dev-wanted
Goto Top

Remote Computerverwaltung (Firewall, Gruppenrichtlinie)

Hallo,

folgendes, wir haben eine Domäne auf einem Windows 2008 R2 Server mit ca. 2000 Benutzern (die meisten davon Schüler). Die Benutzer haben lokale Adminrechte auf den PC's um Programme installieren bzw. deinstallieren zu können (die Arbeit mit dem PC soll so wenig wie möglich eingeschränkt werden), mit HDGuard werden die PC's nach einem Neustart immer wieder auf den Ursprünglichen Stand zurückgesetzt.

Das Problem ist jetzt, das einige Schüler herausgefunden haben, das man in der Computerverwaltung (oder über die MMC, Registry, ...) eine Verbindung zu einem anderem PC aufbauen kann, darüber können sie dann Programm ausführen (Aufgabenplanung), haben Zugriff auf die Lokalen Festplatten (da C und D standardmäßig freigegeben sind??) , können Dienste beenden und sie können Datenträger formatieren. Welche Richtlinie, bzw. Firewallregel muss gesetzt werden um das zu unterbinden? Ich könnte natürlich die lokalen Adminrechte wegnehmen, aber das möchte ich ungern tun.

Habe gelesen das, dass über den Port 135 läuft, gibt es Probleme wenn ich den über eine eingehende Firewallregel sperre z.B. mit der Verbindung zum DC?

Danke schon mal im Voraus.

Gruß
Dev-Wanted

Content-Key: 256508

Url: https://administrator.de/contentid/256508

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: colinardo
Lösung colinardo 02.12.2014 aktualisiert um 23:05:52 Uhr
Goto Top
Hallo Dev-Wanted, Willkommen auf Administrator.de!
In folgendem Beitrag kannst du nachlesen was nötig ist um mit der MMC Remote zu arbeiten, daran kannst du ableiten was du sperren musst.
Computerverwaltung - Zugriff per Remote in einer Domänenfirewall freigeben?
Wenn du auf den Clients die Datei- und Druckerfreigabe und zusätzlich Port 135 sperrst haben sie schon mal über die üblichen Methoden keinen Zugriff mehr auf andere Rechner. Die zentrale Verwaltung der Clients ist damit jedoch ebenfalls lahmgelegt, außer du konfigurierst eine Firewall-Ausnahme (IP-Range) für den Verwaltungsrechner dann kann dieser noch die PCs über die Remoteverwaltung(Port 135) konfigurieren, bei Bedarf.

da C und D standardmäßig freigegeben sind??
Stichwort Administrative Freigaben der Laufwerke(C$ / D$ etc.) Die sind aber nach Deaktivieren der Datei- und Druckerfreigabe sowieso nicht mehr erreichbar.

Die Kommunikation mit dem DC ist mit den obigen Maßnahmen aber nicht eingeschränkt.

Grüße Uwe

p.s. ich hoffe das ist nur ein LAB, und keine Produktiv-Domain, ansonsten ist das Unfug was Ihr da treibt.
Mitglied: DerWoWusste
Lösung DerWoWusste 02.12.2014 aktualisiert um 23:05:49 Uhr
Goto Top
Hi.

Ein ehrliches Kommentar vorneweg muss erlaubt sein: haarsträubend!
Dass Du denen Adminrechte gibst - Deine Sache. Aber dass Du nicht weißt, wie das Ganze funktioniert (denn ein Remotezugriff ist per default nicht möglich), aber gleichzeitig 2000 User administriert, das ist die Härte. Du solltest sehr vorsichtig sein, es könnte schon längst um jegliche Sicherheit Deiner Domäne geschehen sein.

Also:
-Die Firewall würde das in Default-Einstellungen schon unterbinden - warum läuft die nicht?
-warum haben die User denn Konten zur Verfügung, die auch remote Admins sind? Denn ohne Admin auf dem Zielsystem zu sein, wäre all das Beschriebene nicht möglich.
Mitglied: Dev-Wanted
Dev-Wanted 02.12.2014 um 20:48:30 Uhr
Goto Top
Danke für euere Antworten, werde es morge direkt umsetzen.

Zu meiner Verteidigung, ich bin neu an der Schule und soll den älteren Kollegen der das System bisher betreut hat unterstützen, ich komme eigentlich eher aus dem Linux-Bereich, Windows Server würde ich am Liebsten garnicht anpacken, muss es aber...
Mitglied: DerWoWusste
Lösung DerWoWusste 02.12.2014 aktualisiert um 22:58:28 Uhr
Goto Top
Aha.
Ich bin kein "Mecker-Becker", echt nicht, aber ich hoffe, der Ernst der Lage ist klar geworden.
Wenn man es mit Sicherheit ernst nehmen würde, wären jetzt genau 2 Schritte zu unternehmen: Die beschriebene Domäne komplett neu aufsetzen und die Verantwortlichen für den Schlamassel entlassen. Das ist leider mein Ernst. Sicherheit bekommst Du da nicht mehr nachträglich rein, wenn man es eng sieht.
Mitglied: Dev-Wanted
Dev-Wanted 02.12.2014 um 23:05:41 Uhr
Goto Top
Mir ist der ernst der Lage durchaus bewusst, leider hab ich nicht zuentscheiden wer entlassen wird, ich bin nur der jenige der die Trümer reparieren darf. Neuaufsetzen ist nicht so einfach, verklicker mal einer Person in Führungsposition, das ein kritisches Loch über Jahre hinweg offen stand. Mal sehen was für tolle Überraschungen ich noch zu Gesicht bekomme.
Mitglied: DerWoWusste
Lösung DerWoWusste 02.12.2014 aktualisiert um 23:57:45 Uhr
Goto Top
Es gehört zum Beheben der ersten Symptome nicht mehr als zum Verkonfigurieren:
Die benutzten Usernamen werden allgemein vorhandene Konten sein und sie sind bei allen Rechnern in der Admingruppe (oder nested, also Teil einer Gruppe, die in der Admingruppe ist, zum Beispiel Domänenadmins) - rausnehmen, geht per GPO ("restricted Groups")
Dann sollte die Firewall auf Defaults zurückgestellt werden (geht auch per GPO) und schon ist kein Remotezugriff mehr möglich. Warum sie überhaupt auf non-defaults stand (oder gar aus war), sollte vorher natürlich hinterfragt werden... kein Client sollte offene Ports anbieten müssen (zumindest nicht offen zu allen IPs), das ist Rolle der Server.

Aber wehe es geht dann darum zu entscheiden, was alles in der Zwischenzeit angestellt wurde und welchen Systemen man nicht mehr trauen darf - da würde ich leider pauschal mal "keinem" urteilen.