Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Terminalserver user können Registry ändern. Wie kritisch ist das?

Frage Microsoft Windows Server

Mitglied: Laefiss

Laefiss (Level 1) - Jetzt verbinden

25.11.2014, aktualisiert 11:15 Uhr, 1362 Aufrufe, 8 Kommentare

Guten Tag zusammen,

nach einer ausführlichen Suche in den handelsüblichen Suchmaschinen fehlt mir leider immer noch eine Antwort. (u.a. wie setzt sich die Registry eines terminalserver users zusammen?)

Szenario:
In einer großen AD-Umgebung hat sich heraus gestellt, dass die User des ADs auf ihre registry zugreifen und ggf. auch ändern dürfen.
Wurde per GPO abgestellt.

Meine Frage(n) ist/sind folgende.
Wie kritisch ist das? Könnte der User damit den terminalserver zerschießen?
Ich bin mir nämlich nicht sooo sicher, ob das "globale" Konsequenzen hätte, wenn er zum Beispiel Wert/Schlüssel aus HKEY_USERS löscht.

Gerne wäre ich auch für weiterführende Lektüre (deutsch oder englisch) dankbar.

Ich hoffe die Frage(n) sind verständlich, ansonsten bin ich natürlich bereit weitere Fragen zur Umgebung zu beantworten.
bedanke im Voraus.
Mitglied: DerWoWusste
25.11.2014 um 10:27 Uhr
Hi.

Der User hat Schreibrechte in seinem eigenen Berreich. Alle Änderungen, die er machen könnte, betreffen nur ihn. Er kann sich also maximal seine eigenen Programm- und Windowseinstellungen vergurken, nicht die anderer Nutzer. Natürlich kann er den Server nicht zerschießen.
Bitte warten ..
Mitglied: Chonta
25.11.2014 um 10:31 Uhr
Hallo,

?
Wie soll ich mir das vorstellen, der Benutzer logt sich am TS-Server ein darf dann regedit startten (kann man verbieten) und hat dann Schreibrechte auf den gesammten Registrybaum?
Im normal fall sollte ein Benutzer auch auf dem TS genau wie an einer Workstation nur auf bestimmte Bereiche unter HKCU und HKCC zugreifen dürfen und dort auch nicht einfach so alles löschen oder anlegen sondern max anpassen..

Gruß

Chonta
Bitte warten ..
Mitglied: departure69
25.11.2014 um 10:35 Uhr
Hallo.

Ein normaler, eingeschränkter Nutzer hat nur schreibenden (oder ändernden) Zugriff auf den Teil der Registry, der sich als einzelne Datei "ntuser.dat" in seinem Benutzerprofil befindet. Das ist an einem Windows-TS nicht anders als an einem normalen Windows-Rechner.

Daß einfache, restriktive Benutzer an der Datei "usrclass.dat" etwas ändern können, glaub ich jetzt einfach mal nicht. Hast du das wirklich getestet? Falls ja, haben Deine TS-Benutzer mehr als die ihnen zustehenden Standardbenutzerrechte. Dann würde ich genau dies mal prüfen.

Wenn es so ist, wie ich im ersten Absatz geschrieben habe, können die Nutzer den Terminalserver über die Registry nicht zerschiessen, sondern maximal nur ihr eigenes Profil.


Grüße

von

departure69
Bitte warten ..
Mitglied: Laefiss
25.11.2014 um 10:42 Uhr
Servus Chonta,

regedit starten haben wir verboten, war lange vorher nicht so...
Schreibrecht hat der user nicht komplett sondern "nur" auf seinen Bereich...

Habe mir in der Zwischenzeit weitere Gedanken gemacht.
Das wirklich kritische dabei zu sein scheint, dass er so ja seine gezogenen GPOs/ per GPO gezogenen Einstellungen umgehen kann. Müsste(der user) das aber vermutlich dann bei jeder neuen Anmeldung machen, da die registry-Einträge bei einer erneuten Anmeldung neu gesetzt werden.

Es stand bei uns die Assuage im Raum:
"JEDER USER DER ZUGRIFF AUF DIE REGISTRY HAT, KANN DEN TS KAPUTT SPIELEN"
Das habe ich jedoch stark angezweifelt und bin nun auf der Suche nach dem gegenteiligem Beweis.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 25.11.2014, aktualisiert um 11:15 Uhr
Hallo,

also. Jeder der SCHREIBZUGRIFF auf den Bereich hat der über CURRENUSER hinausgeht kann den ganzen Server schrotten, jeder andere nur sein eigenes Profil.
Es gibt viele Mittel und Wege aus den Eingeschrenkten Benutzerrechten auszubrechen, die Frage ist, glaubt ihr das eure Benutzer das drauf haben?
Wenn ja sollten die evtl mit in der ID arbeiten
Die Abarbeitung von GPO erfolgt nach dem Prinzip LSDOU wobei L für Lokal steht, was dann Lokalerichtlinien öder Registryeinstellungen wären.
Viele dieser Einstellungen erfordern einen Neustart, bei dem dann die GPO neu geladen und Angewendet werden und lokale Einstellungen überschrieben werden.
Man kann das nur testen, am beten eine VM mit 8.1 aufsetzen und dann mal als Domänenbenutzer versuchen die Registry zu löschen, neustarten und dann mit einem anderen anmelden.
Das was mit der VM passiert, kann auch potentiell mit dem Server passieren.

Gruß

Chonta
Bitte warten ..
Mitglied: departure69
LÖSUNG 25.11.2014, aktualisiert um 11:15 Uhr
Nochmal:

Völlig unabhängig davon, welche Zugriffe Du dem User auf die Registry erlaubst oder verbietest, und dies per GPO oder anderswie geschieht, das ist völlig Wumpe (es gibt schließlich auch noch andere Tools außer "Regedit", die sich der User irgendwo herunterladen kann und die kein Setup benötigen):

Ein normaler, eingeschränkter Standardbenutzer kann den Terminalserver nicht per Regedit zerschiessen. Kann er es doch, hat er schlichtweg zuviele Rechte (z. B. Hauptbenutzer oder lokaler Admin am TS oder erhöhte Rechte auf die Dateien, aus denen sich die Registry zusammensetzt - das sind sieben Stück, nur eine davon darf er über Regedit ändern, nämlich die "ntuser.dat", das entspricht dann HKEY_CURRENT_USER, und mit der kann er eben maximal seinen eigenen Reg-Zweig kaputtmachen, also letztlich nur sein eigenes Profil).

Die GPO, die ihm den Aufruf von "regedit" verbietet, würde ich natürlich trotzdem belassen, denn alles, was den Spiel- oder Forscherbetrieb eines normalen Nutzers (bezogen auf's System) einschränkt, ist anzuraten.

Grüße

von

departure69
Bitte warten ..
Mitglied: DerWoWusste
25.11.2014 um 11:03 Uhr
Das wirklich kritische dabei zu sein scheint, dass er so ja seine gezogenen GPOs/ per GPO gezogenen Einstellungen umgehen kann
Kann er nicht. Unterhalb von HKCU gibt es einen Bereich "Policies", da hat er keine Schreibrechte und da sind die GPOs drin.
Bitte warten ..
Mitglied: Laefiss
25.11.2014 um 11:17 Uhr
OK, danke an alle.
Ich denke das genügt mir.

Wenn das Wörtchen "wenn" nicht wäre

Habe mir ein Bild machen können.
Wünsche noch einen angenehmen Tag.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Registry User Schlüssel wird nicht angelegt
Frage von SpeakerSTWindows Userverwaltung3 Kommentare

Hallo zusammen, ich verzweifel ein wenig. Wir haben einen Windows 2012 Server wo sich kein User sowohl Domäne auch ...

Windows Server
Terminalserver 2012 Graceperiod Eintrag registry
Frage von drummer66Windows Server

hallo Forumsmitglieder,, wir betreiben bei einem Kunden einen Terminalserver 2012,trotz der Einrichtung des TS-Lizenzservers nach Vorgaben Microsoft ) bekommt ...

Windows Server
User am Terminalserver freigeben
gelöst Frage von samet22Windows Server4 Kommentare

Hallo Leute, Habe eine Frage an euch. Kann man am Terminal Server einen User wieder freigeben? Da ich etwas ...

Windows Server
Registry einstellung ändern mit gpo geht nicht
gelöst Frage von retodellatorreWindows Server4 Kommentare

hallo zusammen habe ein gpo zum ändern eines registry schlüssels erstellt, allerdings werden die einstellungen nicht verändert. neue registry ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 7 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 8 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...