SAM の設定 セキュリティ アカウント マネージャーの構成設定 SAM セキュリティ アカウント マネージャー ROCA に対して脆弱な WHfB キーの認証中の検証を構成する ROCA に対して脆弱な WHfB キーを無視 ROCA に対して脆弱な WHfB キーの使用を監査 ROCA に対して脆弱な WHfB キーの使用をブロック このポリシー設定では、"Return of Coppersmith's attack" (ROCA) に対して脆弱な Windows Hello for Business (WHfB) キーをドメイン コントローラーが処理する方法を構成できます。 ROCA の脆弱性に関する詳細については、以下をご覧ください: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361 https://en.wikipedia.org/wiki/ROCA_vulnerability このポリシー設定を有効にすると、次のオプションがサポートされます: 無視: 認証中にドメイン コントローラーは WHfB キーで ROCA の脆弱性について調べません。 監査: 認証中にドメイン コントローラーは ROCA に対して脆弱な WHfB キーの監査イベントを生成します (それでも認証は成功します)。 ブロック: 認証中にドメイン コントローラーは ROCA に対して脆弱な WHfB キーの使用をブロックします (認証は失敗します)。 この設定はドメイン コントローラーにのみ反映されます。 構成されていない場合、ドメイン コントローラーは既定でローカル構成を使用します。既定のローカル構成は [監査] です。 この設定を有効にするのに再起動は必要ありません。 注: 予期しない中断を防ぐために、適切な対策 (脆弱な TPM の修正など) が実行されるまでは、この設定は [ブロック] に設定しないでください。 詳細については、https://go.microsoft.com/fwlink/?linkid=2116430 をご覧ください。 SAM パスワード変更 RPC メソッド ポリシーの構成 すべてのパスワード変更 RPC メソッドをブロックする 強力な暗号化変更パスワードの RPC メソッドのみを許可する すべてのパスワード変更 RPC メソッドを許可する このポリシーを使用すると、管理者はセキュリティ アカウント マネージャー (SAM) でユーザー パスワード変更 RPC メソッドのリモート使用を構成できるようになります。 ポリシーを有効にすると、次のオプションがサポートされます: すべてのパスワード変更 RPC メソッドをブロックする: すべてのセキュリティ アカウント マネージャー (SAM) 変更パスワード RPC メソッドのリモート使用をブロックします。 強力な暗号化の変更パスワード RPC メソッドを許可する: 強力な暗号化を使用し、脆弱な暗号化方法のリモート使用をブロックするパスワード変更 RPC メソッドをリモートで使用できるようにします。 すべてのパスワード変更 RPC メソッドを許可する: 暗号化に関係なく、すべてのパスワード変更 RPC メソッドのリモート使用を許可します。 既定のポリシー: 1. ドメイン メンバー コンピューター - すべてのパスワード変更 RPC メソッドをブロックします。 2. ドメイン コントローラー - 強力な暗号化変更パスワード RPC メソッドを許可します。 注: ポリシーが無効になっている場合、または構成されていない場合、コンピューターは既定のポリシーを使用します。 ROCA に対して脆弱な WHfB キーを処理するためのオプション: SAM パスワード変更 RPC メソッド ポリシーのオプション: