none
"Слетели" шаблоны безопасности. Последствия Conficker в AD? RRS feed

  • Вопрос

  •  Вчера боролся, в локальной сети, с "неожиданно" появившимся conficker'ом. Не смотря на то, что была настроена, через групповую политику, Microsoft Removable Tool 2.10, пришлось вручную проверять каждую машину отдельно (Видимо какая то модификация, которую mrt не может найти, хотя KKiller нашел после неё на двух машинах). Сейчас, на данный момент, Я уверен, что все чисто.
     Но, появились неприятные моменты в домене: на компьютеры домена, стало пускать только тех пользователей, кто входит в группу Администраторы, либо доменных Администраторов. Пришлось вручную настроить политику разрешающую локальный вход. Далее еще интересней, у тех пользователей, кто является не Администраторами пропало меню "завершение работы" (Зайти теперь могут).
     Conficker и то, что сейчас произошло в Active Directory как то связано, или нет? Соответственно, во время лечения от вируса, групповые политики лично не менял.

    Прикладываю отчет gpresult

    Windows PowerShell
    (C) 2006 Корпорация Майкрософт. Все права защищены.

    PS C:\Documents and Settings\user> gpresult /v

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) XP версии 2.0
    (С) Корпорация Майкрософт, 1981-2001

    Создано на 27.05.2009 в 8:42:09


    RSOP-результаты для group\user на WS-ADMIN : Режим журналирования
    ---------------------------------------------------------------------

    Тип ОС:                     Microsoft Windows XP Professional
    Конфигурация ОС:            Рядовая рабочая станция
    Версия ОС:                  5.1.2600
    Имя домена:                 group
    Тип домена:                 Windows 2000
    Имя сайта:                  Default-First-Site-Name
    Перемещаемый профиль:
    Локальный профиль:          C:\Documents and Settings\user
    Подключение по медленному каналу?:        Нет


    Конфигурация компьютера
    ------------------------
        CN=WS-ADMIN,OU=Workstation Admin,DC=group,DC=nn,DC=company,DC=ru
        Последнее применение групповой политики:  27.05.2009 at 7:17:53
        Групповая политика была применена с:      k2.group.nn.company.ru
        Порог медленной связи групповой политики: 500 kbps

        Примененные объекты групповой политики
        ---------------------------------------
            Microsoft Removable tool
            Default Domain Policy
            Default Domain Controllers Policy
            group Policy
            Политика локальной группы

       
                GPO: Default Domain Controllers Policy
                    Политика:             RestorePrivilege
                    Параметры компьютера: *S-1-5-32-549
                                       Операторы архива
                                       Администраторы

                GPO: Default Domain Controllers Policy
                    Политика:             SystemTimePrivilege
                    Параметры компьютера: *S-1-5-32-549
                                       Администраторы
                                       LOCAL SERVICE

                GPO: Default Domain Controllers Policy
                    Политика:             BackupPrivilege
                    Параметры компьютера: *S-1-5-32-549
                                       Операторы архива
                                       Администраторы

                GPO: Default Domain Controllers Policy
                    Политика:             ChangeNotifyPrivilege
                    Параметры компьютера: *S-1-5-32-554
                                       Прошедшие проверку
                                       Администраторы
                                       Все

                GPO: Default Domain Controllers Policy
                    Политика:             LoadDriverPrivilege
                    Параметры компьютера: *S-1-5-32-550
                                       Администраторы


                GPO: Default Domain Controllers Policy
                    Политика:             RemoteShutdownPrivilege
                    Параметры компьютера: *S-1-5-32-549
                                       Администраторы


                GPO: Default Domain Controllers Policy
                    Политика:             NetworkLogonRight
                    Параметры компьютера: group\IUSR_PDC
                                       group\IWAM_PDC
                                       group\IWAM_TERMINATOR
                                       *S-1-5-32-554
                                       КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
                                       Прошедшие проверку
                                       Администраторы
                                       Все
                                       group\IUSR_TERMINATOR


                GPO: Default Domain Controllers Policy
                    Политика:             ShutdownPrivilege
                    Параметры компьютера: *S-1-5-32-550
                                       *S-1-5-32-549
                                       Операторы архива
                                       Администраторы
    • Изменено 2life 17 июня 2009 г. 20:12
    • Изменено ckumark 26 июня 2009 г. 19:13 Fixing thread title bug

Ответы

  • Делается все это на эмуляторе PDC?
    применяете локальную политику там где у вас возникают с этим проблемы.. хоть на dc.. хоть на рабочих станциях..

    При этом групповые политики тоже изменятся? Или их после этого исправить?
    нет изменится только локальная политика безопасности

    Если изменятся, то изменятся обе (Domain Default Policy и Domain Controller Default Policy)?
    нет... изменится локальная политика безопасности.. поправочка: примените шаблоны в следующем порядке Setup security, DC Setup

    если у вас изменились политики Domain Default Policy или Domain Controller Default Policy, то вы можете открыть в редакторе групповых политик эти групповые политики и импортировать из следующих мест шаблоны политик безопасности:
    C:\WINDOWS\SYSVOL\sysvol\gex.com\Policies\{GUID_ПолитикиДоменаИлиКонтроллера}\MACHINE\Microsoft\Windows NT\SecEdit файл GptTmpl.inf (например можно развернуть домен в виртуальной среде и взять эти файлы)

    импортировать шаблоны политики безопасности в существующюю групповую политику можно следующим образом:
    1. Открываете редактор групповой политики для редактирования необходимой групповой политики
    2. Computer Configuration > Windows Settings > Security Settings.. правоклик Import Policy
    3. указываете шаблон безопасности..
    mcp, mcdba, mcsa, mcse, ccna
    • Помечено в качестве ответа 2life 18 июня 2009 г. 16:27

Все ответы

  • дайте также разрешение Завершение работы системы .. (Конфигурация компьютера > конфигурация Windows > параметры безопасности > локальные политики > назначение прав пользователя)

    воспользуйтесь оснасткой Анализ и настройка безопасности.. сравните текущую конфигурацию с одним из шаблонов безопасности.. с securews
    mcp, mcdba, mcsa, mcse, ccna
  • На память не помните группа Power Users должна быть в builtin accounts? Или там только Administrator, Users и Guests?

    iPro
  • тоесть? builtin account что подразумевается под этим.. опишите..
    mcp, mcdba, mcsa, mcse, ccna
  • В дефолтных настройках политики

    "Завершение работы системы
    По умолчанию:
    Рабочие станции:
        "Администраторы",
        "Операторы архива",
        "Опытные пользователи",
        "Пользователи"."

    Как мне прописать опытных пользователей?

    iPro
  • Изучил результат gpresult, видимо проблема, в том, что слетели некоторые группы пользователей, отображаются в виде идентификаторов.

    iPro
  • На память не помните группа Power Users должна быть в builtin accounts? Или там только Administrator, Users и Guests?

    iPro
    power users  это группа, прописанная в Local Groups -как она может быть во встроенных учетных записях?

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • опытные пользователи: S-1-5-32-547

    попробуйте накатить шаблон setup security и rootsec.. они восстановят политику безопасности.. разрешения на реестр.. файлы..
    после этого securews

    mcp, mcdba, mcsa, mcse, ccna
  • power users  это группа, прописанная в Local Groups -как она может быть во встроенных учетных записях
    Да, вы правы, но на рабочих станциях она тем не менее должна присутствовать, что бы применять политики.

    iPro
  • Собственно, по умолчанию она там и присутствует)

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • опытные пользователи: S-1-5-32-547

    попробуйте накатить шаблон setup security и rootsec.. они восстановят политику безопасности.. разрешения на реестр.. файлы..
    после этого securews
    Подскажите, как это сделать, есть какое либо примерное описание. С securews Я конечно разобрался, но с применением шаблонов....

    iPro
  • Да познавательные статьи. Но в них нет ни слова каков примерный план работы. Я это представляю так:

    1) Запускаем оснастку Анализ и настройка безопасности на эмуляторе PDC
    2) Накатываем из предустановленных шаблонов setup security и rootsec
    3) Сравниваем securews с тем что получилось

    Я прав?

    iPro
  • 1.) Open Database... сохраняете ее в произвольный файл
    2) затем импортируете шаблон Setup Security
    3) затем импортируете securedc
    4) Делаете Анализ (Analyze Computer Now)
    5) смотрите какие не совпадают.. если необходимо оставить настройки те которые сейчас на компьютере то в свойствах этих настроек это указываете
    6) делаете конфигурацию.. (Configure Computer Now)
    mcp, mcdba, mcsa, mcse, ccna
  • Делается все это на эмуляторе PDC? При этом групповые политики тоже изменятся? Или их после этого исправить? Если изменятся, то изменятся обе (Domain Default Policy и Domain Controller Default Policy)?

    iPro
  • Делается все это на эмуляторе PDC?
    применяете локальную политику там где у вас возникают с этим проблемы.. хоть на dc.. хоть на рабочих станциях..

    При этом групповые политики тоже изменятся? Или их после этого исправить?
    нет изменится только локальная политика безопасности

    Если изменятся, то изменятся обе (Domain Default Policy и Domain Controller Default Policy)?
    нет... изменится локальная политика безопасности.. поправочка: примените шаблоны в следующем порядке Setup security, DC Setup

    если у вас изменились политики Domain Default Policy или Domain Controller Default Policy, то вы можете открыть в редакторе групповых политик эти групповые политики и импортировать из следующих мест шаблоны политик безопасности:
    C:\WINDOWS\SYSVOL\sysvol\gex.com\Policies\{GUID_ПолитикиДоменаИлиКонтроллера}\MACHINE\Microsoft\Windows NT\SecEdit файл GptTmpl.inf (например можно развернуть домен в виртуальной среде и взять эти файлы)

    импортировать шаблоны политики безопасности в существующюю групповую политику можно следующим образом:
    1. Открываете редактор групповой политики для редактирования необходимой групповой политики
    2. Computer Configuration > Windows Settings > Security Settings.. правоклик Import Policy
    3. указываете шаблон безопасности..
    mcp, mcdba, mcsa, mcse, ccna
    • Помечено в качестве ответа 2life 18 июня 2009 г. 16:27
  •  Я что то не понимаю, каким образом эти действия приведут к восстановлению группы Power Users (в моем случае S-1-5-32-547)? Этим мы восстановим локальные политики безопастности, а дальше что?
    iPro
  •  Я что то не понимаю, каким образом эти действия приведут к восстановлению группы Power Users (в моем случае S-1-5-32-547)? Этим мы восстановим локальные политики безопастности, а дальше что?
    iPro
    этой группы нет в AD.. и на DC естественно..

    или у вас на рабочих станциях этой группы нет?



    mcp, mcdba, mcsa, mcse, ccna
  •  Специально поставил в виртуальной машине Windows 2003 Server с AD, группы Power Users там действительно нет. Почему то казалось всегда, что они там есть)))) Значит все таки нужно применить политику на эмуляторе PDC? После этого на локальных машинах будет нормальная политика для опытных пользователей? Будут разрешены локальный вход в систему, завершение работы системы, очистка журнала?.


    iPro
    • Изменено 2life 27 мая 2009 г. 16:10
  • 1. можете применять локально эти шаблоны на проблемных компьютера..
    2. можете при помощи групповых политик .. (например скриптами с помощью secedit.exe или импортировать в редакторе групповой политики)

    эти действия необходимо произвести единовременно..

    setup security - восстанавливает локальные политики, разрешения на реестр, разрешение ntfs, членство в группах.
    Лучше его не импортировать в GP, потому как долго будет применяться..
    Если у вас нет подозрений что изменены разрешения реестра, ntfs.. то можете этот шаблон не применять вовсе..
    Лучше установить тестовый компьютер, запустить на нем gpedit.msc и экспортировать политику безопасности в файл.. затем уже этот шаблон применить..
    mcp, mcdba, mcsa, mcse, ccna
  • К сожалению приведенные здесь методики до конца не смогли решить данную проблему. Может быть все из-за не одновременности применения шаблонов (на рядовые WS вообще не применял)? Сейчас добавилась еще одна проблема в журнале следующие ошибки:
    Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.
    
    Advanced help for this problem is available on http://support.microsoft.com. Query for "troubleshooting 1202 events". 
    После включения расширенной диагностики видим следующее:
    C:\Documents and Settings\ikulkov>gpupdate /force
    Refreshing Policy...
    
    User Policy Refresh has completed.
    Computer Policy Refresh has completed.
    
    To check for errors in policy processing, review the event log.
    
    
    C:\Documents and Settings\ikulkov>find /i "cannot find" %SYSTEMROOT%\security\lo
    gs\winlogon.log
    
    ---------- C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG
            Cannot find Power Users.
            Cannot find Local System.
            Cannot find Power Users.
            Cannot find Local System.
    Проблема с Power Users и Local System остается по прежнему.

    В самом логе есть такая информация, откуда видно, что две группы пользователей, описанных выше, не записаны в SID формате. Может копать в этом направлении?

    ----Configure User Rights...
    	Configure S-1-5-19.
    	Configure S-1-5-20.
    	Configure S-1-5-32-544.
    	Configure S-1-5-32-551.
    	Configure S-1-5-21-230710454-2165381730-3480717752-1131.
    	Configure S-1-5-21-230710454-2165381730-3480717752-1227.
    	Configure S-1-5-21-230710454-2165381730-3480717752-500.
    	Configure S-1-1-0.
    	Configure Power Users.
    Error 1332: No mapping between account names and security IDs was done.
     	Cannot find Power Users.
    	Configure S-1-5-32-545.
    	Configure S-1-5-9.
    	Configure S-1-5-32-547.
    	Configure Local System.
    Error 1332: No mapping between account names and security IDs was done.
     	Cannot find Local System.
    	Configure S-1-5-21-230710454-2165381730-3480717752-1737.
    
    	User Rights configuration was completed with one or more errors.

    Помогите, пожалуйста решить вопрос до конца.


    iPro
    • Изменено 2life 17 июня 2009 г. 20:16
    17 июня 2009 г. 19:58
  • Power Users нет на контроллерах домена.. и Local System вроде как SYSTEM называется..

    c помощью данной статьи опеределите в каких политиках эти настройки.. и удалите расхождения..
    http://support.microsoft.com/kb/324383


    mcp, mcdba, mcsa, mcse, ccna
    18 июня 2009 г. 3:32
  • Статья предназначена для Windows 2000, например эта команда "secedit /refreshpolicy machine_policy /enforce" не работает.

    iPro
    18 июня 2009 г. 4:48
  • gpupdate /force ее заменяет в xp/2003 и выше..
    mcp, mcdba, mcsa, mcse, ccna
    18 июня 2009 г. 11:33
  • Хорошо, Я знаю. Но в статье для этой проблемы предлагается такое решение: " Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы соответствующую запись необходимо удалить или заменить." Каким образом Я могу удалить или заменить группы Power Users и Local System? Если их вообще на DC не должно быть.

    P.s. В общем после очередного применения шаблонов политик, проблемы изчезли. Статья, что указана выше в этом случае не поможет, проблема именно в политиках.
    P.p.s А ведь хотелось мигрировать на Windows 2008, теперь уж не знаю, придется оставить как есть.

    Спасибо всем за ответы, но к сожалению лучший найти не смогу, т.к. для меня описание применения шаблонов безопасности показалось не до конца понятным, нету пошаговой инструкции, или алгоритма применения. (Что применять первым, что вторым). Но как наиболее полный выберу ответ Ефимова Геннадия



    iPro
    • Изменено 2life 18 июня 2009 г. 16:28
    18 июня 2009 г. 12:01
  • Еще дополнение: поправил еще одну "фишку", которая досталась от другого человека - на весь домен применялись как политики Domain Default Policy, так и Default Domain Controller Policy; поместил DDCP туда где она и должна быть на OU "Domain Controllers". Сразу не придал этому значения.
    iPro
    18 июня 2009 г. 16:39
  • Хорошо, Я знаю. Но в статье для этой проблемы предлагается такое решение: " Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы соответствующую запись необходимо удалить или заменить." Каким образом Я могу удалить или заменить группы Power Users и Local System? Если их вообще на DC не должно быть.

    iPro

    дак нужно не сами учетные записи удалять.. а удалить записи об этих учетных записях в соответствующих политиках..
    mcp, mcdba, mcsa, mcse, ccna
    19 июня 2009 г. 2:54
  • Да, после применения шаблонов безопасности эти записи исчезли.
    iPro
    19 июня 2009 г. 9:46