A múlt héten a Microsoft kiadott olyan biztonsági frissítéseket, amelyek megváltoztatják a Windows csoportházirend-motor alapértelmezett viselkedését. Az 2016. szeptember 14-én kelt MS16-072 közlemény részeként kiadott frissítésekről beszélünk, amelyek célja a GPO-mechanizmus sebezhetőségének kiküszöbölése. Gondoljuk ki, hogy miért adták ki ezt a frissítést, és mit kell a rendszergazdának tudnia a csoportszabályok alkalmazásában bekövetkezett változásokról.
Az MS16-072 közlemény frissítései azt a biztonsági rést okozzák, amely lehetővé teheti a támadó számára, hogy egy ember középkorú (MiTM) támadást indítson, és hozzáférjen a számítógép és a tartományvezérlő között továbbított forgalomhoz. A sérülékenységekkel szembeni védelem érdekében az MS fejlesztői úgy döntöttek, hogy megváltoztatják a biztonsági környezetet, amelyben a házirendeket begyűjtik. Ha korábban a felhasználói házirendeket szerezték a felhasználói biztonsággal összefüggésben, akkor az MS16-072 telepítése után a felhasználói irányelvek a számítógépes biztonsággal összefüggésben kerülnek beszerzésre..
Ennek eredményeként sok felhasználó úgy találta, hogy a hírlevél frissítéseinek telepítése után néhány irányelvet már nem alkalmaztak. Csoportházirend-objektumok szabványos engedélyekkel, amelyek rendelkeznek Biztonsági szűrés A csoportházirend olvasása és alkalmazása a csoportra vonatkozik Hitelesített felhasználók, alkalmazza a szokásos módon. A problémát csak azokkal az irányelvekkel lehet megfigyelni, amelyeknek biztonsági szűrése konfigurálva van, és amelyek engedélyeit a Hitelesített felhasználók csoport eltávolította. .
Az összes korábbi javaslatban, ha szükséges, használja a Biztonsági szűrést. Az MS mindig azt tanácsolta, hogy távolítsa el a hitelesített felhasználó csoportot, és hozzon létre egy felhasználói biztonsági csoportot olvasási és alkalmazási jogokkal.
Az MS16-072 / KB3159398 frissítés telepítése után, és a házirend sikeres alkalmazásához a GPO-objektum olvasási jogának magának a számítógépnek a fiókjával kell rendelkeznie..
Mivel a hitelesített felhasználók felhasználói és számítógépes fiókokat is jelentenek, törölve ezt a csoportot, ezzel blokkoljuk a hozzáférést a GPO-hoz.
A probléma megoldásához el kell távolítania a frissítést (nem a megfelelő, de a hatékony módszert), vagy a GPMC.MSC használatával minden olyan házirendnél, amely a felhasználói csoportok által végzett biztonsági szűrést használja, a lapon felhatalmazás csoport hozzáadása Domain számítógépek (csak olvasási jogokra van szükség).
Így a tartományi számítógépeknek joga lesz olvasni ezt az irányelvet .
megjegyzés. A felhasználói csoportoknak továbbra is olvasási és alkalmazási szabályokkal kell rendelkezniük.Az összes olyan csoportházirend-objektum megtalálásához a tartományban, amelyben nincs hitelesített felhasználó a biztonsági szűrésben, használhatja a következő szkriptet:
Get-GPO -Minden | ForEach-Object
if ('S-1-5-11' -notin ($ _ | Get-GPPermission -All) .Trustee.Sid.Value)
$ _
| Válassza a DisplayName lehetőséget
Bonyolult csoportházirend-struktúrával rendelkező nagy és összetett infrastruktúrák esetén a kényelmesebb PowerShell MS16-072 szkriptet - Ismert kiadás - A PowerShell használatával ellenőrizze a csoportházirend-objektumokat a problémás házirendek kereséséhez.
frissítés. Hogyan módosíthatjuk az AD rendszert úgy, hogy az összes új csoportszabály (GPO) azonnal létrejöjjön a szükséges jogokkal