Q

Windows 2000のService Pack(SP)2を適用して暗号化強度を128ビットに上げています。しかし,SP2のリリース・ノートを見ると,秘密キーや証明書を保存する「Protected Store」という領域の強度を上げるには,別途パッチ(修正プログラム)の適用やツールの実行が必要と記載されています。ところがパッチの解説を読むと,「この問題はWindows 2000 Service Pack 1で修正済みです」とあります。SP2を適用していれば,パッチの適用とツールの実行は不要なのでしょうか,それとも必要なのでしょうか?

A

Windows 2000のService Pack(SP)2を適用して暗号化強度を128ビットに上げています。しかし,SP2のリリース・ノートを見ると,秘密キーや証明書を保存する「Protected Store*」という領域の強度を上げるには,別途パッチ(修正プログラム)の適用やツールの実行が必要と記載されています。ところがパッチの解説を読むと,「この問題はWindows 2000 Service Pack 1で修正済みです」とあります。SP2を適用していれば,パッチの適用とツールの実行は不要なのでしょうか,それとも必要なのでしょうか?

 インストール直後のWindows 2000には,Protected Storeという領域の暗号化強度がシステム全体より低くなっているという問題がありました。そこでマイクロソフトは,セキュリティ情報サイトの「Protected Storeのキー暗号化の脆弱性に対する対策(MS00-032)」において,この問題の修正プログラム「Q260219_W2K_SP1_x86_JA.EXE」を公開しました。実行するとPSBASE.DLLというモジュールを修正します。SP1やSP2でもPSBASE.DLLの修正は行われ,新しいPSBASE.DLLのあるマシンでは,Protected Storeに追加保存した秘密キーや証明書が,正常に強い強度で暗号化されます。

 ただし,この修正プログラムやSP1,SP2を適用する前に保存していた秘密キーや証明書などは,PSBASE.DLLが更新された後も低い強度で暗号化されたままです。そのアイテムの暗号化レベルを高めるには,「Keymigrt.exe」というツールを実行します。

 Keymigrt.exeは,SP1やSP2には含まれておらず,修正プログラム「Q260219_W2K_SP1_x86_JA.EXE」に入っています。ただし,修正プログラムをクリックしてインストールしても,Keymigrt.exeは実行されません。コマンド・プロンプトでQ260219_W2K_SP1_x86_JA.EXEに「-X」オプションを付けて,Keymigrt.exeを取り出してから利用します図1。Keymigrt.exeはProtected Storeの全アイテムを解読し,再暗号化するツールです。実行すれば,低い強度で保存していた既存アイテムの暗号化強度も改善します。


△ 図をクリックすると拡大されます
図1●パッチに「/x」のオプションを付けてコマンド・プロンプトで実行
瀧澤俊臣