Windows 2000 Protected Store Key Length Vulnerability Patch

保護されたストアは、秘密鍵や証明書などの機密情報のための安全なストレージを提供するために、CryptoAPIのの一部として提供されます。設計により、保護されたストアは常にマシンで利用可能な最も強力な暗号を使用して情報を暗号化する必要があります。しかし、Windows 2000の実装では、より強力な暗号化がマシンにインストールされている場合でも、保護されたストアを暗号化するために、40ビットの鍵を使用しています。

この脆弱性は、保護されたストア上の保護を弱めるが、それがなくなるわけではありません。攻撃者は、それへのアクセスを得るために、保護されたストアを収容するマシン上で完全な管理制御を取得する必要があるだろう、とさえ、まだそれに対するブルートフォース暗号攻撃をマウントする必要があります。しかし、この脆弱性に対する推奨改善に従う顧客は、このような攻撃が著しく困難、不可能ではないだろうことを保証することができます。

この脆弱性を排除するパッチパッケージはPSBASE.DLL、保護されたストアの機能を提供するモジュールの新バージョン、およびKeymigrt.exeという名前のツールが含まれています。 PSBASE.DLLをインストールすると、保護されたストアへのすべての将来の追加は、マシン上で利用可能な最も強力な暗号を使用して暗号化されていることを確認します。しかし、Keymigrtツールは、現在保護ストア内のすべての項目を再暗号化するために、実行する必要があります。我々は、システム管理者がツールは、彼らが次回ログオン時に実行されることを保証するために、ユーザーのログオンスクリプトにKeymigrtツールを配置することをお勧めします。