マイクロソフト社は、2018年5月9日(日本時間)に公開のセキュリティ更新プログラムを適用することによって、「リモートデスクトップ接続」が出来なくなる可能性があることを発表しました。
リモートデスクトップ接続をご利用の場合は、ご利用環境の確認および回避策の対応などが必要になります。
※当社製品「SecureProtectGate(SPG) SPG-Remote」をご利用のお客様は本影響を受けません。
※当社製品のご導入・利用にかかわらず、Windows製品で「リモートデスクトップ接続」をご利用される場合は本影響を受ける可能性があります。
概要
セキュリティ更新プログラムを適用することにより、セキュリティのレベルが上がり、下記のような接続時エラー表示がされてリモートデスクトップ接続ができなくなる場合があります。
下図のように
「認証エラーが発生しました。要求された関数はサポートされていません」
と表示されます。
※RemoteAppの場合はエラー画面が表示されません。また、その他、接続環境によってはエラー画面が表示されず「リモートデスクトップ接続」の画面に戻る場合もあります。
対象
マイクロソフト社 Windows製品
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Vista
- Windows 7
- Windows 8.1
- Windows 10
現象が発生する条件
全てのWidnowsでリモートデスクトップ接続が出来なくなるわけではありません。
下記の2条件を満たす場合に現象が発生します。
①リモートデスクトップ接続先(例えば、会社に設置してあるコンピュータです。)に、2018年3月以降のセキュリティ更新プログラムが適用されていない
※リモートデスクトップ接続先にはRD 接続ブローカーを含みます。
②リモートデスクトップ接続元(例えば、外出先で利用するコンピュータです。)に、2018年5月のセキュリティ更新プログラムが適用されている
※現象が発生する前提条件
リモートデスクトップ接続先でNLA(Network Level Authentication:ネットワークレベル認証)が有効設定になっている場合に現象が発生します。
具体的には
「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する」
のチェックがされている場合が有効設定です。
NLAの有効設定はWindows製品の推奨設定であり、通常は有効設定になっています。
詳細は下記のマイクロソフト社のページをご参照ください
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
解決策
下記のいずれかの対策を施してください。
①リモートデスクトップ接続先(例えば、会社に設置してあるコンピュータです。)に3 月以降の更新プログラムを適用してください。
※注意※
リモートデスクトップサービス (RDS) 環境をご利用の場合、「RD接続ブローカー」サーバーにも適用が必要です。なお、RDS環境ではその他に「RD Web アクセス」「RD ゲートウェイ」「RD ライセンス」「RD 仮想化ホスト」の役割には、この現象は関係しません。
②SPG-Remoteをご利用ください。
SPG-Remoteを導入することで、接続先(例えば、会社に設置してあるコンピュータです。)、接続元(例えば、外出先で利用するコンピュータです。)のいずれもセキュリティ更新プログラムの適用状態によらず、現在のシステム環境のままでリモート接続が可能です。
また、リモート接続によるセキュリティ強度がより高まります。
回避策
リモートデスクトップ接続先(例えば、会社に設置してあるコンピュータです。)に 3月以降の更新プログラムを適用できない場合には、下記のいずれかの対策を施すことで現象を回避することができます。
ただし、いずれもセキュリティリスクが高まります。その影響をご理解いただいたうえで実施願います。
回避策を施すためには、リモート デスクトップ接続元 (例えば、外出先で利用するコンピュータです。)でポリシー設定の変更やレジストリの追加等の操作が必要です。
コンピュータの知識や経験が必要となるため、作業は専門家へ依頼されることをお勧めいたします。
具体的な操作手順は下記のマイクロソフト社のページをご参照ください。
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
マイクロソフト社の情報
関連する更新プログラムについて
CVE-2018-0886 の CredSSP の更新プログラムについて (マイクロソフト社サポートブログ)
関連する更新プログラムのサポート技術情報について
CVE-2018-0886 の CredSSP の更新プログラム(サポート技術情報)
関連する脆弱性情報について
CVE-2018-0886 | CredSSP のリモートでコードが実行される脆弱性
以上