web-dev-qa-db-ja.com

Windows Server 2016 + CISセキュリティベンチマーク:GPオブジェクトで「アクセスが拒否されました」、すべての共有からロックアウトされています。 SYSVOL

ドメインコントローラーにWindowsServer 2016を搭載し、すべてのクライアントに最新のWindows10を搭載したActiveDirectoryドメインがあります。少し前に、グループポリシーを介してドメインにインターネットセキュリティセンター(CIS)レベル1セキュリティベンチマークの展開を開始しました。デフォルトのドメインポリシーにWindows 10のものがあり、Windows Server 2012 R2ドキュメントに基づくオーバーライドがあります(ありません。デフォルトのコントローラーポリシーで、2016年に1つ)。以前、Windowsの不注意な強化に悩まされていたので、今回はすべての設定を1つずつ確認し、関連するドキュメントを開いて、なじみのないオプションの影響を確認しました。それはうまくいきました-今日まで、私はついに何かを台無しにすることができました。症状は以下の通りです

  1. グループポリシー管理で任意のGPOを左クリックすると、「アクセスが拒否されました」というエラーボックスが表示されます。ただし、GPO =ステータス;
  2. 上記のGPOの1つをエディション用に開くと、別のボックスではありますが、「アクセスが拒否されました」と表示され、エディターが起動すると、表示されているツリーエントリが赤いXでマークされます。
  3. グループポリシー管理に戻って、GPOの[詳細]タブに移動すると、ADバージョンしか表示されません。sysvolにあるものは使用できないと説明されています。
  4. 最後に、任意のドメインコンピューターでgpupdate/forceを実行すると(DC自体を含む))、次のようなエラーが発生します。この:

グループポリシーの処理に失敗しました。 Windowsは、ドメインコントローラーからファイル\ contoso.com\sysvol\contoso.com\Policies {foo}\gpt.iniを読み取ろうとしましたが、成功しませんでした。このイベントが解決されるまで、グループポリシー設定は適用されない場合があります。この問題は一時的なものである可能性があり、次の1つ以上が原因である可能性があります。a)現在のドメインコントローラーへの名前解決/ネットワーク接続。 b)ファイルレプリケーションサービスの待機時間(別のドメインコントローラーで作成されたファイルは、現在のドメインコントローラーにレプリケートされていません)。 c)分散ファイルシステム(DFS)クライアントが無効になっています。

残念ながら、イベントログで対応するエラーコードを確認するのを忘れていることに気づきましたが、Explorerを\ contoso.com\sysvol \にポイントすると(または、さらに言えば、any共有します)サーバー、パスでホストとドメイン名の両方を使用)資格情報の入力を求められましたが、機能する資格情報がまだ見つかりません。私の賭けは再び「アクセスが拒否されました」です。ちなみに、DCのローカルパスを介してsysvolにアクセスすると、正常に機能します。

要するに、少なくとも後者の2つの症状は、私がSYSVOL共有から自分自身を締め出すことに成功したことを強く示唆しています。前の2つもこれが原因かどうかはわかりません。ちなみに、ドメインコントローラーをDSRMで再起動してから通常モードに戻した後、すべてが約10分間機能しました。

今、私は最新のバックアップを持っているので、最後の動作状態に復元してそれで済ますことができます。ただし、私が本当に望んでいるのは、a)どの設定がこの問題を引き起こした可能性があるかを正確に理解し(そうでない場合は、すぐに同じ問題が発生する可能性があります)、b)ドメインをすべての強化で機能させる方法を理解することです適所にあります(CISレベル1ベンチマークはベースラインであり、機能にあまり影響を与えないはずです...)。ああ、c)現在の構成で実際に何でもできるかどうか。

Windows全般を強化したり、CISベンチマークを具体的に適用したりした経験のある人は誰でも、正しい方向にナッジを与えることができますか?もしそうなら、よろしくお願いします!

更新:問題のあるポリシーを無効にできたようですが、SYSVOLロックアウトは元に戻されませんでした。ローカルセキュリティポリシーをseceditでデフォルトにリセットしても、おそらく手順で生成されたすべての「アクセスが拒否されました」という警告が原因で、役に立ちませんでした。

ちなみに、私が気付いた興味深い点の1つは、昇格されたアクセス許可で開始されたPowerShellプロンプトからDCで "net share SYSVOL"を実行すると、通常の実行とは異なり、期待される情報が返されることです。プロンプトが表示されます-ご想像のとおりです!-「アクセスが拒否されました」)。

active-directorywindows-server-2016hardening
2
Marecki

そもそも何が問題を引き起こしたのかはまだわかりませんが、少なくともシステムを再インストールせずに問題を修正することができました。次の手順のどれが実際に必要かはわかりませんが、おおまかに次のようになっています。

  • dcgpofix/target:both(SYSVOLで「アクセスが拒否されました」エラーが発生しました)
  • dSRMで再起動します
  • secedit/configure/cfg%windir%\ inf\defltbase.inf/db defltbase.sdb/verbose(「アクセスが拒否されました」という警告が多数表示されますが、少なくともユーザー権利の割り当てとセキュリティオプションはデフォルト値にリセットされます)
  • 通常モードに再起動します
  • dcgpofix/target:both again(最終的に問題を修正しました)
  • バックアップから最後の既知の正常なデフォルトGPOを復元する

誰かが同じ苦境に陥った場合に、これが役立つことを願っています。

0
Marecki