Почему перестали работать некоторые gpo после установки ms16-072 | windows для системных администраторов
Microsoft выпустила новые обновления безопасности для групповых политик Windows. MS16-072 от 14 июня 2022 года содержит новые обновления, которые должны устранить уязвимости в механизме GPO. Что такое группа и как ее применять.
Обновление из MS16-072 устраняет уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM) и получить доступ к трафику между компьютером и контроллерами домена. MS изменила контекст безопасности, в котором выпускаются политики. Если ранее, пользовательские политики создавались в контексте безопасности компьютера.
Многие пользователи обнаружили, что после установки обновлений из данного бюллетеня перестали применяться некоторые политики. GPO, у которых в Security Filtering есть права на Read и Apply Group Policy для группы Authenticated Users, применяются как обычно. Проблема с политиками, на которых настроена фильтрация безопасности (Security Filtering) и из разрешений которых удалены группы Authenticated Users.
Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.
После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.
А так как под Authenticated Users подразумеваются, как пользовательские учетки и компьютерные учёты, то удаляя эту группу мы блокируем доступ к GPO.
Удалите обновление (не тот способ, но правильный), добавьте группу Domain Computers на вкладку Delegation (вам нужен доступ только для Read ID или Cardbonds) и используйте GPMC. MSC для всех политик, использующих фильтрацию безопасности по группам пользователей.
Таким образом, у компьютеров домена появится право на чтение этой политики .
Примеч. Пользовательные группы должны иметь Read и Apply права на политику.
Найти все объекты GPO в домене, у которых нет группы Authenticated Users можно с помощью такого скрипта:
Get-GPO -All | ForEach-Object {
if ('S-1-5-11' -notin ($_ | Get-GPPermission -All).Trustee.Sid.Value) {
$_
}
} | Select DisplayName
Для больших и сложных сетей с запутанной структурами групповых политик лучше воспользоваться более удобным PowerShellскриптом MS16-072: Known Issuet – Use Power Shrall to Check GPO.
Обновление. Как изменить схему AD, чтобы при создании новых групп применялись правильные разрешения.
Виды фильтрации групповых политик
- Это фильтр безопасности
- Это фильтр WMI
- Это фильтр на вкладке делегирование
- Это фильтр на вкладке сведения
Для чего нужен механизм фильтрации gpo
Какую бы сложную иерархию Active Directory не создавали у вас рано или поздно появится ситуация, что вам нужно для двух и более объектов находящихся в одном OU иметь разные настройки.
Я стараюсь избегать создания лишних организационных подразделений, так как чем проще система управления тем легче ее контролировать. У вас может быть одна OU и все в ней, но это не мешает вам грамотно применять политики к конкретным объектам на разных этапах GPO.
Запрещение применения gpo участниками группы
Чтобы добавить группу в фильтр безопасности объекта групповой политики, которая не позволяет членам группы применять объект групповой политики, выполните описанные ниже действия. Обычно это используется для того, чтобы запретить членам зон границ и шифрования применять GPO для изолированного домена.
Вы можете создать консоль управления групповыми политиками.
Объект групповой политики, который вы хотите изменить, можно найти, щелкнув его.
Откройте вкладку Делегирование на сайте **** в области информации.
Елкните Дополнительно.
Фильтр безопасности gpo
Этот метод самый простой и наиболее распространенный. Если вы хотите применить групповую политику, только к определенным объектам:
- Пользователям
- Компьютерам
- Группам
Фильтрация gpo по wmi
Использование фильтров WMI – еще одна эффективная стратегия фильтрации. Мы уже использовали их для ограничения применения политики только для ноутбуков.
Простой пример: вы создали политику и хотите ее применить, скажем только на компьютерах у которых установлена операционная система Windows 7. Для нашей задачи нам нужно создать WMI фильтр, для этого перейдем в “Фильтры WMI”, где выбираем соответствующий пункт.
Задаем имя WMI фильтра, после чего нажимаем кнопку “Добавить”. Откроется окно для составления запроса. Эта конструкция для Windows 7 будет такой:
Номера для Win32_OperatingSystem
- Windows Server 2022Windows 10 1809 – 10.0.17763
- Window Server 2022Windows 10 — 10.0
- Window Server 2022 R2Windows 8.1 — 6.3
- Window Server 2022Windows 8 — 6.2
- Window Server 2008 R2Windows 7 — 6.1
Тип продукта отвечает за назначение компьютера и может иметь 3 значения:
- 1 – рабочая станция;
- 2 – контроллер домена;
- 3 – сервер.
Вот вам пример вывода в PowerShell команды, показывающей версию операционной системы:
Сохраняем наш WMI запрос.
Если хотите перед внедрение проверить будет ли применена групповая политика к нужному объекту, то можете провести тестирование в WMI Filter Validation Utility. Если все настроено корректно, но политика не применяется, почитайте по ссылке возможные варианты. Далее берем вашу политику и применяем к ней WMI.
Теперь если компьютер не соответствует критериям WMI фильтра, то вы увидите в gpresult /r :computer запись (Отказано фильтр WMI)
Фильтрация групповых политик windows
На разных этапах применения групповой политики к компьютерам и пользователям используются фильтры.
Фильтрация через состояние gpo
Еще на вкладке “Сведения” есть такая настройка, как состояние GPO. Она необходима для ускорения обработки политики, путем отключения лишних веток. Например у вас политика исключительно на пользователя и вам смысла нет, чтобы компьютер при загрузке пытался прочитать настройки для компьютера, тратя на это время. В таких случаях отключают данный функционал. Тут есть варианты:
- Включено
- Все параметры отключены
- Параметры конфигурации компьютера отключены
- Параметры конфигурации пользователя отключены
