Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2016er Terminalserveradmins aufgepasst - kontrollieren tut Not!

Tipp Sicherheit

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

02.08.2017, aktualisiert 07.08.2017, 1211 Aufrufe, 6 Kommentare, 3 Danke

Dies wird vermutlich die am einfachsten auszunutzende Sicherheitslücke für Terminalserver 2016 aller Zeiten sein.

Bis zum Juni17-Patch (KB4022723) war Server 2016 durch Fehleinstellung seitens Microsoft schwer verwundbar, OS Build 14393.1358 und niedriger sind betroffen. Ein angemeldeter Nutzer auf einem Terminalserver konnte einfach einen Startup Ordner im Defaultprofil erstellen und dort Malware abladen. Wenn sich danach ein neuer Nutzer auf dem Server anmeldete (Erstanmeldung!), dann wurde sofort diese Malware ausgeführt. Fast unglaublich.

Also:
1. Patchen, wenn nicht schon geschehen
2. Unbedingt den Ordner C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup kontrollieren! Auch nach dem Patch wird alles dort Vorhandene von neuen Nutzern automatisch gestartet! - Auch an die anderen Nutzerprofil-Startups denken, die bereits bestehen*
3. (optional) am besten gleich per GPO bei allen Win10 und Server 2016 die ACL für C:\Users\Default festlegen auf die Werte, die ein frisch installiertes Win10 v1703 hat:
01.
icacls C:\Users\Default 
02.
      NT AUTHORITY\SYSTEM:(OI)(CI)(F) 
03.
      BUILTIN\Administrators:(OI)(CI)(F) 
04.
      BUILTIN\Users:(RX) 
05.
      BUILTIN\Users:(OI)(CI)(IO)(GR,GE) 
06.
      Everyone:(RX) 
07.
      Everyone:(OI)(CI)(IO)(GR,GE)
Siehe auch https://www.administrator.de/link/windows-10-default-user-profile-potent ...

* Skriptvorschlag zum Kontrollieren (ausführen als Admin auf einem elevated command prompt):
01.
for /f %a in ('dir /b c:\users') do dir /b "C:\Users\%a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup">>%temp%\hoffentlich_leer.txt
PS: dies gilt natürlich auch für alle Windows 10, die auf v1607 sind oder von 1607 upgegradet wurden! Auch hier sollte man bei allen prüfen, um sicherzugehen, dass kein Benutzer anderen etwas unterschiebt bzw. dem Admin etwas unterschiebt.
Mitglied: Penny.Cilin
03.08.2017 um 09:34 Uhr
DANKE für den Hinweis.

Have a nice day.


Gruss Penny
Bitte warten ..
Mitglied: mathu
03.08.2017 um 16:08 Uhr
Danke für den Tipp, aber was mir so als Gedanke kommt, wäre es da nicht besser, der Nutzer könnte in diese Bereiche gar nicht reinschreiben?
Bitte warten ..
Mitglied: DerWoWusste
03.08.2017 um 17:07 Uhr
Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.
Bitte warten ..
Mitglied: mathu
04.08.2017 um 12:54 Uhr
Zitat von DerWoWusste:

Mir scheint, du hast noch nicht verstanden, worum es geht. Microsoft hat mit Win10 v1607 eine falsche ACL auf das defaultprofil gesetzt und somit erst Schreibrechte ermöglicht. Die sollten natürlich nicht gegeben sein, waren es nie in Vorversionen und sind es auch nicht in v1703.

Ah, ok, danke, jetzt hab ichs kapiert.
Bitte warten ..
Mitglied: Vision2015
06.08.2017 um 15:41 Uhr
moin..

Wow... Danke für dem Hinweis...

Frank
Bitte warten ..
Mitglied: DerWoWusste
07.08.2017 um 10:33 Uhr
Ich habe dem Skript noch ein /b hinzugefügt - so wird die Datei %temp%\hoffentlich_leer.txt dann auch wirklich leer, wenn nirgendwo startup items eingetragen sind.
Bitte warten ..
Ähnliche Inhalte
Soziale Netzwerke
Gegen Diskriminierung: Maas will Algorithmen kontrollieren (4)

Link von Frank zum Thema Soziale Netzwerke ...

Exchange Server
gelöst Outlook 2016 verbindet sich nicht mit Exchange 2016 (4)

Frage von Philzip zum Thema Exchange Server ...

Exchange Server
SBS2011 ablösen durch Server 2016 und Exchange 2016 (10)

Frage von smeclnt zum Thema Exchange Server ...

Microsoft
Server 2016, System Center 2016 ist released (9)

Information von certifiedit.net zum Thema Microsoft ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...

E-Business
Wo tragt ihr eure privaten Termine ein? (13)

Frage von honeybee zum Thema E-Business ...

Batch & Shell
Batch zum suchen und verschieben von Verknüpfungen (12)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...