none
MS16-087の影響に関して RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。
    Windows Server 2008 R2のAD環境下にWindows7のPCがいる環境で
    これらのPCで制限ユーザがネットワークプリンタを検索して
    自分でインストールできるようにGPOで
    ポイントアンドプリントの制限を無効にすることで運用してきました。

    ですが先日よりネットワークプリンタの検索、新しいプリンタを追加と行うと
    ドライバのインストールにUACが表示されるようになり
    個々の制限ユーザでインストールができなくなりました。

    GPOでは設定時と同じようにポイントアンドプリントの制限は無効となっていて
    PC側でもこのコンピュータポリシーが適応されているのを確認したので
    試しに同GPOを有効にして、ドライバ配布のサーバー名も指定、
    セキュリティの確認をそれぞれ表示しないと設定してみたのですが
    やっぱりUACが表示されてしまいました。

    悩んで色々調べてみたところ今月配布された
    印刷スプーラの脆弱性に対応したセキュリティパッチMS16-087に行き当たり、
    こちらを試しにPCからアンインストールしてみたところ
    以前のようにUACの表示なくインストールされることを確認しました。

    脆弱性のためパッチは当てておきたいので
    適応した上での解決方法をご教示頂けると助かります。
    どうぞよろしくお願い致します。


    • 編集済み TechGC 2016年7月26日 2:03
    2016年7月26日 1:53
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    コメントありがとうございます。
    こちらを読ませていただく前にGPOのポイントアンドプリントの制限の項目で
    既存の接続用にドライバーを更新した場合にのみ
    「警告のみを表示する」と「警告および昇格時のプロンプトを表示しない」 の2項目があり、
    この”警告”と”昇格時”の違いはなんだろう? と考えたときにポリシーで無効を選択していた際に
    プリンターのインストールを行おうとすると

    ①このプリンターを信頼しますか?の表示 (ドライバーのインストールにUACマーク)
    ②ドライバーのインストールをクリックするとUAC

    となっていたので、自分はポリシーを有効にした際には
    ①の警告(?)が表示された時点でダメだと切り捨ていたことに気が付き
    ご教示頂きました切り分けの手順のようにポリシーが有効な状態で
    再度プリンターのインストールを試してみたところ
    ①の警告は表示されるが、そのままドライバーのインストールをクリックすると
    ②のUACが表示されることなくドライバーのインストールが出来ました。

    【まとめ】
    1、GPOでポイントアンドプリントの制限は無効はダメ。有効にする。
    2、セキュリティの確認の項目で"新しい接続用にドライバーをインストールする場合"の項目では
    "警告または昇格時のプロンプトを表示しない"を選択する
    『ただし警告は必ず出るのでそのまま”ドライバーのインストール”をクリックする』
    とユーザはワンクリック増えるだけで同じ運用が可能とわかりました。

    ひとり空周りしたところに巻き込んでしまった感じで申し訳ありません…
    どうもありがとうございました。



    • 回答としてマーク TechGC 2016年7月26日 3:55
    • 編集済み TechGC 2016年7月26日 4:04
    2016年7月26日 3:55
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、結論からいうと「仕様変更」によるものなので、少なくとも質問者さんの環境では同じことはできませんというのが答えかと思います。

    元々「ポイントアンドプリントの制限」ポリシーを無効にすることは、本来プリンタドライバーの署名が必要なところを「署名を確認しない」というバックドア的手法で、「現状容認(署名がないドライバでもインストールできる)」するための、過渡的措置という性格のものです。

    今回、その仕組みそのものをつかれかねない脆弱性が指摘されたため、それをやめた、というのが実際のところかと思います。あと「ポイントアンドプリントの制限」を有効にしても解決しない、とのことですが、

    https://technet.microsoft.com/en-us/library/security/ms16-087.aspx

    ----
    Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust.
    ----

    この文章が根拠だと思うのですが、これは非常に微妙な内容です。「システムの構成にによっては」という但し書きがついているということから、これ以外の構成ではムリ、と事実上宣言しています。実際に可能な構成が具体的に示されていないので、かなり限定された構成か、具体的な構成について把握できていない(これは考えづらいですが)可能性があります。個人的には、この文章は一種のとりなし(ユーザの不利益をあえて納得いただくための)のようにも思えます。

    ひとまず切り分けの意味で、最低限「署名されたプリンタドライバー」をインストールするように構成したうえ、「ポイントアンドプリントの制限」を有効にした場合の挙動を確認してみてください。

    これでダメな場合は、申し訳ないですがMS有償サポートにお尋ねいただくしかありません。しくみ的に管理者側で回避する方法はない(それができたらセキュリティホールになりますので)という理解です。

    どうしても上記の方法を採りたくない場合は、やり方そのものを変えるしかありません。具体的にはコンピュータベースで必要なプリンタドライバーをインストールするようGPOを構成する、といったやり方です。利用するプリンタは一般にクライアントの物理的場所で決まりますので、そのための情報(クライアントのIPアドレスや、場所を意識したセキュリティグループの作成等)でフィルター適用を行うことが可能です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年7月26日 3:25
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    すみません、下記を見つけたのでこれから試してみます。

    https://support.microsoft.com/ja-jp/kb/2307161

    • 編集済み TechGC 2016年7月26日 2:26
    2016年7月26日 2:25
    |
  • Question
    サインインして投票
    0
    サインインして投票

    リンク先の手順は初めの投稿に記載したように
    GPOを有効にしてサーバー名を指定、
    セキュリティの確認を表示しない等にすることでした。
    再度試してみましたがやはりUACが表示されてしまいます。
    (完全修飾サーバー名などは抜かりなく…)

    この手順では解決しなかったということでどうぞよろしくお願い致します。

    追記:よくよく読んでみたらMS16-087
    https://technet.microsoft.com/ja-jp/library/security/ms16-087.aspx
    の脆弱性のうちの1つの緩和対策でした。

    • 編集済み TechGC 2016年7月26日 3:17 追記
    2016年7月26日 3:05
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、結論からいうと「仕様変更」によるものなので、少なくとも質問者さんの環境では同じことはできませんというのが答えかと思います。

    元々「ポイントアンドプリントの制限」ポリシーを無効にすることは、本来プリンタドライバーの署名が必要なところを「署名を確認しない」というバックドア的手法で、「現状容認(署名がないドライバでもインストールできる)」するための、過渡的措置という性格のものです。

    今回、その仕組みそのものをつかれかねない脆弱性が指摘されたため、それをやめた、というのが実際のところかと思います。あと「ポイントアンドプリントの制限」を有効にしても解決しない、とのことですが、

    https://technet.microsoft.com/en-us/library/security/ms16-087.aspx

    ----
    Depending on the operating system you are running and its configuration, you may be able to change Point and Print Restrictions policies to enable users to print only to specific print servers that you trust.
    ----

    この文章が根拠だと思うのですが、これは非常に微妙な内容です。「システムの構成にによっては」という但し書きがついているということから、これ以外の構成ではムリ、と事実上宣言しています。実際に可能な構成が具体的に示されていないので、かなり限定された構成か、具体的な構成について把握できていない(これは考えづらいですが)可能性があります。個人的には、この文章は一種のとりなし(ユーザの不利益をあえて納得いただくための)のようにも思えます。

    ひとまず切り分けの意味で、最低限「署名されたプリンタドライバー」をインストールするように構成したうえ、「ポイントアンドプリントの制限」を有効にした場合の挙動を確認してみてください。

    これでダメな場合は、申し訳ないですがMS有償サポートにお尋ねいただくしかありません。しくみ的に管理者側で回避する方法はない(それができたらセキュリティホールになりますので)という理解です。

    どうしても上記の方法を採りたくない場合は、やり方そのものを変えるしかありません。具体的にはコンピュータベースで必要なプリンタドライバーをインストールするようGPOを構成する、といったやり方です。利用するプリンタは一般にクライアントの物理的場所で決まりますので、そのための情報(クライアントのIPアドレスや、場所を意識したセキュリティグループの作成等)でフィルター適用を行うことが可能です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年7月26日 3:25
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    コメントありがとうございます。
    こちらを読ませていただく前にGPOのポイントアンドプリントの制限の項目で
    既存の接続用にドライバーを更新した場合にのみ
    「警告のみを表示する」と「警告および昇格時のプロンプトを表示しない」 の2項目があり、
    この”警告”と”昇格時”の違いはなんだろう? と考えたときにポリシーで無効を選択していた際に
    プリンターのインストールを行おうとすると

    ①このプリンターを信頼しますか?の表示 (ドライバーのインストールにUACマーク)
    ②ドライバーのインストールをクリックするとUAC

    となっていたので、自分はポリシーを有効にした際には
    ①の警告(?)が表示された時点でダメだと切り捨ていたことに気が付き
    ご教示頂きました切り分けの手順のようにポリシーが有効な状態で
    再度プリンターのインストールを試してみたところ
    ①の警告は表示されるが、そのままドライバーのインストールをクリックすると
    ②のUACが表示されることなくドライバーのインストールが出来ました。

    【まとめ】
    1、GPOでポイントアンドプリントの制限は無効はダメ。有効にする。
    2、セキュリティの確認の項目で"新しい接続用にドライバーをインストールする場合"の項目では
    "警告または昇格時のプロンプトを表示しない"を選択する
    『ただし警告は必ず出るのでそのまま”ドライバーのインストール”をクリックする』
    とユーザはワンクリック増えるだけで同じ運用が可能とわかりました。

    ひとり空周りしたところに巻き込んでしまった感じで申し訳ありません…
    どうもありがとうございました。



    • 回答としてマーク TechGC 2016年7月26日 3:55
    • 編集済み TechGC 2016年7月26日 4:04
    2016年7月26日 3:55
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    フィードバックいただき、ありがとうございます。

    結果的には完全スルーにはできなくなったものの、事実上許容範囲で展開が可能、とわかりましたので(構成によってはわかりませんが)、同じような問題を抱えらえた方々には、大変有用な情報になったと思います。

    最近のMSは、セキュリティに関してはとくに敏感で、今まで可能だった機能の修正が必要なケース(たとえばMS16-072のセキュリティフィルターの設定とか)が増えていますので、注意が必要かもしれませんね。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年7月27日 1:23
    |
    モデレータ