Sicherheitsschloß

„Probleme mit Microsoft Updates im Juni 2016 – MS16-072″

Nach der Installation der Updates zum Security Bulletin MS16-072, speziell des Updates KB 3159398 auf Windows Server 2012 R2 Domain Controllern, konnten Clients keine Gruppenrichtlinien mehr beziehen.

Symptome zeigen sich z.B. durch Fehler bei einem manuellen GPUPDATE /FORCE. Dort wurden einzelne GPOs als nicht lesbar angezeigt. Hat man diese GPOs daraufhin (temporär) entfernt, so wurden einfach andere bemängelt. Wir konnten dieses Verhalten konsistent auf vielen Clients beobachten. Im Netz kursieren diverse Hinweise, wonach man die Leserechte auf die GPOs prüfen bzw. anpassen muss. Konkret sollten die Gruppen AUTHENTICATED USERS/AUTHENTIFIZIERTE BENUTZER bzw. DOMAIN COMPUTER/DOMÄNEN COMPUTER Leserecht auf die GPOs haben.

Falls diese Maßnahme das Problem nicht beseitigt, soll man laut diesen Tipps den Patch KB 3159398 entfernen.

Wir konnten jedoch weiterhin keinen Erfolg verzeichnen. Erst die Deinstallation des Updates KB 3161561 (ebenfalls vom 14.06.2016) behob das Problem.

Eventuell besteht hier ein Zusammenhang mit den gehärteten UNC-Pfaden/“hardened UNC-Paths“, die in 2015 eingeführt wurden. Mehr Informationen dazu gibt es auch hier: https://social.technet.microsoft.com/Forums/windows/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP

Aufgrund der Kürze der Zeit haben wir noch keine umfassendere Analyse durchgeführt und warten erst einmal auf Neuigkeiten von MS“.