Microsoft hat 16 security bulletins als Teil der Juni 2016 Patch-Tag, von denen eines, MS16-072, verursacht schwerwiegende Probleme auf manchen computer-Konfigurationen.
Die Sicherheits-Updates eine Sicherheitsanfälligkeit in Windows könnte Erhöhung von Berechtigungen führen, während ein Mann in der Mitte Angriff.
Die Sicherheitsanfälligkeit kann Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer startet einen man-in-the-middle (MiTM) – Angriff den Datenverkehr zwischen einem Domänencontroller und der Ziel-Maschine.
Das update ändert den Sicherheitskontext, in dem der Benutzer Gruppenrichtlinien werden abgerufen. Zuvor, Gruppenrichtlinien wurden immer abgerufen, indem der Sicherheitskontext des Benutzers. Beginnend mit der installation MS16-072 -, Benutzer-Gruppenrichtlinien abgerufen werden, mithilfe der computer-security-Kontext statt.
Gruppenrichtlinien-Probleme, verursacht durch MS16-072
Während das macht Sinn aus der Sicht der Sicherheit, führte es zu schweren Problemen auf der Domäne verbundene Computer, da alle Maßnahmen fehlschlagen, auf diesen Systemen.
Die Ursache für diese laut Microsoft ist eine fehlende Leserechte für Authentifizierte Benutzer Gruppe oder fehlenden schreib-Berechtigungen für die Gruppe “Domänencomputer”. Im Grunde, was passiert ist, dass die Richtlinien nicht gelesen werden kann aufgrund der fehlenden Berechtigungen.
Wenn man bedenkt, dass alle Maßnahmen nicht angewandt werden kann, um einen Benutzer oder eine Maschine nach der Installation MS16-072, es ist klar, dass dies kann schwerwiegende Probleme verursachen, die in business-Umgebungen.
Dies reicht von einfachen Dingen wie hintergrund-Bilder nicht zeigen, bis zu schweren wie versteckte Laufwerke angezeigt, änderungen in Windows Update, gesperrte Funktionen oder Werkzeuge, immer verfügbar, Drucker unzugänglich, und noch viel mehr, dass kann schwerwiegende Probleme verursachen, die in diesen Umgebungen.
Administratoren, die in Eile sind, können Sie deinstallieren KB3159398, KB3163017, KB3163018 oder KB3163016 und starten den betroffenen Computern Rückkehr zum status quo.
Microsoft ‘ s Lösung
Microsoft empfiehlt andere Lösungen, und es ist wahrscheinlich eine gute Idee, um das Sicherheitsupdate zu installieren irgendwann. Den Sicherheitskontext ändern, wurde mit Absicht getan, und Microsoft wird nicht ändern Sie die patch, um das Problem zu beheben auf andere Weise.
Dies bedeutet, dass Sie benötigen, um die Microsoft-Lösung auf den betroffenen Computern. Zum Glück, es ist nicht lang oder kompliziert, erfordert aber Zugriff auf die Group Policy Management Console (gpmc.msc).
- Option 1: Fügen Sie die Gruppe Authentifizierte Benutzer mit lese-Berechtigungen für das Group Policy-Objekt.
- Option 2: Wenn es die Sicherheit der Filterung verwendet wird, fügen Sie die Gruppen der Domäne-Gruppe mit lese-Berechtigungen.