lunes, 15 de agosto de 2016

Directivas de Grupo (GPOs) No Se Aplican o dejan de aplicarse (MS16-072 – KB3163622 y KB2919355)



En estas últimas semanas, no he parado de leer post en diferentes sitios, referente a algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaban de aplicarse y funcionar.
Qué raro… solo son algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas…por qué sucede esto?.

Dándole vueltas, buscando posibles soluciones con los “compis” y realizando pruebas en máquinas virtuales, dimos con el problema…si amigos, como imagináis, todo fue provocado por una actualización (que raro!!!) de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2. Se debe a la corrección de un fallo de seguridad que permite la elevación de privilegios en algunos casos.

El cambio que realiza esta actualización es el contexto de seguridad con el que se acceden a parte de las GPOs situada en la carpeta “Sysvol”. El acceso a la carpeta “Sysvol” se hacía en el contexto de seguridad de la cuenta de usuario para leer las GPOs que corresponden aplicar al usuario. A partir de esta actualización, en cambio, la lectura de las GPOs se hace totalmente en el contexto de seguridad de la cuenta de máquina, tanto para las GPOs de máquinas como para las de usuarios



Este cambio, pasa totalmente desapercibido si no se ha realizado algún filtro de seguridad en la GPO, ya que por omisión “Authenticated Users” tiene permisos de lectura como de aplicación de la GPO, y tanto las cuentas de usuario como las de máquina pertenecen a “Authenticated Users”.

El problema se produce si se ha configurado la GPO para que aplique a grupos de usuarios concretos, habiendo quitado a “Authenticated Users”. Antes no había problema porque las cuentas de máquina pertenecen a “Authenticated Users” y también las cuentas de usuario.
Este cambio hay que realizarlo correctamente modificando los permisos de la GPO.

Aquí tenéis unos enlaces en castellano sobre el tema en cuestión.

MS16-072: Actualización de seguridad para directiva de grupo.
https://support.microsoft.com/es-es/kb/3163622
MS16-072: Descripción de la actualización de seguridad para directiva de grupo. https://support.microsoft.com/es-es/kb/3159398
Actualizacion de Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2 https://support.microsoft.com/es-es/kb/2919355

                                                                                              Miguel Angel Martin