Jump to content

Administrative Freigaben können alle User einsehen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Auf dem Server mal prüfen, ob das wirklich  der User ist, welcher sich verbindet:

 

net session bzw. net file.

 

Wenn ja, ist er direkt oder indirekt berechtigt.  Vielleicht hat  da auch  schon ein Virus "ganze Arbeit"  geleistet und anonyme Zugriffe  erlaut. 

Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger  neu installieren und nicht  einen Virenscanner  vertrauen.

Link zu diesem Kommentar

Moin,

 

hm ... dann gehen wir noch mal sicher. Falls du dich mit einem normalen Useraccount (nicht dein eigener Admin-User) anmelden kannst, gib bitte mal in einem CMD-Fenster ein:

whoami /groups | clip

Welche administrativen Gruppen tauchen in der Ausgabe auf, die sich wieder in der Zwischenablage befindet?

 

Gruß, Nils

 

 

GRUPPENINFORMATIONEN

--------------------

 

Gruppenname                                              Typ             SID                                          Attribute                                                      

======================================================== =============== ============================================ ===============================================================

Jeder                                                    Bekannte Gruppe S-1-1-0                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

NT-AUTORITÄT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

NT-AUTORITÄT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

NT-AUTORITÄT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                     Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

LOKAL                                                    Bekannte Gruppe S-1-2-0                                      Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\Abteilung_E_EDV                                       Gruppe          S-1-5-21-1644491937-688789844-682003330-1237 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\RDS_User                                              Gruppe          S-1-5-21-1644491937-688789844-682003330-5188 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\Combit                                                Gruppe          S-1-5-21-1644491937-688789844-682003330-5160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\Everyone                                              Gruppe          S-1-5-21-1644491937-688789844-682003330-1203 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\VPN_KIVBF                                             Gruppe          S-1-5-21-1644491937-688789844-682003330-4160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

SV\VPNSSL                                                Gruppe          S-1-5-21-1644491937-688789844-682003330-4162 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192                                  Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

 

Auf dem Server mal prüfen, ob das wirklich  der User ist, welcher sich verbindet:

 

net session bzw. net file.

 

Wenn ja, ist er direkt oder indirekt berechtigt.  Vielleicht hat  da auch  schon ein Virus "ganze Arbeit"  geleistet und anonyme Zugriffe  erlaut. 

Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger  neu installieren und nicht  einen Virenscanner  vertrauen.

 

Ja es sind tatsächlich diverse normale User.

Link zu diesem Kommentar

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen.

Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt.

 

Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen.

Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen.

 

Viel Erfolg, Nils

Link zu diesem Kommentar

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

 

Danke gut zu wissen, man lernt nie aus.

 

Wenn er aber mit seinem User "Lokaler Admin" ist, müsste dann nicht "VORDEFINIERT\Administratoren" auftauchen? Tut es zumindest bei mir...

Link zu diesem Kommentar

Moin,

 

die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen.

 

Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen.

Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt.

 

Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen.

Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen.

 

Viel Erfolg, Nils

 

Hallo Nils,

 

vielen Dank für deine Empfehlung.

Dummerweise habe ich in diesem Netzwerk an die 100 Clients und nicht die Manpower, dass in kurzer Zeit alles neu zu installieren.

Mein Weg ist jetzt per GPO die lokalen Admins rauszunehmen (Da habe ich ja schon über gruppenrichtlinien.de eine Anleitung gefunden); Die Firewall zu reaktivieren. (teilweise wohl deaktiviert auf den Clients - vielleicht auch durch den Virus). UNd im nächsten Schritt an allen PCs mit einer Offline Virenschutz Disk um den Virus rauszuhauen.

Habe wohl eine Variante des emotet-virus abbekommen. Ist ein sehr ähnliches Verhalten.

 

Klar wird doof sein, wenn dadurch der Virus nicht raus ist. Aber ist jetzt erstmal die schnellere Variante meiner Meinung nach.

Link zu diesem Kommentar

Moin,

 

also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen?

 

Wenn das so ist, dann ist an dem System irgendwas verdreht bzw. nicht in Ordnung. Die whoami-Ausgabe (so sie denn vollständig ist) belegt, dass der User nicht lokaler Admin ist. Wenn er von einem anderen Rechner aus einen Admin-Share auf diesem Rechner öffnen kann, dann fehlt dort anscheinend die Zugriffsbeschränkung auf lokale Administratoren. Das ist nicht ohne Weiteres zu erreichen, also muss dort was manipuliert sein.

 

Sofern dies also zutrifft, liegt die Ursache des Phänomens nicht an falschen lokalen Admin-Mitgliedschaften. Es wird dir dann also nichts nützen, an den lokalen Admins etwas zu ändern. Was auch immer da geschehen ist, es liegt auf einer anderen Ebene.

 

Ohne genaue Untersuchung kann man das nicht besser sagen. Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind.

 

Ich würde mir jetzt nicht mehr viel Zeit lassen ...

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...