■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP4 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
■MS05-042の修正プログラム適用後にPKINIT-27のみを利用するように変更可能に
MS05-042の修正プログラムでは、今後のPKINITの脆弱性に対する対策として、最新バージョンのPKINIT-27のみを受け付けるように設定可能にしている。以下のレジストリ・キーに、データ「1(REG_DWORD型)」(あるいは「0」以外の値)の値「RequireAsChecksum」を追加することで、PKINIT-27のみを認証として受け付けるように変更できる。「0」を書き込むと、変更前と同様、クライアントはPKINIT-27以外のバージョンでの認証も受け付ける。
・Windows 2000 SP4/Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\
Parameters\ |
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\ |
MS05-042の修正プログラムを適用しても、このキーは自動で作成されない。つまり適用しただけでは、従来同様、PKINIT-27以外のバージョンでの認証も受け付ける。またクライアント側でこの設定を有効にする前に、そのドメイン内の全ドメイン・コントローラに対してMS05-042の修正プログラムを適用しておくことが推奨されている。
なおWindows 2000では、レジストリ値を変更後、コンピュータの再起動が必要になる。Windows XPとWindows Server 2003では再起動は不要だ。
・サポート技術情報 904766(How to modify the RequireAsChecksum registry entry after
you install security update 899587)
http://support.microsoft.com/default.aspx?scid=kb;en-us;904766
■Windows XP SP2とWindows Server 2003 SP1では[プログラムの追加と削除]で表示形式が日付順になる修正ツールが実行される
Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの[プログラムの追加と削除]で日付順に並ばないという不具合がある。これは、
update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。
MS05-042の修正プログラムをWindows XP SP2とWindows Server 2003 SP1に対して適用すると、この不具合を解消する「arpidfix.exe」が実行され、[プログラムの追加と削除]の表示形式で日付順に並ぶように「Installed
On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。
・サポート技術情報 904630(Arpidfix.exe ツールについて):
http://support.microsoft.com/default.aspx?scid=kb;ja;904630
■Windows 2000 SP3向けの修正プログラムは提供されない
Windows 2000 SP3は2005年6月30日にサポート・ライフサイクルが終了したため、MS05-042の修正プログラムは提供されない。Windows
2000 SP4を適用してから、MS05-042の修正プログラムを適用する必要がある。
■MBSA 2.0の結果
MS05-042の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「MS05-042 Windows {2000/XP/Server
2003} 用セキュリティ更新プログラム (KB899587)」が表示される。参考までにMBSA 1.21では、「Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる
(899587)」が表示される。
|