MS16-072: Security update for Group Policy: June 14, 2016

Microsoft hat das Update MS16-072: Security update for Group Policy: June 14, 2016 (KB3163622) veröffentlicht. Damit wird eine Sicherheitslücke geschlossen, welche eine man-in-the-middle-Attacke ermöglicht. Nach der Installation von MS16-072 werden Benutzergruppenrichtlinien nicht mehr im Benutzerkontext sondern im Computerkontext übernommen. Damit Gruppenrichtlinien, die mit Sicherheitsgruppen oder Benutzerkonten gefiltert werden weiterhin funktionieren, muss die Gruppe der Authentifizierten Benutzer das Leserecht auf die Gruppenrichtlinie behalten.

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Gewünschte Sicherheitsgruppe erstellen
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Auf der linken Seite das gewünschte Gruppenrichtlinienobjekt markieren
  5. Auf der rechten Seite im Bereich Security Filtering auf Add… klicken
  6. Die gewünschte Gruppe hinzufügen
    GPOFiltering-002
  7. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  8. Authenticated Users markieren
  9. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  10. Fenster mit OK schließen
    GPOFiltering-005
  11. Gruppenrichtlinienobjekt mit der gewünschten OU verknüpfen

Siehe meinen Beitrag Filtern von Gruppenrichtlinien der Reihe „Ein einfaches Netzwerk“.

Local Administrator Password Management installieren und konfigurieren

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen „Local Administrator Password Management installieren und konfigurieren“

Teil 28: Split-DNS für Active Directory Federation Services einrichten

Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

  • Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
  • Host (A)- und Alias (CNAME)-Einträge erstellen
  • DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. Forward Lookup Zones rechts anklicken > New Zone…
  4. New Zone Wizard
    1. Welcome > Next
    2. Zone Type
      1. Primary Zone
      2. Store the zone in Active Directory deaktivieren
        ADFS-012
    3. Zone Name: einfaches-netzwerk.at > Next
      ADFS-013
    4. Zone File: Standard lassen > Next
      ADFS-014
    5. Dynamic Update: Do not allow dynamic updates > Next
      ADFS-015
    6. Completing the New Zone Wizard > Finish
      ADFS-016

Host (A)- und Alias (CNAME)-Einträge erstellen

  1. In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
    1. Name: adfs
    2. IP address: 192.168.150.3
      ADFS-017
  2. In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
    1. New Resource Record
      1. Alias name: enterpriseregistration
      2. Fully qualified domain name:  enterpriseregistration.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
        ADFS-018
    2. New Resource Record
      1. Alias name: arbeitsordner
      2. Fully qualified domain name:  arbeitsordner.einfaches-netzwerk.at
      3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at
        ADFS-019

DNS-Client mittels Gruppenrichtlinien konfigurieren

  1. Server Manager > Tools > Group Policy Management
  2. Group Policy Objects anklicken
  3. GPO Standard Settings for Workstations zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
  5. Folgende Einstellungen vornehmen
    1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
    2. Connection-specific DNS suffix > Enabled
      1. DNS suffix: intern.einfaches-netzwerk.at
    3. DNS suffix search list > Enabled
      1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
        SPLIT_DNS-001
    4. Primary DNS suffix > Enabled
      1. Primary DNS suffix: intern.einfaches-netzwerk.at
        SPLIT_DNS-002
  6. Group Policy Management Editor schließen
    SPLIT_DNS-003
  7. Group Policy Management schließen
    SPLIT_DNS-006
  8. Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
    SPLIT_DNS-004
  9. adfs anpingen
    SPLIT_DNS-005