Microsoft har gitt ut 16-sikkerhetsbulletiner som en del av juni 2016 Patch Dag som en, MS16-072, forårsaker alvorlige problemer på enkelte pc-konfigurasjoner.
Sikkerhetsoppdateringen patcher et sikkerhetsproblem i Windows som kan resultere i heving av tilgangsnivå i løpet av en mann i midten angrep.
Sikkerhetsproblemet kan tillate rettighetsutvidelse hvis en angriper lanserer et man-in-the-middle (MiTM) angrep mot trafikken som passerer mellom en domenekontroller-og måldatamaskinen.
Oppdateringen endrer sikkerhetskonteksten som brukergruppe politikk er hentet. Tidligere, gruppe politikk var alltid hentes ved hjelp av brukerens sikkerhet kontekst. Starter med installasjon av MS16-072, brukergruppe politikk er hentet ved hjelp av datamaskinens sikkerhet sammenheng i stedet.
Group Policy problemer forårsaket av MS16-072
Mens det er fornuftig fra et sikkerhetsmessig synspunkt, det har ført til alvorlige problemer på domenet ble med datamaskiner som alle regler kan mislykkes på disse systemene.
Årsaken til dette er ifølge Microsoft er en manglende lese-tillatelse for den Autentiserte Brukeren gruppe, eller manglende lese-tillatelser for gruppen domenedatamaskiner. I utgangspunktet, hva som skjer, er at politikk ikke kan leses på grunn av manglende tillatelser.
Med tanke på at alle regler kan ikke brukes på brukeren eller maskinen etter at du har installert MS16-072, det er klart at dette kan føre til alvorlige problemer i bedriftsmiljøer.
Dette spenner fra enkle ting slik som bakgrunnsbilder ikke dukker opp til alvorlige som skjulte stasjoner dukke opp, endringer i Windows Update, blokkert funksjoner eller verktøy blir tilgjengelig, skrivere blir utilgjengelige, og mye mer som kan forårsake alvorlige problemer i de miljøer.
Administratorer som er i en hast kan avinstallere KB3159398, KB3163017, KB3163018 eller KB3163016 og starte berørte maskiner for å gå tilbake til status quo.
Microsofts løsning
Microsoft anbefaler andre løsninger, og det er sannsynligvis en god idé å installere sikkerhetsoppdateringen slutt. Sikkerhetskonteksten endringen ble gjort med hensikt, og Microsoft vil ikke endre patch for å løse problemet på en annen måte.
Dette betyr at du trenger å bruke Microsofts løsning på berørte maskiner. Heldigvis, det er ikke tidkrevende eller komplisert, men krever tilgang til Group Policy Management Console (gpmc.msc).
- Alternativ 1: Legger til gruppen Godkjente Brukere med lese-tillatelser på gruppepolicyobjekt.
- Alternativ 2: Hvis sikkerhet filtrering er nødvendig, legge til Domenet Grupper gruppe med lesetillatelse.