Minulý týždeň spoločnosť Microsoft vydala aktualizácie zabezpečenia, ktoré menia predvolené správanie modulu Windows Group Policy. Ide o aktualizácie vydané ako súčasť bulletinu MS16-072 zo 14. júna 2016, ktorý je určený na riešenie zraniteľností v mechanizme GPO. Poďme zistiť, prečo bola táto aktualizácia vydaná a čo musí správca systému vedieť o zmenách v uplatňovaní skupinových politík.
Aktualizácie z MS16-072 sa zaoberajú zraniteľnosťou, ktorá by mohla útočníkovi umožniť spustenie útoku Muž v strede (MiTM) a získať prístup k premávke prenášanej medzi počítačom a radičom domény. Na ochranu pred zraniteľnosťou sa vývojári MS rozhodli zmeniť bezpečnostný kontext, v ktorom sa získavajú politiky. Ak skôr boli používateľské politiky získané v súvislosti s bezpečnosťou používateľov, po inštalácii MS16-072 sa užívateľské politiky získali v súvislosti s počítačovou bezpečnosťou.
Výsledkom bolo, že mnoho používateľov zistilo, že po nainštalovaní aktualizácií z tohto bulletinu sa už niektoré zásady neuplatňovali. GPO so štandardnými povoleniami, ktoré majú Filtrovanie zabezpečenia sú udelené práva na čítanie a uplatňovanie skupinových pravidiel pre skupinu Overení používatelia, aplikovať ako obvykle. Problém sa pozoruje iba pri politikách, ktoré majú nakonfigurované filtrovanie zabezpečenia a ktorých oprávnenia boli od skupiny Authenticated Users odstránené. .
V prípade všetkých predchádzajúcich odporúčaní bolo v prípade potreby použitie bezpečnostného filtračného systému vždy odporúčané, aby ste odstránili skupinu Authenticated Users a pridali skupinu bezpečnosti používateľov s právami na čítanie a použitie..
Po nainštalovaní aktualizácie MS16-072 / KB3159398, teraz pre úspešnú aplikáciu politiky, musia mať práva na čítanie k objektu GPO aj účet samotného počítača..
A keďže autentifikovaní používatelia znamenajú účty používateľov aj počítačov, odstránením tejto skupiny sme blokovali prístup k GPO.
Ak chcete problém vyriešiť, musíte odstrániť aktualizáciu (nie správnym, ale účinným spôsobom) alebo pomocou GPMC.MSC pre všetky politiky, ktoré používajú filtrovanie zabezpečenia podľa skupín používateľov, na karte delegácia pridať skupinu Doménové počítače (potrebné len práva na čítanie).
Počítače s doménou budú mať teda právo čítať túto politiku .
poznámka. Skupiny používateľov musia mať stále práva na čítanie a používanie.Ak chcete nájsť všetky objekty GPO v doméne, ktorá nemá overených používateľov v filtrovaní zabezpečenia, môžete použiť nasledujúci skript:
Get-GPO -Všetky | ForEach-Object
if ('S-1-5-11' -notin ($ _ | Get-GPPermission -All) .Správca.Sid.Value)
$ _
| Vyberte Zobrazovaný názov
V prípade veľkých a zložitých infraštruktúr s komplikovanou štruktúrou skupinovej politiky môžete použiť pohodlnejší skript PowerShell MS16-072 - Známy problém - Použite PowerShell na kontrolu GPO na nájdenie problematických politík
aktualizovať. Ako vykonať zmeny v schéme AD tak, aby sa okamžite vytvorili všetky nové skupinové politiky (GPO) s potrebnými právami