Zum Inhalt wechseln


Foto

Administrative Freigaben können alle User einsehen


  • Bitte melde dich an um zu Antworten
44 Antworten in diesem Thema

#16 Sunny61

Sunny61

    Expert Member

  • 22.244 Beiträge

 

Geschrieben 30. August 2017 - 10:28

Melde dich als Benutzer1 am PC1 an. Jetzt den Explorer öffnen, in die Adresszeile \\PC2\c$ [ENTER] eingeben. Was passiert? Bekommt der angemeldete Benutzer1 am PC1 auch wirklich die komplette Root von PC2 zu sehen?


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#17 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 10:32

Melde dich als Benutzer1 am PC1 an. Jetzt den Explorer öffnen, in die Adresszeile \\PC2\c$ [ENTER] eingeben. Was passiert? Bekommt der angemeldete Benutzer1 am PC1 auch wirklich die komplette Root von PC2 zu sehen?

 

JA!



#18 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 30. August 2017 - 10:41

Moin,

 

hm ... dann gehen wir noch mal sicher. Falls du dich mit einem normalen Useraccount (nicht dein eigener Admin-User) anmelden kannst, gib bitte mal in einem CMD-Fenster ein:

whoami /groups | clip

Welche administrativen Gruppen tauchen in der Ausgabe auf, die sich wieder in der Zwischenablage befindet?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#19 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 30. August 2017 - 10:52

Auf dem Server mal prüfen, ob das wirklich  der User ist, welcher sich verbindet:

 

net session bzw. net file.

 

Wenn ja, ist er direkt oder indirekt berechtigt.  Vielleicht hat  da auch  schon ein Virus "ganze Arbeit"  geleistet und anonyme Zugriffe  erlaut. 

Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger  neu installieren und nicht  einen Virenscanner  vertrauen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#20 Sunny61

Sunny61

    Expert Member

  • 22.244 Beiträge

 

Geschrieben 30. August 2017 - 11:33

JA!

 

Dann ist jeder User auf jedem PC lokaler Admin! Das ist kontraproduktiv. Evtl. wäre es sinnvoller wenn Du dir jemanden ins Boot holst, der dir hilft. Schau dem dann über die Schulter, so lernst Du auch etwas.


  • Daviiid gefällt das
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#21 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 12:23

Moin,

 

hm ... dann gehen wir noch mal sicher. Falls du dich mit einem normalen Useraccount (nicht dein eigener Admin-User) anmelden kannst, gib bitte mal in einem CMD-Fenster ein:

whoami /groups | clip

Welche administrativen Gruppen tauchen in der Ausgabe auf, die sich wieder in der Zwischenablage befindet?

 

Gruß, Nils

 

 

GRUPPENINFORMATIONEN
--------------------

Gruppenname                                              Typ             SID                                          Attribute                                                      
======================================================== =============== ============================================ ===============================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\Abteilung_E_EDV                                       Gruppe          S-1-5-21-1644491937-688789844-682003330-1237 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\RDS_User                                              Gruppe          S-1-5-21-1644491937-688789844-682003330-5188 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\Combit                                                Gruppe          S-1-5-21-1644491937-688789844-682003330-5160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\Everyone                                              Gruppe          S-1-5-21-1644491937-688789844-682003330-1203 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\VPN_KIVBF                                             Gruppe          S-1-5-21-1644491937-688789844-682003330-4160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
SV\VPNSSL                                                Gruppe          S-1-5-21-1644491937-688789844-682003330-4162 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
 


Auf dem Server mal prüfen, ob das wirklich  der User ist, welcher sich verbindet:

 

net session bzw. net file.

 

Wenn ja, ist er direkt oder indirekt berechtigt.  Vielleicht hat  da auch  schon ein Virus "ganze Arbeit"  geleistet und anonyme Zugriffe  erlaut. 

Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger  neu installieren und nicht  einen Virenscanner  vertrauen.

 

Ja es sind tatsächlich diverse normale User.



#22 Sunny61

Sunny61

    Expert Member

  • 22.244 Beiträge

 

Geschrieben 30. August 2017 - 13:27

SV\Abteilung_E_EDV

Ist diese Gruppe Mitglied in anderen Gruppen? Domänen Admins?


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#23 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 30. August 2017 - 13:42

melden die user sich alle mit dem selben namen an oder sind die accounts personalisiert?

#24 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 30. August 2017 - 14:04

Abteilung ist kein Domänen admin. Nein. Also auch kein Mitglied in dieser Gruppe.

Die User melden sich alle personalisiert mit eigenen Kennwörtern an.

#25 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 30. August 2017 - 14:08

Vielleicht hilft dieses Script weiter:

 

https://gallery.tech...rship-f637bece 

 

Habe  ich nicht getestet, sollte man ermitteln können, wo der User überall direkt und indirekt Member ist.


Bearbeitet von zahni, 30. August 2017 - 14:09.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#26 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 30. August 2017 - 15:13

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen.

Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt.

 

Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen.

Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen.

 

Viel Erfolg, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#27 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 30. August 2017 - 15:42

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

 

Danke gut zu wissen, man lernt nie aus.

 

Wenn er aber mit seinem User "Lokaler Admin" ist, müsste dann nicht "VORDEFINIERT\Administratoren" auftauchen? Tut es zumindest bei mir...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#28 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 31. August 2017 - 06:26

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen.

Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt.

 

Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen.

Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen.

 

Viel Erfolg, Nils

 

Hallo Nils,

 

vielen Dank für deine Empfehlung.

Dummerweise habe ich in diesem Netzwerk an die 100 Clients und nicht die Manpower, dass in kurzer Zeit alles neu zu installieren.

Mein Weg ist jetzt per GPO die lokalen Admins rauszunehmen (Da habe ich ja schon über gruppenrichtlinien.de eine Anleitung gefunden); Die Firewall zu reaktivieren. (teilweise wohl deaktiviert auf den Clients - vielleicht auch durch den Virus). UNd im nächsten Schritt an allen PCs mit einer Offline Virenschutz Disk um den Virus rauszuhauen.

Habe wohl eine Variante des emotet-virus abbekommen. Ist ein sehr ähnliches Verhalten.

 

Klar wird doof sein, wenn dadurch der Virus nicht raus ist. Aber ist jetzt erstmal die schnellere Variante meiner Meinung nach.



#29 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 31. August 2017 - 06:57

Da habe ich ja schon über gruppenrichtlinien.de eine Anleitung gefunden


Achso, die hast _du_ gefunden? ;) Deinen Weg halte ich nicht für sinnvoll, aber du scheinst davon überzeugt. :) Viel Erfolg

Bye
Norbert

Bearbeitet von NorbertFe, 31. August 2017 - 06:57.

Make something i***-proof and they will build a better i***.


#30 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 31. August 2017 - 07:10

Moin,

 

also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen?

 

Wenn das so ist, dann ist an dem System irgendwas verdreht bzw. nicht in Ordnung. Die whoami-Ausgabe (so sie denn vollständig ist) belegt, dass der User nicht lokaler Admin ist. Wenn er von einem anderen Rechner aus einen Admin-Share auf diesem Rechner öffnen kann, dann fehlt dort anscheinend die Zugriffsbeschränkung auf lokale Administratoren. Das ist nicht ohne Weiteres zu erreichen, also muss dort was manipuliert sein.

 

Sofern dies also zutrifft, liegt die Ursache des Phänomens nicht an falschen lokalen Admin-Mitgliedschaften. Es wird dir dann also nichts nützen, an den lokalen Admins etwas zu ändern. Was auch immer da geschehen ist, es liegt auf einer anderen Ebene.

 

Ohne genaue Untersuchung kann man das nicht besser sagen. Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind.

 

Ich würde mir jetzt nicht mehr viel Zeit lassen ...

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!