Všimol som si niektoré zvláštnosti pri prístupe k adresárom SYSVOL a NETLOGON v doméne zo systému Windows 10 / Windows Server 2016. Pri prístupe k radiču domény z klienta prostredníctvom cesty UNC \\\ SYSVOL alebo pomocou adresy IP radiča domény \\ 192.168.1.10 \ Netlogon zobrazí sa chyba „Prístup bol odmietnutý“(Prístup bol odmietnutý) so žiadosťou o zadanie účtu a hesla. Pri zadávaní používateľského účtu domény alebo dokonca správcu domény sa adresáre stále neotvárajú.
Súčasne sa ten istý adresár Sysvol / Netlogon otvorí normálne (bez požiadavky na heslo), ak zadáte názov radiča domény: \\ dc1.domain.ru \ sysvol alebo len \\ dc1 \ sysvol.
Na problémových počítačoch so systémom Windows 10 sa môžu vyskytnúť problémy s uplatňovaním skupinových politík. V denníku nájdete chyby pomocou EventID 1058:
Spracovanie skupinovej politiky zlyhalo. Systém Windows sa pokúsil prečítať súbor \\ domain.ru \ sysvol \ domain.ru \ Policies \ GPO GUID \ gpt.ini z radiča domény a nebol úspešný. Nastavenia skupinovej politiky sa môžu uplatňovať až po vyriešení tejto udalosti.
Toto všetko je spojené s novými bezpečnostnými nastaveniami, ktoré sú určené na ochranu doménových počítačov pred spustením kódu (prihlasovacie skripty, spustiteľné súbory) a na prijímanie konfiguračných súborov politík z nedôveryhodných zdrojov. - Tvrdenie UNC. Nastavenia zabezpečenia systému Windows 10 / Windows Server 2016 vyžadujú, aby sa na prístup k adresárom UNC s vylepšenou ochranou (SYSVOL a NETLOGON) používali nasledujúce úrovne zabezpečenia:
- Vzájomná autentifikácia - vzájomná autentifikácia klienta a servera. Kerberos sa používa na autentifikáciu (NTLM nie je podporované). Preto sa nemôžete pripojiť k adresárom SYSVOL a NETLOGON na radiči domény pomocou adresy IP. V predvolenom nastavení
RequireMutualAuthentication = 1. - integrita - Overenie podpisu SMB. Umožňuje vám zabezpečiť, aby sa údaje v relácii SMB počas prenosu nezmenili. Podpis SMB je podporovaný iba vo verzii 2.0 a vyššej (SMB 1 nepodporuje podpis SMB pre reláciu). V predvolenom nastavení
RequireIntegrity = 1. - súkromia - šifrovanie údajov v relácii SMB. Podporované od SMB 3.0 (Windows 8 / Windows Server 2012 a novšie verzie). V predvolenom nastavení je RequirePrivacy = 0. Ak máte vo svojej doméne zostávajúce počítače a radiče domény so staršími verziami systému Windows (Windows 7 / Windows Server 2008 R2 a nižší), nemali by ste túto možnosť používať.
RequirePrivacy = 1. V opačnom prípade sa starí klienti nebudú môcť pripojiť k sieťovým adresárom na radičoch domény.
Tieto zmeny boli spočiatku vykonané v systéme Windows 10 v roku 2015 ako súčasť bulletinov zabezpečenia MS15-011 a MS15-014. Výsledkom bolo zmenenie algoritmu MUP (Multiple UNC Provider), ktorý teraz používa špeciálne pravidlá pre prístup k kritickým adresárom na radičoch domény. \\ * \ SYSVOL a \\ * \ NETLOGON.
V systémoch Windows 7 a Windows 8.1 sú cesty chránené UNC v predvolenom nastavení zakázané.V systéme Windows 10 môžete zmeniť nastavenia kalenia UNC a získať prístup k SYSVOL a NETLOGON prostredníctvom skupinových politík. Na prístup k rôznym cestám UNC pomocou politiky môžete použiť rôzne nastavenia zabezpečenia. Kalené cesty UNC (cesty UNC so zvýšenou ochranou).
- Otvorte editor lokálnej bezpečnostnej politiky gpedit.msc;
- Prejdite do sekcie politiky Konfigurácia počítača -> Šablóny pre správu -> Sieť -> Poskytovateľ siete;
- Povoliť pravidlá Vytvrdené cesty unc;
- Kliknite na tlačidlo show a vytvárať položky pre cesty UNC k adresárom Netlogon a Sysvol. Ak chcete úplne zakázať tvrdenie UNC pre konkrétne adresáre (neodporúča sa !!), špecifikujte
RequireMutualAuthentication = 0, RequireIntegrity = 0, RequirePrivacy = 0Pre cesty UNC môžete použiť nasledujúce formáty:- \\ DC_IP
- \\ domain.ru
- \\ DCName
Alebo môžete povoliť prístup k adresárom Sysvol a Netlogon bez ohľadu na cestu UNC:
- \\ * \ SYSVOL
- \\ * \ NETLOGON
Musíte zadať všetky názvy domén, ktoré potrebujete (radiče domén) alebo adresy IP.
Spoločnosť Microsoft odporúča použiť nasledujúce nastavenia na bezpečný prístup k dôležitým adresárom UNC:- \\ * \ NETLOGON
RequireMutualAuthentication = 1, RequireIntegrity = 1 - \\ * \ SYSVOL
RequireMutualAuthentication = 1, RequireIntegrity = 1
Ostáva aktualizovať politiky v počítači pomocou príkazu gpupdate / force a skontrolujte, či máte prístup k adresárom Sysvol a Netlogon.
Tieto nastavenia môžete nakonfigurovať pomocou politiky centralizovanej domény. Alebo pomocou nasledujúcich príkazov pre klientov. (Tieto príkazy zakážu autentifikáciu Kerberos pri prístupe k zadaným adresárom v DC. Použije sa NTLM, v dôsledku toho môžete otvoriť chránené adresáre na DC podľa adresy IP):
reg add HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ NetworkProvider \ HardenedPaths / v "\\ * \ SYSVOL" / d "RequireMutualAuthentication = 0" / t REG_SZ / f
reg add HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ NetworkProvider \ HardenedPaths / v "\\ * \ NETLOGON" / d "RequireMutualAuthentication = 0" / t REG_SZ / f
- V radiči domény máte starú verziu šablón pre správu (DC zo starého systému Windows Server 2008 R2 / Windows Server 2012), pre ktoré nie je nastavená politika Hardened UNC Paths;
- z dôvodu neprístupnosti adresára Sysvol nemôžu klienti získať politiky domény a tieto nastavenia registra nemôžete distribuovať.
