新たに見つかったActive Directoryの脆弱性対策と認証問題、その対処方法は？：Microsoft Azure最新機能フォローアップ（224）

　この更新プログラムは、セキュリティプリンシパルの証明書ベースの認証（CBA）に使用される証明書の発行元が信頼されているがNTAuthストアには存在せず、証明書ベースの認証を使用してセキュリティプリンシパルのaltSecID属性にサブジェクトキー識別子（SKI）マッピングが存在する場合の動作の変更を提供します。

　つまり、安全でない証明書を使用した認証に対する脆弱性対策になります。こちらはActive Directoryドメインコントローラーを含む、全てのWindowsが対象になります。

　上記を踏まえ、「CVE-2025-26647（Kerberos認証）の保護」の内容から各フェーズを要約します。

2025年4月8日：初期展開フェーズ−監査モード

　ここで脆弱性を検出するため、「監査モード」が有効になります。具体的には、イベントID「45」がActive Directoryドメインコントローラーに記録されます。監査モードですので、認証要求は許可され、クライアントの認証エラーは発生しません。

　イベントID：45から検出されたクライアント証明書が有効であることを確認します。続いて、そのクライアント証明書がNTAuthストア（Windowsの証明書格納場所である「証明書ストア」にある特殊なストア）内の信頼された発行元CA（認証局）にチェーンされていることを確認します。ここまでを「強制モード」実施までに対応する必要があります。

2025年7月以降：既定で適用されるフェーズ

　既定でNTAuthストアをチェックするよう挙動が変更されます。この挙動は、「AllowNtAuthPolicyBypass」レジストリキー設定を使用することで「監査モード」に戻すことができます。ただし、このセキュリティ更新プログラムを完全に無効にする機能は削除されます。

　2025年7月8日付のセキュリティ更新プログラム「Windows Server 2025 July 8, 2025-KB5062553（OS Build 26100.4652）」と「Windows 11 24H2 July 8, 2025-KB5062553（OS Build 26100.4652）」を確認しましたが、こちらに対する言及は見当たりませんでした。

2025年10月以降：強制モード

　クライアント証明書がNTAuthストア内の信頼された発行元CAにチェーンされていない場合は、クライアントで認証エラーが発生します。この段階では、「AllowNtAuthPolicyBypass」レジストリキー設定は使用不可となります。

　上記のリリースタイミングは下図のようになります。

　強制モードに切り替わるタイミングまでの対策が急がれます。ご注意ください。

Kerberos認証におけるDESの廃止

　Microsoftのブログ記事に記載されていますが、DES自体は1970年代に開発された古い暗号化方式であることから、多数の脆弱性を抱えています。

　Kerberos認証におけるDESの利用状況は、イベントID「4768」「4769」で確認できます。

　「Windows7」「Windows Server 2008 R2」の時点で、Kerberos認証におけるDESの利用は既定で「無効」になっていましたが、管理者が手動で有効化することも可能でした。そのため、イベントID「4768」「4769」からDESの利用状況を把握することは有効と考えます。

　なお、現時点（2025年7月中旬）の予定では、「Windows 11 24H2」「Windows Server 2025」以前のバージョンからDESが削除されることはないそうです。

　Windows 11 24H2／Windows Server 2025では、2025年9月にリリースが予定されている更新プログラムを適用すると、Kerberos認証におけるDESが完全に削除されます。それまでには、Kerberos認証におけるDESの利用がないことを確認しておくとよいでしょう。

Windows Server 2025 Active DirectoryとWindows 11 23H2間でのコンピュータアカウントのパスワード交換がうまくいかない事象

　この事象に関連して、Windows Server 2025 Active Directoryへの「ローリングアップグレード」後、Windows 11 23H2クライアントがActive Directoryドメインから外れてしまうトラブルに遭遇しました。

　「Active Directoryユーザーとコンピューター」管理ツールから、Windows 11 23H2のコンピュータアカウントを選択し、プロパティから属性エディタを開いて確認したところ、pwdLastSetが更新されず、BadPwdCountの増加が認められました。

　既定では、コンピュータアカウントのパスワード交換は、「30日」に一度行われます。そこでいろいろと調べた結果、下記ドキュメントにピタリと合うことが分かりました。

• Server 2025 Domain Controllers - Trust relationship issues on workstations after 30 days as "pwdLastSet" value unable to be updated［英語］（Microsoft Learn）

　上記ドキュメントでも、Windows Server 2025 Active DirectoryとWindows 11 23H2間のコンピュータアカウントのパスワード交換がうまくいかない事象が報告されていました。

　ドキュメントによると、ワークアラウンド（システム障害時やトラブル発生時、根本的な解決策がすぐに見つからない場合に一時的に問題を回避したり、影響を軽減したりするための応急処置や代替策）は、コンピュータアカウントのパスワード交換を無効化することでした。

　つまり、グループポリシーで「Domain member: Disable machine account password changes」項目を有効化します。この手法は、スナップショットなどでリストアすることがある仮想マシンでは一般的です。物理マシンでは、コンピュータアカウントのパスワード交換を無効化しないこともあるので、WMI（Windows Management Instrumentation）フィルターを活用することも有効です。

　なお、更新プログラム／セキュリティパッチの適用状況で特定しきれていませんが、この状況が再現できないこともありましたことを付け加えておきます。もし、定期的に更新プログラムを適用していない場合は、本稿に注意を払いつつ進めてください。