none
クライアントからのローカルユーザーパスワード変更に関して RRS feed

  • 質問

  • 【環境と経緯】
    Hyper-V内のゲスト環境のWindowsServer2008R2 (ワークグループ)にファイルサーバーとして使用するために、共有フォルダを作成して各自のローカルユーザーを登録してアクセス権設定で管理をしております。

    作成したローカルユーザーのパスワード変更に関してなのですが、90日でパスワードの有効期限が切れるローカルセキュリティポリシーで運用をしており期限切れした場合、クライアントからのパスワード変更する運用をしておりました。

    先月位までは問題なく各クライアントから変更が出来ておりましたが、先週から各ユーザーより変更が出来ないと連絡が入り、パスワード切れていない状況でも同様に変更ができなくなっております。

    [エラーメッセージ]
    「セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。」とメッセージが出て変更できない

    何か仕様が変更されたのでしょうか?

    【変更手順(変更不可能の手順)】
    クライアントPCにて「Ctrl」+「Alt」+「DEL」キーで「パスワードの変更」ログオン先を「サーバー名\ユーザー名」 に対してパスワード変更

    【変更ができない状況】
    ・クライアントからのパスワード変更が出来ない
    (1台だけ変更が出来たとの連絡もありましたが9割型のPCで現象が発生しております)
    ・「Windows7&10からパスワード変更をした場合」でも同様
    ・「WindowsServer2012R2にwindows7からパスワード変更をした場合」でも同様

    クライアントのOS、サーバーのOSの違いによる現象の差異はありません。

    【現在の対応】
    クライアントPCからの「リモートデスクトップ」でのサーバー側でのログオンでのパスワード変更は可能ですので逐次変更を我々が実施しています。


    【これまでの検証内容】
    1.WindowsServer2003R2から2008R2に変更した際に「ローカルセキュリティポリシー」の「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」という項目をWindowsServer2008R2に加えております。(再起動は実施済み)

    2.「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    」に「MaxTokenSize」で「DWORD値」-「FFFF(16進数)65535(10進数)」を

    WindowsServer2008R2に追加しております。(再起動はしておりません)

    ※参考URL
    https://support.microsoft.com/ja-jp/kb/327825

    3.クライアントのWindow資格情報コンテナに保存されている情報を削除

    4.SymantecEndopointProtectionの無効化をして実施

    5.Windowsファイアーウォールをサーバー及びクライアントにて無効化


    パスワード無期限で運用しないとユーザーからサーバー内のローカルユーザーパスワードの変更ができないのは不便です。ActiveDirectryで運用すればよいのでしょうが現在の所予定はありません。何か解決手段はないでしょうか。


    以上、よろしくお願いいたします。

    2016年8月17日 3:05

回答

すべての返信

  • チャブーンです。

    同じ質問がありましたので、以下のスレッドで回答しています。参考になさってください。

    https://social.technet.microsoft.com/Forums/ja-JP/86f6eafc-bd5f-4506-9bc9-c9d158a3222f/pw?forum=w7itprogeneralja


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 2016年8月18日 4:13
    2016年8月17日 5:45
    モデレータ
  • 回答ありがとうございます。

    「KB3167679」が原因との事で、当該セキュリティ更新プログラムをアンインストールした所パスワードの変更が出来るようになりました。

    ワークグループ環境での共有フォルダの管理はリモートアクセスをさせないと出来ないというのは運用上問題があるので、当面はこのセキュリティ更新プログラムは適用させないように致します。

    AD化出来ない環境は多々有ると思いますので、今後別の対応手段が出来ることを説に願いたいです。

    ありがとうございました。

    2016年8月18日 4:36
  • KB3167679 はセキュリティ修正プログラムなので、適用しない場合はそれなりの対策をしないと非常に危険な状態になる場合があります。

    マイクロソフト セキュリティ情報 MS16-101 - 重要 Windows 認証方式用のセキュリティ更新プログラム(3178465)」には緩和要素や回避策はないと書かれています。したがって他の方法でこの脆弱性の攻撃要件を排除する必要があります。

    幸いなことに「この脆弱性を悪用するには、攻撃者は Windows Server 2012 または Windows Server 2012 R2 のいずれかで構成されたドメイン コントローラーに接続しているドメインに参加しているコンピューターへのアクセスが必要になります。」となっているので、ドメインに参加しているコンピューターに対して悪意あるユーザー (内部犯も含めて) が絶対にアクセスできないようすることで、攻撃要件を取り除けます。
    ※ノート PC のように外部に持ち出すコンピューターがドメインに参加していて、そのコンピューターが一時的にであれ第三者の手に渡る可能性が排除できない場合は、上の要件は成立しないと考えてください。

    なお「ネットワーク経由でサーバーのログインPWを更新できなくなった」でチャブーンさんが書かれているようにこの動作は「仕様変更」であり元に戻ることはあり得ないので、「別の対応手段ができる」ことは非常に望み薄だと思います。そうした期待を持つより、別の運用方法 (チャブーンさんも書かれていますね) を考えた方が良いと思います。


    hebikuzure

    2016年8月18日 5:32
  • 回答を頂いておりありがとうございました。

    チャブーンさんの回答にて仕様変更は無いものとの認識で社内でツール等を作成するなどの対応を検討していたのですが、9月と10月に「セキュリティ更新プログラム(3167679 )」の再リリースがなされたという情報をみました。

    https://technet.microsoft.com/library/security/MS16-101

    弊社はドメインを組んでいないので当該プログラムをアンイストールしたのですが、アンイストールしたにも関わらずパスワードが変更できなかったり出来たりする端末が発生しております。

    再リリースされた更新プログラムでは根本的な仕様は変更されてはいないという認識で間違いないでしょうか。

    また、「Windows 認証方式用のセキュリティ更新プログラム (3178465)」という更新プログラムはリリースされるのでしょうか。

    素人的な質問になってしまい申し訳ありませんが、今後の運用を考えるためにもご回答をいただけますと幸いです。

    2016年11月8日 7:08
  • チャブーンです。

    この件ですが、したの資料を読む限り、仕様が一部変更になり「NegoAllowNtlmPwdChangeFallback 」レジストリ値を設定すると、制限を無効化できる、ということのようです。

    https://support.microsoft.com/ja-jp/kb/3167679

    機器により差が出ている、という部分ですが、10月からセキュリティ更新プログラムは過去の分をすべて含む大型のプログラム集に変更されたので、10月分を当ててしまうと、同じ状況になってしまうのでしょう。

    現状としては、最新の更新プログラム集を当てた上、うえのレジストリ値を修正して使うことになりますが、うえの資料にもあるよう、これは事実上「穴を開けて」問題をスルーさせるということですので、この問題を攻撃された場合防げない、ことはご了解ください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年11月8日 16:00
    モデレータ
  • 早速のご回答ありがとうございます。

    レジストリ値の設定について更新プログラムを適応した上で試してみたいと思います。

    結果がでましたらお知らせします。

    2016年11月9日 9:52
  • テスト用マシンで何もしない状態でパスワードを変更してみた所問題なく変更ができました。

    続いて、最新のWindowsUpdateを適用をした所パスワード変更時に[エラーメッセージ]
    「セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。」とメッセージが出て変更できませんでした。

    そこで、「NegoAllowNtlmPwdChangeFallback 」レジストリ値を設定したのですが、同じエラーメッセ時が出て変更できませんでした。

    最後に「KB3167679」を削除した所問題なくパスワードが変更できるようになりました。ここでいう制限とはパスワードの有効期限が来てロックが掛かった状態を指すのでしょうか。

    • 編集済み 2016年11月10日 11:30
    2016年11月10日 11:26
  • チャブーンです。

    KB3167679ですが、簡単に確認したところ同じ番号での更新は行われていないようです。ではどこで更新されたのかというと、2016年10月のマンスリーロールアップであるKB3185330で置き換えられた、ということになります。

    https://support.microsoft.com/ja-jp/kb/3185330

    実際、KB3185330を適用したところ、当初の状態はそのままですが、NegoAllowNtlmPwdChangeFallbackレジストリ値を設定し再起動すると、パスワード変更ができるようになったことを確認しました。

    つまり、KB3185330を適用すれば(レジストリ値は修正します)解決する、ということになります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年11月13日 9:58
    モデレータ
  • ご回答ありがとうございます。

    KB3167679」は更新されたわけではなく2016年10月のマンスリーロールアップであるKB3185330で置き換えられていたのですね。本日、チャブーンさんの情報を元に自分のPCとその他数名のPCで検証をしてみた所以下の3パターンでパスワード変更が出来るようになりました。

    ・パターン1

    「KB3185330」が適用されておりNegoAllowNtlmPwdChangeFallbackレジストリ値を設定

    ・パターン2KB3167679」を削除してNegoAllowNtlmPwdChangeFallbackレジストリ値を設定

    ・パターン3KB3167679」は入っており、NegoAllowNtlmPwdChangeFallbackレジストリ値を設定していない

    パターン3のPCは「KB3185330」を個別に適用しようとしても認識してくれず何が起因してパスワード変更が出来るようになったのかは不明ですが、一応の回避手順は確認できました。

    今後、この手順にて他のPCでも同様にパスワード変更ができるようになるか確認をしていきたいと思います。

    ありがとうございました。

    2016年11月14日 8:26
  • 概ねの検証結果が出たので報告を致します。

    パターンが発生したのには、10月からWindowsUpdateがマンスリーロールアップでの配信に変わったのが原因でした。その為、対応方法としては2つに絞られました。

    「対応方法1」

    KB3167679」を削除してNegoAllowNtlmPwdChangeFallbackレジストリ値を設定

    「対応方法2」

    方法1が駄目な場合は以下のどちらかを適応

    2016 10 Windows 7 向けセキュリティマンスリー品質ロールアップ (KB3185330)

    2016 11 Windows 7 向けセキュリティマンスリー品質ロールアップ (KB3197868)

    Widows7とWindows8.1で確認して問題ありませんでした。

    Windows10は少々ややこしそうですが、同様の手法で対応できるものと考えております。

    ありがとうございました。


    2016年11月16日 7:35