Zum Inhalt wechseln


Foto

Administrative Freigaben können alle User einsehen


  • Bitte melde dich an um zu Antworten
44 Antworten in diesem Thema

#1 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 08:53

Hallo miteinander,

 

haben einen neuartigen Virus der sich rasend schnell von PC zu PC verbreitet. Scheinbar richtet dieser nichts an. Habe bereits bei unserem Trendmicro den neuesten Patch installiert und auch diesen überall ausgerollt. Gefühlt passiert es aber immer wieder, dass der Virus sich im Netzwerk ausbreitet und Trendmicro alle 2h neue Funde hat. Scheinbar läuft das Ganze über die administrativen Freigaben. Es ist leider so, dass alle User in der Domäne Zugriff auf die administrativen Freigaben aller anderen PCs haben. Somit kann der Virus sich immer neu ausbreiten. Jetzt habe ich den Server und AD nicht aufgesetzt und weiß nicht, wo ich das abstellen kann. Es sind ca. 100 Clients. Auf jedem PC gehen und Registry ändern ist zu viel.

 

Hat jemand hier Erfahrung wie ich das schnell auf dem Windows Server 2008R2 per GPO oder im AD ändern kann?

 



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.607 Beiträge

 

Geschrieben 30. August 2017 - 09:02

Du suchst eingeschränkte Gruppen. Aber wenn jeder auf jedem PC lokaler Admin ist, hat man grundsätzlich ein Problem. ;)
https://www.gruppenr...berechtigungen/

HTH
Norbert

Make something i***-proof and they will build a better i***.


#3 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 09:09

Also jeder ist nicht auf jedem PC lokaler Admin.

Sondern jeder User ist natürlich auf seinem PC ein lokaler Admin.

 

Ist er deshalb auch ein Domänenadmin? Nein oder?



#4 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 30. August 2017 - 09:16

Moin,

 

nein, ist er nicht. Aber auf die Admin-Shares können, wie der Name ja auch sagt, nur Admins zugreifen. Wenn deine User das also flächendeckend können, haben sie administrative Rechte auf den betreffenden PCs. Warum auch immer - das sollte man also zunächst rausfinden.

 

Gruß, Nils

PS. Dass ein User auf seinem PC lokaler Admin ist, ist auch keineswegs "natürlich", sondern ein erhebliches Sicherheitsproblem. Über Virenbefall würde ich mich da keine Sekunde wundern.


Bearbeitet von NilsK, 30. August 2017 - 09:17.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 NorbertFe

NorbertFe

    Expert Member

  • 30.607 Beiträge

 

Geschrieben 30. August 2017 - 09:20

Also jeder ist nicht auf jedem PC lokaler Admin.


Doch, sonst könnte er ja nicht auf die ADMIN-Freigabe der anderen DCs zugreifen. ;)

Sondern jeder User ist natürlich auf seinem PC ein lokaler Admin.


Haha. Natürlich! ;)

Ist er deshalb auch ein Domänenadmin? Nein oder?


Kommt auf die (Mis-)Konfiguration an.

Make something i***-proof and they will build a better i***.


#6 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 09:29

OK Danke. Ich lese mich gerade in gruppenrichtlinien.de ein. Da scheine ich ja wirklich etwas total falsch verstanden zu haben. Danke!

Jetzt muss ich nur schaffen, das richtig rauszunehmen.

 

Aber was ich sehr komisch finde. Das Konzept das User lokaler Admin sind, habe ich bei vielen Servernumgebung so. Aber das ich auf administrative Freigaben Zugriff habe ging bislang nicht. Nur bei diesem einem Server habe ich das.

 

Kann ich irgendwo auf dem Server herausfinden, warum das so ist? Müsste ja dann eine Servereinstellung sein.



#7 zahni

zahni

    Expert Member

  • 16.397 Beiträge

 

Geschrieben 30. August 2017 - 09:35

Prüfe, wer bei dem Server in der Gruppe "Administratoren" ist.

Bedenke, dass lokale User  mit ihrem Passwörtern u.U. remote versuchen sich anzumelden. Wenn es dort lokale User mit dem gleichen Passwort gibt...

Ein Konzept "User = Lokaler Admin"  ist mir neu...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#8 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 30. August 2017 - 09:36

Moin,

 

das "Konzept" ist eine Fehlkonzeption, die auch schon vor 20 Jahren falsch war, aus vielen Köpfen aber irgendwie nicht rauszukriegen ist. User haben auf Rechnern keine Adminrechte zu haben, Punkt.

 

Das, was du da vor dir hast, ist mit Sicherheit keine "Servereinstellung", weil lokale Adminrechte nur lokal vergeben werden können. Denkbar wäre:

  • Die "Domänen-Benutzer" sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Irgendeine andere Gruppe ist auf den PCs der lokalen Administratoren-Gruppe hinzugefügt, und diese Gruppe enthält die Benutzerkonten.
  • Die Einzel-Accounts sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Die User sind doch Mitglieder in den "Domänen-Admins".

Die ersten drei Punkte könnten manuell bzw. einzeln gesetzt sein oder auch über die von Norbert erwähnte GPO-Einstellung.

 

Natürlich ist all das inakzeptabel.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 09:40


  • Die "Domänen-Benutzer" sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Irgendeine andere Gruppe ist auf den PCs der lokalen Administratoren-Gruppe hinzugefügt, und diese Gruppe enthält die Benutzerkonten.
  • Die Einzel-Accounts sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Die User sind doch Mitglieder in den "Domänen-Admins".

 

Also das hatte ich bereits gestern mehrfach geeprüft.
Punkt 1,2 und 4 treffen hier nicht zu.

 

Punkt 3 trifft zu. Aber wie gehabt, kann ich nicht nachvollziehen, warum ein lokaler Admin auf alle anderen PCs in der administrativen Freigabe Zugriff hat. So etwas konnte ich bisher noch nicht feststellen.

Ich habe ein Active Directory dort, daher sind die User alle nur im AD angelegt bei den Servern.



#10 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 30. August 2017 - 09:51

Moin,

 

was steht denn auf so einem PC in der Mitgliedsliste der Administratoren?

net localgroup Administratoren | clip

kopiert die Angabe in die Zwischenablage, sodass du sie hier einfügen kannst.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 09:59

Aliasname        Administratoren
Beschreibung     Administratoren haben uneingeschränkten Vollzugriff auf den Computer bzw. die Domäne.

Mitglieder

-------------------------------------------------------------------------------
Administrator
EDV-FSJ
SV\Domänen-Admins
SV\edv2
Der Befehl wurde erfolgreich ausgeführt.

 



#12 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 30. August 2017 - 10:02

Moin,

 

OK, und wer ist in der Gruppe edv2 Mitglied? Wäre nicht das erste Mal, dass man sowas feststellt.

 

Abgesehen davon: Wie stellst du fest, dass alle User auf alle administrativen Freigaben zugreifen können? Was genau tust du, um das zu prüfen? Vielleicht handelt es sich ja auch um ein Missverständnis.

Und: Von welchem Betriebssystem reden wir?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 10:07

edv2 ist ein User. Der User ist der, der sich am PC anmeldet. Der lokale Admin halt.

 

Ich stelle fest, dass alle User über die administrative Freigabe reinkommen, da man ja unter der Computerverwaltung unter Sitzungen sehen kann, wer gerade Zugriff auf dem PC hat. Hier sind es die unterschiedlichsten, obwohl der PC selbst gar keine Freigaben definiert hat, außer die administrativen.

Wenn ich nun mit irgendeinem User in der Domäne von einem beliebigen PC auf einen anderen beliebigen PC EInsicht habe, wenn ich im Explorer eingebe \\PCName\C$, habe ich beurteilt, dass wohl alle User Zugriff auf die administrative Freigabe haben.

Alle Clients haben Windows 7. Die Server Windows Server 2008R2. Hier wurde Ende letzten Jahres der AD migriert von einem Windows Server 2003.



#14 zahni

zahni

    Expert Member

  • 16.397 Beiträge

 

Geschrieben 30. August 2017 - 10:18

edv2 ist  sonst no wo "Lokaler Admin"? Was ist "EDV-FSJ"  und wer ist da Mitglied.

 

Kleiner Tipp: In "Administratoren gehören maximal die Domänen-Admins  und, wenn es nicht  anders geht, Technische  User zu Ausführung irgendwelcher  Dienste.

Es gibt auch Umgebungen, wo die Domain-Admins explizit nicht lokale Admins sind. Da regelt man das dann über andere Domänengruppen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#15 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 10:21

EDV-FSJ ist ein User der erstellt wurde, als der PC neu aufgesetzt wurde. Also ein lokaler User als Admin.

edv2 ist sonst noch an einem anderem EDV PC admin. Sonst nirgendwo!

 

Aber trotz, dass nur der eine User und die Domänenadmins bei Administratoren drin sind, kommt man mit einem normalen User bei allen anderen PCs auf die administrativen Freigaben drauf.