{"id":178358,"date":"2016-06-16T00:02:20","date_gmt":"2016-06-15T22:02:20","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178358"},"modified":"2017-01-27T12:18:26","modified_gmt":"2017-01-27T11:18:26","slug":"windows-gpo-update-kb3159398-macht-probleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/16\/windows-gpo-update-kb3159398-macht-probleme\/","title":{"rendered":"Windows-GPO-Update KB3159398 macht Probleme"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/02\/Update.jpg\" alt=\"Windows Update\" width=\"40\" height=\"40\" align=\"left\" border=\"0\" \/>[<a href=\"http:\/\/borncity.com\/win\/2016\/06\/16\/update-kb3159398-breaks-group-policy-in-windows\/\" target=\"_blank\">English<\/a>]Update KB3159398, welches zum Juni 2016-Patchday ausgerollt wurde, f\u00fchrt offenbar zu Problemen mit der Verarbeitung von Gruppenrichtlinien unter Windows. <strong>Nachtrag:<\/strong> Microsoft hat reagiert und den KB-Artikel aktualisiert (siehe Erg\u00e4nzung inside). Und es gibt ein PowerShell-Script zum Fixen, sowie einen Artikel meines MVP-Kollegen Marc Heitbrink, warum es das Problem gibt.<\/p>\n<p><!--more--><\/p>\n<h3>Hintergrundinformationen zu KB3159398<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/6947939d424e4b81bd9bf1a194e6610c\" alt=\"\" width=\"1\" height=\"1\" \/>Im Artikel <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/15\/update-details-zum-microsoft-patchday-14-juni-2016\/\">Update-Details zum Microsoft Patchday 14. Juni 2016<\/a> habe ich \u00fcber das <em>Sicherheitsupdate f\u00fcr Gruppenrichtlinien (3163622)<\/em> berichtet, welches im Microsoft Sicherheits-Bulletin <a href=\"https:\/\/technet.microsoft.com\/library\/security\/MS16-072\" target=\"_blank\">MS16-072<\/a> adressiert wird. Dieses Sicherheitsupdate behebt eine Sicherheitsanf\u00e4lligkeit in Microsoft Windows. Diese k\u00f6nnte die Erh\u00f6hung von Berechtigungen zulassen, wenn ein Angreifer einen Man-in-the-Middle (MiTM)-Angriff auf den Datenverkehr zwischen einem Dom\u00e4nencontroller und dem Zielcomputer ausf\u00fchrt. Betroffen sind eigentlich alle Windows-Versionen.<\/p>\n<p>\u2013 Windows Vista Service Pack 2<br \/>\n\u2013 Windows Vista x64 Edition Service Pack 2<br \/>\n\u2013 Windows Server 2008 for 32-bit Systems Service Pack 2<br \/>\n(Windows Server 2008 Server Core installation affected)<br \/>\n\u2013 Windows Server 2008 for x64-based Systems Service Pack 2<br \/>\n(Windows Server 2008 Server Core installation affected)<br \/>\n\u2013 Windows Server 2008 for Itanium-based Systems Service Pack 2<br \/>\n\u2013 Windows 7 for 32-bit Systems Service Pack 1<br \/>\n\u2013 Windows 7 for x64-based Systems Service Pack 1<br \/>\n\u2013 Windows Server 2008 R2 for x64-based Systems Service Pack 1<br \/>\n(Windows Server 2008 R2 Server Core installation affected)<br \/>\n\u2013 Windows Server 2008 R2 for Itanium-based Systems Service Pack 1<br \/>\n\u2013 Windows 8.1 for 32-bit Systems<br \/>\n\u2013 Windows 8.1 for x64-based Systems<br \/>\n\u2013 Windows Server 2012<br \/>\n(Windows Server 2012 Server Core installation affected)<br \/>\n\u2013 Windows Server 2012 R2<br \/>\n(Windows Server 2012 R2 Server Core installation affected)<br \/>\n\u2013 Windows RT 8.1<br \/>\n\u2013 Windows 10 for 32-bit Systems<br \/>\n\u2013 Windows 10 for x64-based Systems<br \/>\n\u2013 Windows 10 Version 1511 for 32-bit Systems<br \/>\n\u2013 Windows 10 Version 1511 for x64-based Systems<\/p>\n<p>Der Fix erfolgt \u00fcber das Update <a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3159398\" target=\"_blank\">KB3159398<\/a>.<\/p>\n<h3>KB3159398 macht \u00c4rger<\/h3>\n<p>Bereits in den Kommentaren zum Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/15\/update-details-zum-microsoft-patchday-14-juni-2016\/\">Update-Details zum Microsoft Patchday 14. Juni 2016<\/a> kam der <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/15\/update-details-zum-microsoft-patchday-14-juni-2016\/#comment-32362\" target=\"_blank\">Hinweis von Blog-Leser Geronimo1.0<\/a>, dass es Probleme mit dem Update gibt.<\/p>\n<blockquote><p>Leider h\u00e4ngt die Installation jetzt schon eine Weile bei KB3159398. Irgendwas mit Group Police. Gibt auch schon was im Internet dazu zu lesen. Habe aber noch keine passende L\u00f6sung gefunden.<br \/>\nHattet Ihr Probleme mit diesem Update?<\/p><\/blockquote>\n<p>Nun hat mich Hanspeter H. in einem Google+-Beitrag auf ein Problem mit KB3159398 hingewiesen. Es gibt <a href=\"https:\/\/social.technet.microsoft.com\/Forums\/en-US\/e2ebead9-b30d-4789-a151-5c7783dbbe34\/patch-tuesday-kb3159398?forum=winserverGP\" target=\"_blank\">diesen Technet-Foreneintrag<\/a>, wo ein Nutzer unter Windows Server 2008 R2 das Problem anrei\u00dft. Nach dem Update k\u00f6nnen z.B. folgende Fehler auftreten:<\/p>\n<ul>\n<li>Desktop-Symbole f\u00fcr Verkn\u00fcpfungen werden nicht mehr sauber angezeigt.<\/li>\n<li>Laufwerke A:, B:, C: und D: sind vor dem Benutzer versteckt \u2013 das Drive-Mapping funktioniert nicht mehr (siehe <a href=\"http:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Microsoft-Patchday-Uralt-Luecke-aus-Windows-95-Zeiten-geschlossen\/Dank-Update-KB3159398-keine-Netzlaufwerke-mehr-per-GPO\/posting-28764689\/show\/\" target=\"_blank\">auch<\/a>).<\/li>\n<li>Diverse Gruppenrichtlinien (z.B. Drucker GPOs, <a href=\"https:\/\/www.reddit.com\/r\/sysadmin\/comments\/4o78yo\/kb3159398_or_kb3164033_seems_to_remove_all\/\" target=\"_blank\">siehe<\/a>) funktionieren nicht mehr.<\/li>\n<\/ul>\n<p>Es gibt eine ganze Anzahl an Benutzern im Forenthread, die den Fehler auf diversen Windows-Versionen best\u00e4tigen.<\/p>\n<h3>Workarounds zum Fixen der Problematik<\/h3>\n<p>Als Workaround kann man Update KB3159398 deinstallieren \u2013 was aber aus Sicherheitsgr\u00fcnden eine schlechte Idee ist. Einzelne Nutzer berichten im <a href=\"https:\/\/social.technet.microsoft.com\/Forums\/en-US\/e2ebead9-b30d-4789-a151-5c7783dbbe34\/patch-tuesday-kb3159398?forum=winserverGP\" target=\"_blank\">Technet-Foreneintrag<\/a>, dass man der GPO das Leserecht zuteilen kann, damit die Gruppenrichtlinien wieder funktionieren.<\/p>\n<blockquote><p>I can confirm that our broken GPO's were missing the Read permission for Authenticated Users on the delegation tab.\u00a0 Once that was added back the GPO's processed as expected, but clearly this is a change from the patch. It would be nice to know if the patch will be fixed, or do we need to start \"fixing\" GPO permissions.<\/p><\/blockquote>\n<p>Dieser Ansatz funktioniert aber nur auf Windows Server, wenn die Gruppenrichtlinien-Verwaltungskonsole <em>gpmc.msc<\/em> als entsprechende Rolle installiert ist (<a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/dn265969(v=ws.11).aspx\" target=\"_blank\">siehe<\/a> oder <a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/cc725932(v=ws.11).aspx\" target=\"_blank\">hier<\/a>, bzw. <a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/hh147307(v=ws.10).aspx\" target=\"_blank\">hier<\/a> f\u00fcr Windows 7 SP1).<\/p>\n<ul>\n<li>Hierzu ruft man die Gruppenrichtlinien-Verwaltungskonsole <em>gpmc.msc<\/em> auf (<a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/cc754347(v=ws.11).aspx\" target=\"_blank\">siehe<\/a>).<\/li>\n<li>Dann geht man zur Gruppenrichtlinie, die Probleme macht, und ruft die Delegation Registerkarte <em>Delegation<\/em> (Delegierung) auf.<\/li>\n<li>Anschlie\u00dfen l\u00e4sst sich \"Authenticated Users\" als Gruppe mit Read-Permission zuweisen (siehe <a href=\"https:\/\/technet.microsoft.com\/de-de\/library\/cc739363#BKMK_Adduser\" target=\"_blank\">auch<\/a>).<\/li>\n<\/ul>\n<p>Ich habe keinen Windows Server lauff\u00e4hig, kann also keine Screenshots zeigen. Vielleicht hilft es aber trotzdem weiter.<\/p>\n<h3>Nachtrag: Best\u00e4tigung des Workarounds durch Microsoft<\/h3>\n<p>Zwischenzeitlich wurde von Microsoft der KB-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3163622\" target=\"_blank\">KB3163622<\/a> (MS16-072: Security update for Group Policy: June 14, 2016) erweitert. Beim Schreiben des Blog-Beitrags habe ich noch nichts davon gesehen. Danke an Hanspeter Holzer f\u00fcr den Hinweis. Hier die Erg\u00e4nzung durch Microsoft.<\/p>\n<blockquote><p><strong>Known issues<\/strong><\/p>\n<p>MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers' computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user's security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context. This issue is applicable for the following KB articles:<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3159398\">3159398<\/a> MS16-072: Description of the security update for Group Policy: June 14, 2016<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3163017\">3163017<\/a> Cumulative update for Windows 10: June 14, 2016<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3163018\">3163018<\/a> Cumulative update for Windows 10 Version 1511 and Windows Server 2016 Technical Preview 4: June 14, 2016<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/3163016\">3163016<\/a> Cumulative Update for Windows Server 2016 Technical Preview 5: June 14 2016<\/li>\n<\/ul>\n<p><strong>Symptoms<\/strong><\/p>\n<p>All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.<\/p>\n<h5>Cause<\/h5>\n<p>This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.<\/p>\n<p><strong>Resolution<\/strong><\/p>\n<p>To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:<\/p>\n<ul>\n<li>Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).<\/li>\n<li>If you are using security filtering, add the Domain Computers group with read permission.<\/li>\n<\/ul>\n<\/blockquote>\n<h3>Nachtrag #1: PowerShell-Script zum Fixen<\/h3>\n<p>Mein MVP-Kollege <a href=\"http:\/\/www.gruppenrichtlinien.de\/ueber-mich\/ueber-mark-heitbrink\/\" target=\"_blank\">Mark Heitbrink<\/a> hat mich auf den Artikel <a href=\"https:\/\/sdmsoftware.com\/group-policy-blog\/bugs\/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior\/\" target=\"_blank\">New Group Policy Patch MS16-072\u2013 \"Breaks\" GP Processing Behavior<\/a> hingewiesen. Dort hat Benutzer Darren ein kleines Powershell-Script bereitgestellt, mit dem man die Read Permission der GPOs automatisch hinzuf\u00fcgen lassen kann. Details im englischsprachigen Artikel.<\/p>\n<h3>Nachtrag #2: Warum streiken Richtlinien<\/h3>\n<p>Es klang bereits in den Kommentaren weiter unten an. Mit dem Update \u00e4ndert Microsoft die Art, wie die Sicherheitsfilterung bei Gruppenrichtlinien funktioniert. Ich selbst bin in der Thematik nicht drin, da Server-Umgebungen nicht so mein Baustelle sind. Daher verweise ich auf den Artikel\u00a0<a href=\"http:\/\/www.gruppenrichtlinien.de\/artikel\/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016\/\" target=\"_blank\">Sicherheitsfilterung neu erfunden &#8211; MS16-072 &#8211; Patchday 14.06.2016<\/a>\u00a0meines MVP-Kollegen Marc Heitbrink von gruppenrichtlinien.de. Dort wird erkl\u00e4rt, was sich mit MS16-072 ge\u00e4ndert hat und wie man sauber darauf reagieren sollte. Ich hoffe, es hilft weiter.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Update KB3159398, welches zum Juni 2016-Patchday ausgerollt wurde, f\u00fchrt offenbar zu Problemen mit der Verarbeitung von Gruppenrichtlinien unter Windows. Nachtrag: Microsoft hat reagiert und den KB-Artikel aktualisiert (siehe Erg\u00e4nzung inside). Und es gibt ein PowerShell-Script zum Fixen, sowie einen Artikel &hellip; <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/16\/windows-gpo-update-kb3159398-macht-probleme\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,185,3694],"tags":[24,5060,4325],"class_list":["post-178358","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-update","category-windows-10","tag-problem","tag-update-kb3159398","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178358"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178358\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}