連載
» 2016年06月27日 05時00分 UPDATE

山市良のうぃんどうず日記(68):更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (1/2)

2016年6月15日のWindows Updateで配布された更新プログラムの中に、グループポリシーの脆弱(ぜいじゃく)性を回避するための「セキュリティ更新プログラム(KB3159398)」がありました。この更新プログラムを適用後、グループポリシーの適用に不具合は生じていませんか。この更新プログラムは重要ですが、副作用にも注意が必要です。

[山市良,テクニカルライター]
「山市良のうぃんどうず日記」のインデックス

連載目次

セキュリティ更新プログラム「KB3159398」の副作用とは?

 2016年6月15日のWindows Updateでは、マイクロソフトセキュリティ情報「MS16-072」に対応したセキュリティ更新プログラム「KB3159398」が配布されました。

 マイクロソフトセキュリティ情報「MS16-072」は、ドメインコントローラーとクライアント間のトラフィックに対して中間者攻撃を実行し、グループポリシーを利用して標準ユーザーに管理者特権を付与することを可能にする「グループポリシーの特権の昇格の脆弱性−CVE-2016-3233」に関するもの。この脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム「KB3159398」は、Active Directoryドメイン環境のセキュリティを維持するために非常に重要です。脆弱性の詳細は、上記のマイクロソフトセキュリティ情報を確認してください。

 ただ、セキュリティ更新プログラム「KB3159398」には副作用があります。これについては、以下のマイクロソフトのサポート技術情報の「Known issues」で説明されています。

 Known issuesは、セキュリティ更新プログラムの不具合(バグ)ではなく、仕様変更の影響です。

 具体的には、ユーザーまたはグループを指定したセキュリティフィルターが設定された「グループポリシーオブジェクト(GPO)」が、ユーザーに適用されなくなるという影響です。これまで、GPOの「ユーザーの構成」のポリシーはログオンユーザーのセキュリティコンテキスト(セキュリティ権限)で、「コンピューターの構成」のポリシーは、コンピュータのセキュリティコンテキストで処理されていました。

 文章だけでは分かりにくいと思いますので、実際のGPOの設定とその適用結果をスクリーンショットで用意しました。これを見ていただくとよく分かるでしょう。

従来のセキュリティフィルターの設定は、どうなっていた?

 Active Directoryのドメインでは、GPOを作成し、ドメインまたはOU(Organization Unit:組織単位)にリンクすることで、そのドメインまたはOUに属する全てのユーザーとコンピュータを対象(スコープ)にGPOを適用できます。GPOのスコープは、ドメインやOUのリンクに加え、セキュリティフィルターWMI(Windows Management Instrumentation)フィルターを使用して、さらに絞り込むことができます。

 セキュリティ更新プログラム「KB3159398」のインストール後は、ログオンしたコンピュータのセキュリティコンテキストで「ユーザーの構成」と「コンピューターの構成」の両方のポリシーが処理されるように変更されます。この仕様変更が、ユーザーおよびユーザーを含むグループのセキュリティフィルターの処理に影響するのです。

 例えば、セキュリティフィルターを使用すると、特定のユーザーやコンピュータ、特定のグループに属するユーザーやコンピュータにのみGPOを適用できます。WMIフィルターを使用すると、WMIクエリの結果に基づいて特定のバージョンやエディションのWindowsのみにGPOを適用できます。

 今回のセキュリティ更新プログラム「KB3159398」は、“ユーザー”を絞り込むためのセキュリティフィルターの処理に影響します。

 GPOを新規作成すると、既定で「Authenticated Users」がセキュリティフィルターに追加されます(画面1)。

画面1 画面1 GPOを新規作成すると、既定で「Authenticated Users」のセキュリティフィルターが構成される

 「Authenticated Users」は、ドメインで認証された全てのユーザーおよびコンピュータを含みます。これにより、リンク先のドメインまたはOUに属する全てのユーザーとコンピュータにGPOが適用されるようになっています。

 セキュリティフィルターを変更して、特定のユーザーやコンピュータ、グループにGPOの適用対象を絞り込むには、対象のユーザーやコンピュータ、グループのアカウントを追加して、既定の「Authenticated Users」を削除します。

 詳しくは、以下のドキュメントに説明されていますが、既定の「Authenticated Users」があると全てが対象になってしまうので、「Authenticated Users」を削除することがポイントです(画面2)。

画面2 画面2 GPO「Desktop Policy」を、「demouser01」だけに適用するセキュリティフィルター。「Authenticated Users」は削除する

 ログオン中のユーザーに適用されたGPOを確認するには、ログオン後にコマンドプロンプトを開き「GPRESULT /R」コマンドを実行します。以下の画面3の例は、「demouser01」でログオン中のユーザーの「GPRESULT /R」の実行結果です。

画面3 画面3 「demouser01」でログオンしたクライアントで「GPRESULT /R」コマンドを実行した結果。セキュリティ更新プログラム「KB3159398」のインストール前

 この例では、「Desktop Policy」と「ADRMS Policy」の2つのGPOにユーザーを絞り込むセキュリティフィルターが設定されており、「Desktop Policy」のみがこのユーザー(demouser01)に適用されています。

 ここまでは、セキュリティ更新プログラム「KB3159398」がインストールされる前、つまり「2016年6月14日」以前の動作です。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。