none
MS14-025 RRS feed

  • 質問

  • お疲れさまです。
    お世話になっております。

    当方の環境ではADサーバ上のグループポリシーで管理者権限で実行するタスクを作成することにより、クライアント上のソフト(Flash、Adobe Reader、Java等)の更新を行っています。
    MS14-025を適用後、上記のソフトを更新するタスクを変更しようとしたところCPassword関係のエラーが表示され、タスクの更新が行えませんでした。そこで、タスクの操作内容について更新が行えなかったタスクと同じ内容で新規にタスクを作成しました。タスクの作成は正常に行えたのですが、クライントにタスクが作成されませんでした。グループポリシーの結果をかくにんしたで0x80041318のエラーが表示されています。
    MS14-025を適用した場合に、管理者権限で実行するタスクはグループポリシーで作成できなくなってしまったのでしょうか。また、タスクの実行ユーザを指定した場合にパスワードの入力が行えなくなっています。ユーザがログインしていない状態で管理者権限を持ったユーザで実行するタスクを作成し実行することは出来なくなってしまったのでしょうか。

    2015年6月26日 0:48

回答

  • チャブーンです。

    まず、おっしゃっている「代替手段」については、KB2962486の状況5の内容を指しているという認識です。MSが言っている代替手段は、ありていに言うと「ローカルログオンしたユーザが実行可能なタスクに内容を変更してください」という消極的なものです。

    質問者さんの環境では、プログラムの更新はスタートアップスクリプトで行い、その結果ログをサーバに送る際「サーバへのアカウントとパスワードがいるので」、ここに問題がある、と理解しています。

    そのような場合の解決方法ですが、「アプリケーション更新の結果ログ」に関するセキュリティを明確に決めれば、問題が解決する可能性があります。結果ログの内容が一般ユーザから恣意的に操作されることだけが問題で、「読み取られる」こと自体は問題がない、と判断された場合、クライアントが送信する共有フォルダ先のアクセス許可を適切に設定し、ログの新規作成はできるが変更削除できない、というしくみに変えることで、「一般ユーザの権限」でログをサーバに送ることができます。この場合、ログ送信スクリプトは「ログオンスクリプト」ないしは(ログオン中に実行する)タスクで実行でき、パスワード情報は必要なくなります。

    サーバ側からログ収集を行う場合、「クライアントが起動中である」ことが条件にかかわってくるので難しい面がありますが、一般的に広く行われている方法にはなります(すくなくても国際的レベルでは)。

    このような話しは、実質システム要件に応じた設計が必要になりますので、こういった無償掲示板ですべてを語るのは難しい面がありますので、コンサルティング等を受けられることもお奨めしておきます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク mmuutoo 2015年6月30日 8:48
    2015年6月30日 3:32
    モデレータ

すべての返信

  • チャブーンです。

    まず、したのKBをきちんと読んでみてください。結論から言うと、「ユーザ名とパスワード」をグループポリシー上で直接編集(設定)することはどのような画面でもできなくなったという認識です。この仕様自体がセキュリティホールになりえる、ということで、機能そのものが削除されたからです。

    https://support.microsoft.com/ja-jp/kb/2962486/ja?wa=wsignin1.0

    どうしてもおっしゃるようなことがしたい場合、スタートアップスクリプトで行わせるしかないと思いますが、これ自体もセキュリティホール(スクリプトの中身に管理者パスワードが書いてあるから)になってしまうと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2015年6月29日 7:44
    モデレータ
  • チャブーン様

    お疲れさまです。
    ご回答ありがとうございます。

    kbの説明を読んでいたのですが、代替手段等について理解が出来なかったので質問をさせていただきました。
    タスクを使用した管理者権限でグループポリシーを使用する(Flash、Adobe Reader、Java等)の更新はパスワードが設定できないため、今後は行えないという認識でよろしいのでしょうか。
    現在はスタートアップスクリプトで更新を行っているのですが、更新結果のログを転送する処理にユーザ名とパスワードが必要となるためセキュリティ上実施を見送っています。スタートアップスクリプト自体は管理者権限で実行されるため更新自体はうまく行えています。
    グループポリシーを適用しているPCについて、スタートアップスクリプトで行った更新等の結果のログをPC側からスクリプト等にパスワードを入力せず、サーバ等に送信することは行えないという認識でよろしいのでしょうか。また、PC側からログを送信できないのであれば、サーバ側でPCのログを収集するタスク等を作成する必要があると考えています。そのような方法は一般的なのでしょうか。

    どなたかおわかりになる方がいらっしゃいましたら、ご教示いただけないでしょうか。
    よろしくお願いいたします。

    2015年6月29日 8:59
  • チャブーンです。

    まず、おっしゃっている「代替手段」については、KB2962486の状況5の内容を指しているという認識です。MSが言っている代替手段は、ありていに言うと「ローカルログオンしたユーザが実行可能なタスクに内容を変更してください」という消極的なものです。

    質問者さんの環境では、プログラムの更新はスタートアップスクリプトで行い、その結果ログをサーバに送る際「サーバへのアカウントとパスワードがいるので」、ここに問題がある、と理解しています。

    そのような場合の解決方法ですが、「アプリケーション更新の結果ログ」に関するセキュリティを明確に決めれば、問題が解決する可能性があります。結果ログの内容が一般ユーザから恣意的に操作されることだけが問題で、「読み取られる」こと自体は問題がない、と判断された場合、クライアントが送信する共有フォルダ先のアクセス許可を適切に設定し、ログの新規作成はできるが変更削除できない、というしくみに変えることで、「一般ユーザの権限」でログをサーバに送ることができます。この場合、ログ送信スクリプトは「ログオンスクリプト」ないしは(ログオン中に実行する)タスクで実行でき、パスワード情報は必要なくなります。

    サーバ側からログ収集を行う場合、「クライアントが起動中である」ことが条件にかかわってくるので難しい面がありますが、一般的に広く行われている方法にはなります(すくなくても国際的レベルでは)。

    このような話しは、実質システム要件に応じた設計が必要になりますので、こういった無償掲示板ですべてを語るのは難しい面がありますので、コンサルティング等を受けられることもお奨めしておきます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク mmuutoo 2015年6月30日 8:48
    2015年6月30日 3:32
    モデレータ
  • チャブーン様

    お疲れさまです。
    お世話になっております。

    管理者権限で実行するタスクはグループポリシーでは作成できなくなったと認識しました。
    また、ログの転送についてADサーバ上にアクセス権を付与した共有フォルダを作成してログの転送を行ったのですが、アクセスがうまく行えずログの転送がうまくいきませんでした。
    サーバ側からログを取得する方法を検討しようと思います。

    ご回答ありがとうございました。

    • 回答としてマーク mmuutoo 2015年6月30日 8:48
    • 回答としてマークされていない mmuutoo 2015年6月30日 8:48
    2015年6月30日 8:48