「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある

こんにちは、プラットフォームサポートチームの高田です。

速報的な内容となりますが、6 月 14 日にリリースされた「MS16-072: グループ ポリシーのセキュリティ更新プログラム」をインストールした環境において、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループ ポリシーが適用されなくなるという問題が報告されています。

これは、下記英語版の技術情報に Known Issues として記載されている事象です。

MS16-072: Security update for Group Policy: June 14, 2016
https://support.microsoft.com/en-us/kb/3163622

 

事象の概要

MS16-072 はグループポリシーの適用処理におけるセキュリティ上の問題に起因し、中間者攻撃 (Man-in-The-Middle) により権限の昇格が発生する脆弱性を解消します。しかしながら、この対応に伴い、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループポリシーが適用されなくなります。

これは、MS16-072 がユーザーのグループポリシーを適用するにあたり、セキュリティコンテキストの扱いを変更しているためです。この設計上の動作変更により、ユーザーのコンピューターはセキュリティ上の脆弱性から保護されます。MS16-072 を適用する前では、ユーザーのグループポリシーは、ユーザーのセキュリティコンテキストで適用されます。一方、MS16-072 が適用された後では、ユーザーのグループポリシーはコンピューターのセキュリティコンテキストを用いて適用されるようになります。これにより、ユーザーに対してのみ読み取りアクセス権を付与している GPO では適用に失敗します。

なお、これは設計上の意図した動作変更であり、セキュリティ更新によるレグレッションではありません。このため本動作が修正される予定はありません。

 

解決策

事象を解決するには、問題の生じている GPO に、コンピューターの読み取り許可を与えます。以下に、Domain Computers に読み取りの許可を与える手順を案内いたしますので参考にしていただければと思います。

※ KB3163622 のページには 2 通り (Authenticated Users もしくは Domain Computers の「読み取り」権限を追加する) の対処方法が記載されております。本ブログでは事象の解決に必要な、範囲を絞った権限 (Domain Computers  の「読み取り」権限) を加える方法を案内いたします。KB にあるように Authenticated Users を追加いただいてもかまいません。

※ 以下のとおり、委任の箇所から設定することで、対象の GPO にコンピューターの「読み取り」権限のみが付与されます (「グループ ポリシーの適用」権限は付与されません)。このため、元々セキュリティ フィルターで意図していたユーザーにのみポリシーが適用されるという動作には変わりがありませんのでご安心ください。

  1.  いずれか 1 台のドメイン コントローラーにログオンします。
  2. [スタート] - [管理ツール] もしくはサーバー マネージャーから [グループ ポリシーの管理] を起動します。
  3. 左ペインで [フォレスト] - [ドメイン] - [<ドメイン名>] - [グループ ポリシー オブジェクト] を展開します。
  4. セキュリティ フィルターを変更している GPO をクリックします。
  5. [委任] タブを開きます。
  6. [追加] をクリックします。
  7. [選択するオブジェクト名を入力してください] の欄に "Domain Computers" と入力し、[名前の確認]、[OK] をクリックします。
  8. 下記が選択されていることを確認して [OK] をクリックします。
    - グループ名またはユーザー名: <ドメイン名>\Domain Computers
    - アクセス許可:  "読み取り"
  9.  [詳細設定] から追加した “Domain Computers” に「読み取り」のみにチェックが入っていることを確認します。

 

以上で設定は終了です。

この後、クライアントにログオンし、グループ ポリシーが適用されているかどうかご確認ください。