null

Проблема с применением групповых политик Windows после установки обновления MS16-072

После установки обновления MS16-072(а также указанных далее) некоторые объекты групповых политик могут перестать применяться.

 

При этом при попытке получить информацию через GPRESULT, «проблемные» объекты могут выдавать сообщения вида

Filtering: Not Applied (Unknown Reason)

или же просто не выводится вообще.

Проблема наблюдается с политиками уровня user scope, т.е. пользовательские политики, применение которых регулируется дескрипторами безопасности.

В случае применения настройки безопасности для группы Authenticated Users, групповые политики будут применяться штатно, однако в случае использования Security Filtering (когда нужно ограничить применение политики какой-то отдельной группой пользователей), этот объект перестанет применяться вообще.

 

Согласно бюллетеню безопасности MS16-072, обновления под номерами KB3159398, KB3163017, KB3163018, KB3163016 (для различных ОС) вносят изменения в процесс применения групповых политик, которая не менялась со времен Win2000.

 

Ранее доступ к политикам безопасности уровня компьютеров (computer scope) происходил от учётной записи компьютера, а к политикам безопасности уровня пользователя (user scope) — от учётной записи пользователя. После установки обновления все запросы стали направляться от учётной записи компьютера, чтобы обеспечить доверенность источника, ичпользуя протокол Kerberos.

 

В сети встречаются рекомендации откатить «проблемное» обновление, однако делать это крайне не рекомендуется, ввиду уязвимости старого механизма применения групповых политик к атаке вида Man in the Middle (злоумышленник мог подменить ответ от контроллера домена и применить на компьютере измененные политики безопасности, дающие права локального администратора скомпрометированной учётной записи пользователя)

 

В качестве решения проблемы на сайте Microsoft предлагается добавление Authenticated Users с правами на чтение вручную, или же, если используется Security Filtering, добавление Domain Computers также с правами на чтение.

 

Очевидным неудобством данного решения является необходимость вручную добавлять соответстующие группы( Authenticated Users или Domain Computers), однако это можно решить, используя средства PowerShell для применения изменений к существующим объектам и модификации схемы AD таким образом, чтобы в новосозданные объекты автоматически входила группа Domain Computers.

 

Подробности настойки схемы и соответствующие скрипты будут рассмотрены в следующей заметке.

 

Скрипт, позволяющий проверить наличие объектов групповых политик, на применение которых может оказать влияние данное обновление:

https://blogs.technet.microsoft.com/poshchap/2016/06/16/ms16-072-known-issue-use-powershell-to-check-gpos/

 

Источники:

 

https://sdmsoftware.com/group-policy-blog/tips-tricks/modifying-default-gpo-permissions-creation-time/

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

 

 

Коротко о себе:

Работаю инженером в компании Tune IT.

Ничего не найдено. n is 0