10
2016er Terminalserveradmins aufgepasst - kontrollieren tut Not!
Dies wird vermutlich die am einfachsten auszunutzende Sicherheitslücke für Terminalserver 2016 aller Zeiten sein.
Bis zum Juni17-Patch (KB4022723) war Server 2016 durch Fehleinstellung seitens Microsoft schwer verwundbar, OS Build 14393.1358 und niedriger sind betroffen. Ein angemeldeter Nutzer auf einem Terminalserver konnte einfach einen Startup Ordner im Defaultprofil erstellen und dort Malware abladen. Wenn sich danach ein neuer Nutzer auf dem Server anmeldete (Erstanmeldung!), dann wurde sofort diese Malware ausgeführt. Fast unglaublich.
Also:
1. Patchen, wenn nicht schon geschehen
2. Unbedingt den Ordner C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup kontrollieren! Auch nach dem Patch wird alles dort Vorhandene von neuen Nutzern automatisch gestartet! - Auch an die anderen Nutzerprofil-Startups denken, die bereits bestehen*
3. (optional) am besten gleich per GPO bei allen Win10 und Server 2016 die ACL für C:\Users\Default festlegen auf die Werte, die ein frisch installiertes Win10 v1703 hat:
Siehe auch Windows 10 default user profile potentially writable by everyone
* Skriptvorschlag zum Kontrollieren (ausführen als Admin auf einem elevated command prompt):
PS: dies gilt natürlich auch für alle Windows 10, die auf v1607 sind oder von 1607 upgegradet wurden! Auch hier sollte man bei allen prüfen, um sicherzugehen, dass kein Benutzer anderen etwas unterschiebt bzw. dem Admin etwas unterschiebt.
Bis zum Juni17-Patch (KB4022723) war Server 2016 durch Fehleinstellung seitens Microsoft schwer verwundbar, OS Build 14393.1358 und niedriger sind betroffen. Ein angemeldeter Nutzer auf einem Terminalserver konnte einfach einen Startup Ordner im Defaultprofil erstellen und dort Malware abladen. Wenn sich danach ein neuer Nutzer auf dem Server anmeldete (Erstanmeldung!), dann wurde sofort diese Malware ausgeführt. Fast unglaublich.
Also:
1. Patchen, wenn nicht schon geschehen
2. Unbedingt den Ordner C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup kontrollieren! Auch nach dem Patch wird alles dort Vorhandene von neuen Nutzern automatisch gestartet! - Auch an die anderen Nutzerprofil-Startups denken, die bereits bestehen*
3. (optional) am besten gleich per GPO bei allen Win10 und Server 2016 die ACL für C:\Users\Default festlegen auf die Werte, die ein frisch installiertes Win10 v1703 hat:
icacls C:\Users\Default
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
Everyone:(RX)
Everyone:(OI)(CI)(IO)(GR,GE)Siehe auch Windows 10 default user profile potentially writable by everyone
* Skriptvorschlag zum Kontrollieren (ausführen als Admin auf einem elevated command prompt):
for /f %a in ('dir /b c:\users') do dir /b "C:\Users\%a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup">>%temp%\hoffentlich_leer.txt PS: dies gilt natürlich auch für alle Windows 10, die auf v1607 sind oder von 1607 upgegradet wurden! Auch hier sollte man bei allen prüfen, um sicherzugehen, dass kein Benutzer anderen etwas unterschiebt bzw. dem Admin etwas unterschiebt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345218
Url: https://administrator.de/contentid/345218
Printed on: April 19, 2024 at 14:04 o'clock
10 Comments
Latest comment
DANKE für den Hinweis.
Have a nice day.
Gruss Penny
Have a nice day.
Gruss Penny
Danke für den Tipp, aber was mir so als Gedanke kommt, wäre es da nicht besser, der Nutzer könnte in diese Bereiche gar nicht reinschreiben?
Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.
Zitat von @DerWoWusste:
Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.
Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.
Ah, ok, danke, jetzt hab ichs kapiert.
moin..
Wow... Danke für dem Hinweis...
Frank
Wow... Danke für dem Hinweis...
Frank
Ich habe dem Skript noch ein /b hinzugefügt - so wird die Datei %temp%\hoffentlich_leer.txt dann auch wirklich leer, wenn nirgendwo startup items eingetragen sind.
Wie läuft Server 2016 jetzt eigentlich so? Hinsichtlich RemoteApp/Remote Desktop?
Gut. Wir lassen ja nur Chrome drauf laufen. Verbraucht jedoch mehr RAM als der 2012R2 - aber vielleicht liegt's auch an Chrome. Unter 2012 waren wir ja bei v45 oder so, jetzt ist ja schon 60 aktuell.
Stabilität ist unverändert, rdp-Grafik ist etwas schneller.
Stabilität ist unverändert, rdp-Grafik ist etwas schneller.
Okay, auf Server 2016 läuft jetzt ja standardmäßig der Windows Defender.
Hast du das Gefühl, dass der Server nun ressourcen hungriger ist? Vor allem eben beim Terminal Einsatz?
Hast du das Gefühl, dass der Server nun ressourcen hungriger ist? Vor allem eben beim Terminal Einsatz?
Du musst das selbst testen. Ich habe beschrieben, dass mir ein Vergleich nicht leicht fällt, da wir nur eine Anwendung nutzen und die bereits x Versionen höher ist, als damals unter 2012R2.
