今回は、2016 年 6 月に Microsoft より公開された月例セキュリティパッチ適用におけるグループ ポリシーの動作変更について取り上げたいと思います。
今月 Microsoft より提供された KB3163622 (MS16-072) を適用するとクライアントがグループ ポリシーを取得する際の動作が変更されるというものです。これにより、グループ ポリシー オブジェクトの構成方法によってはグループ ポリシーが適用が失敗する問題が発生する可能性があります。
元々、Twitter で共有されていた Windows IT Pro さんの記事 Update on KB3163622 That Breaks Group Policy: It’s Not Me, It’s You で知りました。
事象を具体的に見ていきましょう。
何が起こるのか:MS16-072 は、ユーザーのグループ ポリシーが取得されるセキュリティ コンテキストを変更します。
これにより、設計上の動作変更は、セキュリティ上の脆弱性からお客様のコンピューターを保護します。
MS16-072 をインストールする前に、ユーザー グループ ポリシーは、ユーザーのセキュリティ コンテキストを使用して取得していました。
しかし、MS16-072 がインストールされた後は、ユーザー グループ ポリシーは、コンピューター のセキュリティ コンテキストを使用して取得されます。
(English:Reference from KB3163622) MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the computer’s security context.
なぜ、起きるのか:この問題は、セキュリティ フィルター処理を使用していて、グループ ポリシー オブジェクトに Domain computers group の読み取りアクセス許可が不足している場合または、Authenticated Users group に読み取りアクセス許可がない場合に発生します。
(English:Reference from KB3163622) This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.
どのように直すか:この問題を解決するには、グループ ポリシーの管理(GPMC.MSC)を用います。
・対象のグループ ポリシー オブジェクトに Authenticated Users group の読み取り許可を与えます。
・もし、セキュリティ フィルター処理を用いる場合、Domain Computers group に読み取り許可を与えます。
(English:Reference from KB3163622) To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
• Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
• If you are using security filtering, add the Domain Computers group with read permission.
■参照情報
Windows IT Pro: Windows Update on KB3163622 That Breaks Group Policy: It’s Not Me, It’s You
Ask the Network & AD Support Team Blog: 「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある
MS16-072: Security update for Group Policy: June 14, 2016