Microsoft heeft afgelopen week een reeks updates uitgebracht, waaronder ook een security-update voor de beheerinstellingen van Windows. Deze patch voor de Group Policy-instellingen bleek echter ongewenste bijwerkingen te kunnen hebben. In sommige gevallen werden apparaten en schijfstations die door beheerders waren verborgen voor eindgebruikers ineens zichtbaar. In andere gevallen werden printers en mappen juist ontoegankelijk voor eindgebruikers.
Patch voor MitM-gevaar
De genoemde problemen hebben betrekking op Windows 10, maar ook op voorgangers 8.1 en 7. Laatstgenoemde is met een wereldwijd marktaandeel van ruim 48 procent nog altijd het meestgebruikte client-besturingssysteem. Windows 10 is met ruim 17 procent tweede, blijkt uit cijfers van marktmonitor Netmarketshare. De tussenliggende Windows-versie 8.1 bekleedt met bijna 9 procent de vierde plaats.
De getroffen Windows-versies moesten met security bulletin MS16-072 juist een oplossing krijgen voor problemen met Group Policy. Het gaat om een kwetsbaarheid waarmee een aanvaller zichzelf hogere rechten kan toekennen via een man-in-the-middle (MitM)-aanval op netwerkverkeer tussen een client-pc en een domain-controller. Deze kwetsbaarheid is aan de orde wanneer Windows updates aan de Group Policy-instellingen verwerkt.
Bijwerkingen
De patch blijkt echter bijwerkingen te hebben voor eerdere instellingen die via Group Policy zijn opgelegd aan pc’s. Dit omvat verborgen apparaten en schijfstations, maar ook geïnstalleerde printers en toegewezen netwerkmappen. Verschillende beheerders zijn tegen deze patch-fout aangelopen en hebben erover geklaagd op online fora zoals Reddit en het TechNet-supportforum van Microsoft, meldde The Register vorige week.
Het verwijderen van de bewuste patch bleek de problemen op te lossen, waarmee echter de MitM-kwetsbaarheid ook weer aan de orde was. Een dag later wist Infoworld.com te melden dat Microsoft deze plots geïntroduceerde problemen met permissies heeft bevestigd. Deze bevestiging bestond uit een toevoeging van Bekende Problemen aan de release notes voor de patch.
Bedoelde wijziging
In die toevoeging wordt uitgelegd dat de update een wijziging doorvoert voor de security-context waarin group policies worden opgehaald door client-pc’s. Voorheen gebeurde dat met de rechten van de ingelogde gebruiker, voor wie een succesvolle aanvaller dan beheerrechten kon verkrijgen. Na de installatie van MS16-072 worden user group policies binnengehaald in de security-context van de machine. Hierdoor kan het Group Policy Objects (GPO’s) dus ontbreken aan lees-permissies, waardoor de toepassing van zulke instellingen faalt.
Microsoft heeft bij die aanvulling twee dagen na het uitbrengen van de patch ook gelijk twee maatregelen aangedragen die beheerders kunnen nemen om de bijwerkingen te bestrijden. Daarnaast heeft de softwareleverancier een PowerShell-script uitgebracht om GPO’s na te lopen op eigenschappen die buiten de boot vallen door de bedoelde wijziging in de doorgifte van user group policies aan pc’s. De beheerdersinformatiesite Group Policy Central wijst nog op een ander PowerShell-script dat de benodigde lees-permissie weer toevoegt.
Patchmolen
Dit incident met Windows-patches en de noodzaak tot testen sluit ook aan bij waarschuwende woorden van onderzoeksbureau Gartner. Die heeft bedrijven eerder al erop gewezen dat een overstap naar Windows 10 meerwerk qua patchen en dus ook testen met zich meebrengt. Microsoft is voor zijn nieuwste besturingssysteem overgestapt op vaker - en voor consumenten zelfs automatisch - updaten. Daarbij zijn er wel uitstelmogelijkheden voor zakelijke gebruikers, maar uitstel is geen afstel.
Een aan te raden aanpak is hoe dan ook het draaien van een eigen patch-distributiesysteem, waarbij vooraf getest kan worden. Microsoft biedt hiervoor het gratis WSUS (Windows Server Update Services), waarnaast het voor Windows 10 nog apart Windows Update for Business biedt. Laatstgenoemde is geen op zichzelf staand beheerproduct, maar een reeks functies in Windows 10 om beter om te gaan met de vaker verschijnende en ook wel incrementele updates voor dat besturingssysteem.
Proefkonijnen
Bij gebruik van WSUS is het ook verstandig om updates dan niet alleen op enkele testsystemen van it-beheer te keuren. Een kleine groep gebruikers kan dienen als proefkonijnen (ofwel kanariepietjes) voor het installeren van nieuwe updates. Deze voorlopende gebruikers moeten dan bij problemen wel een uitwijk hebben zodat eventuele bijwerkingen van de updates een minimale bedrijfsimpact hebben. Overigens zijn er recent nog problemen geweest met patches voor WSUS.
Om te kunnen beoordelen moet u ingelogd zijn: