jensw_2000 10 Geschrieben 17. Juni 2008 Melden Teilen Geschrieben 17. Juni 2008 Hi Leute, hoffentlich kleben jetzt nicht gerade alle vor dem Fernseher :cool: Vor ein paar Tagen hat ein Server eines Kunden angefangen sich selbständig zu machen. Es handelt sich um einen W2K3-R2 Server (Memberserver, WTS) mit aktuellem Patch-Stand. Jede Nacht, bzw. nach jedem Neustart setzt er "willkürlich" irgendwelche Richtlinien um, die niemand definiert hat. So sind z.B. alle Laufwerkssymbole im Arbeitsplatz ausgeblendet und der Zugriff auf die Laufwerke über den Windows Explorer verboten. Die Suchfunktion ist deaktiviert und sämtliche NTFS Berechtigungen auf dem Systemdatenträger werden analog der Sicherheitsrichtlinien-Vorlage "Setup-Security" zurückgesetzt. Ich habe alle relevanten GPOs sowie die lokale Sicherheitsrichtlinie überprüft. Nirgendwo sind derartige Einschränkungen definiert. Als Notlösung habe ich erstmal die "sichtbaren" Effekte in der lokalen Sicherheitsrichtlinie des Terminalservers "negiert" (Suchen deaktivieren >> deaktiviert, Alle Laufwerkssymbole ausblenden >> deaktiviert usw.) Nun kämpfe ich noch an den NTFS Berechtigungen, die sich jeden Morgen wie von Geisterhand im Auslieferungszustand befinden. Auf dem WTS laufen ein paar kleine Programme, die das Ändern-Recht in ihrem jeweiligen Programmordner verlangen. Das ist nicht schön, aber ohne Umdenken bei den Softwarehäusern nicht zu ändern. Dummerweise wurden die damals unter %Programfiles% installiert. Der Server setzt nun jede Nacht unter anderem die NTFS Berechtigungen auf C:\Programme\ und alle Unterordner auf Default zurück. Das Ändern Recht auf z.B. C:\Programme\Elster-Formular\... ist damit weg. Bedeutet für mich jeden Morgen für 3-4 Programmordner die NTFS Rechte anpassen bevor die User zur Arbeit kommen. Das ist ****... Es scheint so, als würde jemand nächtlich die Setup-Security drüberbraten, welche o.a. die NTFS Rechte zurücksetzt, und anschließend den Desktop für den unbedarfen Terminal-User mit überzogenen Restriktionen "unbrauchbar" machen. Wie kann der Server sowas machen?:confused: Ich habe keine Idee mehr. Hoffe euch fällt was Passendes ein (ausser platt und neu :cry:). PS: Vorgeschichte... Das Ganze fing übrigens an, nachdem ich die NTFS Berechtigungen auf der System-Root (C:\) angepasst habe. Dort gab es per Default eine "speizelle Berechtigung", die es der Benutzergruppe erlaubt hat, direkt in der Root neue Dateien und Ordner zu erstellen. Die Berechtigung galt für C:\ ohne Unterordner. Den ACL Eintrag habe ich entfernt, damit die Benutzer ihre Daten in den dafür vorgesehenen Freigaben speichern, anstatt auf meinem Systemdatenträger. Schöne Grüße, Jens Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 17. Juni 2008 Melden Teilen Geschrieben 17. Juni 2008 Was sagt die Ereignisanzeige, insbesondere das (hoffentlich nicht auf Standard konfigurierte) Sicherheitsprotokoll? Wie sieht es mit einem AntiVirus Schutz auf dem Server aus? Schon mal über einen Rootkit Scan nachgedacht oder eventuell ausgeführt? Irgendwelche ominösen Tasks im Taskplaner zu sehen? Wer hat administrativen Zugriff auf den Server? Was für Software ist installiert? Wurde die Software auch korrekt installiert (also den Terminalserver vorher auch in den Installationsmodus versetzt oder wurde die "einfach nur installiert")? Grüsse Gulp Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 17. Juni 2008 Melden Teilen Geschrieben 17. Juni 2008 Hallo Jens, was sagt denn die Ausgabe von gpresult auf dem Terminalserver ? Welche Richtlinien greifen dort ? Diese Richtlinien solltest du mal genau unter die Lupe nehmen. Läuft eine Schutzsoftware / Wächterkarte auf dem System ? Wenn ja welche ? Zitieren Link zu diesem Kommentar
jensw_2000 10 Geschrieben 17. Juni 2008 Autor Melden Teilen Geschrieben 17. Juni 2008 Die Ereignisprotokolle sind sauber. Das Sicherheitsprotokoll ist leider "Standard". Geplante Tasks und laufende Prozesse sind ebenfalls unauffällig. Ich schließe eine "Manipulation durch unbefugte Benutzer aus. Es gibt nur zwei gut gehütete Accounts mit entsprechenden Rechten. Von denen war nachts niemand angemeldet. Der Effekt tritt ja auch beim Neustart auf, wo definitiv noch niemand eine Chance zum Manipulieren hat. Korrigiert mich bitte... Kann man mittels GPO die NTFS Berechtigungen ändern? Die Optionen habe ich noch nie gesehen. Alle GPOs habe ich mit der GPMC und Gpresult überprüft. Keine Desktop-Restriktionen. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 17. Juni 2008 Melden Teilen Geschrieben 17. Juni 2008 Hallo Jens, Korrigiert mich bitte... Kann man mittels GPO die NTFS Berechtigungen ändern?Die Optionen habe ich noch nie gesehen. Schau doch mal in den GPO unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem Das sollte Deine Frage doch eigentlich beantworten. Ginge auch per Startskript mit z. B. SUBINACL. Also am Besten mal beides überprüfen. Zitieren Link zu diesem Kommentar
jensw_2000 10 Geschrieben 17. Juni 2008 Autor Melden Teilen Geschrieben 17. Juni 2008 Hallo Jens, Schau doch mal in den GPO unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem Das sollte Deine Frage doch eigentlich beantworten. Ginge auch per Startskript mit z. B. SUBINACL. Also am Besten mal beides überprüfen. Wie peinlich, geht ja doch :o Damit kann ich zumindest schon mal das Ändern-Recht in den paar Programmordnern durchsetzen. Damit wir das Ganze schon mal etwas entspannter :o) Danke. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.