Quick Memo GPO Security Filtering après MS16-072 (KB3163622)

Bonjour,

Petit memo rapide pour le security filtering d’une GPO après l’installation de la mise à jour Windows définie par le bulletin de sécurité MS16-072 (KB3163622).

Article original :

https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

Ce qui change :

 MS16-072 modifie le contexte de sécurité avec lequel les GPO sont récupérées. Traditionnellement, lorsqu’une stratégie de groupe d’utilisateurs est récupérée, elle est traitée en utilisant le contexte de sécurité de l’ utilisateur.

Après l’ installation de MS16-072 , les stratégies de groupe d’utilisateurs sont récupérées à l’aide du contexte de sécurité de l’ ordinateur . Cette modification de comportement de conception protège les ordinateurs joints au domaine d’une vulnérabilité de sécurité.

Lorsqu’une GPO est récupérée à l’aide du contexte de sécurité de l’ordinateur, le compte d’ordinateur aura besoin d’un accès en lecture pour récupérer les objets de stratégie de groupe nécessaires à l’application.

Toutes les stratégies de groupe étaient traditionnellement lues si «l’utilisateur» disposait d’un accès en lecture, soit directement, soit faisant partie d’un groupe de domaines, par exemple les utilisateurs authentifiés

L’impact possible :

Symptômes lorsque vous avez le filtrage de sécurité des GPO défini sans ‘Authenticated Users’ dans l’ACL, et que vous installez la mise à jour de sécurité MS16-072:

  • Les imprimantes ou les lecteurs mappés attribués via les préférences de GPO disparaissent.
  • Les raccourcis vers les applications sur le bureau des utilisateurs sont manquants
  • La stratégie de groupe de filtrage de sécurité ne traite plus
  • Vous pouvez voir la modification suivante dans gpresult: Filtrage: non appliqué (raison inconnue)
  • Si vous utilisez la redirection de dossiers et que l’option de suppression de la stratégie de groupe Dossier de redirection est définie sur Rediriger le dossier vers l’emplacement du profil utilisateur lorsque la stratégie est supprimée, les dossiers redirigés sont restaurés sur l’ordinateur client après l’installation de cette mise à jour de sécurité

La résolution :

Il suffit d’ajouter le groupe « Utilisateurs authentifiés » avec les autorisations « Lire » sur les GPO. Les ordinateurs de domaine font partie du groupe « Utilisateurs authentifiés ». « Utilisateurs authentifiés » ont ces autorisations sur toutes les GPO par défaut. Encore une fois, la directive est d’ajouter uniquement des autorisations « Lire » et non « Appliquer la stratégie de groupe » pour « Utilisateurs authentifiés »

Que se passe-t-il si l’ajout d’utilisateurs authentifiés avec des autorisations de lecture n’est pas une option?

Si vous ajoutez des autorisations «Lecture» aux «Utilisateurs authentifiés» dans votre environnement, vous devez ajouter le groupe «Ordinateurs de domaine» avec les autorisations «Lire». Si vous souhaitez le limiter au-delà du groupe d’ordinateurs de domaine: Les administrateurs peuvent également créer un nouveau groupe de domaines et ajouter les comptes d’ordinateur au groupe afin de limiter l’accès en lecture à un objet de stratégie de groupe. Cependant, les ordinateurs ne prendront pas d’adhésion au nouveau groupe avant un redémarrage. Gardez également à l’esprit qu’avec cette mise à jour de sécurité installée, cette étape supplémentaire n’est requise que si le groupe par défaut «Utilisateurs authentifiés» a été supprimé de la stratégie où les paramètres utilisateur sont appliqués.

Un script Powershell qui permet de lister les GPO n’ayant pas ‘Authenticated Users’ dans leur ACL :

https://gallery.technet.microsoft.com/Powershell-script-to-cc281476

Laisser un commentaire