Microsoft、2021年12月の月例更新 - Active Directoryのセキュリティ強化が行われる

マイクロソフトは、2021年12月15日（日本時間）、2021年12月のセキュリティ更新プログラム（月例パッチ）を公開した。該当するソフトウェアは以下の通り。

ASP.NET Core & Visual Studio
Azure Bot Framework SDK
Internet Storage Name Service
Microsoft Defender for IoT
Microsoft Devices
Microsoft Edge（Chromiumベース）
Microsoft Local Security Authority Server（lsasrv）
Microsoft Message Queuing
Microsoft Office
Microsoft Office Access
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft PowerShell
Microsoft Windows Codecs Library
Office Developer Platform
Remote Desktop Client
Role: Windows Fax Service
Role: Windows Hyper-V
Visual Studio Code
Windows Common Log File System Driver
Windows Digital TV Tuner
Windows DirectX
Windows Encrypting File System（EFS）
Windows Event Tracing
Windows Installer
Windows Kernel
Windows Media
Windows Mobile Device Management
Windows NTFS
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Storage
Windows Storage Spaces Controller
Windows SymCrypt
Windows TCP/IP
Windows Update Stack

図 2021年12月のセキュリティ更新プログラム（月例パッチ）が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

CVE-2021-43217 Windows Encrypting File System（EFS）のリモートでコードが実行される脆弱性から、ユーザーの死システムを保護するために、マイクロソフトは段階的に脆弱性の修正を強制する予定。2021年12月の更新プログラムでは、EFSサーバーに接続する際のパケットレベルのプライバシー使用を制御する新たなレジストリAllowAllCliAuthが追加されている。2021年12月の月例更新プログラムから 2022年2月22日に公開予定の月例更新プログラムを適用した場合は、既定ではEFSサーバーは、EFSサーバーにパケットレベルのプライバシーを強制しない。2022年3月8日以降のWindows更新プログラムをインストールすることで、EFSサーバーはAllowAllCliAuth での設定を無視し、つねに、パケットレベルのプライバシーを強制するようになる。詳細は、KB5009763: EFS security hardening changes in CVE-2021-43217を参照しほしい。
2021年12月のセキュリティ更新プログラムを展開する際のガイダンスは、2021年12月のセキュリティ更新プログラムの展開に関するサポート技術情報も併せて参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2021年12月セキュリティ更新プログラムリリースノートに掲載されている。
2021年11月以降のセキュリティ更新プログラムには、脆弱性を解決するために、Active Directoryにおける4件のセキュリティ強化が含まれている。これらのセキュリティ強化のうち、いくつかは、既存の環境への互換性による影響を鑑み、既定では有効にされていない。自環境への影響を考慮し、早めに設定を有効化し、脆弱性から自組織を保護するよう推奨している。また、すべてのActive Directory環境が確実に保護されるように、マイクロソフトではこれらのセキュリティ強化の設定を、今後リリースする予定の更新プログラムで強制的に有効化する予定とのこと。詳細は、「[IT 管理者むけ] Active Directoryのセキュリティ強化への対応を確認してください」を確認してほしい。

また、12月の「悪意のあるソフトウェアの削除ツール」では、追加されたファミリはなかった。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11

緊急（リモートでコードが実行される）

Windows 11：KB5008215

Windows 11の更新プログラムであるKB5008215（累積更新プログラム）の構成内容であるが、

Windowsオペレーティングシステムのセキュリティ更新

となっている。このセキュリティ更新プログラムでは、以下の品質の改善・修正が行われた。

この更新プログラムにより、Windows Updateをインストールするコンポーネントであるサービススタックの品質が向上する。サービススタック更新（SSU）は、デバイスがMicrosoft Updateを受信してインストールできるように、堅牢で信頼性の高いサービススタックを確保する。

Windows 10 v21H2、v21H1、v20H2、v2004、v1909

緊急（リモートでコードが実行される）

Windows 10 v21H2、v21H1、v20H2、v2004：KB5008212
Windows 10 v1909：KB5008206

Windows Server 2022

緊急（リモートでコードが実行される）

KB5008223

Windows Server 2019、Windows Server 2016、and Server Core installations (2019、2016、v20H2、v2004）

緊急（リモートでコードが実行される）

Windows Server 2019：KB5008218
Windows Server 2016：KB5008207
Windows Server、version v20H2、v2004：KB5008212

Windows 8.1、Windows Server 2012 R2、Windows Server 2012

緊急（リモートでコードが実行される）

Windows 8.1、Windows Server 2012R2マンスリーロールアップ：KB5008263
Windows 8.1、Windows Server 2012R2セキュリティのみ：KB5008285
Windows Server 2012マンスリーロールアップ：KB5008277
Windows Server 2012セキュリティのみ：KB5008255