暗号化オラクルの修復

暗号化オラクルの修復

このポリシー設定は、CredSSP コンポーネント (例: リモート デスクトップ接続) を使用するアプリケーションに適用されます。

一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます

このポリシー設定を有効にした場合、サポート対象の CredSSP バージョンは、以下のオプションに基づいて選択されます。

クライアントの強制更新: CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否します。注: この設定は、すべてのリモート ホストが最新バージョンに対応するまで展開しないでください。

軽減: CredSSP を使用するアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。パッチ未適用のクライアントが原因で生じるリスクに関する重要な情報については、以下のリンクを参照してください。

脆弱: CredSSP を使用するクライアント アプリケーションが安全でないバージョンにフォールバックできるようになり、リモート サーバーが攻撃に対して無防備な状態になります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。

脆弱性と保護のサービス処理要件について詳しくは、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください。

サポートされるバージョン: Windows Vista 以降

保護レベル:


  1. 更新済みクライアントの強制
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value0
  2. 緩和
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value1
  3. 脆弱
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    Value NameAllowEncryptionOracle
    Value TypeREG_DWORD
    Value2


credssp.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)