Чому перестали працювати деякі gpo після установки ms16-072, windows для системних

Оновлення з MS16-072 усувають уразливість, яка дозволяє зловмисникові реалізувати атаку Man in the middle (MiTM), і отримати доступ до трафіку, що передається між комп'ютером і контролером домену. Для захисту від вразливості розробники MS вирішили змінити контекст безпеки, в якому виходять політики. Якщо раніше, призначені для користувача політики виходили в контексті безпеки користувача, то після установки MS16-072, призначені для користувача політики виходять в контексті безпеки комп'ютера.

В результаті багато користувачів виявили, що після установки оновлень з даного бюлетеня, перестали застосовуватися деякі політики. GPO зі стандартними дозволами, у яких в Security Filtering дані права на Read і Apply Group Policy для групи Authenticated Users. застосовуються як зазвичай. Проблема спостерігається тільки з політиками, на яких налаштована фільтрація безпеки (Security Filtering) і з дозволів яких видалена група Authenticated Users.

У всіх попередніх рекомендаціях при необхідності використовувати Security Filtering MS завжди радили видаляти групу Authenticated Users і додавати групу безпеки користувачів з правами Read і Apply.

Після установки оновлення MS16-072 / KB3159398 тепер для успішного застосування політики, права Read на доступ до об'єкта GPO повинні бути також і у облікового запису самого комп'ютера.

А так як під Authenticated Users маються на увазі, як призначені для користувача, так і комп'ютерні учеткі, то видаляючи цю групу, ми тим самим блокуємо доступ до GPO.

Щоб вирішити проблему, потрібно видалити оновлення (хибний, але дієві спосіб) або за допомогою GPMC.MSC для всіх політик, у яких використовується фільтрація безпеки по призначених для користувача групах, на вкладці Delegation додати групу Domain Computers (потрібні права тільки на Read).

Таким чином, у комп'ютерів домену з'явиться право на читання цієї політики.

Примітка. Призначені для користувача групи повинні як і раніше мати Read і Apply права на політику.

Щоб знайти всі об'єкти GPO в домені, у яких в Security Filtering відсутня група Authenticated Users, можна скористатися таким скриптом:

Get-GPO -All | ForEach-Object if ( 'S-1-5-11' -notin ($ _ | Get-GPPermission -All) .Trustee.Sid.Value) $ _
>
> | Select DisplayName

Для великих і складних інфраструктур з заплутаною структурою групових політик для пошуку проблемних політик можна скористатися більш зручним PowerShellскріптом MS16-072 - Known Issue - Use PowerShell to Check GPOs

• Як в Windows 10 Pro заблокувати Windows Store за допомогою GPO
• Налаштування Mozilla Firefox для роботи в корпоративному середовищі
• Налаштування ключів реєстру за допомогою групових політик
• SCCM / WMI запит для вибірки всіх ноутбуків в домені
• Установка сертифіката на комп'ютери домену за допомогою групових політик

Ха, а я на інший ефект нарвався (відписувався вже в темі про вибіркове застосування політик): у мене є політика яка не повинна застосовуватися на певній групі користувачів. У дозволах на цю політику була додана ця група і на неї стояв заборона на читання. Все працювало. А після цього поновлення політика стала застосовуватися. Допомогла установка заборони на цю групу не тільки на читання, а на все. Статей ніяких не бачив, нічого не гугл. Що справа в оновленнях зметикував одразу і зробив що перше в голову прийшло. Спрацювало.

Відновлення файлів після зараження шифрувальником зі знімків VSS

MS Local Administrator Password Solution - управління паролями локальних адміністраторів в домені

Блокування вірусів і шифрувальників за допомогою Software Restriction Policies

Налаштування Mozilla Firefox для роботи в корпоративному середовищі

Перенесення налаштувань локальної групової політики між комп'ютерами

Інформації про останній вхід в Windows на екрані вітання

Resolution: 1346 x 733 52 queries. 0,838 sec 24.17 MB

MAXCACHE: 0.27MB / 0.00174 sec