Der im Februar 2015 von Microsoft zur Verfügung gestellte Patch KB3000483 führt für Server-Versionen eine neue Funktion ein: abgesicherter UNC-Zugriff bzw. gehärtete UNC-Pfade. Ich möchte hier zeigen, wie man die von Microsoft empfohlene Grundkonfiguration (Absicherung der SYSVOL- und NETLOGON-Freigabe) per GPO einrichtet.
1. Was macht KB3000483?
Der Patch KB3000483 wurde im Februar 2015 ausgeliefert und sollte eigentlich eine Man-in-the-Middle-Attacke verhindern, die z.B. durch dem Client untergeschobene Startskripte verursacht werden kann. Laut entsprechender heise-News Meldung ist dies z.B. beim Ausführen einer Batch-Datei im netlogon-Verzeichnis möglich, weil der Client den Server nicht richtig authentifiziert. Um dem entgegen zu treten, führt KB3000483 eine Schutzfunktion ein: den abgesicherten UNC-Zugriff / gehärtete UNC-Pfade. Diese Funktion ist aber standardmäßig noch nicht aktiviert und muss erst konfiguriert werden.
2. abgesicherten UNC-Zugriff bzw. gehärtete UNC-Pfade einrichten
Hierzu gibt es von Microsoft einen recht umfangreichen Artikel. Für weitere Informationen und Fragen empfehle ich, diesen sich dann anzuschauen.
2.1. Gruppenrichtlinie erstellen
2.1.1. Gruppenrichtlinien-Editor öffnen
- Windows-Taste+R um den Ausführen-Dialog zu öffnen
- gpmc.msc eingeben
2.1.2. neue Gruppenrichtlinie erstellen
- Rechtsklick auf „Gruppenrichtlinienobjekte“ und im Menü „neu“ wählen.
- passenden Namen vergeben, z.B. „abgesicherter UNC-Zugriff SYSVol+Netlogon“
2.1.3. Gruppenrichtlinie bearbeiten
- Rechtsklick auf die soeben erstellte GPO und „Bearbeiten“ wählen.
- zu Computerkonfiguration->Richtlinien->Administrative Vorlagen->Netzwerk->Netzwerkanbieter navigieren.
- Doppelklick auf „Gehärtete UNC-Pfade“
- „Aktiviert“ wählen
- Im linken unteren Feld runterscrollen und auf „Anzeigen“ klicken
- Um die Eingabefelder zu aktivieren, Doppelklicken. Folgende Werte einfügen:
Wertname | Wert |
\\*\NETLOGON | RequireMutualAuthentication=1, RequireIntegrity=1 |
\\*\SYSVOL | RequireMutualAuthentication=1, RequireIntegrity=1 |
- Alle offenen Fenster mit Ok bestätigen und das GPO-Fenster schließen.
2.2. Gruppenrichtlinie verknüpfen
- Rechtsklick auf die Domäne und „vorhandenes Gruppenrichtlinienobjekt verknüpfen“ wählen.
- entsprechendes Gruppenrichtlinienobjekt auswählen und mit OK bestätigen.
2.3. Gruppenrichtlinie aktivieren
- am Domaincontroller anmelden (falls nicht sowieso schon geschehen)
- Windows-Taste+R und „gpupdate /force“ eingeben.
3. Probleme lokalisieren
Falls es zu Problemen kommt, stehen diese in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle \ Microsoft \ Windows \ NetworkProvider \ Operational.
Danke für den aufschlussreichen Thread :)