Windows Server 2016 + CIS 安全基准:GP 对象上“拒绝访问”,锁定所有共享(包括 SYSVOL)

Windows Server 2016 + CIS 安全基准:GP 对象上“拒绝访问”,锁定所有共享(包括 SYSVOL)

我们有一个 Active Directory 域,域控制器上装有 Windows Server 2016,所有客户端上都装有最新的 Windows 10。不久前,我开始通过组策略在域上部署互联网安全中心 (CIS) 1 级安全基准:默认域策略中的 Windows 10 基准,默认控制器策略中基于 Windows Server 2012 R2 文档(目前还没有 2016 年的文档)进行覆盖。我以前因粗心大意地强化 Windows 而吃过苦头,所以这次我逐一检查了所有设置,打开相关文档并检查任何不熟悉的选项的影响。它运行良好 - 直到今天,我终于把事情搞砸了。症状如下

  1. 在组策略管理中左键单击任何 GPO 都会显示“拒绝访问”错误框。但我仍然可以检查和操作对象属性,包括更改 GPO 状态;
  2. 打开其中一个 GPO 进行编辑时再次显示“访问被拒绝”,尽管是在不同的框中,并且当编辑器启动时可见的树条目用红色 X 标记;
  3. 回到组策略管理,如果我转到 GPO 的“详细信息”选项卡,我只能看到其 AD 版本。sysvol 中的版本被描述为不可用;
  4. 最后,当我跑步时gpupdate /force在任何域计算机(包括 DC 本身)上,我都会收到如下错误:

组策略处理失败。Windows 尝试从域控制器读取文件 \contoso.com\sysvol\contoso.com\Policies{foo}\gpt.ini,但未成功。在此事件解决之前,可能无法应用组策略设置。此问题可能是暂时的,可能由以下一个或多个原因导致:a) 当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。

不幸的是,我刚刚意识到我忘了检查事件日志中的相应错误代码,但是如果我将资源管理器指向 \contoso.com\sysvol\(或者任何在该服务器上共享,在路径中使用主机名和域名)我被要求提供凭据,但尚未找到可用的凭据,我打赌再次出现“访问被拒绝”的情况。顺便说一句,通过 DC 上的本地路径访问 sysvol 工作正常。

简而言之,至少后两种症状强烈表明我已成功将自己锁定在 SYSVOL 共享之外;不知道前两种症状是否也是由此引起的。顺便提一下,将域控制器重新启动到 DSRM 然后恢复正常模式后,一切工作了大约 10 分钟。

现在,我已经获得了最新的备份,因此我只需恢复到上次的工作状态即可。但是,我真正想要的是 a) 了解究竟哪些设置可能导致了这个问题(否则我可能很快会再次遇到同样的问题),以及 b) 弄清楚如何让我的域在所有强化措施到位的情况下工作(CIS 1 级基准测试是基线,它们不应该对功能产生太大影响...)。哦,还有 c)我是否仍然可以使用当前配置做任何事情。

有谁有强化 Windows 的经验,或者专门应用 CIS 基准测试的经验,可以给我一些建议吗?如果可以的话,提前谢谢您了!

更新:似乎我能够禁用有问题的策略,但无法撤消 SYSVOL 锁定。使用 secedit 将本地安全策略重置为默认值也无济于事,可能是因为该过程生成了所有“访问被拒绝”警告。

顺便说一句,我注意到一件有趣的事情是,如果我从以提升的权限启动的 PowerShell 提示符在 DC 上运行“net share SYSVOL”,它确实会返回预期的信息(与从正常提示符运行不同,它会给出 - 你猜对了! - “访问被拒绝”)。

答案1

好吧,虽然我仍然不知道问题最初是什么原因造成的,但至少我已经设法在不重新安装系统的情况下修复了它。不确定以下哪些步骤实际上是必要的,但大致如下:

  • dcgpofix /target:both(在 SYSVOL 上出现“访问被拒绝”错误)
  • 重启至 DSRM
  • secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose(给出了一堆“访问被拒绝”警告,但至少将用户权限分配和安全选项重置为默认值)
  • 重启回到正常模式
  • dcgpofix /target:both 再次(最终解决问题)
  • 从备份中恢复最后一个已知的良好默认 GPO

希望对于那些面临同样困境的人来说,这能够有所帮助。

相关内容