Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kommandozeile per Gruppenrichtlinie verbieten

Tipp Microsoft Windows Server

Mitglied: jhinrichs

jhinrichs (Level 2) - Jetzt verbinden

28.05.2009, aktualisiert 15.06.2009, 18297 Aufrufe, 26 Kommentare, 1 Danke

Hallo,

häufig möchte man als Admin, insbesondere in Terminalserver-Umgebungen, den Zugriff auf die Kommandozeile verhindern. Dies geht auch über Gruppenrichtlinien, startet nun jemand die cmd.exe, so kommt die Meldung "Der Zugriff wurde durch den Administrator deaktiviert".

Diese Einstellung funktioniert aber nicht für die command.com, schlimmer noch: per command.com kann man auch auf Laufwerk C: rumfuhrwerken, wenn der Zugriff auf C: für den Explorer gesperrt ist.

Möchte man also wirklich keine User, die per Kommandozeile Schabernack auf C: treiben, empfiehlt es sich, die überflüssige command.com zu löschen.

Es gibt mehrere Möglichkeiten, trotz gesperrter C:-Partition den Pfad zur command.com anzusprechen, also bietet die Explorer-Sperre auch keine Sicherheit.

Die meisten werden jetzt sagen: wissen wir doch alle, da ich aber schon zwei große TS-Umgebungen mit durchaus sensiblen Datenbeständen gesehen habe, in denen dies nicht umgesetzt wurde...
26 Kommentare
Mitglied: HightopOne
28.05.2009 um 13:34 Uhr
Hallo ,
so jetzt aber..,war schon mal am Tippern,musste dann aber in die Sitzung rein...,also..dass Problem mit der Gruppenrichtlinie kenne ich von der Schule an der ich mitunter tätig bin,die Kids lassen sich oftmals viel und noch mehr ienfallen udn mit der Gruppenrichtlinie ist man dort nicht weit gekommen,weil wie du schon selber erkannt hast gibt es noch andere Wege in die Kommandozeile zu kommen.

Das was dir aber weiterhilft ist per Registry die Kommandozeile zu verhindern,das kannst du auf zwei ebenen machen,zum einem kannst du ein Profil vorbereiten,welches für alle genutzt wird,änderst dort den Registry key und machst aus .dat ein .man und fixt somit dass Profil.

Das hat den Voteil,dass man,wenn man sich Lokal als Admin anmelden muss noch die CMD nutzen kann.

Alternativ könntest du es jetzt auch Lokal an dem Rechner selber verhindern,das hat den vorteil,dass dan dort keiner mehr auf die CMD zugreifen kann,aber ist mit dem Nachteil behaftet,dass du Als Adin,wenn du dich Lokal anmeldest auch die CMD nicht mehr nutzen kannst.

schau dir mal diese beiden Links an http://www.wintotal.de/Tipps/index.php?id=516 und http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1052.h ... und wenn du mehr darüber wissen,einfach Onkel google zur hilfe nehmen ;)
Bitte warten ..
Mitglied: jhinrichs
28.05.2009 um 13:59 Uhr
Hallo,

das ist schon richtig. Aber auch per Registry wird nur die cmd.exe deaktiviert, die command.com funktioniert weiterhin.
Darauf bezog sich mein Tipp.
Bitte warten ..
Mitglied: HightopOne
28.05.2009 um 14:30 Uhr
die command.com liegt in C:\WINDOWS\system32 regel es doch einfach über die NTFS Rechte oder wäre das auch keine option ?
Bitte warten ..
Mitglied: jhinrichs
28.05.2009 um 14:58 Uhr
Klar ginge das auch. Mein Tipp bezog sich darauf, an die command.com zu denken und sie wie auch immer zu löschen/einzuschränken, da ich wie gesagt, schon 2 im Prinzip gut konfigurierte TS-Umgebungen kennengelernt habe, in denen diese Tür weit offen stand.
Ich denke, dieses DOS-Relikt wird oft vergessen...
Bitte warten ..
Mitglied: DerWoWusste
28.05.2009 um 23:51 Uhr
Sag mal, was für Schabernack treiben Deine User per Kommandozeile? Hab sowas noch nie gesperrt, da ich nicht wüsste, wo da Gefahrenpotential bestehen soll - die cmd/command.com ermächtigt Dich zu nichts.
Bitte warten ..
Mitglied: jhinrichs
29.05.2009 um 08:01 Uhr
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls, bei einem sonst richtig konfiguriertem System) nicht. Aber es gehen schon Kleinigkeiten, die lästig sein können.
Prominentes Beispiel sind die WIndows-Spiele (die man natürlich auch löschen kann).
Etwas lästiger war, dass einige die Kommandozeile dann per "logout" verlassen wollten - was natürlich nicht die command.com beendete, sondern die Verbindung zum Softwarebereitsstellungssystem (wenn ich mich richtig erinnere, Zenworks). Dies hatte natürlich Anrufe beim Admin zur Folge...
Ich bin mir nicht sicher, welche Folgen das Ausprobieren der vielen kleinen EXE-Dateien, die sich beim Stöbern so finden, sonst noch haben könnte.
Mir ist schon klar, dass das alles ein bisschen in Richtung der nicht sicheren "security by obscurity" geht, aber zumindest die "Spielkinder" unter den Usern bekommen weniger verführerische Bonbons zu sehen....
Bitte warten ..
Mitglied: Grinsekatze
29.05.2009 um 09:14 Uhr
Leute die in der Command rumspielen wollen, würd ich auch über eine Gruppenrichtlinie das komplette
Laufwerk C: ausblenden. Das erspart die Rumfummelei mit den Berechtigungen.
Bitte warten ..
Mitglied: jhinrichs
29.05.2009 um 10:46 Uhr
Genau, nur funktioniert das Ausblenden per GPO leider nicht vollständig (und zwar prinzipiell, da natürlich zum Funktionieren des Systems die Pfade auf C: erreichbar sein müssen. Die Ausblendung bezieht sich nur auf den Explorer und die davon abgeleiteten Funktionen, wie Datei-Dialoge, bei letzteren aber auch unvollständig)
Wenn ein Zugriff auf command.com gelingt (und auch das geht bei ausgeblendetem C:...), kann die Systempartition im Rahmen der Zugriffsrechte durchstöbert werden.
Bitte warten ..
Mitglied: Grinsekatze
29.05.2009 um 11:36 Uhr
Hmmm....

währe es nicht möglich die command.com dann ein einfach umzubenennen? Z.b. in command.com.bla ?
Bitte warten ..
Mitglied: jhinrichs
29.05.2009 um 11:45 Uhr
Wie auch immer.
Ich wollte ja nur darauf hinweisen, an die command.com zu denken, da sich viele Admins (wie sinnvoll das auch immer ist, darüber kann man ja diskutieren) die Mühe machen, Laufwerk C: auszublenden und den Zugriff auf cmd.exe einzuschränken, dabei aber die command.com vergessen und somit diese ganzen Bemühungen für die Katz' ( Hallo Grinsekatze, cooler Nick, das!) sind.
Bitte warten ..
Mitglied: 16568
09.06.2009 um 12:46 Uhr
Zitat von jhinrichs:
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls,
bei einem sonst richtig konfiguriertem System) nicht.

Oweia...

Sagen wir es mal so:
gib mir auf einem Rechner bis XP oder Server 2003 die Kommandozeile (auch als Gast), und mir gehört das ganze System.
Unter Vista und 2008 brauch ich mindestens ein normales Benutzerkonto (Gast geht nicht), dann bin ich auch Besitzer dieses Systems...

Kommandozeile wegmachen hat schon seinen Grund...


Lonesome Walker
Bitte warten ..
Mitglied: DerWoWusste
09.06.2009 um 13:40 Uhr
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.
Bitte warten ..
Mitglied: 16568
09.06.2009 um 17:14 Uhr
Zitat von DerWoWusste:
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich
nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.

Das tun die anderen Admins auch immer, bis ich in deren Netz drin bin, und sie aber nicht mehr reinkommen.

Bedaure, aber laß es Dir einfach gesagt sein, daß es so ist.

Und falls Du der Meinung bist, daß das ja jeder sagen/schreiben kann...
Klar, Du mußt ja nicht alles glauben. Gibt aber schon genug Leute, die wissen, daß es so ist.
Wozu also immer ständig diese Beweise?

Frei nach dem Motto: friß oder stirb.

Du sperrst die Commandline, gut (macht ja ohnehin Sinn).
Du sperrst sie nicht, auch gut, Dein Netzwerk, nicht meins.


Lonesome Walker
Bitte warten ..
Mitglied: jhinrichs
09.06.2009 um 22:06 Uhr
Und da ich zu den Admins gehöre, die nicht wissen, wie es geht, aber sich denken, dass es gehen könnte, sperre ich auch die Commandline.
Dann aber auch richtig, nämlich inkl. command.com.
Und nur darauf bezog sich mein Tipp.
Bitte warten ..
Mitglied: 16568
09.06.2009 um 23:42 Uhr
Kluges Kerlchen


Lonesome Walker
Bitte warten ..
Mitglied: jhinrichs
10.06.2009 um 07:49 Uhr
Weiß ich doch...

Viele Grüße
Bitte warten ..
Mitglied: DerWoWusste
10.06.2009 um 13:19 Uhr
Gut. Dann fordere ich die Insider unter den Mitlesern dieses Threads auf, zu bestätigen "dass es so ist" (egal wie). Kommt keine Rückmeldung, starte ich einen neuen Thread.
--
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das wie will ich nicht beschrieben haben.
Bitte warten ..
Mitglied: 16568
10.06.2009 um 13:44 Uhr
Dir ist aber klar, daß eine Aufforderung oder Hilfestellung zum Hacking hier nicht geduldet ist?

Ergo mußt Du Deine Bildungslücke wohl sonstwie lösen...


Lonesome Walker
Bitte warten ..
Mitglied: DerWoWusste
10.06.2009 um 13:57 Uhr
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das "wie" will ich nicht beschrieben haben.
Bitte warten ..
Mitglied: 16568
10.06.2009 um 14:22 Uhr
Hast Du 'nen EIGENEN, freien Server irgendwo rumstehen?
Gib mir Remote-Daten, dann mach ich es
(das WIE ist dann ja nicht mehr erforderlich)

Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.


Lonesome Walker
Bitte warten ..
Mitglied: DerWoWusste
10.06.2009 um 14:31 Uhr
Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.
privilege. Damit Du Dich bestätigt fühlen kannst: es war kein Tippfehler.
Mal sehen, ob sich noch jemand meldet. Ich will diesen Thread nicht weiter strapazieren und eröffne einen eigenen. Wenn Ich die 10.000 Hits durchhabe, komme ich evtl. auf Dein freundliches Angebot zurück.
Bitte warten ..
Mitglied: drop-ch
12.06.2009 um 14:24 Uhr
Hi DerWoWusste

Bin zufällig über diesen Thread gestolpert und lese deinen Aufruf.
Yep, das von Lonesome Walker beschrieben Szenario kann ich aus der Praxis bestätigen. Admin-Rechte sind out - SYSTEM-Rechte sind angesagt!

Wir hatten bei unserer Enterprise-Kaspersky Installation Ende letzten Jahres einige Mätzchen nach einem regulären Update. Kaspersky hat uns einen Patch gesendet, welcher auf jedem System (mittels Global-Task) eingespielt werden musste. Nun war es so, dass sich auf zwei Rechnern dieser Patch nicht installieren liess, keine Ahnung wieso. Natürlich ist via Admin-Konsole der "Selbstschutz" aktiviert. Heisst, du kannst nicht einmal den Ordner C:\Programme\Kaspersky Lab bearbeiten um den Patch einzuspielen...auch mit Admin-Rechten nicht.
Also hat der liebe Onkel drop_ch das "geheime" Verfahren über die cmd angewendet um SYSTEM-Rechte zu erlangen und siehe da: der Patch konnte eingespielt werden, da der Selbstschutz von Kaspersky aus verständlichen Gründen die SYSTEM-Rechte nicht sperren darf.

So geht das! ^^

gretz drop
Bitte warten ..
Mitglied: DerWoWusste
14.06.2009 um 15:46 Uhr
Jede Wette, es geht nicht. Wer bei mir einen PC remote übernehmen möchte, melde sich bitte per PN und bekommt dann Zugangsdaten.
Vorweg: Was längst nicht mehr geht, auch wenn manche es noch immer glauben, sind 2 bekannte "Hacks":
1) der #editByBiber1#-Hack
2) der #editByBiber2#-Hack



[Edit Biber] Die beiden genannten, aber vielleicht noch nicht jedem Skiddie bekannten Hacks in Absprache mit DerWoKennt wegeditiert. [/Edit]
Bitte warten ..
Der Kommentar von 16568 wurde vom Moderator am 10.12.16 ausgeblendet!
Mitglied: DerWoWusste
14.06.2009 um 21:19 Uhr
Hör mal. Wie Du dazu kommst, jetzt solche Namen für mich herbeizusuchen, weiß ich beim besten Willen nicht. Mein Nick kann Dir ziemlich egal sein, wenn es Dich dennoch interessiert: ich denk mir nicht viel bei Nicks für Foren und es soll nicht überheblich wirken - es ist ein Insiderwitz über einen Ex-Bayernfußballer (M. Sternkopf), der solche Grammatik zur Schau stellte.

Zu Deinem Verständigen von Moderatoren:
Es funktioniert nicht, falls doch, arbeitest Du bereits mit einem Adminkonto, denn diese Privilegien werden für 1) und 2) benötigt - somit sind diese Hinweise keine Hilfestellung.
Wenn Du mir noch etwas mitteilen möchtest, nutze die PN, damit der Thread nicht damit belastet wird - Wert lege ich jedoch nicht mehr darauf.
Bitte warten ..
Mitglied: jhinrichs
14.06.2009 um 22:47 Uhr
Freue mich über die rege Diskussion zum Thema, die ich gespannt verfolge
Bitte warten ..
Mitglied: Biber
15.06.2009 um 10:01 Uhr
Moin alle,

jetzt hat dieser Tipp zum Zeitpunkt meines Schlusspunkts genau 444 Aufrufe.
Das ist doch eine schöne Zahl, und wir wollen auch aufhören, wenn es am Schönsten ist.

Denn ich denke. Dein Tipp @jhinrichs, hat geleistet, was ein Tipp erreichen kann.

Die Sensibilität für die Kommandozeile ( = CMD.exe und Command.com) als Sicherheitsrisiko wurde geschaffen.

Jedenfalls bei denjenigen, die sich auch mit Sicherheitsrisiken/Sicherheitslücken auseinandersetzen müssen und eben auch den Titel "Administrator" zu Recht tragen.

Ich möchte jetzt ungern in Kauf nehmen, dass konkrete Schlupflöcher beschrieben werden, und wegen potentieller Zufalls-Skiddies, die es per Suchmaschine auf unsere Seiten verschlägt möchte ich auch keinen publikumswirksamen Hase-und-Igel-Wettlauf zwischen Lonesome Walker und DemWoWusste billigend in Kauf nehmen.

Ich schliesse jetzt (zumindest vorübergehend) diesen Tipp.

Sollte jemand der bisher Involvierten sich dadurch zensiert oder gegängelt fühlen --> bin per PN 24h täglich für Euch da.

Grüße
Biber
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Gruppenrichtlinie für User auf andere Rechner übertragen (1)

Frage von Robmantuto zum Thema Windows 7 ...

Windows 10
gelöst Net Framework über Gruppenrichtlinie aktivieren (10)

Frage von DarkScabs zum Thema Windows 10 ...

Entwicklung
Postfachgrößeneinstellung in SBS Konsole verbieten (5)

Frage von TommyDerWalker zum Thema Entwicklung ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...