システムに更新されたルート証明書があるかどうかを確認し、グループポリシーから証明書を適用する方法

技術的な記事 ID: KB92948
最終更新: 2021/01/27

環境

Windows 10
Windows 2016
Windows 2019
Windows 2008
Windows 2008 R2

概要

McAfee製品ラインでは、セキュアな通信のためにTLSを使用しており、2038年のプライマリ有効期限と2020年5月30日のGMT 10:48セカンダリ有効期限が含まれる2つの証明書がMcAfee TLSチェーンの検証に使用されます。
いずれかの証明書または両方が環境に存在する場合、TLSは2020年5月30日まで正しく機能し、2020年5月30日以降は、プライマリ証明書のみが有効になります。
McAfeeは十分な注意を払い、このイベントについてお客様に通知を行っています。

通常、証明書はオペレーティングシステムを通じて自動更新されるため、お客様への影響はありません。
ただし、ルート証明書の自動管理が無効で、プライマリ証明書が手動で展開されていない環境では、影響が及ぶ可能性があります。
有効な証明書がないと、検出効率の低下など、製品の問題が発生します。

詳細については、次の記事を参照してください: KB92937

問題

証明書がクライアントシステムに存在するかどうかを手動で確認する方法:

ファイル名を指定して実行で cmd を実行し、次のコマンドでレジストリへのクエリを実行します:

reg query HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E

問題がある場合、次のような結果が表示されます:

ERROR

McAfee ePOを使用してクライアントシステムに証明書が存在するかどうかを確認する方法:

多数のWindowsシステムでルート証明書の存在を確認するために、EEDKパッケージを作成しました。 ePOを介してパッケージを展開し、マシンのトラストストアに証明書が存在するかどうかを確認できます。次に、マシンのMcAfee Agentカスタムプロパティで結果をePOに報告します。使用されるデフォルトのカスタムプロパティはカスタムプロパティ8です。ただし、この値は、展開タスクの作成時に選択したプロパティに変更できます。パッケージがシステムのグループに展開されたら、クエリを作成したり、結果に基づいてシステムのシステムツリーをフィルターできます。.

このパッケージを使用するには、以下の手順に従ってください:

EEDK パッケージ CHCKCERT1000.zip を本記事の添付ファイルセクションからダウンロードします。
CHCKCERT1000.zip パッケージを ePO のマスターリポジトリにチェックインします。
McAfee Agent 製品配備タスクを作成し, パッケージ Check for Root Certificate を選択します。このパッケージがレポートするカスタムプロパティを指定するには、クライアントタスクのコマンドラインパラメーターに1〜8の数字を1つ追加します。
ルート証明書の存在を確認するシステムにクライアントタスクを割り当てます。
システムがスクリプトを実行した後、2つの結果のいずれかがカスタムプロパティ8または選択したカスタムプロパティに報告されます。:
- OLD_CERT - 新しい証明書はシステムに存在しません
- NEW_CERT - 新しい証明書がシステムに存在します

回避策

GPOを作成してドメインにリンクする方法

USERTrustRSACertificationAuthority.crt 証明書 (KB92937) を添付ファイルセクションからダウンロードします。
管理ツールを開き、次に グループポリシーの管理 をクリックします
コンソールツリーのドメインのトップレベルで、右クリックして新しいポリシーを作成し、McAfee_Certificates というタイトルを付けます。
編集するMcAfee証明書グループポリシーオブジェクト（GPO）を含むドメインのグループポリシーオブジェクトをダブルクリック（または右クリック> [編集]）します。
グループポリシー管理コンソール（GPMC）で、[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [公開キーのポリシー]に移動します。