Gpo фильтрация отказано безопасность – ПК портал

Почему перестали работать некоторые gpo после установки ms16-072 | windows для системных администраторов

Microsoft выпустила новые обновления безопасности для групповых политик Windows. MS16-072 от 14 июня 2022 года содержит новые обновления, которые должны устранить уязвимости в механизме GPO. Что такое группа и как ее применять.

Обновление из MS16-072 устраняет уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM) и получить доступ к трафику между компьютером и контроллерами домена. MS изменила контекст безопасности, в котором выпускаются политики. Если ранее, пользовательские политики создавались в контексте безопасности компьютера.

Многие пользователи обнаружили, что после установки обновлений из данного бюллетеня перестали применяться некоторые политики. GPO, у которых в Security Filtering есть права на Read и Apply Group Policy для группы Authenticated Users, применяются как обычно. Проблема с политиками, на которых настроена фильтрация безопасности (Security Filtering) и из разрешений которых удалены группы Authenticated Users.

Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.

После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.

А так как под Authenticated Users подразумеваются, как пользовательские учетки и компьютерные учёты, то удаляя эту группу мы блокируем доступ к GPO.

Удалите обновление (не тот способ, но правильный), добавьте группу Domain Computers на вкладку Delegation (вам нужен доступ только для Read ID или Cardbonds) и используйте GPMC. MSC для всех политик, использующих фильтрацию безопасности по группам пользователей.

Таким образом, у компьютеров домена появится право на чтение этой политики .

:/>  Как отключить слежку в Windows 10: вручную, программой

Примеч. Пользовательные группы должны иметь Read и Apply права на политику.

Найти все объекты GPO в домене, у которых нет группы Authenticated Users можно с помощью такого скрипта:

Get-GPO -All | ForEach-Object {
if ('S-1-5-11' -notin ($_ | Get-GPPermission -All).Trustee.Sid.Value) {
$_
}
} | Select DisplayName

Get-GPO

Для больших и сложных сетей с запутанной структурами групповых политик лучше воспользоваться более удобным PowerShellскриптом MS16-072: Known Issuet – Use Power Shrall to Check GPO.

Обновление. Как изменить схему AD, чтобы при создании новых групп применялись правильные разрешения.

Виды фильтрации групповых политик

  1. Это фильтр безопасности
  2. Это фильтр WMI
  3. Это фильтр на вкладке делегирование
  4. Это фильтр на вкладке сведения

Для чего нужен механизм фильтрации gpo

Какую бы сложную иерархию Active Directory не создавали у вас рано или поздно появится ситуация, что вам нужно для двух и более объектов находящихся в одном OU иметь разные настройки.

Я стараюсь избегать создания лишних организационных подразделений, так как чем проще система управления тем легче ее контролировать. У вас может быть одна OU и все в ней, но это не мешает вам грамотно применять политики к конкретным объектам на разных этапах GPO.

Запрещение применения gpo участниками группы

Чтобы добавить группу в фильтр безопасности объекта групповой политики, которая не позволяет членам группы применять объект групповой политики, выполните описанные ниже действия. Обычно это используется для того, чтобы запретить членам зон границ и шифрования применять GPO для изолированного домена.

Вы можете создать консоль управления групповыми политиками.

Объект групповой политики, который вы хотите изменить, можно найти, щелкнув его.

Откройте вкладку Делегирование на сайте **** в области информации.

Елкните Дополнительно.

Фильтр безопасности gpo

Этот метод самый простой и наиболее распространенный. Если вы хотите применить групповую политику, только к определенным объектам:

  • Пользователям
  • Компьютерам
  • Группам
:/>  ✅ Как открыть диспетчер устройств (в т.ч. в Windows 10): несколько способов! (и что делать, если он был заблокирован) -

Фильтрация gpo по wmi

Использование фильтров WMI – еще одна эффективная стратегия фильтрации. Мы уже использовали их для ограничения применения политики только для ноутбуков.

Простой пример: вы создали политику и хотите ее применить, скажем только на компьютерах у которых установлена операционная система Windows 7. Для нашей задачи нам нужно создать WMI фильтр, для этого перейдем в “Фильтры WMI”, где выбираем соответствующий пункт.

Задаем имя WMI фильтра, после чего нажимаем кнопку “Добавить”. Откроется окно для составления запроса. Эта конструкция для Windows 7 будет такой:

Номера для Win32_OperatingSystem

  • Windows Server 2022Windows 10 1809 – 10.0.17763
  • Window Server 2022Windows 10 — 10.0
  • Window Server 2022 R2Windows 8.1 — 6.3
  • Window Server 2022Windows 8 — 6.2
  • Window Server 2008 R2Windows 7 — 6.1

Тип продукта отвечает за назначение компьютера и может иметь 3 значения:

  • 1 – рабочая станция;
  • 2 – контроллер домена;
  • 3 – сервер.

Вот вам пример вывода в PowerShell команды, показывающей версию операционной системы:

Сохраняем наш WMI запрос.

Если хотите перед внедрение проверить будет ли применена групповая политика к нужному объекту, то можете провести тестирование в WMI Filter Validation Utility. Если все настроено корректно, но политика не применяется, почитайте по ссылке возможные варианты. Далее берем вашу политику и применяем к ней WMI.

Теперь если компьютер не соответствует критериям WMI фильтра, то вы увидите в gpresult /r :computer запись (Отказано фильтр WMI)

Фильтрация групповых политик windows

На разных этапах применения групповой политики к компьютерам и пользователям используются фильтры.

Фильтрация через состояние gpo

Еще на вкладке “Сведения” есть такая настройка, как состояние GPO. Она необходима для ускорения обработки политики, путем отключения лишних веток. Например у вас политика исключительно на пользователя и вам смысла нет, чтобы компьютер при загрузке пытался прочитать настройки для компьютера, тратя на это время. В таких случаях отключают данный функционал. Тут есть варианты:

  • Включено
  • Все параметры отключены
  • Параметры конфигурации компьютера отключены
  • Параметры конфигурации пользователя отключены

Оставьте комментарий

Adblock
detector