Quantcast
Channel: Ask the Network & AD Support Team
Viewing all articles
Browse latest Browse all 186

「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある

August 17, 2016, 12:14 am
$
0
0

こんにちは、プラットフォーム サポート チームの高田です。

 

2016 年 8 月 9 日にリリースされた、「MS16-101: Windows 認証のセキュリティ更新プログラム」を適用すると、下記のメッセージが表示されユーザー パスワードの変更が失敗する現象が生じる場合があります。いずれも、0x800704F1 (ERROR_DOWNGRADE_DETECTED) エラーに対応するメッセージです。

セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。
The system detected a possible attempt to compromise security. Please ensure that you can contact the server
that authenticated you.

また、以下のようなメッセージが表示されることもあります。

認証要求を処理するドメイン コントローラーにアクセスできません。しばらくしてから再実行してください。
The system cannot contact a domain controller to service the authentication request. Please try again later.

 

これは、下記英語版の技術情報に Known Issues として記載されている事象です。本事象はセキュリティ更新に伴う意図的な動作であり、レグレッションではありません。

MS16-101: Security update for Windows authentication methods: August 9, 2016
https://support.microsoft.com/en-us/kb/3178465

 

事象の概要

MS16-101 では、ページにも記載のとおり、パスワード変更時に Kerberos 認証から NTLM 認証にダウングレードしないよう動作変更されています。これは、パスワード変更処理において NTLM 認証へのフォールバックを悪用することでアカウントが攻撃対象となる問題が確認されたためです。ユーザー パスワードを変更する際、Kerberos 認証が用いられた場合は、kpasswd プロトコルを利用して (TCP 464 番ポート) 処理が試行されます。これに失敗すると、これまでは NTLM 認証に切り替わり処理が行われておりました。

MS16-101 が適用されると、kpasswd での処理に失敗した場合、NTLM に切り替わりません。パスワード変更の通信が行われず上記メッセージやエラーが生成されます。

例えば、以下のような処理や運用を行っている場合、MS16-101 をクライアント (パスワード変更の要求元) に適用すると、パスワード変更に失敗することが想定されます。

  • クライアントからドメイン コントローラーへの TCP 464 番ポートでの通信をファイアーウォールなどでブロックしている
  • WinNT プロバイダーを利用してスクリプトなどからパスワード変更処理をしている
  • IP アドレスを利用して接続先ドメイン コントローラーを指定しパスワード変更処理をしている

 

対処策

お客様におかれましては、それぞれ以下のような対応をお願いできればと思います。

  •  クライアントからドメイン コントローラーへの TCP 464 番ポートの通信を許可する
  • スクリプトをご利用の場合、LDAP プロバイダーや .NET Framework を利用した別の手法でパスワード変更処理を行う
  • dc.example.local などサーバー名を指定してパスワード変更処理を行う

 

なお、無効化もしくはロックアウトされたユーザー アカウントでは、MS16-101 の有無に限らず Kerberos 認証を使用してパスワードを変更することは許容されていないため、NTLM 認証を用いて変更していることが想定されます。そのため、KB では MS16-101 の適用後にパスワードを変更できなくなることを報告しております。

また MS16-101 をクライアントやドメイン コントローラーに適用した場合でも、管理者が [Active Directory ユーザーとコンピューター] などの Active Directory のツールを使用して、無効化もしくはロックアウトされたユーザー アカウントに対してパスワードを設定することは可能です。MS16-101 は、パスワード変更処理 (Change Password) に影響を与え、パスワードのリセット処理 (Set Password) には影響を与えません。

 

本件については、今後も追加情報が得られ次第、随時更新してまいります。

 

変更履歴

  • 2016 年 8 月 17 日: 本ブログ情報の公開
  • 2016 年 8 月 29 日: パスワード変更に失敗するパターンや対処策について追記
Search
Viewing all articles
Browse latest Browse all 186

Trending Articles

モーツァルト ディヴェルティメント 変ホ長調 K.563 の名盤

December 23, 2017, 2:32 am

井上貴博アナウンサー彼女や結婚の噂は?実家や親が話題?人気は?

September 15, 2013, 1:59 am

Ke Aloha Kalikimakaの歌詞を和訳します

January 9, 2014, 6:10 pm

PaliのLepe `Ula`ulaと歌詞の和訳

July 19, 2012, 7:10 pm

2014年6月6日号 三菱東京UFJ銀行(5月14日付)

June 9, 2014, 1:51 am

LNK2019:未解決の外部シンボル と LNK1120:外部参照 1 が未解決について

October 23, 2005, 9:03 pm

ヴァンパイア・ノーツ 攻略

December 11, 2018, 6:10 am

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生:ネットで拡散された理由とは

July 15, 2016, 12:05 pm

メールディーラーで受信するアドレスを追加できますか?

July 30, 2019, 1:56 am

Robocopy のエラー (戻り値) について

January 23, 2018, 11:28 pm

林要の結婚や経歴&評判とWikiプロフやLOVOT(ラボット)とグルーブエックス株価は

December 23, 2018, 6:18 am

【極☆寒】「凍った髪」を競い合う『国際ヘア・フリージング・コンテスト』! 寒〜い写真に身震いしつつ過ぎ行く冬にサヨナラだ!!

March 10, 2015, 2:00 pm

滋賀の部落(同和地区)一覧

March 24, 2010, 6:39 am

【銃刀法違反】吉田総業組長代行 恩田達志容疑者を再逮捕

November 17, 2016, 6:39 pm

和歌山県代表決まる 都道府県対抗中学バレー

September 10, 2013, 2:00 am

詐欺容疑で暴力団組長ら逮捕(共同)

June 24, 2015, 6:27 pm

【世界大学ランキング】 第1位にジュリアード音楽院とウィーン国立音大、日本勢は?

August 23, 2019, 1:32 am

【対策済】「SKYSEA Client View」のアップデートに失敗する問題についてのお知らせ

December 27, 2007, 7:00 am

Lahaina Lunaの歌詞を和訳しました

January 14, 2016, 6:10 pm

画像・写真】ららぽーと横浜で16歳男子高校生が転落死 不審な動き→逃走し警備員に追いかけられ→柵越え飛び降り・12m転落 窃盗・万引き?それとも盗撮?

September 17, 2016, 8:50 am
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>