Prejšnji teden je Microsoft izdal varnostne posodobitve, ki spreminjajo privzeto vedenje sistema Windows Group Policy. Govorimo o posodobitvah, izdanih v sklopu biltena MS16-072 z dne 14. junija 2016, ki naj bi odpravil ranljivosti v mehanizmu GPO. Ugotovimo, zakaj je bila ta posodobitev izdana in kaj mora sistemski skrbnik vedeti o spremembah v uporabi skupinskih pravilnikov.
Posodobitve iz MS16-072 obravnavajo ranljivost, ki bi lahko napadalcu omogočila, da sproži napad Man v sredini (MiTM) in pridobi dostop do prometa, ki se prenaša med računalnikom in krmilnikom domene. Za zaščito pred ranljivostmi so se razvijalci MS odločili spremeniti varnostni kontekst, v katerem so pridobljene politike. Če so bile prej pridobljene uporabniške politike v okviru varnosti uporabnikov, potem po namestitvi MS16-072 uporabniške politike pridobijo v okviru računalniške varnosti.
Kot rezultat tega je veliko uporabnikov ugotovilo, da po namestitvi posodobitev tega glasila nekateri pravilniki niso več uporabljeni. GPO s standardnimi dovoljenji, ki jih imajo Varnostno filtriranje dane so pravice za branje in uporabo skupinske politike za skupino Pooblaščeni uporabniki, velja kot običajno. Težava je opažena le pri pravilnikih, ki imajo konfigurirano varnostno filtriranje in iz katerih je bila odstranjena skupina pooblaščenih uporabnikov. .
Če je potrebno, v vseh prejšnjih priporočilih z uporabo varnostnega filtriranja MS vedno svetujemo, da odstranite skupino overjenih uporabnikov in dodate varnostno skupino uporabnikov s pravicami branja in uveljavljanja..
Po namestitvi posodobitve MS16-072 / KB3159398, ki je zdaj za uspešno uporabo pravilnika, morajo pravice za branje GPO imeti tudi račun računalnika.
In ker preverjeni uporabniki pomenijo tako uporabniške kot tudi računalniške račune, s katerimi izbrišemo to skupino, s tem preprečimo dostop do GPO.
Če želite rešiti težavo, morate na zavihku odstraniti posodobitev (ne pravilen, vendar učinkovit način) ali uporabiti GPMC.MSC za vse pravilnike, ki uporabljajo varnostno filtriranje po skupinah uporabnikov. Delegacija dodaj skupino Domači računalniki (potrebne so samo pravice branja).
Tako bodo imeli domeni računalniki pravico prebrati ta pravilnik .
Opomba. Skupine uporabnikov morajo imeti še vedno pravice branja in uveljavljanja pravilnika.Če želite v zaščitnem filtriranju poiskati vse skupinske predstavnike v domeni, ki nima overjenih uporabnikov, lahko uporabite ta skript:
Get-GPO-vse | Predmet ForEach
if ('S-1-5-11' -notin ($ _ | Get-GPPermission -All). Trustee.Sid.Value)
$ _
| Izberite DisplayName
Za velike in zapletene infrastrukture z zapleteno strukturo skupinskih politik lahko uporabite bolj priročen skript PowerShell MS16-072 - Znana težava - Uporabite PowerShell za pregledovanje skupinskih uporabnikov in poiščite problematične politike
Posodobiti. Kako spremeniti shemo AD tako, da se takoj ustvarijo vse nove skupinske politike (GPO) s potrebnimi pravicami