Почему перестали работать некоторые GPO после установки MS16-072 | Windows для системных администраторов

Почему перестали работать некоторые GPO после установки MS16-072

На прошлой неделе Microsoft выпустила обновления безопасности, меняющих стандартную схему работы механизма применения групповых политик Windows. Речь об обновлениях, выпущенных в рамках бюллетеня MS16-072 от 14 июня 2016 года, который предназначен для устранения уязвимостей в  механизме GPO. Разберемся для чего выпущено это обновление и что нужно знать системному администратору об изменениях в применении групповых политик.

Обновления из MS16-072 устраняют уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM), и получить доступ к трафику, передаваемому между компьютером и контроллером домена. Для защиты от уязвимости разработчики MS решили изменить контекст безопасности, в котором получаются политики. Если ранее, пользовательские политики получались в контексте безопасности пользователя, то после установки MS16-072, пользовательские политики получаются в контексте безопасности компьютера.

В результате многие пользователи обнаружили, что после установки обновлений из данного бюллетеня, перестали применяться некоторые политики. GPO со стандартными разрешениями, у которых в Security Filtering  даны права на Read и Apply Group Policy для группы Authenticated Users, применяются как обычно. Проблема наблюдается только с политиками, на которых настроена фильтрация безопасности (Security Filtering) и из разрешений которых удалена группа Authenticated Users .

Security filtering в GPOВо всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.

После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.

А так как под Authenticated Users подразумеваются, как пользовательские, так и компьютерные учетки, то удаляя эту группу, мы тем самым блокируем доступ к GPO.

Права authenticated users на GPOЧтобы решить проблему, нужно удалить обновление (не верный, но действенны способ)  или с помощью GPMC.MSC для всех политик, у которых используется фильтрация безопасности по пользовательским группам, на вкладке Delegation добавить  группу Domain Computers (нужны права только на Read).

delegation - права для Domain ComputersТаким образом, у компьютеров домена появится  право на чтение этой политики .

Примечание. Пользовательские группы должны по-прежнему иметь Read и Apply права на политику.

Чтобы найти все объекты GPO в домене, у которых в Security Filtering отсутствует группа Authenticated Users, можно воспользоваться таким скриптом:

Get-GPO -All | ForEach-Object {
if ('S-1-5-11' -notin ($_ | Get-GPPermission -All).Trustee.Sid.Value) {
$_
}
} | Select DisplayName

Get-GPO

Для больших и сложных инфраструктур с запутанной структурой групповых политик для поиска проблемных политик можно воспользоваться более удобным PowerShellскриптом MS16-072 – Known Issue – Use PowerShell to Check GPOs

Еще записи по теме: Group Policy, Microsoft Patch Day
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 17

Оставить комментарий
  1. equinox | 20.06.2016

    Вот еще способ (взято отсюда: https://p0w3rsh3ll.wordpress.com/2016/06/16/fix-gpo-permissions-before-applying-ms16-072/):

    Get-GPO -All | ForEach-Object {
    if ('S-1-5-11' -notin ($_ | Get-GPPermission -All).Trustee.Sid.Value) {
    $_ | Set-GPPermission -PermissionLevel GpoRead -TargetName 'Authenticated Users' -TargetType Group -Verbose
    }
    }

    Ответить
    • DikSoft | 22.06.2016

      Ээээ… а разве по смыслу не «Domain Computers» в скрипте должно быть?
      Get-GPO -All | ForEach-Object {
      if (‘S-1-5-21′ -notin ($_ | Get-GPPermission -All).Trustee.Sid.Value) {
      $_ | Set-GPPermission -PermissionLevel GpoRead -TargetName ‘Domain Computers’ -TargetType Group -Verbose
      }
      }

      Ответить
  2. Roman | 20.06.2016

    Точнее через Delegation дать права Read, а не через Security Filtering.

    Ответить
    • itpro | 21.06.2016

      По моему разницы не будет, т.к. при добавлении группы Domain Computers через Security Filtering она появляется и на вкладке Delegation

      Ответить
      • Sstep | 22.06.2016

        Если добавлять через Security Filtering то ставится еще «применять групповую политику»

        Ответить
        • itpro | 22.06.2016

          Вот тут Вы правы, права на Read политики для Domain Computers нужно действительно давать на вкладке Delegation. Поправил статью, спасибо за замечание!

          Ответить
  3. Евгений | 22.06.2016

    Достаточно будет на вкладке делегирование добавить группу Authenticated Users с правами на чтение.

    Ответить
  4. Сергей | 24.06.2016

    Ха, а я на другой эффект нарвался (отписывался уже в теме про выборочное применение политик): у меня есть политика которая не должна применяться на определённой группе пользователей. В разрешениях на эту политику была добавлена эта группа и на неё стоял запрет на чтение. Всё работало. А после этого обновления политика стала применяться. Помогла установка запрета на эту группу не только на чтение, а на всё. Статей никаких не видел, ничего не гуглил. Что дело в обновлениях смекнул сразу и сделал что первое в голову пришло. Сработало.

    Ответить
  5. Александр | 29.06.2016

    Добрый день. После обновления от 14 июня престали отрабатываться политики. Добавил КОМПЬЮТЕРЫ ДОМЕНА во вкладке делегирование как описано в статье, но почему то политики не применяются к группам пользователей. Если в фильтре указать не группу а конкретного пользователя, то политика отрабатывается корректно, а к группе не как… Куда копать подскажите?

    Ответить
  6. Михаил | 29.06.2016

    Нужно добавлять и Authenticated User и Domain Computers на Read.

    Ответить
    • Александр | 01.07.2016

      Добавил Authenticated User и Domain Computers на Read во вкладке ДЕЛЕГИРОВАНИЕ, но теперь политики стали отрабатываться только под учётными записями админов. Под пользователями по прежнему результата нет, но теперь gpresult показывает у пользователей что политика есть в ПРИМЕНЁННЫХ ОБЪЕКТАХ ГРУППОВЫХ ПОЛИТИКАХ, а по факту нет.

      Ответить
      • Дмитрий | 17.08.2016

        Александр, столкнулся с точно такой же ситуацией как у Вас. Решения не нашел.

        Ответить
  7. Александр | 01.07.2016

    причём НЕ на всех политиках gpresult показывает что политика применяется у пользователя. Создаю новую политику, делаю все настройки описанные выше и в результате — фильтрация:отказано (безопасность). А если в фильтре указываю не группу пользователей а конкретного (как я уже упоминал ранее) или ПРОШЕДШИЕ ПРОВЕРКУ ставлю , то политика отрабатывается. У админов политики отрабатываются при любом раскладе.

    Ответить
    • itpro | 05.07.2016

      На вкладке Delagation проверьте, что для нужной группы безопасности AD кроме разрешения на чтения, у группы есть права на Apply Group Policy

      Ответить
  8. itpro | 05.07.2016

    В дополнении к статье написал еще одну заметку: Как изменить дефолтные разрешения политик, чтобы все вновь создаваемые GPO в разрешениях имели группу Domain Computers

    Ответить
  9. Андрей | 04.10.2016

    Уважаемые, у меня домен на 2008 сервере. Подозреваю, что пример модификации прав на политику (чтение,применение) работает только с 2012 сервера. А что делать нам отсталым и убогим? Добавление группы компьютеров домена с правами «чтение с учетом фильтра» ничего не дало.

    Ответить
    • itpro | 07.10.2016

      Все должно работать и с версией схемы Windows 2008

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00158 sec