MS16-072: Security update for Group Policy: June 14, 2016

Microsoft hat das Update MS16-072: Security update for Group Policy: June 14, 2016 (KB3163622) veröffentlicht. Damit wird eine Sicherheitslücke geschlossen, welche eine man-in-the-middle-Attacke ermöglicht. Nach der Installation von MS16-072 werden Benutzergruppenrichtlinien nicht mehr im Benutzerkontext sondern im Computerkontext übernommen. Damit Gruppenrichtlinien, die mit Sicherheitsgruppen oder Benutzerkonten gefiltert werden weiterhin funktionieren, muss die Gruppe der Authentifizierten Benutzer das Leserecht auf die Gruppenrichtlinie behalten.

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Gewünschte Sicherheitsgruppe erstellen
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Auf der linken Seite das gewünschte Gruppenrichtlinienobjekt markieren
  5. Auf der rechten Seite im Bereich Security Filtering auf Add… klicken
  6. Die gewünschte Gruppe hinzufügen
    GPOFiltering-002
  7. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  8. Authenticated Users markieren
  9. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  10. Fenster mit OK schließen
    GPOFiltering-005
  11. Gruppenrichtlinienobjekt mit der gewünschten OU verknüpfen

Siehe meinen Beitrag Filtern von Gruppenrichtlinien der Reihe „Ein einfaches Netzwerk“.

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen
    New-ADServiceAccount -Name gMSA-SQL `
        -DNSHostName cm1.intern.einfaches-netzwerk.at `
        -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
        -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren
    Add-WindowsFeature -Name RSAT-AD-Tools
    Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
      Weiterlesen „Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen“

Local Administrator Password Management installieren und konfigurieren

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen „Local Administrator Password Management installieren und konfigurieren“