Active Directory ドメイン サービスでは、管理機能の一つとして、ユーザーやコンピューター、アプリケーションにおけるシステム設定を一元的に管理・配布する仕組みが用意されています。これは「グループ ポリシー」と呼ばれる機能で実現しています。
グループ ポリシーの適用処理に関して、MS16-072 で中間者攻撃ができる脆弱性が確認されたために、内部処理が変わりました。この変更により、グループ ポリシーの適用対象を制限する「セキュリティ フィルター」を既定値から設定を変更していると、ポリシーが適用できない問題が発生する可能性があります。
今回は、MS16-072 で行われた仕様変更について紹介します。
MS16-072 による動作変更
2016 年 6 月 14 日にリリースされた「MS16-072: グループ ポリシーのセキュリティ更新プログラム」(KB3159398) にて、グループ ポリシーの適用処理に関して仕様変更がありました。
グループ ポリシーの処理において、中間者攻撃(man-in-the-middle attack) により権限の昇格ができる脆弱性が確認されました。この脆弱性に対応するために、MS16-072 にてユーザー ポリシーを適用する際に使用する権限(セキュリティ コンテキスト)が以下となるように、仕様が変更されています。
- MS16-072 の適用前:ユーザーのセキュリティ コンテキストを使用
- MS16-072 の適用後:コンピューターのセキュリティ コンテキストを使用
セキュリティ コンテキストとは、Windows OS の内部処理で利用される権限となります。
グループ ポリシーの適用処理にも、セキュリティ コンテキストが使用した権限で処理が行われます。MS16-072 を適用する前は、ユーザー ポリシーの適用処理には適用対象のユーザーのセキュリティ コンテキストで処理されていました。しかし、MS16-072 を適用した後は、ユーザーが使用しているコンピューターのセキュリティ コンテキストでユーザー ポリシーも適用される動作となります。
MS16-072 に起因した GPO 適用のトラブル
事象
MS16-072 を適用した後に、ユーザー ポリシーが正常に適用できなくなるという問題が発生することがあります。
ユーザー ポリシーを設定している GPO が適用対象となる端末にて、gpresult よりポリシーの適用結果を確認しても、ポリシーが反映されていないという事象です。
原因
ドメイン コントローラー側の GPO のセキュリティ フィルターの設定において、適用処理の対象としてユーザーのみを指定している GPO で、ユーザー ポリシーが適用できないという問題が発生します。セキュリティ フィルターの設定にてユーザーのみが指定されていると、対象の GPO にはコンピューターに対する権限が付与されていない状態となります。
この問題が発生する GPO の設定の例は、下図のセキュリティ フィルター設定です。既定の Authenticated Users が削除し、適用対象として sales_team というグループ アカウントのみを指定しています。このグループ アカウントには、営業部に所属しているユーザー アカウントしかメンバーとして登録されいません。
GPO のセキュリティ フィルターは、適用対象となるアカウントを制限するための機能ですが、この設定は GPO に対して “読み取り” のアクセス権を付与する設定となります。そのため、上図のような設定の場合、GPO のセキュリティ設定には、sales_teams というグループ アカウントに対して、”読み取り” のセキュリティ設定が付与される状況となります。
その他に、既定で GPO に付与されているアクセス権限は、1)管理者が GPO の設定を編集する、2)ドメイン コントローラー間で GPO を複製するために必要なアクセス権のみです。
MS16-072 による動作変更が行われた端末では、ユーザー ポリシーの適用もコンピューターのセキュリティ コンテキストで処理されるようになります。セキュリティ フィルターにユーザー アカウントのみに制限している GPO は、対象のユーザーしか読み取りができない設定となっています。MS16-072 による動作変更が行われた端末では、ユーザー ポリシーもコンピューターの権限で処理されるために、権限不足によりポリシーの適用に失敗します。
GPO の既定のセキュリティ フィルターの設定は、Authenticated Users となっており、「そのドメインに存在するアカウントすべて」が対象となります。Authenticated Users は、認証されたコンピューター アカウントも含まれるため、既定のセキュリティ フィルターの設定のままとなっている GPO では、MS16-072 の動作変更による影響は受けません。
対処策
MS16-072 による動作変更によりユーザー ポリシーが適用されなくなる事象の対処策は、”Domain Computers” (ドメインに参加しているコンピューター アカウント) に対して “読み取り” の権限を追加することです。この設定を行うことで、コンピューターの権限でも GPO を読み取りすることができるようになり、MS16-072 の適用後でもユーザー ポリシーが適用できるようになります。
GPO の読み取りの権限を追加する対象のアカウントとして、”Domain Computers” ではなく “Authenticated Users” でも問題を解消することは可能です。しかしながら、「そのドメインに存在するアカウントすべて」に対して読み取りを許可すると、許可範囲が必要以上に大きくなるため、”Domain Computers” を指定して許可範囲を最小限に限定する設定の方が、セキュリティの観点からおすすめです。
1) 任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。
2) [Windows 管理ツール] より [グループ ポリシーの管理] を開きます。
3) [グループ ポリシーの管理] の左ペインのツリーを展開し、[グループ ポリシー オブジェクト] の配下にある対象の GPO を選択します。
4) 画面の右ペインにて [委任] タブを選択します。
5) [委任] タブの画面にある [追加] をクリックします。
6) [ユーザー、コンピューターまたはグループの選択] 画面で [選択するオブジェクト名を入力してください] の欄に “Domain Computers” と入力します。
7) [名前の確認] – [OK] をクリックします。
8) [グループとユーザーの追加] 画面にて以下が設定されていることを確認して [OK] を押します。
グループ名またはユーザー名: <ドメイン名>\Domain Computers
アクセス許可: “読み取り“
9) [委任] タブの画面下で [詳細設定] を押し、追加した “Domain Computers” のアクセス許可が “読み取り” のみとなっていることを確認します。
