(CVE-2022-38023)レジストリのサブキーにRequireSealが無い場合の対応方法

Question

CVE-2022-38023対応において、レジストリキーの設定方法について教えてください。

現在、KB5021130のRegistry Key Settingsの項目を参考に、ADサーバのレジストリ設定を実施しています。

Netlogonのレジストリ設定を確認したところ、RequireSeal名称のサブキーが存在していませんでした。

この場合の対応方法はどうしたらいいでしょうか。

無い場合は新規でサブキーを追記する対応で合っていますでしょうか。

・追加先レジストリキー：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Netlogon\Parameters

・名前(Value)：RequireSeal

・種類(Data Type)：REG_DWORD

・値(Data)：1

ADサーバOSバージョン：Windows Server 2016 Standard

＊＊モデレーター注＊＊

この質問は Windows / その他/不明 / パフォーマンスとメンテナンス に投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。

適切なカテゴリに投稿すると、返信や回答が得られやすくなり、同じ質問を持つ他のユーザーの参考にもなります。

Answer 1

サーバ運用については、Technet フォーラムで訊く

　新規登録の場合、1日たたないと投稿できません

公式：KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法

タイミングの7月のところを見ると、値１は「無効」では？

Answer 2

KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 - Microsoft サポート

『2022 年 11 月 8 日以降の Windows 更新プログラムがインストールされた後は、Windows ドメイン コントローラーの Netlogon プロトコルで次のレジストリ サブキーを使用できます。 』

と書かれている日本語の文章を普通に読み解けば、「2022 年 11 月 8 日以降の Windows 更新プログラムがインストール」される前はそもそも RequireSeal キーは利用できないので、存在していないのが既定。「2022 年 11 月 8 日以降の Windows 更新プログラムがインストール」されたら利用できるようになるので、必要に応じて作成、と理解できますね。

技術的な問題と言うより、日本語の読解能力の問題でしょう。

Answer 3

Windowsサーバへは2023年5月段階での最新パッチが適応済です。

Answer 4

チャブーンです。

この件ですが、レジストリの「サブキー」とは、レジストリにおける「サブフォルダー」のような存在、と理解すればいいです。

その意味で確認すると

・追加先レジストリキー：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Netlogon\Parameters

・名前(Value)：RequireSeal

・種類(Data Type)：REG_DWORD

・値(Data)：1

のValueは「値」と訳すべきところで、サブキーではありません。つまりRequireSeal レジストリ値をREG_DWORDで「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Netlogon\Parameters」キー内に作成します。サブキーは作成する必要はありません(正常に動作しません)。