MS16-072 может нарушить настройки групповой политики

by Опубликовано

Microsoft выпустила 16 бюллетеней по безопасности в рамках День патчей, июнь 2016 из которых один, MS16-072, вызывает серьезные проблемы на некоторых конфигурациях компьютеров.

Обновление для системы безопасности исправляет уязвимость в Windows, которая может привести к несанкционированному повышению привилегий во время атаки «человек в середине».

Уязвимость делает возможным несанкционированное получение прав, если злоумышленник запускает атаку «человек посередине» (MiTM) против трафика, проходящего между контроллером домена и целевой машиной.

Обновление изменяет контекст безопасности, в котором извлекаются групповые политики пользователей. Ранее групповые политики всегда получали с использованием контекста безопасности пользователя. Начиная с установки MS16-072, политики групп пользователей извлекаются с использованием контекста безопасности компьютера.

Проблемы групповой политики, вызванные MS16-072

групповая политика

Хотя это имеет смысл с точки зрения безопасности, это привело к серьезным проблемам на компьютерах, присоединенных к домену, поскольку все политики в этих системах могут дать сбой.

Причиной этого, согласно Microsoft, является отсутствие разрешения на чтение для группы прошедших проверку пользователей или отсутствие разрешений на чтение для группы компьютеров домена. По сути, происходит то, что политики не могут быть прочитаны из-за отсутствия разрешений.

Учитывая, что все политики не могут применяться к пользователю или машине после установки MS16-072, очевидно, что это может вызвать серьезные проблемы в бизнес-среде.

Это варьируется от простых вещей, таких как фоновые изображения, которые не отображаются, до серьезных, таких как отображение скрытых дисков, изменения в Центре обновления Windows, доступность заблокированных функций или инструментов, недоступность принтеров и многое другое, что может вызвать серьезные проблемы в этих средах.

Администраторы, которые спешат, могут удалить KB3159398, KB3163017, KB3163018 или KB3163016 и перезагрузите затронутые машины, чтобы вернуться к статус-кво.

Решение Microsoft

Microsoft рекомендует другие решения, и, вероятно, будет хорошей идеей в конечном итоге установить обновление безопасности. Изменение контекста безопасности было сделано специально, и Microsoft не будет изменять патч, чтобы решить проблему каким-либо другим способом.

Это означает, что вам нужно будет применить решение Microsoft на пораженных машинах. К счастью, он не является длинным и сложным, но требует доступа к консоли управления групповой политикой (gpmc.msc).

  • Опция 1 : Добавьте группу прошедших проверку пользователей с разрешениями на чтение для объекта групповой политики.
  • Вариант 2 : Если используется фильтрация безопасности, добавьте группу «Группы домена» с разрешениями на чтение.

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *