2018年5月に配布される更新プログラムを適用するとリモートデスクトップに接続ができなくなる可能性がある件
※レジストリに関して言及している箇所がありますがあくまでも設定は自己責任でお願いいたします。
今のところあまり騒がれてないですが、バッチ適用の運用方針によっては結構影響範囲が大きいと感じたので書いてみました。
ざっくりまとめると
- 5月度の月次更新プログラム適用でリモートデスクトップ接続ができなくなる可能性がある
- 3月の月次更新プログラムでリモートデスクトップ接続に関する脆弱性が修正された
- これにより脆弱性に対処していないサーバ×脆弱性に対処したクライアントという組み合わせでリモートデスクトップ接続ができなくなった
- ただし現状は明示的にグループポリシーもしくはレジストリの設定を変えないと事象は発生しない
- 5月度の更新プログラムを適用したクライアント端末は同時に新しく追加されたグループポリシー(もしくはレジストリ値)を変えないと更新プログラムを適用していないサーバにリモートデスクトップ接続ができなくなる
詳細
2018年3月度月次更新プログラム
現状サポートがされているほぼすべてのバージョンのWindowsOSにて3月度の月次更新プログラムでリモートデスクトップ接続における脆弱性の対処がなされました。 MS公式のドキュメントはこちら。認証プロトコルに脆弱性が見つかり放置状態だと情報が抜き取られる危険があるそうです。(※ただし実際に実行するためにはさらに何ステップか踏む必要があり今のところ悪用事例はないです) この月次更新プログラムによって以下のグループポリシー(およびレジストリ)が追加されて脆弱性に対処が可能な状態となりました。
ポリシーのパス | 設定名 |
---|---|
[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任] | Encryption Oracle Remediation |
設定値 | クライアント側動作 | サーバ側動作 |
---|---|---|
Force updated clients | 脆弱性に対処していないサーバにリモートデスクトップ接続できない | 脆弱性に対処していないクライアント端末からのリモートデスクトップ接続を受け入れない |
Mitigated | 脆弱性に対処していないサーバにリモートデスクトップ接続できない | 脆弱性に対処していないクライアント端末からのリモートデスクトップ接続を受け入れる |
Vulnerable | 脆弱性に対処していないサーバにリモートデスクトップ接続できるがそれによってリモートサーバーは攻撃にさらされることになります。 | 脆弱性に対処していないクライアント端末からのリモートデスクトップ接続を受け入れる |
レジストリのパス | 値 | データの種類 |
---|---|---|
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | AllowEncryptionOracle | DWORD |
各値は
Force updated clients→0
Mitigated→1
Vulnerable→2
となります。
ただし、現状は既定値を「Vulnerable」としているのでグループポリシーやレジストリの設定を加えていない場合はリモートデスクトップ接続が可能な状態となっております。(ただし「Vulnerable」だと脆弱性は放置されたままになります)
5月度月次更新プログラムにて
上記のように移行期間の形をとっていた上記の脆弱性ですが2018年5月の月次更新プログラムにて本格的な対処が行われることとなり、特に何も設定していないときの既定値が「Vulnerable」から「Mitigated」に変更されます。そのため、クライアント端末に対して5月度の月次更新プログラムを適用した状態では月次更新プログラム未適用のサーバに対してリモートデスクトップ接続が出来なくなります。 すなわち、クライアント端末に対してはバッチの適用を毎月行うが、サーバに対してはバッチの適用を行っていないという運用をしている場合は5月月次更新プログラムを適用した端末からリモートデスクトップ接続を行うことができなくなります。
対処方法
下記のいずれかの対応を行う必要があります。
- すべてのクライアント端末およびリモートデスクトップサーバになりうる端末において5月度月次更新プログラムを適用する
- すべてのクライアントに対して上記で述べたグループポリシーまたはレジストリの設定を適用する(※ただし、脆弱性は放置)
おそらく、残りの期間と影響を考えると多くの会社さんでは暫定で2.の対処をしつつ1.の対処も可能な範囲で進めていくのが現実的かなと思います。 ともかく、5月の月次更新プログラムを配布してユーザさんから「リモートデスクトップ接続ができなくなった」と言われないように今から準備しておきたいものですね。