Donnerstag, 27. Juni 2013

Sicherheitseinstellungen für Systemdienste werden nicht übernommen

Heute wieder eine ganz besondere Konstellation.
Es gibt ein unerwartetes Verhalten der Security CSE beim Setzen von ACLs (Access Control Lists) für Systemdienste.

Bevor wir jedoch zum eigentlichen Problem kommen, hier erst ein paar Hintergrundinformationen.

So funktioniert die Security CSE:

In den Gruppenrichtlinien lassen sich unter anderem Sicherheitseinstellungen für Systemdienste definieren.




Diese Einstellungen werden in der Datei GptTmpl.inf gespeichert.

Diese Datei befindet sich unter:

\\domain.intern\sysvol\domain.intern\Policies\{GUID}\Machine\Microsoft\Windows NT\SecEdit


Die ACLs werden jedoch nicht direkt von diesem File aus angewendet, sondern es werden zunächst alle Richtlinien gesammelt, die Sicherheitseinstellungen enthalten.

Dieser Cache liegt im Verzeichnis %systemroot%\security\templates\policies.

Dort werden verschiedene *.dom und *.inf Dateien abgelegt.

Anwenden von mehreren Policies die Sicherheitseinstellungen enthalten


Nun zum eigentlichen Problem. 
Nehmen wir an, wir haben eine OU auf der zwei Richtlinien verlinkt sind.
Richtlinie 2 hat eine höhere Priorität als Richtlinie 1.
Richtlinie 2 wird also später verarbeitet als Richtlinie 1.

Richtlinie 1 enthält diese Einstellungen:
 



Richtlinie 2 enthält diese Einstellungen:




Da Richtlinie 2 keine Sicherheitseinstellungen enthält, sollten eigentlich die Einstellungen von Richtlinie 1 angewendet werden.
(Gruppe JEDER Zugriff verweigern)


Sichtbar ist dies auch im RSoP (Resultant Set of Policies).

Das ist jedoch nicht der Fall. Die Sicherheitseinstellung des genannten Dienstes werden nicht angepasst

Richtlinien die also Sicherheitseinstellungen für Dienste enthalten, müssen immer höher priorisiert sein als Richtlinien die keine Sicherheitseinstellung enthalten.

Möchte man nur den Starttyp definieren, sollte man dies nach Möglichkeit mittels Group Policy Preferences lösen.