Windows Server und KB3000483 – abgesicherter UNC-Zugriff per GPO

Der im Februar 2015 von Microsoft zur Verfügung gestellte Patch KB3000483 führt für Server-Versionen eine neue Funktion ein: abgesicherter UNC-Zugriff bzw. gehärtete UNC-Pfade. Ich möchte hier zeigen, wie man die von Microsoft empfohlene Grundkonfiguration (Absicherung der SYSVOL- und NETLOGON-Freigabe) per GPO einrichtet.

1. Was macht KB3000483?

Der Patch KB3000483 wurde im Februar 2015 ausgeliefert und sollte eigentlich eine Man-in-the-Middle-Attacke verhindern, die z.B. durch dem Client untergeschobene Startskripte verursacht werden kann. Laut entsprechender heise-News Meldung ist dies z.B. beim Ausführen einer Batch-Datei im netlogon-Verzeichnis möglich, weil der Client den Server nicht richtig authentifiziert. Um dem entgegen zu treten, führt KB3000483 eine Schutzfunktion ein: den abgesicherten UNC-Zugriff / gehärtete UNC-Pfade. Diese Funktion ist aber standardmäßig noch nicht aktiviert und muss erst konfiguriert werden.

2. abgesicherten UNC-Zugriff bzw. gehärtete UNC-Pfade einrichten

Hierzu gibt es von Microsoft einen recht umfangreichen Artikel. Für weitere Informationen und Fragen empfehle ich, diesen sich dann anzuschauen.

2.1. Gruppenrichtlinie erstellen

2.1.1. Gruppenrichtlinien-Editor öffnen

  • Windows-Taste+R um den Ausführen-Dialog zu öffnen
  • gpmc.msc eingeben

2.1.2. neue Gruppenrichtlinie erstellen

  • Rechtsklick auf „Gruppenrichtlinienobjekte“ und im Menü „neu“ wählen.
  • passenden Namen vergeben, z.B. „abgesicherter UNC-Zugriff SYSVol+Netlogon“

2.1.3. Gruppenrichtlinie bearbeiten

  • Rechtsklick auf die soeben erstellte GPO und „Bearbeiten“ wählen.
  • zu Computerkonfiguration->Richtlinien->Administrative Vorlagen->Netzwerk->Netzwerkanbieter navigieren.
  • Doppelklick auf „Gehärtete UNC-Pfade“
  • „Aktiviert“ wählen
  • Im linken unteren Feld runterscrollen und auf „Anzeigen“ klicken
  • Um die Eingabefelder zu aktivieren, Doppelklicken. Folgende Werte einfügen:
WertnameWert
\\*\NETLOGONRequireMutualAuthentication=1, RequireIntegrity=1
\\*\SYSVOLRequireMutualAuthentication=1, RequireIntegrity=1
  • Alle offenen Fenster mit Ok bestätigen und das GPO-Fenster schließen.
gpo-abgesicherter-unc-zugriff
GPO-Bericht: abgesicherter UNC-Zugriff

2.2. Gruppenrichtlinie verknüpfen

  • Rechtsklick auf die Domäne und „vorhandenes Gruppenrichtlinienobjekt verknüpfen“ wählen.
  • entsprechendes Gruppenrichtlinienobjekt auswählen und mit OK bestätigen.

2.3. Gruppenrichtlinie aktivieren

  • am Domaincontroller anmelden (falls nicht sowieso schon geschehen)
  • Windows-Taste+R und „gpupdate /force“ eingeben.

3. Probleme lokalisieren

Falls es zu Problemen kommt, stehen diese in der Ereignisanzeige unter Anwendungs- und Dienstprotokolle \ Microsoft \ Windows \ NetworkProvider \ Operational.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.