Odmowa dostępu do katalogów NETLOGON i SYSVOL z systemu Windows 10

Zauważyłem pewne dziwactwa podczas uzyskiwania dostępu do katalogów SYSVOL i NETLOGON w domenie z systemu Windows 10 / Windows Server 2016. Podczas uzyskiwania dostępu do kontrolera domeny z klienta za pośrednictwem ścieżki UNC \\ SYSVOL lub według adresu IP kontrolera domeny \\ 192.168.1.10 \ Netlogon pojawia się błąd „Odmowa dostępu”(Odmowa dostępu) z prośbą o podanie konta i hasła. Podczas określania konta użytkownika domeny, a nawet administratora domeny, katalogi nadal się nie otwierają.

W tym samym czasie ten sam katalog Sysvol / Netlogon otwiera się normalnie (bez pytania o hasło), jeśli podasz nazwę kontrolera domeny: \\ dc1.domain.ru \ sysvol lub po prostu \\ dc1 \ sysvol.

Ponadto problemy z zastosowaniem zasad grupy można zaobserwować na problematycznych komputerach z systemem Windows 10. W dzienniku można znaleźć błędy EventID 1058:

Przetwarzanie zasad grupy nie powiodło się. System Windows próbował odczytać plik \\ domain.ru \ sysvol \ domain.ru \ Policies \ GUO GPO \ gpt.ini z kontrolera domeny i nie powiódł się. Ustawienia zasad grupy mogą zostać zastosowane dopiero po rozwiązaniu tego zdarzenia.

Wszystko to wiąże się z nowymi ustawieniami zabezpieczeń, które mają chronić komputery w domenie przed uruchomieniem kodu (skrypty logowania, pliki wykonywalne) i otrzymywać pliki konfiguracji zasad z niezaufanych źródeł - Hartowanie UNC. Ustawienia zabezpieczeń systemu Windows 10 / Windows Server 2016 wymagają użycia następujących poziomów zabezpieczeń w celu uzyskania dostępu do katalogów UNC ze zwiększoną ochroną (SYSVOL i NETLOGON):

  • Wzajemne uwierzytelnianie - wzajemne uwierzytelnianie klienta i serwera. Protokół Kerberos służy do uwierzytelniania (NTLM nie jest obsługiwany). Dlatego nie można połączyć się z katalogami SYSVOL i NETLOGON na kontrolerze domeny za pomocą adresu IP. Domyślnie RequireMutualAuthentication = 1.
  • Uczciwość - Weryfikacja podpisu SMB. Pozwala upewnić się, że dane w sesji SMB nie zostaną zmodyfikowane podczas transmisji. Podpis SMB jest obsługiwany tylko w wersji SMB 2.0 i wyższej (SMB 1 nie obsługuje podpisu SMB dla sesji). Domyślnie RequireIntegrity = 1.
  • Prywatność - szyfrowanie danych w sesji SMB. Obsługiwane od SMB 3.0 (Windows 8 / Windows Server 2012 i nowsze). Domyślnie RequirePrivacy = 0. Jeśli masz w domenie komputery i kontrolery domeny ze starszymi wersjami systemu Windows (Windows 7 / Windows Server 2008 R2 i niższych), nie powinieneś używać tej opcji RequirePrivacy = 1. W przeciwnym razie starzy klienci nie będą mogli połączyć się z katalogami sieciowymi na kontrolerach domeny.

Początkowo zmiany te wprowadzono w systemie Windows 10 w 2015 r. W ramach biuletynów zabezpieczeń MS15-011 i MS15-014. W rezultacie zmieniono algorytm Multiple UNC Provider (MUP), który teraz używa specjalnych reguł dostępu do krytycznych katalogów na kontrolerach domeny \\ * \ SYSVOL i \\ * \ NETLOGON.

W systemach Windows 7 i Windows 8.1 ścieżki chronione przez UNC są domyślnie wyłączone.

Możesz zmienić ustawienia hartowania UNC w Windows 10, aby uzyskać dostęp do SYSVOL i NETLOGON poprzez zasady grupy. Możesz użyć różnych ustawień bezpieczeństwa, aby uzyskać dostęp do różnych ścieżek UNC za pomocą zasad. Hartowane ścieżki UNC (ścieżki UNC z ulepszoną ochroną).

  1. Otwórz edytor lokalnych zasad bezpieczeństwa gpedit.msc;
  2. Przejdź do sekcji zasad Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Dostawca sieci;
  3. Włącz zasady Zahartowane ścieżki nieprzejrzyste;
  4. Kliknij przycisk Pokaż i twórz wpisy dla ścieżek UNC do katalogów Netlogon i Sysvol. Aby całkowicie wyłączyć utrwalanie UNC dla określonych katalogów (niezalecane !!), określ RequireMutualAuthentication = 0, RequireIntegrity = 0, RequirePrivacy = 0Możesz użyć następujących formatów ścieżek UNC:
    • \\ DC_IP
    • \\ domain.ru
    • \\ DCName

    Lub możesz zezwolić na dostęp do katalogów Sysvol i Netlogon niezależnie od ścieżki UNC:

    • \\ * \ SYSVOL
    • \\ * \ NETLOGON

    Musisz podać wszystkie potrzebne nazwy domen (kontrolery domeny) lub adresy IP.

    Microsoft zaleca stosowanie następujących ustawień w celu bezpiecznego dostępu do krytycznych katalogów UNC:

    • \\ * \ NETLOGON    RequireMutualAuthentication = 1, RequireIntegrity = 1
    • \\ * \ SYSVOL    RequireMutualAuthentication = 1, RequireIntegrity = 1

Pozostaje zaktualizować zasady na komputerze za pomocą polecenia gpupdate / force i sprawdź, czy masz dostęp do katalogów Sysvol i Netlogon.

Możesz skonfigurować te ustawienia za pomocą scentralizowanych zasad domeny. Lub za pomocą następujących poleceń na klientach. (Te polecenia wyłączą uwierzytelnianie Kerberos podczas uzyskiwania dostępu do określonych katalogów w DC. Zostanie użyte NTLM, w wyniku czego można otwierać chronione katalogi w DC według adresu IP):

reg dodaj HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ NetworkProvider \ HardenedPaths / v "\\ * \ SYSVOL" / d "RequireMutualAuthentication = 0" / t REG_SZ / f
reg dodaj HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ NetworkProvider \ HardenedPaths / v "\\ * \ NETLOGON" / d "RequireMutualAuthentication = 0" / t REG_SZ / f

Te polecenia mogą ci pomóc, jeśli:

  • Masz starą wersję szablonów administracyjnych na kontrolerze domeny (DC ze starego Windows Server 2008 R2 / Windows Server 2012), które nie mają ustawienia zasad Hardened UNC Paths;
  • z powodu niedostępności katalogu Sysvol klienci nie mogą uzyskać zasad domeny i nie można rozpowszechniać tych ustawień rejestru.