Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Заняться изменением дизайна политик.

Напомню всем любителям не читая сводки из центра об изменениях накатить апдейты, заплакать, удалить и затем возрадоваться своей прозорливости, что изменение в обработке GPO теперь всерьёз и надолго.

Important

  • All future security and non-security updates for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2 require update 2919355 to be installed. We recommend that you install update 2919355 on your Windows RT 8.1-based, Windows 8.1-based, or Windows Server 2012 R2-based computer so that you receive future updates

P.S. Будем следить за развитием событий, кто не спрятался- я не виноват!

P.P.S. Спасибо Илье Сазонову за коррекцию :), проверив мои крики на практике, он справедливо указал, что

у правильных парней, которые используют Item-Level Targeting и фильтрацию применения в нём, а в самом GPO настройки по умолчанию- работать всё будет, как часы. Кто бы сомневался 🙂

UPDATE Появился скрипт, (2) который поможет найти GPO с фильтрацией.

Оффициальная позиция https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

http://social.technet.microsoft.com/wiki/ru-ru/contents/articles/34727.ms16-072.aspx

UPDATE

Что же нам становится из нее ясно?

В очередной Patch Tuesday, Microsoft выпустила исправление, чтобы предотвратить атаку «человек посередине», когда GPO скачиваются с контроллеров домена клиентами.

Отлично звучит! Но, на самом деле, есть нюанс. Исправление это меняет обработку в поведении GPO. Ничего особо ужасного здесь нет, но некоторые объекты групповых политик могут перестать применяться. Именно об этом мы и поговорим.

Как воспроизвести поведение

  1. Обновление MS16-072 установлено на клиентах
  2. Администратор удалил группу Authenticated Users в фильтре безопасности
  3. Администратор добавил выделенную группу безопасности в фильтр

Примечание: Учетная запись компьютера не имеет прав Чтение на объекте групповой политики

 Поведение по умолчанию

Все пользовательские разделы GPO выполняются, поскольку пользователь имеет право читать и применять политику, даже если у компьютера нет права чтения на конкретном объекте.

Измененное поведение, которое приносит элемент «неожиданности»

Все пользовательские разделы не выполняются (если уз компьютера не имеет права чтения объекта)

Почему так происходит? Ответ из статьи базы знаний «Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context »

Итак, большие перемены пришли: для обработки пользовательских разделов политики, Компьютеру нужны права чтения. И если вы удалите группу AUTHENTICATED USERS из GPO, компьютер не сможет больше прочитать его, и соответственно, GPO не применится должным образом.

Исправления

Вы можете вручную обновить каждый объект политик чтобы восстановить их работу после обновления, и для этого есть два пути:

 

  •  #1: Просто добавить группу Domain Computers в фильтр безопасности
  •  #2: Добавить группу Domain Computers “неявно”, используя вкладку «Delegation» |

Для автоматического исправления можно воспользоваться oneliner’ом

Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName «Domain computers» -PermissionLevel GpoRead

Какой способ лучше?

Способ 1, достоинства и недостатки:

Когда вы добавляете группу Domain Computers напрямую в фильтр безопасности, вы можете сразу же визуально считывать ситуацию

 

Способ 2:

Если вы используете вкладку «Делегирование», то не получаете 2наглядной» картины происходящего. Пока вы снова ее не откроете, не сможете увидеть, должны ли применяться объекты политик или же нет.

Заметьте также, что второй способ не работает с SBS 2008 или SBS 2011.

Хорошо, я исправил все свои GPO, которые у меня были, что дальше?

Дальше неплохо бы переопределить умолчания, чтобы не делать каждый раз тоже самое для вновь созданных GPO.

Для этого:

  1. Откроем ADSI Edit
  2. Подключимся к конексту schema
  3. Найдем объект “CN = Group-Policy-Container”
  4. И откроем его атрибут defaultSecurityDescriptor и добавим следуещее значение в конец:  (A;CI;LCRPLORC;;;DC)

Screenshot_15

«DC» здесь “Domain Computers” а не не “Domain Controllers”, как многие подумали. Контроллеры домена сокращенно будут “ED”, поскольку входят в группу “Enterprise Domain Controllers”.

5. Примените изменения, закройте все консоли и откройте заново. У новых созданных GPO должно появиться право чтения.

Screenshot_16

Если изменения не сработали, обновите кэш схемы или перезагрузите контроллеры. Впрочем, можно просто немного подождать и почитать что-нибудь полезное 🙂

Если это кажется очень страшным, то есть всегда добрый друг Powershell!

Давайте попробуем сделать тоже самое с его помощью.Запуск скрипта для изменения GPO без параметров выведет отчет о текущем состоянии:

Screenshot_17

Как поменять поведение по умолчанию для компьютеров?

Без глубогого погружения в Security Descriptor Definition Language (SDDL), рассмотрим разрешения, которые нам нужно добавить для следующих 6 полей:

Тип ACE:

  • A = Access Allowed

Флаги ACE:

  • CI = Container Inherit

Разрешения:

  • LC = List Contents
  • RP = Read All Properties
  • LO = List Object
  • RC = Read Permissions

Тип объекта:

  • (здесь у нас пустое поле)

Унаследованный тип объекта:

  • (и здесь тоже)

Trustee:

Выполним скрипт с параметром -Action и проверим, что битовая маска изменена:

Screenshot_18

 

В статье использованы материалы блога http://www.gpanswers.com/

https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

 

Реклама

Изменения в обработке GPO, или Patch Tuesday: 27 комментариев

  1. дык Item-Level Targeting есть далеко не для всех настроек, в основном это GPP.
    А как быть, например, если есть несколько политик для outlook, которые накатываются в зависимости от членства в AD группе?

    Что правильные парни будут в этом случае делать?

      • Ага, смешно. Давайте насоздаем для каждой пары юзеров отдельные OU-шки.

      • Выслушаю Ваши предложения, если таковые имеются. Security filtering- он такой, да. Подумайте немного, почему именно «убрали» его, и какие недостатки он имеет.

      • Так это вы про правильных пацанов писали. Вот и хочется выслушать ваши предложения, если таковые имеются.

        Речь идет сейчас не о том, почему пациенту ампутировали ногу, а то том, как жить дальше с одной ногой.

        Юзкейсов могу накидать вам достаточно, надеюсь этого не потребуется. Каждый первый джуниор админ знает, что GPP это весьма ограниченный сэт настроек.

        Сам пока не добрался до чтения форумов и KB, поскольку пукно у меня не горит и апйдеты автоматом раздались только на несколько тестовых win 8 машин. Но уже понятно, что на днях придется вникать подробно в то, что там наворотили.

        Считаю это серьезным изменением о котором трубить нужно было за месяц, чтобы народ мог подготовится, а не как партизаны выкатывать, полагаясь на то, что кому нужно сами сначала прочтут. И конечно подробным образом, с примерами, должно быть изложено, если MS этого вдруг не сделал.

        Судя по шуму, который поднялся они ни сделали ни первого, ни второго.

      • Я именно по той же самой причине и написал в блоге, поскольку увидел в рассылке что случилось «Страшное». Поэтому пост в 8 утра и появился- как только я узнал, так сразу и написал коротко, что было известно, чтобы могли принять меры.И надеюсь, кому-то это помогло или поможет. Это потом на пост стал народ ссылаться и приходить из разных мест. Наворочено немного- просто поскольку давно были известны атаки MITM- этот кусок поверхности атаки было решено убрать. Убрать возможность применения политик в контексте пользователя. Мне про это, никто не докладывал, к сожалению. Решения сейчас пока готового- нет, как Вы видите. Есть костыль, да, помогающий. Непонятна ситуация с самим апдейтом. МС заявляет, что быть посему, отсюда и дальше. Ситуация действительно крайне серьезная, и как мне кажется, апдейт могут если не отозвать то изменить на вторую- третью, двадцать пятую версию, а может, перекроют еще другим. Я на это надеюсь. Пока же, как обычно нужно подождать пару недель и посмотреть. Выстрелило серьезно, и изменения будут, как опять же мне (мне) кажется, готовы быстро. Может, зайдем на кбшку в понедельник, а там уже все заколочено гвоздями. Пока другого ГПО у меня для Вас нет. 🙂 Просто нет пока информции, не выстрелило в ногу как следует.Как приходит на ум, теперь любого, как Вы выразились джуниора теперь можно спрашивать, а как теперь применяются политики, а? Ловкий ответит- А вам как рассказать, до обновления или после?

      • То, что написали за это вам больше спасибо. Не зря подписался на ваш блог.
        Тоже везде подписан на различные рассылки/твитеры профильные, но заметил именно тут. День выдался сложный. может еще долистаю ленту и где вылезет.
        Мне от MS сегодня только MCP monthly flash и маркетинговая лабуда свалилась.

        А в какой рассылочке пришло вам, не поделитесь?

      • Твиттер что-то как-то не пошел мне, если честно, как и фейсбуки другие. По старинке рсс читаю везде, если успеваю. К сожалению, не могу: рассылка MVP-шная. Очень рад, что помог, спасибо за ваши комментарии, приходите, как говорится, еще, завсегда рады :). Буду держать руку на пульсе, или обновлю статью, или пильну новую как что появится. В общем, следите за новостями.

    • Решение с форума sysadmins:
      В политике, в которой используется фильтрование по группам и учёткам, на вкладке Делегирование добавить Authenticated Users с правами чтение. И снова работает как надо.

      • В статье на форуме технета написано, что это не решение, а workaround. Я надеюсь, разница понятна.

      • То, что workaround — это понятно. Я свои политики, где есть возможность перевести на ILT, уже перевел, но для моего примера из комментария ниже, решение только через добавление Auth Users

      • ОК, читайте ссылки которые даются к статье внимательнее. Мне кажется, бессмысленно в свою статью включать пересказ и перевод такого. Именно поэтому я дал ссылку, где все смогут прочитать и увидеть советы. Там, если вы посмотрите повнимательнее, есть вариант с domain computers, например. Поэтому, не все так однозначно 🙂

    • Про domain computers тоже читал)
      Статью я читал внимательно, просто мне неочевидно было то, что по той ссылке есть советы, как впрочем комментатору Ben видимо тоже.

      • Очень может быть. Я, признаться, слегка удивлен, что «подожглось» сразу же. Мне казалось, обновления администраторы все же тестируют ) и ждал «лавины» в понедельник примерно.

  2. Столкнулись сегодня с тем же, но благо есть kb, который всегда можно прочесть если что-то пошло не так 🙂 Пофиксили за считанные минуты. Только потом уже увидел статью в почте об этом 🙂

  3. Присоединяюсь к вопросу.
    У меня например для особо забывчивых пользователей есть политика, которая запускает outlook при входе в систему
    (Конф.пользователя -> Политики -> Адм.шаблоны -> Система -> Вход в систему -> Выполнять эти программы при входе в систему -> outlook.exe).

    Естественно использовался фильтр безопасности по учёткам и группам. И как теперь быть? Нет там никакого Item-Level Targeting.

  4. 1. Получается, если у «Прошедших проверку» есть право только чтения GPO, а у некой группы пользователей «Чтение и применение», то Security filtering будет работать как и раньше?
    2. KB3159398 есть как для серверов, так и для рабочих станций. Установка данного обновления на рабочие станции также вызывает потенциальные проблемы с применением групповых политик?

    • 1. Получается, что так.
      2. Разумеется, вызовет. Это обновление меняет применение политики именно для клиентов. Переопределяет их.

      • Насчет «Это обновление меняет применение политики именно для клиентов». — На форумах читал, что проблемы возникали после накатки данного обновления на контроллеры домена. Поэтому вопрос и возник.

  5. •All future security and non-security updates for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2 require update 2919355 to be installed.
    Тут речь идет о совсем другом обновлении. Не вводите в заблуждение 🙂

  6. https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/ Вот и официальная позиция, опубликованная через десять дней после патча.
    Позиция- ну, а что, дали всем рид и дальше побежали, что такого-то. Первый камент прекрасен, как обычно, и проигнорирован, как обычно.

  7. […] Microsoft выпустили очередной бюллетень безопасности MS16-072, в котором сообщают нам радостную весть о порядке изменения обработки групповых политик, вносимых после применения распространяемых через Windows Update обновлений KB3159398/KB3163017/KB3163018/ KB3163016. То есть, часто используемая администраторами фильтрация применения групповых политик с помощью ACL на уровне политики (это когда в свойствах безопасности той или иной политики убираем группу Authenticated Users и добавляем свои группы безопасности) после применения вышеперечисленных обновлений безопасности работать больше не будет. В качестве альтернативы для тонкой фильтрации политик подразумевается использование механизмов GPP. Дополнительная информация: Изменения в обработке GPO, или Patch Tuesday. […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s