はじめに
2025年9月9日(火)(日本時間では9月10日未明)、恒例の バッチチューズデー(Patch Tuesday) が実施されます。
今回の更新は、目立った新機能の追加よりも セキュリティと認証方式の強化 に焦点が当てられており、IT管理者や企業ユーザーにとって特に重要な意味を持ちます。
この記事では、9月の更新内容とその背景、注意点を整理しました。
2025年9月の主な更新ポイント
1. 証明書ベース認証の「完全強制化」
- 過去に配布された KB5014754 に関連する変更が、いよいよ Full Enforcement(完全強制)モードへ移行します。
- Windows ドメイン コントローラーにおいて、証明書の強いバインディング(Strong Certificate Binding)が強制的に適用されるようになります。
- これまでは
StrongCertificateBindingEnforcementレジストリ キーを使って「監査モード」「強制モード」を切り替えられましたが、9月以降はこのキーによる制御は非サポートになります。
これにより、SID(Security Identifier)や強力な証明書マッピングを含まない認証要求はすべて拒否されるようになります。
➡️ 影響:古い証明書や適切にバインディングされていない証明書を使っている環境では、ログインや認証に失敗する可能性があります。
裏情報:Event ログによる診断がカギ
- Event ID 39, 41:強力なマッピングのない証明書を使用した認証が失敗した際に記録されます。監査モードでは警告、強制モードではエラーとなります support.microsoft.comtimbeer.com。
- Event ID 40:証明書の発行が Active Directory ユーザーの作成よりも古いため、証明書マッピングに失敗した場合に記録されます support.microsoft.com。
- 補足:セキュリティ運用者は今のうちにこれらのイベントを監視し、問題のある証明書を把握・再発行しておくことが重要です
2. Kerberos 認証における DES 暗号方式の廃止
- Windows Server 2025 および Windows 11 バージョン 24H2 で、DES(Data Encryption Standard)暗号が完全に削除されます。
- DES は古く脆弱な暗号アルゴリズムであり、以前から非推奨扱いとなっていましたが、今回ついに Kerberos 認証から完全廃止されることになります。
Windows 11 24H2 や Windows Server 2025 では、Kerberos 認証における DES 暗号方式の廃止が実施されます。非推奨の脆弱暗号として削除され、古いクライアントやデバイスで認証失敗の可能性があります。
➡️ 影響:レガシー環境で DES を利用している場合、認証が失敗し、ドメイン参加やログインに影響が出る可能性があります。
対象バージョンと影響範囲
| 項目 | 内容 |
|---|---|
| 更新日 | 2025年9月9日(火)(日本時間:9月10日未明) |
| 主な対象 | – Windows 11 バージョン 24H2 – Windows Server 2025 |
| 主な変更点 | – 証明書バインディングの完全強制化 – Kerberos から DES 暗号方式の廃止 |
| 想定される影響 | 認証の失敗、古い証明書や暗号設定を利用している環境での互換性問題 |
3. 2025年4月–7月にかけて進行した追加セキュリティ強化
- CVE-2025-26647 に対応する Kerberos 認証の強化が導入され、NTAuth ストアに登録された CA のみを許可する Enforcement 機構が追加されています support.microsoft.com。
- この機能も 10月以降は
AllowNtAuthPolicyBypassレジストリによる迂回が無効化される予定で、よりセキュアな認証体制に移行します
管理者・ユーザーが取るべき対応
✅ 事前チェック
- 証明書環境の確認
ドメイン コントローラーで利用している証明書が「強いバインディング」に対応しているか確認してください。
古い証明書を利用している場合、ログイン不可となるリスクがあります。 - Kerberos 設定の見直し
レガシー環境で DES を使っていないか確認し、AES などのより安全な暗号に移行しましょう。 - 検証環境でのテスト
本番適用前に、検証用環境で更新を適用し、認証の挙動を確認しておくと安心です。
対応推奨フロー
- 証明書の SID 埋め込み・強力マッピングの確認・再発行(特に VPN/Wi-Fi/NPS/RDS で使用中のもの)
- Event ID 39, 40, 41 のログ監視と原因分析
- NTAuth チェックの結果(Event ID: 45)を確認し、CA の信頼性を検証する support.microsoft.com
- 互換モードオプションが消える前に運用検証や再構成、パイロット展開を実施
- DES 暗号を使用しているクライアントの確認と移行(AESなどへの切り替え)
- NTAuth Enforcementに切り替えるタイミングを計画し、10月以降の対応に備え
背景と意義
今回の 9月更新は「派手な新機能」こそありませんが、Windows 環境のセキュリティを次の段階に引き上げるための重要な転換点となっています。
- 証明書認証の強制化は、なりすましや不正アクセスの防止を目的とした施策です。
- DES 廃止は、時代遅れの暗号方式を完全に排除し、AES などのより強固な暗号への移行を促すものです。
つまり、Microsoft は「利便性よりもセキュリティを最優先」する方向性を明確に示していると言えます。
大切なファイルは外付けSSDに保存しておくと安心です。ポータブルタイプなら設定不要ですぐ使えます。
まとめ:2025年9月のバッチチューズデーのポイント
| 項目 | 内容 |
|---|---|
| 更新日 | 2025年9月9日(日本時間:10日未明) |
| 主な変更 | – 証明書マッピング強制化(互換モード不可) – Kerberos から DES 廃止 – NTAuth Enforcement 本格化 |
| ログ確認 | Event ID 39 / 40 / 41 / 45 に要注目 |
| 対応アクション | 証明書再発行・イベント監視・暗号移行・検証展開 |
| 背景意義 | セキュリティ強化、脆弱認証の排除、PKI健全性の保持 |
- 🗓 更新日:2025年9月9日(日本時間 9月10日未明)
- 🔑 証明書バインディングが Full Enforcement モードに移行(レジストリ制御は非サポート化)
- 🔒 Kerberos から DES 暗号方式が完全廃止
- ⚠️ レガシー環境や古い証明書を利用している場合は 認証エラーのリスクあり
特に中〜大規模インフラにおいては「まだ大丈夫」は通用しないタイミングです。今のうちに環境の棚卸しと検証、必要な対応を進めておきましょう。
📌 管理者は事前に証明書や暗号設定を確認し、必要に応じて移行対応を進めましょう。
スポンサーリンク
アップデート前に安心の準備を
Windows更新によるトラブルに備えて、外付けSSDや高性能PCの活用がおすすめです。
