Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2016er Terminalserveradmins aufgepasst - kontrollieren tut Not!

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

2017/08/02, aktualisiert 2017/08/07, 2022 Aufrufe, 10 Kommentare, 3 Danke

Dies wird vermutlich die am einfachsten auszunutzende Sicherheitslücke für Terminalserver 2016 aller Zeiten sein.

Bis zum Juni17-Patch (KB4022723) war Server 2016 durch Fehleinstellung seitens Microsoft schwer verwundbar, OS Build 14393.1358 und niedriger sind betroffen. Ein angemeldeter Nutzer auf einem Terminalserver konnte einfach einen Startup Ordner im Defaultprofil erstellen und dort Malware abladen. Wenn sich danach ein neuer Nutzer auf dem Server anmeldete (Erstanmeldung!), dann wurde sofort diese Malware ausgeführt. Fast unglaublich.

Also:
1. Patchen, wenn nicht schon geschehen
2. Unbedingt den Ordner C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup kontrollieren! Auch nach dem Patch wird alles dort Vorhandene von neuen Nutzern automatisch gestartet! - Auch an die anderen Nutzerprofil-Startups denken, die bereits bestehen*
3. (optional) am besten gleich per GPO bei allen Win10 und Server 2016 die ACL für C:\Users\Default festlegen auf die Werte, die ein frisch installiertes Win10 v1703 hat:
01.
icacls C:\Users\Default 
02.
      NT AUTHORITY\SYSTEM:(OI)(CI)(F) 
03.
      BUILTIN\Administrators:(OI)(CI)(F) 
04.
      BUILTIN\Users:(RX) 
05.
      BUILTIN\Users:(OI)(CI)(IO)(GR,GE) 
06.
      Everyone:(RX) 
07.
      Everyone:(OI)(CI)(IO)(GR,GE)
Siehe auch https://www.administrator.de/link/windows-10-default-user-profile-potent ...

* Skriptvorschlag zum Kontrollieren (ausführen als Admin auf einem elevated command prompt):
01.
for /f %a in ('dir /b c:\users') do dir /b "C:\Users\%a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup">>%temp%\hoffentlich_leer.txt
PS: dies gilt natürlich auch für alle Windows 10, die auf v1607 sind oder von 1607 upgegradet wurden! Auch hier sollte man bei allen prüfen, um sicherzugehen, dass kein Benutzer anderen etwas unterschiebt bzw. dem Admin etwas unterschiebt.
Mitglied: Penny.Cilin
2017/08/03 um 09:34 Uhr
DANKE für den Hinweis.

Have a nice day.


Gruss Penny
Bitte warten ..
Mitglied: mathu
2017/08/03 um 16:08 Uhr
Danke für den Tipp, aber was mir so als Gedanke kommt, wäre es da nicht besser, der Nutzer könnte in diese Bereiche gar nicht reinschreiben?
Bitte warten ..
Mitglied: DerWoWusste
2017/08/03 um 17:07 Uhr
Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.
Bitte warten ..
Mitglied: mathu
2017/08/04 um 12:54 Uhr
Zitat von DerWoWusste:

Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.

Ah, ok, danke, jetzt hab ichs kapiert.
Bitte warten ..
Mitglied: Vision2015
2017/08/06 um 15:41 Uhr
moin..

Wow... Danke für dem Hinweis...

Frank
Bitte warten ..
Mitglied: DerWoWusste
2017/08/07 um 10:33 Uhr
Ich habe dem Skript noch ein /b hinzugefügt - so wird die Datei %temp%\hoffentlich_leer.txt dann auch wirklich leer, wenn nirgendwo startup items eingetragen sind.
Bitte warten ..
Mitglied: thomasreischer
2017/08/24 um 17:42 Uhr
Wie läuft Server 2016 jetzt eigentlich so? Hinsichtlich RemoteApp/Remote Desktop?
Bitte warten ..
Mitglied: DerWoWusste
2017/08/24 um 23:52 Uhr
Gut. Wir lassen ja nur Chrome drauf laufen. Verbraucht jedoch mehr RAM als der 2012R2 - aber vielleicht liegt's auch an Chrome. Unter 2012 waren wir ja bei v45 oder so, jetzt ist ja schon 60 aktuell.

Stabilität ist unverändert, rdp-Grafik ist etwas schneller.
Bitte warten ..
Mitglied: thomasreischer
2017/08/28 um 17:00 Uhr
Okay, auf Server 2016 läuft jetzt ja standardmäßig der Windows Defender.

Hast du das Gefühl, dass der Server nun ressourcen hungriger ist? Vor allem eben beim Terminal Einsatz?
Bitte warten ..
Mitglied: DerWoWusste
2017/08/28 um 19:03 Uhr
Du musst das selbst testen. Ich habe beschrieben, dass mir ein Vergleich nicht leicht fällt, da wir nur eine Anwendung nutzen und die bereits x Versionen höher ist, als damals unter 2012R2.
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Administratoren aufgepasst: VPNFilter-Botnetz probt das Comeback

Information von kgbornSicherheit2 Kommentare

Ihr betreibt Netze mit QNAP-NAS-Systemen oder Routern von Mikrotik, TP-Link, Linksys und Netgear? Dann lesen und handeln. Worum geht ...

Windows 10

Sticky Notes - Autostart unterbinden

Tipp von PedantWindows 103 Kommentare

Hallo, da ich im Web keine Lösung für ein spezielles Problem fand und ich recht lange gebraucht hatte, um ...

Microsoft

Server 2016, System Center 2016 ist released

Information von certifiedit.netMicrosoft9 Kommentare

Moin Mit Admins, eben hat Microsoft Server 2016 und System Center 2016 (etc) released.

E-Mail

Rezertifizierung einer abgelaufenen Lotus Notes ID

Tipp von Alex-123E-Mail

Wenn die Notes-ID bereits abgelaufen ist, kann man sie nicht einfach erneut zertifizieren. Dann ist folgendes Verfahren anzuwenden: 1. ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 7 StundenInternet

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 2 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 3 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 3 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging24 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid18 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk18 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...