セキュリティ パッケージの登録とインストールに関する制限事項

受信トレイ セキュリティ パッケージ (Kerberos や NTLM など) の削除、置換、または折り返しは、Windows ではサポートされていません。2017 年 1 月 10 日の時点では、この操作は禁止されています。 サード パーティのセキュリティ パッケージ (SP/AP) を追加できます。ただし、Windows では、構成済みの SP/AP の削除はサポートされていません。 具体的には、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages レジストリ設定の編集はサポートされていません。

Windows 8.1 以降では、追加機能を提供する必要があるお客様は、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (SSP/AP DLLの登録) と SecurityProviders (セキュリティ サポート プロバイダーの作成とインストール) レジストリ設定 (該当する場合) レジストリ設定を使用してセキュリティ パッケージを追加できます。 さらに、セキュリティ パッケージ の目的は、セキュリティ サポート プロバイダー (SSP) または 認証パッケージ (AP) の形式で使用できる新しい セキュリティ プロトコル 実装することです。 SSP の目的は、認証された接続、メッセージ整合性、およびシステムでまだサポートされていない メッセージ暗号化サービス を提供することです。一方、AP は、ユーザーにログオンを許可するかどうかを決定するために使用される新しい 認証ロジック を追加するために使用されます。

Microsoft はお客様のセキュリティに投資しており、SP や AP などの重要なプロセスがシステムから簡単に取り外されないようにしようとしています。 そのため、HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages レジストリ設定は、Windows 8.1 以降では変更されないように制限されていました。 サードパーティのセキュリティパッケージを容易にするために、カスタム SSPs/APs を指定された設定として HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages が設定されました。 さらに、Microsoft によって定義されたセキュリティ パッケージの範囲外にあるカスタム SP/AP の機能は、このようなカスタム SP/AP から削除し、受信トレイ セキュリティ パッケージは製品によって削除されないことをお勧めします。