Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Remote Computerverwaltung (Firewall, Gruppenrichtlinie)

Frage Sicherheit Firewall

Mitglied: Dev-Wanted

Dev-Wanted (Level 1) - Jetzt verbinden

02.12.2014, aktualisiert 22:58 Uhr, 3216 Aufrufe, 6 Kommentare

Hallo,

folgendes, wir haben eine Domäne auf einem Windows 2008 R2 Server mit ca. 2000 Benutzern (die meisten davon Schüler). Die Benutzer haben lokale Adminrechte auf den PC's um Programme installieren bzw. deinstallieren zu können (die Arbeit mit dem PC soll so wenig wie möglich eingeschränkt werden), mit HDGuard werden die PC's nach einem Neustart immer wieder auf den Ursprünglichen Stand zurückgesetzt.

Das Problem ist jetzt, das einige Schüler herausgefunden haben, das man in der Computerverwaltung (oder über die MMC, Registry, ...) eine Verbindung zu einem anderem PC aufbauen kann, darüber können sie dann Programm ausführen (Aufgabenplanung), haben Zugriff auf die Lokalen Festplatten (da C und D standardmäßig freigegeben sind??) , können Dienste beenden und sie können Datenträger formatieren. Welche Richtlinie, bzw. Firewallregel muss gesetzt werden um das zu unterbinden? Ich könnte natürlich die lokalen Adminrechte wegnehmen, aber das möchte ich ungern tun.

Habe gelesen das, dass über den Port 135 läuft, gibt es Probleme wenn ich den über eine eingehende Firewallregel sperre z.B. mit der Verbindung zum DC?

Danke schon mal im Voraus.

Gruß
Dev-Wanted
Mitglied: colinardo
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hallo Dev-Wanted, Willkommen auf Administrator.de!
In folgendem Beitrag kannst du nachlesen was nötig ist um mit der MMC Remote zu arbeiten, daran kannst du ableiten was du sperren musst.
http://www.administrator.de/forum/computerverwaltung-zugriff-per-remote ...
Wenn du auf den Clients die Datei- und Druckerfreigabe und zusätzlich Port 135 sperrst haben sie schon mal über die üblichen Methoden keinen Zugriff mehr auf andere Rechner. Die zentrale Verwaltung der Clients ist damit jedoch ebenfalls lahmgelegt, außer du konfigurierst eine Firewall-Ausnahme (IP-Range) für den Verwaltungsrechner dann kann dieser noch die PCs über die Remoteverwaltung(Port 135) konfigurieren, bei Bedarf.

da C und D standardmäßig freigegeben sind??
Stichwort Administrative Freigaben der Laufwerke(C$ / D$ etc.) Die sind aber nach Deaktivieren der Datei- und Druckerfreigabe sowieso nicht mehr erreichbar.

Die Kommunikation mit dem DC ist mit den obigen Maßnahmen aber nicht eingeschränkt.

Grüße Uwe

p.s. ich hoffe das ist nur ein LAB, und keine Produktiv-Domain, ansonsten ist das Unfug was Ihr da treibt.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hi.

Ein ehrliches Kommentar vorneweg muss erlaubt sein: haarsträubend!
Dass Du denen Adminrechte gibst - Deine Sache. Aber dass Du nicht weißt, wie das Ganze funktioniert (denn ein Remotezugriff ist per default nicht möglich), aber gleichzeitig 2000 User administriert, das ist die Härte. Du solltest sehr vorsichtig sein, es könnte schon längst um jegliche Sicherheit Deiner Domäne geschehen sein.

Also:
-Die Firewall würde das in Default-Einstellungen schon unterbinden - warum läuft die nicht?
-warum haben die User denn Konten zur Verfügung, die auch remote Admins sind? Denn ohne Admin auf dem Zielsystem zu sein, wäre all das Beschriebene nicht möglich.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 20:48 Uhr
Danke für euere Antworten, werde es morge direkt umsetzen.

Zu meiner Verteidigung, ich bin neu an der Schule und soll den älteren Kollegen der das System bisher betreut hat unterstützen, ich komme eigentlich eher aus dem Linux-Bereich, Windows Server würde ich am Liebsten garnicht anpacken, muss es aber...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 22:58 Uhr
Aha.
Ich bin kein "Mecker-Becker", echt nicht, aber ich hoffe, der Ernst der Lage ist klar geworden.
Wenn man es mit Sicherheit ernst nehmen würde, wären jetzt genau 2 Schritte zu unternehmen: Die beschriebene Domäne komplett neu aufsetzen und die Verantwortlichen für den Schlamassel entlassen. Das ist leider mein Ernst. Sicherheit bekommst Du da nicht mehr nachträglich rein, wenn man es eng sieht.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 23:05 Uhr
Mir ist der ernst der Lage durchaus bewusst, leider hab ich nicht zuentscheiden wer entlassen wird, ich bin nur der jenige der die Trümer reparieren darf. Neuaufsetzen ist nicht so einfach, verklicker mal einer Person in Führungsposition, das ein kritisches Loch über Jahre hinweg offen stand. Mal sehen was für tolle Überraschungen ich noch zu Gesicht bekomme.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:57 Uhr
Es gehört zum Beheben der ersten Symptome nicht mehr als zum Verkonfigurieren:
Die benutzten Usernamen werden allgemein vorhandene Konten sein und sie sind bei allen Rechnern in der Admingruppe (oder nested, also Teil einer Gruppe, die in der Admingruppe ist, zum Beispiel Domänenadmins) - rausnehmen, geht per GPO ("restricted Groups")
Dann sollte die Firewall auf Defaults zurückgestellt werden (geht auch per GPO) und schon ist kein Remotezugriff mehr möglich. Warum sie überhaupt auf non-defaults stand (oder gar aus war), sollte vorher natürlich hinterfragt werden... kein Client sollte offene Ports anbieten müssen (zumindest nicht offen zu allen IPs), das ist Rolle der Server.

Aber wehe es geht dann darum zu entscheiden, was alles in der Zwischenzeit angestellt wurde und welchen Systemen man nicht mehr trauen darf - da würde ich leider pauschal mal "keinem" urteilen.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Remote Computerverwaltung zeigt keine Benutzer an
Frage von pobesaWindows 103 Kommentare

Hi alle zusammen, ich habe das Problem das ein ehemaliger EDVler von uns jetzt in einer anderen Abteilung tätig ...

Windows Server
Computerverwaltung - Zugriff per Remote in einer Domänenfirewall freigeben?
gelöst Frage von geTr0ffEnWindows Server6 Kommentare

Hallo zusammen, ich hänge gerade an dem Problem, dass ich per Remote auf die Computerverwaltung eines Notebooks zuzugreifen. Der ...

Windows Server
Windows Firewall über Gruppenrichtlinien ändern
Frage von ultrapWindows Server11 Kommentare

Hallo zusammen! Gegebenheiten: Windows Server 2003 Domänencontroller 1 und 2 Alle Clients Windows 7 Pro Auf allen Clients ist ...

Windows Server
Gruppenrichtlinie Verwaltung der Firewall am Client aktivieren
gelöst Frage von SebastianProWindows Server3 Kommentare

Hallo, ich habe einen Windows Server 2012 R2 und hier ist eine Gruppenrichtlinie aktiviert, welche bewirkt, dass die Clients ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 8 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 12 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 12 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 15 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...