Обновление Windows 10 представило улучшение безопасности, при котором клиент Windows 10 не может просматривать общие ресурсы syslog и netlogon, чтобы предотвратить непреднамеренный доступ к этим местам.
Симптомы могут заключаться в том, что при любой попытке доступа к этим общим ресурсам с компьютера с Windows 10 пользователю будет предложено ввести учетные данные для входа, и даже учетная запись администратора домена не получит доступ.
Это можно решить, добавив UNC-путь DC (<\\ DC_name>) к Hardened UNC-пути в локальном редакторе GPO каждого клиента Windows 10, который может быть расположен в
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths
Теперь это рабочее решение, но оно не идеально, так как у нас более 120 клиентов (некоторые из них находятся на географически удаленных сайтах), и делать их вручную не так удобно, не говоря уже о том факте, что это сводит на нет всю цель выбора контроллер домена для централизованного управления клиентами.
При попытке протолкнуть такую настройку из GPO возникают 2 проблемы:
Желаемый результат заключается в том, что эта проблема решается через DC, а не из каждого клиента Windows индивидуально.
Я с нетерпением жду возможности помочь.
Спасибо,
J
После дальнейшего исследования было определено, что эту проблему можно решить путем усиления защиты UNC-путей на клиентах вручную. Мы использовали следующий сценарий для более легкого достижения:
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
Это просто применяет защищенные пути UNC с помощью командной строки, а не щелкает через локальный объект групповой политики. Понятно, что решение по этому вопросу находится в разработке Microsoft.
Вы сказали, что помещаете DC_NAME в GPO как защищенный UNC. Примеры в базе знаний: \\*\Netlogon и \\*\Sysvol. Вероятно, не рекомендуется использовать имена контроллеров домена, потому что они меняются, и клиенты также могут использовать \\DOMAIN_NAME\Sysvol. Если вы по-прежнему используете определенные имена DC в настройках UNCH GPO, это может быть проблемой.
В вашем исходном посте никогда не упоминалось, что у вас есть смесь DC 2012 и 2003 годов. Похоже, у вас есть только DC 2012 года. UNCH никогда не использовался для ОС 2003 года.
Читать КБ https://support.microsoft.com/en-us/kb/3000483
Мы определили, что внедрение этих изменений в Windows Server 2003 SP2 потребует таких всеобъемлющих изменений архитектуры, что это дестабилизирует систему и приведет к проблемам совместимости приложений. Мы по-прежнему рекомендуем клиентам, заботящимся о безопасности, перейти на наши новейшие операционные системы, чтобы не отставать от угроз безопасности и пользоваться надежной современной защитой операционной системы.