treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

Windows Update(2026年4月)適用前に確認しておきたいイベントログ

セキュリティ WindowsUpdate 運用管理

2026年4月のWindows Updateで気になる仕様変更がActive Directoryのドメインコントローラに対して提示されています。事前に必要な調査を実施したいと思いましたので、その前準備を今回の記事でご報告します。

動機

2026年4月のWUがADに影響するのが気になっています。

Kerberos 情報漏えいの脆弱性 (CVE-2026-20833) 2番目の展開フェーズです。

CVE-2026-20833 に関連するサービス アカウント チケット発行の変更に対する RC4 の Kerberos KDC 使用量を管理する方法 - Microsoft サポート

support.microsoft.com

これが来月の2026年4月の更新プログラムでこれまでの初期展開フェーズから「手動ロールバックによる強制フェーズ」に移行するため、Active Directory環境の特にドメインコントローラでのWindows Update適用後の動作に注意が必要だと考えています。

イベントログを調べることで影響を受けるかどうかを事前に確認したいと考えたのが発端です。

Windows11にリプレイスしているPCはそれほど問題にならないと考えていますが、心配しているのは旧式の複合機やIT機器に影響がないかという心配をしています。

なお、記事中の画面はテスト環境で収集しているので、実際の環境と異なる場合があります。

しかしデフォルトではログが収集されていなかった

対象のドメインコントローラのイベントログ(イベントビューア\Windowsログ\セキュリティ)を確認したところ、対象となるイベントID(4768(TGT要求)とか
4769(サービスチケット)のイベント)が記録されていませんでした。

確認はPowerShellコマンドレット「auditpol /get /category:*」(管理者として実行が必要)で

  • Kerberos サービス チケット操作 : 監査なし
  • Kerberos 認証サービス          : 監査なし

となっていたので、今回確認したいイベントが収集されていないことが分かりました。

そのため、最初にこのイベントを収集する設定が必要ということで、まずは影響があるかどうかの判断のために、ログ収集を実施する設定をやってみることにしました。

ログ収集をどれくらいの期間実施するか

ログ収集がされるように動作変更をする場合、ドメインコントローラへの設定はグループポリシーの管理で実行します。

ひとまず一週間から二週間程度の期間で、一時的に有効化し、ログの収集を実施、収集後に設定は元に戻してログの肥大化を防止するということにしました。

ただ、今回対象としたい古い機器については、毎日使われているとは限らず、月次の処理というケースはあるかもしれないと考えています。つまり数日で問題なかったとしても、月次で使われる古いアプリケーションの動作を把握するには、月で確認する必要があるのではないかと考えるところもあります。短期だけでは取りこぼす可能性があるけど長期間設定を有効化するとログが増えすぎてしまう、というのは覚えておこうと思います。

ログ収集の設定

設定はグループポリシーの管理から実施します。

ドメインコントローラのポリシー(今回はDefault Domain Controllers Policy)を編集して設定をしました。

グループポリシーの管理画面から以下の設定を変更します。

コンピュータの構成 →  Windows の設定 → セキュリティの設定 → 詳細な監査ポリシーの構成 → 監査ポリシー → アカウント ログオン 

ここの「Kerberos 認証サービス」と「Kerberos サービス チケット操作」が対象です。未構成となっているので、有効化のために「次の監査イベントを構成する」⇒「成功」とチェックを入れます。

両方に設定すると、このようになりました。

両方の監査イベント欄が「成功」となりました。

次は、

コンピュータの構成 → ポリシー → Windows の設定 → セキュリティの設定 → ローカル ポリシー → セキュリティ オプション

の箇所を開き、「監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする」を有効化します。

三点の設定を有効化したのち、設定を反映するために、

gpupdate /force

にてグループポリシーを適用します。

適用の確認

適用確認は「auditpol /get /category:*」コマンドで、監査なしとなっていた箇所が「成功」に変わっていれば設定が完了しています。

  • Kerberos サービス チケット操作    成功
  • Kerberos 認証サービス             成功

となりました。

「監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする」のポリシーは、

rsop

コマンドからポリシーの結果セットを起動して、ソースGPOから正常に適用されていることを確認しました。

詳細画面でより詳しく確認出ます。

ちょっと躓いたのですが、ポリシーが複数ある場合、適用に優先順位があるので、この画面で確認できます。

画像の環境では「Default Domain Controllers Policy」のみなのでそれほど気にしなくていいのですが、実際の環境では複数のポリシーが割り当てられているため、優先順位に注意して監査ポリシーを有効化する必要があります。

ログ収集準備完了

これでログ収集の準備が完了しました。しばらく待ってドメインコントローラのイベントビューアにID:4768(TGT取得)とかID:4769(サービスチケット)のログがセキュリティログに蓄積されているようであれば、設定は成功です。

このログ収集が可能な状態で、数日から一週間程度ログを蓄積して、次回のWindows Updateで問題となっている認証動作が実行されているかを確認したいと思います。ログ収集後の次回に続きます。