GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355)

En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse

Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas

Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2

Todo se debe a la corrección de un fallo de seguridad que permite la elevación de privilegios en algunos casos

Sin entrar en detalles, ya que luego pondré los enlaces con la información completa, el cambio que hace esta actualización es el contexto de seguridad con el que se acceden a parte de las GPOs situada en la carpeta “Sysvol”

Históricamente el acceso a la carpeta “Sysvol” se hacía en el contexto de seguridad de la cuenta de usuario para leer las GPOs que corresponden aplicar al usuario

A partir de esta actualización, en cambio, la lectura de las GPOs se hace totalmente en el contexto de seguridad de la cuenta de máquina, tanto para las GPOs de máquinas como para las de usuarios

El cambio pueda pasar totalmente desapercibido si no se ha hecho filtrado de seguridad en la GPO, ya que por omisión “Authenticated Users” tiene permisos tanto de lectura como de aplicación de la GPO, y tanto las cuentas de usuario como las de máquina pertenecen a “Authenticated Users”

Pero el problema se produce si se ha configurado la GPO para que aplique a determinados grupos de usuarios, habiendo quitado a “Authenticated Users”. Antes no había problema porque las cuentas de máquina pertencen a “Authenticated Users” y también las cuentas de usuario

Este cambio hay que manejarlo adecuadamente para evitar el inconveniente modificando los permisos de la GPO. Para el que no recuerde el tema filtrado de seguridad de GPOs puede consultar la siguiente nota:

Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer
https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/

Información completa de Microsoft sobre el tema (en inglés) la pueden encontrar en los siguentes enlaces

MS16-072: Security update for Group Policy: June 14, 2016
https://support.microsoft.com/en-us/kb/3163622

MS16-072: Description of the security update for Group Policy: June 14, 2016
https://support.microsoft.com/en-us/kb/3159398

Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2 update: April 2014
https://support.microsoft.com/en-us/kb/2919355

 

Este cambio es importante tenerlo en cuenta si filtramos la aplicación de GPOs mediante permisos de seguridad

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Servicios Informaticos  On 22/07/2016 at 18:20

    Guillermo como estas
    En ese caso como se puede resolver si tengo las GPO aplicadas por usuarios y no por equipos

    • Guillermo Delprato  On 22/07/2016 at 20:02

      Depende de la jerarquía de OUs que tengas habrá que separar a los usuarios en otra OU, cortar herencia, etc. todo dependerá de cada caso

  • Dairo Calle  On 01/08/2016 at 19:53

    Saludos: te cuento que me esta pasando un problema con las GPO en Windows Server 2008, pero estuve buscando las actualzaciones que mencionas y no las tengo instaladas. Tienes noción de que otra actualización me esté afectando? este es el link que publiqué en un foro de Microsoft con mi problema y no he recibido ayuda aún: https://social.technet.microsoft.com/Forums/windowsserver/es-ES/ef0ed74f-58fd-4497-be73-9b64f0910718/no-me-funcionan-algunas-directivas-de-grupo-y-no-se-dejan-modificar?forum=wsgpes

    • Guillermo Delprato  On 02/08/2016 at 07:44

      Hola Dairo, he visto el post pero no he respondido porque realmente no sé qué es lo que está sucediendo
      Por los mensajes de error da para pensar que puede venir por los archivos ADM que son los que manejan la parte de “Administrative Templates”, y que los de W10 puedan haber reemplazado a los originales
      Para confirmarlo habría que probar en un ambiente de laboratorio si esto es así
      Por otro lado SBS tiene configuraciones especiales, no es un sistema operativo sobre el que tenga experiencia
      Yo lo que haría sería recuperar desde una copia de seguridad del servidor

      • Dairo Calle  On 02/08/2016 at 16:01

        Hola Guillermo: De antemano, gracias por responder. Quiero agregar, como dice en el post, el problema no es solo en Windows 10 sino también en Windows 7 (todos los PC conectados al dominio). He descartado lo de restaurar el sistema a una fecha anterior porque no se desde cuando se presentó este problema, así que no tengo una fecha definida desde la cual restaurar. Tampoco puedo hacer pruebas en este servidor porque es el AD de la empresa donde laboro. Me temo también que ese problema haya surgido solo en SBS porque a nadie más he leído que le haya pasado esto. Afortunadamente son solo diretivas de personalización y no me ha afectado otras de seguridad. Os dejo la inquietud por si se les ocurre alguna idea de como me pueden ayudar con esto.

      • Guillermo Delprato  On 02/08/2016 at 16:28

        Hola Dairo, no es un problema de Windows 10, no puse eso :)
        Es para todas las versiones de sistema operativo que tengo aplicada la actualización, que supongo que serán todos los soportados actualmente, o sea desde W8 en adelante
        Si miras la nota tienes la fecha y obtienes hasta el número de la actualización para eventualmente poder desinstalarla

  • Dairo Calle  On 03/08/2016 at 16:29

    Hola Guillermo. Leyendo los link que publicaste, logré arreglarlo para que se aplicaran todas las directivas que tengo configuradas, aplicando esto:

    Resolution

    To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
    •Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
    •If you are using security filtering, add the Domain Computers group with read permission.

    (Antes de esto, no funcionaban las directivas de personalización)

    Sin embargo, aún no me deja modificar ninguna de las GPO. Me sigue generando el mismo error.

    Seguiré buscando la solución a ello.

    Muchas gracias por su ayuda.

  • Adolfo Ortiz  On 09/09/2016 at 09:33

    Buenas. Tienes algún post en el blog donde expliques como migrar todas las GPO’s de un dominio a otro, teniendo que usar una tabla de migración y que sea mas o menos automatico? El modo manual de ir creando una a una las GPO’s e ir creando poco a poco la tabla de migración la se, pero tengo que mirar de un dominio a otro mas de 70 GPO’s
    Gracias

    • Guillermo Delprato  On 09/09/2016 at 15:18

      Hola Adolfo, para migrar GPOs entre Dominios la opción, es con “Backup” de la GPO, y “Restore” de la GPO. En la consola están ambas opciones, y ya pasas toda la GPO, mucho más rápido
      El tema de las tablas de migración es necesario cuando las GPOs hacen referencia a grupos, pero creo que en ningún otro caso, así que si debes usarla o no dependerá del ambiente
      No no he hecho ningún post con el tema de las tablas de migración, ni tampoco con migración

      • Adolfo  On 10/09/2016 at 05:39

        Ok. Era por si conocías el tema y me sabias orientar.
        Tengo que pasar más de 70 Gpo’s entre dominios y algunas de ellas contienen valores que hacen referencia a usuarios y grupos de un dominio que no existen en el otro y quería saber si hay alguna forma más o menos automática de pasarlas teniendo que usar la tabla de migracion. He visto por ahí algún script en powershell que voy a investigar
        Graciss

      • Guillermo Delprato  On 10/09/2016 at 06:31

        Hola Adolfo, no lo he hecho porque convengamos no es una situación muy habitual :)
        No creo que exista algo para hacer equivalencia automática, pero con buscar no se pierde nada

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: