Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Remote Computerverwaltung (Firewall, Gruppenrichtlinie)

Frage Sicherheit Firewall

Mitglied: Dev-Wanted

Dev-Wanted (Level 1) - Jetzt verbinden

02.12.2014, aktualisiert 22:58 Uhr, 3148 Aufrufe, 6 Kommentare

Hallo,

folgendes, wir haben eine Domäne auf einem Windows 2008 R2 Server mit ca. 2000 Benutzern (die meisten davon Schüler). Die Benutzer haben lokale Adminrechte auf den PC's um Programme installieren bzw. deinstallieren zu können (die Arbeit mit dem PC soll so wenig wie möglich eingeschränkt werden), mit HDGuard werden die PC's nach einem Neustart immer wieder auf den Ursprünglichen Stand zurückgesetzt.

Das Problem ist jetzt, das einige Schüler herausgefunden haben, das man in der Computerverwaltung (oder über die MMC, Registry, ...) eine Verbindung zu einem anderem PC aufbauen kann, darüber können sie dann Programm ausführen (Aufgabenplanung), haben Zugriff auf die Lokalen Festplatten (da C und D standardmäßig freigegeben sind??) , können Dienste beenden und sie können Datenträger formatieren. Welche Richtlinie, bzw. Firewallregel muss gesetzt werden um das zu unterbinden? Ich könnte natürlich die lokalen Adminrechte wegnehmen, aber das möchte ich ungern tun.

Habe gelesen das, dass über den Port 135 läuft, gibt es Probleme wenn ich den über eine eingehende Firewallregel sperre z.B. mit der Verbindung zum DC?

Danke schon mal im Voraus.

Gruß
Dev-Wanted
Mitglied: colinardo
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hallo Dev-Wanted, Willkommen auf Administrator.de!
In folgendem Beitrag kannst du nachlesen was nötig ist um mit der MMC Remote zu arbeiten, daran kannst du ableiten was du sperren musst.
http://www.administrator.de/forum/computerverwaltung-zugriff-per-remote ...
Wenn du auf den Clients die Datei- und Druckerfreigabe und zusätzlich Port 135 sperrst haben sie schon mal über die üblichen Methoden keinen Zugriff mehr auf andere Rechner. Die zentrale Verwaltung der Clients ist damit jedoch ebenfalls lahmgelegt, außer du konfigurierst eine Firewall-Ausnahme (IP-Range) für den Verwaltungsrechner dann kann dieser noch die PCs über die Remoteverwaltung(Port 135) konfigurieren, bei Bedarf.

da C und D standardmäßig freigegeben sind??
Stichwort Administrative Freigaben der Laufwerke(C$ / D$ etc.) Die sind aber nach Deaktivieren der Datei- und Druckerfreigabe sowieso nicht mehr erreichbar.

Die Kommunikation mit dem DC ist mit den obigen Maßnahmen aber nicht eingeschränkt.

Grüße Uwe

p.s. ich hoffe das ist nur ein LAB, und keine Produktiv-Domain, ansonsten ist das Unfug was Ihr da treibt.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hi.

Ein ehrliches Kommentar vorneweg muss erlaubt sein: haarsträubend!
Dass Du denen Adminrechte gibst - Deine Sache. Aber dass Du nicht weißt, wie das Ganze funktioniert (denn ein Remotezugriff ist per default nicht möglich), aber gleichzeitig 2000 User administriert, das ist die Härte. Du solltest sehr vorsichtig sein, es könnte schon längst um jegliche Sicherheit Deiner Domäne geschehen sein.

Also:
-Die Firewall würde das in Default-Einstellungen schon unterbinden - warum läuft die nicht?
-warum haben die User denn Konten zur Verfügung, die auch remote Admins sind? Denn ohne Admin auf dem Zielsystem zu sein, wäre all das Beschriebene nicht möglich.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 20:48 Uhr
Danke für euere Antworten, werde es morge direkt umsetzen.

Zu meiner Verteidigung, ich bin neu an der Schule und soll den älteren Kollegen der das System bisher betreut hat unterstützen, ich komme eigentlich eher aus dem Linux-Bereich, Windows Server würde ich am Liebsten garnicht anpacken, muss es aber...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 22:58 Uhr
Aha.
Ich bin kein "Mecker-Becker", echt nicht, aber ich hoffe, der Ernst der Lage ist klar geworden.
Wenn man es mit Sicherheit ernst nehmen würde, wären jetzt genau 2 Schritte zu unternehmen: Die beschriebene Domäne komplett neu aufsetzen und die Verantwortlichen für den Schlamassel entlassen. Das ist leider mein Ernst. Sicherheit bekommst Du da nicht mehr nachträglich rein, wenn man es eng sieht.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 23:05 Uhr
Mir ist der ernst der Lage durchaus bewusst, leider hab ich nicht zuentscheiden wer entlassen wird, ich bin nur der jenige der die Trümer reparieren darf. Neuaufsetzen ist nicht so einfach, verklicker mal einer Person in Führungsposition, das ein kritisches Loch über Jahre hinweg offen stand. Mal sehen was für tolle Überraschungen ich noch zu Gesicht bekomme.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:57 Uhr
Es gehört zum Beheben der ersten Symptome nicht mehr als zum Verkonfigurieren:
Die benutzten Usernamen werden allgemein vorhandene Konten sein und sie sind bei allen Rechnern in der Admingruppe (oder nested, also Teil einer Gruppe, die in der Admingruppe ist, zum Beispiel Domänenadmins) - rausnehmen, geht per GPO ("restricted Groups")
Dann sollte die Firewall auf Defaults zurückgestellt werden (geht auch per GPO) und schon ist kein Remotezugriff mehr möglich. Warum sie überhaupt auf non-defaults stand (oder gar aus war), sollte vorher natürlich hinterfragt werden... kein Client sollte offene Ports anbieten müssen (zumindest nicht offen zu allen IPs), das ist Rolle der Server.

Aber wehe es geht dann darum zu entscheiden, was alles in der Zwischenzeit angestellt wurde und welchen Systemen man nicht mehr trauen darf - da würde ich leider pauschal mal "keinem" urteilen.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Firewall in Subnetz - Firewall in anderem Standort (5)

Frage von 121103 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Gruppenrichtlinien bei Vertrauensstellungen (2)

Frage von chb1982 zum Thema Windows Server ...

Firewall
Welche Firewall ? (18)

Frage von Cyberurmel zum Thema Firewall ...

Windows Server
Gruppenrichtlinie kann nicht gelesen werden? (2)

Frage von Maik20 zum Thema Windows Server ...

Neue Wissensbeiträge
Humor (lol)

Wohnt jemand in Belgien und kann nicht mehr ruhig ausschlafen?

(4)

Information von LordGurke zum Thema Humor (lol) ...

Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
Gruppenrichtlinie greift nicht zu! (24)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (16)

Frage von liquidbase zum Thema Voice over IP ...