
重要なお知らせ: Windows Hello Kerberos 認証の問題が特定されました
Microsoftは、Active Directoryドメインコントローラー(AD DC)上のWindows Hello Kerberos認証に重大な問題があることを認めました。この問題は、2025年4月の月例パッチ適用後に発生し、特にWindows Server 2025(KB5055523)、Server 2022(KB5055526)、Server 2019(KB5055519)、およびServer 2016(KB5055521)に影響を及ぼしています。
認証失敗の詳細
これらのアップデートにより、証明書ベースの資格情報を利用するKerberosログオンまたは委任の処理に問題が発生しています。この問題は主に、Active Directoryのmsds-KeyCredentialLinkフィールドを介したキーの信頼に依存するシステムで発生します。その結果、キー信頼環境でWindows Hello for Business(WHfB)を使用している組織、またはデバイス公開キー認証(マシンPKINIT)を使用している組織では、認証に失敗する可能性があります。
Microsoft は次のように詳しく説明しました。
2025年4月8日以降にリリースされた4月のWindows月例セキュリティ更新プログラム(KB5055523 / KB5055526 / KB5055519 / KB5055521)をインストールした後、Active Directoryドメインコントローラー(DC)で、Active Directoryのmsds-KeyCredentialLinkフィールドを介したキー信頼に依存する証明書ベースの資格情報を使用したKerberosログオンまたは委任の処理時に問題が発生する可能性があります。これにより、Windows Hello for Business(WHfB)キー信頼環境、またはデバイス公開キー認証(マシンPKINITとも呼ばれます)を導入した環境で認証の問題が発生する可能性があります。
…
影響を受けるプロトコルには、Kerberos 制約委任 (KCD) と Kerberos リソース ベース制約委任 (RBKCD) の両方を通じて動作する、初期認証用の Kerberos 公開キー暗号化 (Kerberos PKINIT) と証明書ベースのユーザー向けサービス委任 (S4U) が含まれます。
根本原因を理解する
この障害は、Windows Kerberos のネットワークセキュリティ脆弱性(CVE-2025-26647)に対処するパッチに起因する互換性の問題が原因です。詳細は、KB5057784 のパッチノートをご覧ください。これらのパッチの展開はまだ初期展開段階または監査モードであるため、完全には適用されていません。
Microsoftによると、この問題は最近のアップデートで導入された新しいセキュリティプロトコルに起因しています。具体的には、ドメインコントローラーがKerberos認証用の証明書を検証する方法が変更されました。KB5057784に記載されているように、更新されたプロセスでは、証明書がNTAuthストアにあるルートに接続する必要が生じています。
マイクロソフトは次のように述べています。
この問題は、KB5057784(CVE-2025-26647(Kerberos認証)に対する保護)に記載されているセキュリティ対策に関連しています。2025年4月8日以降にリリースされたWindows Update以降、Kerberos認証に使用される証明書をDCが検証する方法が変更されました。この更新以降、KB5057784に記載されているように、証明書がNTAuthストアのルートにチェーンされているかどうかがDCによってチェックされるようになります。
AllowNtAuthPolicyBypass
この動作は、のレジストリ値によって制御できますHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
。AllowNtAuthPolicyBypass
が存在しない場合、DC はデフォルトで値が「1」に設定されているかのように動作します。以下の 2 つの症状が確認されています。
AllowNtAuthPolicyBypass
認証ドメイン コントローラーでレジストリ値が “1” に設定されている場合、 Kerberos キー配布センター イベント ID 45が繰り返しログに記録され、次の内容が示されます: “キー配布センター (KDC) は、有効ではあるものの、NTAuth ストアのルートにチェーンされていないクライアント証明書を検出しました。” このイベントは複数回ログに記録される場合がありますが、影響を受けるログオン プロセスは引き続き正常に実行され、それ以上の問題は発生しません。- 逆に、が
AllowNtAuthPolicyBypass
「2」に設定されている場合、ユーザーのログインは失敗し、イベント ログにKerberos-Key-Distribution-Center イベント ID 21が表示され、「ユーザーのクライアント証明書が無効であるため、スマートカード ログオンに失敗しました。」というメッセージが表示されます。
現在の回避策と詳細情報
現在、これらの認証問題に直面している組織では、レジストリ設定の値を「2」から「1」に変更することで、影響を一時的に軽減することを推奨しています。この問題の詳細については、Microsoft Windows Health Dashboardのエントリをご覧ください。
この状況の進展に関するさらなる洞察と最新情報については、 Neowin の記事をご覧ください。
コメントを残す