Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Remote Computerverwaltung (Firewall, Gruppenrichtlinie)

Frage Sicherheit Firewall

Mitglied: Dev-Wanted

Dev-Wanted (Level 1) - Jetzt verbinden

02.12.2014, aktualisiert 22:58 Uhr, 2783 Aufrufe, 6 Kommentare

Hallo,

folgendes, wir haben eine Domäne auf einem Windows 2008 R2 Server mit ca. 2000 Benutzern (die meisten davon Schüler). Die Benutzer haben lokale Adminrechte auf den PC's um Programme installieren bzw. deinstallieren zu können (die Arbeit mit dem PC soll so wenig wie möglich eingeschränkt werden), mit HDGuard werden die PC's nach einem Neustart immer wieder auf den Ursprünglichen Stand zurückgesetzt.

Das Problem ist jetzt, das einige Schüler herausgefunden haben, das man in der Computerverwaltung (oder über die MMC, Registry, ...) eine Verbindung zu einem anderem PC aufbauen kann, darüber können sie dann Programm ausführen (Aufgabenplanung), haben Zugriff auf die Lokalen Festplatten (da C und D standardmäßig freigegeben sind??) , können Dienste beenden und sie können Datenträger formatieren. Welche Richtlinie, bzw. Firewallregel muss gesetzt werden um das zu unterbinden? Ich könnte natürlich die lokalen Adminrechte wegnehmen, aber das möchte ich ungern tun.

Habe gelesen das, dass über den Port 135 läuft, gibt es Probleme wenn ich den über eine eingehende Firewallregel sperre z.B. mit der Verbindung zum DC?

Danke schon mal im Voraus.

Gruß
Dev-Wanted
Mitglied: colinardo
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hallo Dev-Wanted, Willkommen auf Administrator.de!
In folgendem Beitrag kannst du nachlesen was nötig ist um mit der MMC Remote zu arbeiten, daran kannst du ableiten was du sperren musst.
http://www.administrator.de/forum/computerverwaltung-zugriff-per-remote ...
Wenn du auf den Clients die Datei- und Druckerfreigabe und zusätzlich Port 135 sperrst haben sie schon mal über die üblichen Methoden keinen Zugriff mehr auf andere Rechner. Die zentrale Verwaltung der Clients ist damit jedoch ebenfalls lahmgelegt, außer du konfigurierst eine Firewall-Ausnahme (IP-Range) für den Verwaltungsrechner dann kann dieser noch die PCs über die Remoteverwaltung(Port 135) konfigurieren, bei Bedarf.

da C und D standardmäßig freigegeben sind??
Stichwort Administrative Freigaben der Laufwerke(C$ / D$ etc.) Die sind aber nach Deaktivieren der Datei- und Druckerfreigabe sowieso nicht mehr erreichbar.

Die Kommunikation mit dem DC ist mit den obigen Maßnahmen aber nicht eingeschränkt.

Grüße Uwe

p.s. ich hoffe das ist nur ein LAB, und keine Produktiv-Domain, ansonsten ist das Unfug was Ihr da treibt.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:05 Uhr
Hi.

Ein ehrliches Kommentar vorneweg muss erlaubt sein: haarsträubend!
Dass Du denen Adminrechte gibst - Deine Sache. Aber dass Du nicht weißt, wie das Ganze funktioniert (denn ein Remotezugriff ist per default nicht möglich), aber gleichzeitig 2000 User administriert, das ist die Härte. Du solltest sehr vorsichtig sein, es könnte schon längst um jegliche Sicherheit Deiner Domäne geschehen sein.

Also:
-Die Firewall würde das in Default-Einstellungen schon unterbinden - warum läuft die nicht?
-warum haben die User denn Konten zur Verfügung, die auch remote Admins sind? Denn ohne Admin auf dem Zielsystem zu sein, wäre all das Beschriebene nicht möglich.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 20:48 Uhr
Danke für euere Antworten, werde es morge direkt umsetzen.

Zu meiner Verteidigung, ich bin neu an der Schule und soll den älteren Kollegen der das System bisher betreut hat unterstützen, ich komme eigentlich eher aus dem Linux-Bereich, Windows Server würde ich am Liebsten garnicht anpacken, muss es aber...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 22:58 Uhr
Aha.
Ich bin kein "Mecker-Becker", echt nicht, aber ich hoffe, der Ernst der Lage ist klar geworden.
Wenn man es mit Sicherheit ernst nehmen würde, wären jetzt genau 2 Schritte zu unternehmen: Die beschriebene Domäne komplett neu aufsetzen und die Verantwortlichen für den Schlamassel entlassen. Das ist leider mein Ernst. Sicherheit bekommst Du da nicht mehr nachträglich rein, wenn man es eng sieht.
Bitte warten ..
Mitglied: Dev-Wanted
02.12.2014 um 23:05 Uhr
Mir ist der ernst der Lage durchaus bewusst, leider hab ich nicht zuentscheiden wer entlassen wird, ich bin nur der jenige der die Trümer reparieren darf. Neuaufsetzen ist nicht so einfach, verklicker mal einer Person in Führungsposition, das ein kritisches Loch über Jahre hinweg offen stand. Mal sehen was für tolle Überraschungen ich noch zu Gesicht bekomme.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 02.12.2014, aktualisiert um 23:57 Uhr
Es gehört zum Beheben der ersten Symptome nicht mehr als zum Verkonfigurieren:
Die benutzten Usernamen werden allgemein vorhandene Konten sein und sie sind bei allen Rechnern in der Admingruppe (oder nested, also Teil einer Gruppe, die in der Admingruppe ist, zum Beispiel Domänenadmins) - rausnehmen, geht per GPO ("restricted Groups")
Dann sollte die Firewall auf Defaults zurückgestellt werden (geht auch per GPO) und schon ist kein Remotezugriff mehr möglich. Warum sie überhaupt auf non-defaults stand (oder gar aus war), sollte vorher natürlich hinterfragt werden... kein Client sollte offene Ports anbieten müssen (zumindest nicht offen zu allen IPs), das ist Rolle der Server.

Aber wehe es geht dann darum zu entscheiden, was alles in der Zwischenzeit angestellt wurde und welchen Systemen man nicht mehr trauen darf - da würde ich leider pauschal mal "keinem" urteilen.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Windows Server
Windows Remote App - Ausgabe in lokales Office (1)

Frage von fluluk zum Thema Windows Server ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...