Category Archives: Security

やること1：ファームウェアの更新
　最近のPCやM/Bなら最初から更新された証明書が入っているらしい
やること2：Windows Update
　2026年4月の累積更新プログラムを適用すると、セキュアブートの有効／無効状態に加えて、証明書の更新状況も表示されるようになったので、確認が簡単になった

ドメイン参加時に次のメッセージが表示されて、失敗することがある。

ドメイン “ドメイン名” に参加中に次のエラーが発生しました:
同じ名前のアカウントが Active Directory に存在します。
アカウントの再利用はセキュリティ ポリシーによってブロックされました。

または

ドメインに参加できません。詳しくは、IT 管理者に問い合わせてください。

原因は、2022年10月リリースの更新プログラムによる仕様変更。
コンピューターオブジェクトの作成者(所有者)と、ドメイン参加操作の実行者が異なると、ドメイン参加に失敗する。

KB5020276 – Netjoin: ドメイン参加のセキュリティ強化の変更
https://support.microsoft.com/ja-jp/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

対策は5つ。重ねて実施可。

1. コンピューターオブジェクトの作成者(所有者)でドメイン参加操作を実行する。
2. ドメイン参加操作の実行者でコンピューターオブジェクトを作る。
3. コンピューターオブジェクトの所有者をドメイン参加操作の実行者に変える。
　例：Dsacls <Computer DN> /TakeOwnership
4. レジストリを操作してセキュリティ強化前の状態にする。
　キーのパス：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
　値の名前：NetJoinLegacyAccountReuse
　データ型：REG_DWORD
　設定値：1 (強化前)　※新方式は 2
5. 更新プログラムをアンインストールする。

EFS DRAに必要な証明書は「.cer」ファイルと「.pfx」ファイル。
「cipher /r:<ファイル名>」コマンドで作成できる。

EFS DRA登録用の公開キーポリシーには「.pfx」ファイルだけあればよいし、そのポリシーをコンピュータに適用後に暗号化したファイルには、しっかりとDRAが登録されている。

しかし、DRAがDRAとして復号化を実行するためには、

1. DRAのアカウントでコンピュータにログオン
2. 「.cer」ファイルと「.pfx」ファイルをそれぞれ右クリック→インストール

という操作を実施しておく必要がある。
cipher /rコマンドで証明書ファイルを作成しても、実は証明書として本人にインポートされていないため、まだDRAではないのだった。

ということで、復号化しようとしたときに「指定されたファイルの暗号化を解除できませんでした」と表示された場合は、ファイルやフォルダーのアクセス権／所有権はほぼ関係がない。必要な証明書が足りないためだ。
証明書のファイルをなくしていたら･･･諦めて。無理。

参考：
efs – Windows Server 2012 DRA（データ復旧エージェント）アカウントがファイルを解読できません
https://tutorialmore.com/questions-362799.htm

WSUSからWindows 10の機能更新プログラムを適用しようとすると、「この更新ファイルのダウンロードに失敗しました。更新を承認できますが、ダウンロードが完了するまでコンピューターで利用できません。[ダウンロードの再試行]をクリックして、ダウンロードを再開して下さい。」と表示されて、ダウンロードが0%のまま進まず失敗する。

この原因はWSUSサーバー側の設定にある。

1. WSUS サーバーからの Windows 10 のアップグレードの配信
https://blogs.technet.microsoft.com/jpwsus/2016/02/11/wsus-windows-10/

特に「MIMEの種類」に「.esd application/octet-stream」を追加することを忘れずに。既定ではこの設定はない。

2.Windows Server 2012 / 2012 R2 WSUS 用の更新プログラム KB3159706 について
https://blogs.technet.microsoft.com/jpwsus/2016/05/26/kb3159706/

KB3159706（またはこれを含む更新プログラム）を適用後、コマンドを2つ実行する。

“C:\Program Files\Update Services\Tools\wsusutil.exe” postinstall /servicing
“C:\Program Files\Update Services\Tools\wsusutil.exe” postinstall SQL_INSTANCE_NAME=WID /servicing

さらに機能の追加で「HTTP アクティブ化」を追加する。

監査を設定していると、セキュリティイベントログに「システム監査ポリシーが変更されました。」で埋め尽くされる現象が発生。
次のファイルを消して再起動すると直った。
C:\Windows\security\audit\audit.csv

2019/01/26追記：
グループポリシーで「監査ポリシー」（詳細ではなく）がまったく反映されなくなる現象が残っていた。
一度でも「監査ポリシーの詳細な構成」を設定すると、その後詳細を「未構成」に戻しても、グループポリシーの実体フォルダにaudit.csvファイルが残ってしまうことが原因らしい。
「C:\Windows\security\audit\audit.csv」ファイルの削除に加えて、「監査ポリシー」を設定して、次のフォルダからaudit.csvファイルを削除してからgpupdate /forceを実行すると直った。

<SYSVOLフォルダ>\<ドメイン名>\Policies\{監査を設定したGPOのGUID}\Machine\Microsoft\Windows NT\Audit\audit.csv