更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法：山市良のうぃんどうず日記（68）（1/2 ページ）

2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱（ぜいじゃく）性を回避するための「セキュリティ更新プログラム（KB3159398）」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。

[山市良，テクニカルライター]

連載目次

セキュリティ更新プログラム「KB3159398」の副作用とは？

　2016年6月15日のWindows Updateでは、マイクロソフトセキュリティ情報「MS16-072」に対応したセキュリティ更新プログラム「KB3159398」が配布されました。

• マイクロソフトセキュリティ情報MS16-072−重要：グループポリシーのセキュリティ更新プログラム（3163622）（マイクロソフト セキュリティ TechCenter）

　マイクロソフトセキュリティ情報「MS16-072」は、ドメインコントローラーとクライアント間のトラフィックに対して中間者攻撃を実行し、グループポリシーを利用して標準ユーザーに管理者特権を付与することを可能にする「グループポリシーの特権の昇格の脆弱性−CVE-2016-3233」に関するもの。この脆弱（ぜいじゃく）性を修正するセキュリティ更新プログラム「KB3159398」は、Active Directoryドメイン環境のセキュリティを維持するために非常に重要です。脆弱性の詳細は、上記のマイクロソフトセキュリティ情報を確認してください。

　ただ、セキュリティ更新プログラム「KB3159398」には副作用があります。これについては、以下のマイクロソフトのサポート技術情報の「Known issues」で説明されています。

• MS16-072: Description of the security update for Group Policy: June 14, 2016［英語］（Microsoft Support）

　Known issuesは、セキュリティ更新プログラムの不具合（バグ）ではなく、仕様変更の影響です。

　具体的には、ユーザーまたはグループを指定したセキュリティフィルターが設定された「グループポリシーオブジェクト（GPO）」が、ユーザーに適用されなくなるという影響です。これまで、GPOの「ユーザーの構成」のポリシーはログオンユーザーのセキュリティコンテキスト（セキュリティ権限）で、「コンピューターの構成」のポリシーは、コンピュータのセキュリティコンテキストで処理されていました。

　文章だけでは分かりにくいと思いますので、実際のGPOの設定とその適用結果をスクリーンショットで用意しました。これを見ていただくとよく分かるでしょう。

従来のセキュリティフィルターの設定は、どうなっていた？

　Active Directoryのドメインでは、GPOを作成し、ドメインまたはOU（Organization Unit：組織単位）にリンクすることで、そのドメインまたはOUに属する全てのユーザーとコンピュータを対象（スコープ）にGPOを適用できます。GPOのスコープは、ドメインやOUのリンクに加え、セキュリティフィルターやWMI（Windows Management Instrumentation）フィルターを使用して、さらに絞り込むことができます。

　セキュリティ更新プログラム「KB3159398」のインストール後は、ログオンしたコンピュータのセキュリティコンテキストで「ユーザーの構成」と「コンピューターの構成」の両方のポリシーが処理されるように変更されます。この仕様変更が、ユーザーおよびユーザーを含むグループのセキュリティフィルターの処理に影響するのです。

　例えば、セキュリティフィルターを使用すると、特定のユーザーやコンピュータ、特定のグループに属するユーザーやコンピュータにのみGPOを適用できます。WMIフィルターを使用すると、WMIクエリの結果に基づいて特定のバージョンやエディションのWindowsのみにGPOを適用できます。

　今回のセキュリティ更新プログラム「KB3159398」は、“ユーザー”を絞り込むためのセキュリティフィルターの処理に影響します。

　GPOを新規作成すると、既定で「Authenticated Users」がセキュリティフィルターに追加されます（画面1）。

画面1　GPOを新規作成すると、既定で「Authenticated Users」のセキュリティフィルターが構成される

　「Authenticated Users」は、ドメインで認証された全てのユーザーおよびコンピュータを含みます。これにより、リンク先のドメインまたはOUに属する全てのユーザーとコンピュータにGPOが適用されるようになっています。

　セキュリティフィルターを変更して、特定のユーザーやコンピュータ、グループにGPOの適用対象を絞り込むには、対象のユーザーやコンピュータ、グループのアカウントを追加して、既定の「Authenticated Users」を削除します。

　詳しくは、以下のドキュメントに説明されていますが、既定の「Authenticated Users」があると全てが対象になってしまうので、「Authenticated Users」を削除することがポイントです（画面2）。

• セキュリティグループを使用してフィルター処理を行う（マイクロソフト TechNet）

画面2　GPO「Desktop Policy」を、「demouser01」だけに適用するセキュリティフィルター。「Authenticated Users」は削除する

　ログオン中のユーザーに適用されたGPOを確認するには、ログオン後にコマンドプロンプトを開き「GPRESULT /R」コマンドを実行します。以下の画面3の例は、「demouser01」でログオン中のユーザーの「GPRESULT /R」の実行結果です。

画面3　「demouser01」でログオンしたクライアントで「GPRESULT /R」コマンドを実行した結果。セキュリティ更新プログラム「KB3159398」のインストール前

　この例では、「Desktop Policy」と「ADRMS Policy」の2つのGPOにユーザーを絞り込むセキュリティフィルターが設定されており、「Desktop Policy」のみがこのユーザー（demouser01）に適用されています。

　ここまでは、セキュリティ更新プログラム「KB3159398」がインストールされる前、つまり「2016年6月14日」以前の動作です。