Windows 11向け累積更新プログラム「KB5013943」に認証できなくなる不具合
Microsoftは2022年5月、Windows 11向けの累積更新プログラムとして「KB5013943」を公開した。現在、このアップデートはいくつか問題を起こしている。この累積更新プログラムは、セキュリティアップデートのみならずさまざまな不具合を修正するアップデートと考えられていたが、この累積更新プログラムを適用したユーザーから不具合の報告が続いている(参考「Microsoft、Windows 11向けの累積更新プログラム「KB5013943」リリース | TECH+」)。
Microsoftは「May 10, 2022-KB5013943 (OS Build 22000.675)」において、KB5013943をドメインコントローラに適用した場合、NPS (Network Policy Server)、RRAS (Routing and Remote access Service)、Radius、EAP (Extensible Authentication Protocol)、PEAP (Protected Extensible Authentication Protocol)などを含むサービスにおいて認証に失敗することがあると伝えた。2022年5月10日のKB5013943を適用していない場合やドメインコントローラ以外のWindowsサーバでは、この問題は発生しないとされている。
この問題を緩和するには、Active Directoryのマシンアカウントに証明書を手動でマッピングする必要があるとされている。Mcirosoftはこの手順について、「KB5014754-Certificate-based authentication changes on Windows domain controllers」の"Certificate mappings"の説明を参考にするように求めている。
さらに、推奨される緩和策が機能しない場合は、「KB5014754-Certificate-based authentication changes on Windows domain controllers」の"SChannel registry key"の説明を参考にするようにという説明も行われている。推奨されている緩和策以外の方法では、セキュリティのクオリティが低下したり、無効になったりする恐れがある点も指摘されている。
Microsoftは現在これら問題を調査中であり、今後のリリースでアップデートを提供すると説明している。
Microsoftは「May 10, 2022-KB5013943 (OS Build 22000.675)」において、KB5013943をドメインコントローラに適用した場合、NPS (Network Policy Server)、RRAS (Routing and Remote access Service)、Radius、EAP (Extensible Authentication Protocol)、PEAP (Protected Extensible Authentication Protocol)などを含むサービスにおいて認証に失敗することがあると伝えた。2022年5月10日のKB5013943を適用していない場合やドメインコントローラ以外のWindowsサーバでは、この問題は発生しないとされている。
この問題を緩和するには、Active Directoryのマシンアカウントに証明書を手動でマッピングする必要があるとされている。Mcirosoftはこの手順について、「KB5014754-Certificate-based authentication changes on Windows domain controllers」の"Certificate mappings"の説明を参考にするように求めている。
さらに、推奨される緩和策が機能しない場合は、「KB5014754-Certificate-based authentication changes on Windows domain controllers」の"SChannel registry key"の説明を参考にするようにという説明も行われている。推奨されている緩和策以外の方法では、セキュリティのクオリティが低下したり、無効になったりする恐れがある点も指摘されている。
Microsoftは現在これら問題を調査中であり、今後のリリースでアップデートを提供すると説明している。
