詳細と設定値における動作マトリックスについては公開情報に記載がございます。

Link: CVE-2018-0886 の CredSSP の更新プログラム

3. 4 月の更新プログラムについて

4 月 18 日にリリースされた 5 月のロールアップのプレビュー版を適用し、グループ ポリシーにてクライアントに [Mitigated] もしくは [Force updated clients] が設定されており、かつ、サーバー側に更新プログラムが未適用の場合に、リモート デスクトップ接続に失敗した時にクライアント側に出力されるエラー メッセージが以下のように変更されます。なお、本修正プログラムの適用により、表示されるメッセージは変更されますが、リモート デスクトップ接続可否の動作に変更はございません。

4. 5 月の更新プログラムについて (予定)

本 blog の公開段階では 5 月 8 日にリリースされる更新プログラムの詳細については情報がございませんが、公開情報では [未構成] 時の既定値が [Vulnerable] から [Mitigated] に変更されることが予定されています。そのため、クライアントに 5 月の更新プログラムが適用された状態において、サーバー側に3 月以降の更新プログラムが適用されていない場合には、上記のエラーメッセージが出力され RDP 接続に失敗しますので、クライアントに 5 月の更新プログラムを適用いただく前に、サーバー側に 3 月以降の更新プログラムが適用されているかをご確認ください。

※事前に 3 月の更新プログラムを適用し、グループ ポリシーにて [未構成] ではなく [Vulnerable] を設定しておき、クライアントに 5 月の更新プログラムを適用した際にどのような動作となるかについては、今後のリリース状況を踏まえて本 blog を更新いたします。

5. 3 月の更新プログラムでの NIC の問題について

3 月の更新プログラムを適用すると、有線 LAN 利用時に問題が発生する事象が報告されております。4 月のロールアップ、もしくは事前適用の更新プログラムを適用することで事象が改善されますので、3 月の更新プログラムを適用される際には以下の記事をご参照いただき、更新をお願いいたします。

Link: 3 月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する (Windows 7 / Windows Server 2008 R2)