「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある

こんにちは、プラットフォームサポートチームの高田です。 速報的な内容となりますが、6 月 14 日にリリースされた「MS16-072: グループ ポリシーのセキュリティ更新プログラム」をインストールした環境において、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループ ポリシーが適用されなくなるという問題が報告されています。 これは、下記英語版の技術情報に Known Issues として記載されている事象です。 MS16-072: Security update for Group Policy: June 14, 2016 https://support.microsoft.com/en-us/kb/3163622   事象の概要 MS16-072 はグループポリシーの適用処理におけるセキュリティ上の問題に起因し、中間者攻撃 (Man-in-The-Middle) により権限の昇格が発生する脆弱性を解消します。しかしながら、この対応に伴い、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループポリシーが適用されなくなります。 これは、MS16-072 がユーザーのグループポリシーを適用するにあたり、セキュリティコンテキストの扱いを変更しているためです。この設計上の動作変更により、ユーザーのコンピューターはセキュリティ上の脆弱性から保護されます。MS16-072 を適用する前では、ユーザーのグループポリシーは、ユーザーのセキュリティコンテキストで適用されます。一方、MS16-072 が適用された後では、ユーザーのグループポリシーはコンピューターのセキュリティコンテキストを用いて適用されるようになります。これにより、ユーザーに対してのみ読み取りアクセス権を付与している GPO では適用に失敗します。 なお、これは設計上の意図した動作変更であり、セキュリティ更新によるレグレッションではありません。このため本動作が修正される予定はありません。   解決策 事象を解決するには、問題の生じている GPO に、コンピューターの読み取り許可を与えます。以下に、Domain Computers に読み取りの許可を与える手順を案内いたしますので参考にしていただければと思います。 ※ KB3163622 のページには 2 通り (Authenticated Users もしくは Domain Computers の「読み取り」権限を追加する) の対処方法が記載されております。本ブログでは事象の解決に必要な、範囲を絞った権限 (Domain…

0