Microsoft Güvenlik Güncelleştirmesi Sonrası Çalışmayan GPO- Group Policy Security Update MS16-072 \ KB3163622

Microsoft tespit ettiği bir güvenlik açığı nedeni ile çıkardığı güvenlik güncelleştirmesi sonucunda GPO tarafında ciddi bir davranış değişiklik yaptı. Bildiğiniz gibi GPO içerisinde kullanıcı ve makineler için ayrı ilkeler olup kullanıcı ilkeleri için kullanıcı yetkilerini ( user security context) kullanılmaktaydı. Ancak KB3163622 yüklemesinden sonra artık kullanıcı ilkeleri içinde makine yetkileri ( computer security context) kullanılmaktadır. Tabiki bu tüm kullandığınız GPO objeleri için sorun teşkil etmiyor. Varsayılan olan Security Filter uygulanmamış olan bir GPO üzerindeki izinler aşağıdaki gibidir;

Daha yakından bakma gerekir ise;

Varsayılan izinlerin yukarıdaki gibi olduğunu göreceksiniz. Böyle bir yapıda yama sonrası bir sorun yaşamazsınız. Çünkü Domain Computers grubu aslında “Authenticated Users” grubunun bir parçası olduğu için sistem yama yüklenmesinden sonra dahi sorunsuz bir şekilde çalışır.

Ancak şirket içerisindeki ihtiyaçlarınız doğrultusunda eğer bazı GPO objeleri için security filter uygulamış iseniz, örneğin durum aşağıdaki gibiyse;

Yani varsayılan olarak gelen Authenticated User grubunu kaldırmış veya kaldırmak istiyorsanız, bu durumda sorun yaşamanız muhtemeldir. Ancak çözüm çok zor değil. Yani hali hazırda kullanıcı ilkeleri için security filter uygulamak istiyorsanız bu GPO’ ya ek olarak sadece Domain Computer grubu için “Read” izni vermeniz yeterli olacaktır.

Evet, sorun ve çözüm aslında son derece kolay ancak büyük bir şirket organizasyonunda bu durumu nasıl tespit edebilirim?

Tabiki bu durumda da Powershell hayatımızı kolaylaştırıyor. Bir Microsoft çalışanı olan Kaushik Ainapure tarafından hazırlanan aşağıdaki powershell bu konuda bize yardım edecek.

https://gallery.technet.microsoft.com/Powershell-script-to-cc281476

Komutu indirdikten sonra direkt çalıştırabilirsiniz

Örneğin bu sistemde GPO üzerinde Authenticated Users grubu olmayan bir GPO bulunmuyor.

Burada ise ismi “UserPolicy-HU” olan bir GPO bulduğunu ve düzeltmek isteyip istemediğimizi soruyor.

Y tuşuna basıyorum

Gördüğünüz gibi grubu otomatik olarak ekledi. Eğer siz kullanıcı tarafında security filter yapmaya devam etmek istiyorsanız yine bu komut setini kullanabilir ve sadece sorunlu GPO objelerini listelersiniz. Daha sonra bunlara elle Domain Computers grubu için okuma iznini eklersiniz.

Ya da PS içerisinde aşağıdaki satırı bulun,

0 {$appliedgroup = “Authenticated Users”}

Daha sonra aşağıdaki gibi Domain Computers olarak değiştirin

0 {$appliedgroup = “Domain Computers “}

Ve komutu tekrar çalıştırın, bu durumda sorunlu olan tüm GPO objelerine Domain Computers grubu için okuma izni verecek ve sorun düzelecektir.

Unutmayın, beklenen izin Authenticated Users olduğu için komutu bir kez daha çalıştırdığınız da hala size sorunlu GPO listesi verecektir, aslında siz Domain Computer grubu için okuma izni vererek çözdünüz ama komut Authenticated Users grubuna bakıyor.

Gördüğünüz gibi aynı powershell dosyasını hali hazırda security filter uygulanmış olan tüm GPO objelerime çözüm üretmesi için kullanabilirsiniz.

Umarım faydalı bir makale olmuştur, bir sonraki makalemizde görüşmek dileği ile.

Kaynak

https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016