Pular para o conteúdo principal

Active Directory - O que mudou em GPO após a atualização MS16-072 de 2016.

A atualização de segurança MS16-072, lançada em junho de 2016, causou um grande impacto na forma como muitos administradores gerenciavam suas GPOs e é fundamental entender o que ela mudou.

A mudança foi feita para corrigir uma vulnerabilidade de segurança que permitia ataques de "homem no meio" (man-in-the-middle), onde um invasor poderia escalar privilégios.

Para entender a mudança, vamos ver o cenário ANTES e DEPOIS da atualização.

O Cenário ANTES da Atualização MS16-072

Antes desta atualização, o processamento de GPOs de usuário funcionava da seguinte forma:

  1. Contexto de Segurança do Usuário: Quando um usuário fazia logon em uma máquina, o sistema operacional buscava e aplicava as GPOs de usuário usando o contexto de segurança do próprio usuário.

  2. Permissões Necessárias: Isso significava que, para uma GPO de usuário ser aplicada, apenas a conta do usuário precisava ter as permissões de "Leitura" e "Aplicar Política de Grupo" na GPO. A conta do computador em que o usuário estava logando não precisava de nenhuma permissão sobre aquela GPO específica.

O Problema Comum que Funcionava: Muitos administradores, ao criar uma GPO para um grupo específico (ex: "Financeiro"), faziam o seguinte:

Isso funcionava perfeitamente, pois os usuários do grupo "Financeiro" tinham permissão para ler e aplicar a política, e era tudo o que o sistema exigia.

A Vulnerabilidade que a MS16-072 Corrigiu

A falha de segurança residia no fato de que, como a busca da GPO era feita com as credenciais do usuário, um invasor na rede poderia interceptar essa comunicação. Ele poderia redirecionar o computador para um servidor malicioso e entregar uma GPO falsa, executando códigos com os privilégios daquele usuário.

O Cenário DEPOIS da Atualização MS16-072 (A Mudança Principal)

Para fechar essa brecha de segurança, a Microsoft alterou fundamentalmente o contexto no qual as GPOs de usuário são processadas.

  1. Contexto de Segurança do Computador: Após a atualização, o sistema passou a buscar as GPOs de usuário usando o contexto de segurança do COMPUTADOR. O computador agora baixa a política em nome do usuário.

  2. Novas Permissões Necessárias: Como consequência direta, para que uma GPO de usuário seja aplicada, agora AMBOS, o usuário E o computador, precisam de permissões na GPO:

    • O usuário (ou um grupo ao qual ele pertence) ainda precisa da permissão de "Aplicar Política de Grupo" (que já inclui a leitura).

    • O computador (ou um grupo ao qual ele pertence) agora precisa, no mínimo, da permissão de "Leitura" na GPO.

O Impacto Prático (Por que as GPOs "Quebraram"): Após a instalação da atualização, as GPOs configuradas da maneira antiga (removendo "Usuários Autenticados" e adicionando apenas um grupo de usuários) pararam de funcionar.

O motivo é que, ao remover "Usuários Autenticados", os administradores inadvertidamente removeram também a permissão de "Leitura" para as contas dos computadores, já que "Usuários Autenticados" inclui tanto usuários quanto computadores. Sem essa permissão, o computador não conseguia mais ler o conteúdo da GPO para aplicá-la ao usuário, e a política era simplesmente ignorada.

A Solução Correta Pós-MS16-072

Para que suas GPOs filtradas por grupos de usuários voltem a funcionar corretamente e de forma segura, a prática recomendada é:

  1. Na seção "Filtragem de Segurança" da GPO, mantenha apenas os grupos de usuários que devem receber a política (ex: "Financeiro").

  2. Vá para a aba "Delegação" da GPO.

  3. Clique no botão "Avançado".

  4. Clique em "Adicionar..." e adicione o grupo "Usuários Autenticados" (ou, de forma mais explícita, o grupo "Computadores do Domínio").

  5. Selecione o grupo que você acabou de adicionar e, na lista de permissões, marque APENAS a caixa de seleção "Leitura" na coluna "Permitir". Certifique-se de que a permissão "Aplicar política de grupo" esteja desmarcada para este grupo.

Fazendo isso, você atinge o requisito de segurança:

  • Usuários do Financeiro: Têm permissão para Aplicar a política (via Filtragem de Segurança).

  • Todos os Computadores Autenticados: Têm permissão para Ler a política (via Delegação), permitindo que o processo funcione como o esperado.

Permissão Necessária para GPO de UsuárioAntes do MS16-072Depois do MS16-072
Do UsuárioLeitura & AplicarLeitura & Aplicar
Do ComputadorNenhumaLeitura (no mínimo)

 

Após a mudança fundamental introduzida pela atualização MS16-072 em 2016

 Não houve outra alteração tão impactante ou que tenha quebrado a retrocompatibilidade no mecanismo principal de processamento e segurança das GPOs. A alteração do contexto de segurança do usuário para o computador foi, de longe, a mais significativa das últimas décadas.

No entanto, isso não significa que não houve evoluções. As mudanças que ocorreram desde então podem ser categorizadas da seguinte forma:

1. Expansão Contínua de Configurações de GPO (Novos ADMX)

A cada nova versão do Windows (Windows 10, Windows 11) e do Windows Server (2019, 2022), a Microsoft introduz centenas de novas configurações de política de grupo. Elas permitem que administradores gerenciem os novos recursos e funcionalidades desses sistemas operacionais.

  • Exemplos: Políticas para controlar o Microsoft Edge, configurar o Windows Hello para Empresas, gerenciar recursos de segurança como o Credential Guard e o Device Guard, e personalizar a experiência do usuário no Windows 11.

  • Impacto: Essas são adições, não mudanças no funcionamento base. Os administradores precisam apenas baixar e instalar os novos modelos administrativos (arquivos ADMX/ADML) no seu repositório central (Central Store) para poderem utilizá-las.

2. Melhorias de Segurança e Correções

Houve diversas atualizações de segurança posteriores que corrigiram vulnerabilidades relacionadas a GPOs, mas nenhuma alterou a lógica de aplicação como a MS16-072. Um exemplo notável foi a vulnerabilidade conhecida como "Group Policy Caching Vulnerability" (CVE-2021-26414), que poderia permitir que um usuário padrão acessasse arquivos de GPO em cache com permissões elevadas. A correção foi aplicada de forma transparente via Windows Update, sem exigir uma mudança de procedimento por parte dos administradores.

3. Foco Crescente em Gerenciamento Moderno (Intune)

Talvez a maior "mudança" no ecossistema de gerenciamento não seja em GPO, mas na estratégia da Microsoft. Há um foco crescente no gerenciamento de dispositivos baseado em nuvem através do Microsoft Intune (parte da suíte Microsoft Endpoint Manager).

  • Configuration Profiles: O Intune utiliza "Perfis de Configuração" em vez de GPOs para gerenciar dispositivos, sejam eles ingressados no Active Directory tradicional, no Azure AD (atualmente Microsoft Entra ID) ou híbridos.

  • Group Policy Analytics: Para facilitar a transição, o Intune possui uma ferramenta chamada "Group Policy Analytics", que permite importar e analisar suas GPOs locais para verificar quais configurações são compatíveis e podem ser "traduzidas" para políticas de nuvem.

  • Coexistência: A Microsoft promove um modelo de cogerenciamento, onde GPOs continuam a gerenciar os dispositivos locais enquanto o Intune gerencia dispositivos remotos ou aplica configurações que as GPOs não cobrem.

Conclusão

Em resumo, a regra estabelecida pela MS16-072 (de que o computador precisa de permissão de Leitura para aplicar GPOs de usuário) continua sendo o padrão ouro e a prática recomendada até hoje. Você pode ficar tranquilo que, se suas GPOs estão configuradas corretamente de acordo com essa diretriz, nenhuma atualização posterior quebrou essa lógica.

As principais novidades desde então foram a adição de novas políticas para sistemas operacionais modernos e o desenvolvimento de uma plataforma paralela de gerenciamento em nuvem (Intune), que representa o futuro do gerenciamento de endpoints para a Microsoft.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »