Operations Lab.

Archive for 9月 2012

KB2661254 の自動更新開始

leave a comment »

1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254: 証明書の鍵長の最小値に関する更新プログラム)が、10/10 (水)から自動更新の対象となります。

Windows Update 経由で更新プログラムを自動で適用する設定となっている場合、10/10 (水) (10月の定例セキュリティアップデートの日) 以降は、自動で更新プログラムのダウンロードと適用が行われます。

1024 ビット未満の証明書を利用しているシステムはあまり無いと思いますが、古いアプリケーションやシステムを利用している環境では、影響がないか確認が必要です。特に、古くから社内向けに PKI を構築している場合、サーバーだけでなくクライアントに配布している証明書なども確認をしておいた方がよいでしょう。

レジストリの値を変更し 1024 ビット未満のキーの長さを許可する

レジストリの設定を変更することで、更新プログラムの適用後も 1024 ビット未満のキーを利用する事が出来ます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Windows Vista 及び Windows Server 2008 以降の OS であれば、certutil コマンドで設定を変更できます。それ以前の OS の場合は、レジストリを直接編集する必要があります。

MinRsaPubKeyBitLength の値が、許可される最小のキー長になります。値が存在しない場合の既定値は、1024 (1024bit 以上のキーを許可)です。512 bit のキーを許可する場合は、以下のコマンドを実行して MinRsaPubKeyBitLength に 512 を設定します。

certutil -setreg chain\minRSAPubKeyBitLength 512

これはあくまで暫定的な措置ですので、早めに 1024 bit 以上 (現状であれば 2048 bit 以上を推奨) の鍵へ更新した方が良いでしょう。

Written by kazu

2012/09/26 at 23:25

カテゴリー: Windows Client, Windows Server

Windows Vista に PowerShell 3.0 を入れようとすると

leave a comment »

Windows PowerShell 3.0 を含む Windows Management Framework 3.0 の対応 OS は以下の通りとなっています。

  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 SP1
  • Windows Server 2008 Service Pack 2

Windows Server 2008 には対応していますが、Windows Vista はサポート対象外となっています。

Windows Vista と Windows Server 2008 は、ベースは同じ OS ですので、Windows Server 2008 用のモジュール(更新プログラム)を Windows Vista へ適用できないか試してみました。

KB2506146 を Windows Vista へインストールしようとすると

上記の通り、インストール前のチェックで引っかかり、インストールができませんでした。

ちなみに、Windows Management Framework 3.0 の前提条件となっている Microsoft .NET Framework 4.0 (.NET Framework 4.0 については、Windows Vista もサポートしています) を事前にインストールした場合も、上記のチェックで引っかかりインストールはできません。

Windows Vista を使用している人はあまり見かけませんが、企業内では購入/リースのタイミングによって Vista を使用しているところもあるかと思いますので、どうしても Vista をスクリプトで管理する必要がある場合は PowerShell 2.0 を利用するしかなさそうです。

Written by kazu

2012/09/25 at 23:00

カテゴリー: PowerShell

Tagged with ,