更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法:山市良のうぃんどうず日記(68)(1/2 ページ)
2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱(ぜいじゃく)性を回避するための「セキュリティ更新プログラム(KB3159398)」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。
セキュリティ更新プログラム「KB3159398」の副作用とは?
2016年6月15日のWindows Updateでは、マイクロソフトセキュリティ情報「MS16-072」に対応したセキュリティ更新プログラム「KB3159398」が配布されました。
- マイクロソフトセキュリティ情報MS16-072−重要:グループポリシーのセキュリティ更新プログラム(3163622)(マイクロソフト セキュリティ TechCenter)
マイクロソフトセキュリティ情報「MS16-072」は、ドメインコントローラーとクライアント間のトラフィックに対して中間者攻撃を実行し、グループポリシーを利用して標準ユーザーに管理者特権を付与することを可能にする「グループポリシーの特権の昇格の脆弱性−CVE-2016-3233」に関するもの。この脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム「KB3159398」は、Active Directoryドメイン環境のセキュリティを維持するために非常に重要です。脆弱性の詳細は、上記のマイクロソフトセキュリティ情報を確認してください。
ただ、セキュリティ更新プログラム「KB3159398」には副作用があります。これについては、以下のマイクロソフトのサポート技術情報の「Known issues」で説明されています。
- MS16-072: Description of the security update for Group Policy: June 14, 2016[英語](Microsoft Support)
Known issuesは、セキュリティ更新プログラムの不具合(バグ)ではなく、仕様変更の影響です。
具体的には、ユーザーまたはグループを指定したセキュリティフィルターが設定された「グループポリシーオブジェクト(GPO)」が、ユーザーに適用されなくなるという影響です。これまで、GPOの「ユーザーの構成」のポリシーはログオンユーザーのセキュリティコンテキスト(セキュリティ権限)で、「コンピューターの構成」のポリシーは、コンピュータのセキュリティコンテキストで処理されていました。
文章だけでは分かりにくいと思いますので、実際のGPOの設定とその適用結果をスクリーンショットで用意しました。これを見ていただくとよく分かるでしょう。
従来のセキュリティフィルターの設定は、どうなっていた?
Active Directoryのドメインでは、GPOを作成し、ドメインまたはOU(Organization Unit:組織単位)にリンクすることで、そのドメインまたはOUに属する全てのユーザーとコンピュータを対象(スコープ)にGPOを適用できます。GPOのスコープは、ドメインやOUのリンクに加え、セキュリティフィルターやWMI(Windows Management Instrumentation)フィルターを使用して、さらに絞り込むことができます。
セキュリティ更新プログラム「KB3159398」のインストール後は、ログオンしたコンピュータのセキュリティコンテキストで「ユーザーの構成」と「コンピューターの構成」の両方のポリシーが処理されるように変更されます。この仕様変更が、ユーザーおよびユーザーを含むグループのセキュリティフィルターの処理に影響するのです。
例えば、セキュリティフィルターを使用すると、特定のユーザーやコンピュータ、特定のグループに属するユーザーやコンピュータにのみGPOを適用できます。WMIフィルターを使用すると、WMIクエリの結果に基づいて特定のバージョンやエディションのWindowsのみにGPOを適用できます。
今回のセキュリティ更新プログラム「KB3159398」は、“ユーザー”を絞り込むためのセキュリティフィルターの処理に影響します。
GPOを新規作成すると、既定で「Authenticated Users」がセキュリティフィルターに追加されます(画面1)。
「Authenticated Users」は、ドメインで認証された全てのユーザーおよびコンピュータを含みます。これにより、リンク先のドメインまたはOUに属する全てのユーザーとコンピュータにGPOが適用されるようになっています。
セキュリティフィルターを変更して、特定のユーザーやコンピュータ、グループにGPOの適用対象を絞り込むには、対象のユーザーやコンピュータ、グループのアカウントを追加して、既定の「Authenticated Users」を削除します。
詳しくは、以下のドキュメントに説明されていますが、既定の「Authenticated Users」があると全てが対象になってしまうので、「Authenticated Users」を削除することがポイントです(画面2)。
- セキュリティグループを使用してフィルター処理を行う(マイクロソフト TechNet)
ログオン中のユーザーに適用されたGPOを確認するには、ログオン後にコマンドプロンプトを開き「GPRESULT /R」コマンドを実行します。以下の画面3の例は、「demouser01」でログオン中のユーザーの「GPRESULT /R」の実行結果です。
この例では、「Desktop Policy」と「ADRMS Policy」の2つのGPOにユーザーを絞り込むセキュリティフィルターが設定されており、「Desktop Policy」のみがこのユーザー(demouser01)に適用されています。
ここまでは、セキュリティ更新プログラム「KB3159398」がインストールされる前、つまり「2016年6月14日」以前の動作です。
Copyright © ITmedia, Inc. All Rights Reserved.