Jump to content

Aufgabe mit Adminrechten remote eintragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 23 Minuten schrieb NilsK:

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

Weil man sie zumindest Offline nicht auslesen kann. Das war eine der Angriffsstrategien beim Penetrationstest: Versuchen, ob man auf die lokal gespeicherten Daten zugreifen kann bzw. dort irgendwas zu verändern.

Wenn es per USB nicht geht, dann eben per PXE, wenn es aktiviert ist. Unsere Desktops verwenden alle Bitlocker und die Cached Credentials sind auch aus. Bei Notebooks kommt man übrigens von Cached Credential u.U. nicht herum.

Link zu diesem Kommentar
Am 16.7.2021 um 09:03 schrieb stefan4711:

Versuch 1:

per psexec

psexec64 \\ZielPC -u dom\administrator -p <pass> -h cmd /c FOR %L in ( DataCollect ) do SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"

 

Ergebnis: Benutzer oder Kennwort ist falsch, ist definitiv nicht falsch

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

 

So viele Rechte wie nötig, so wenig wie möglich. ;)

Link zu diesem Kommentar
vor 36 Minuten schrieb Sunny61:

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

@stefan4711 Korrekt. Deshalb kennt schtasks (bzw. fast alle Remote Verwaltungs APIs) ja auch entsprechende Parameter, um eben KEINE Session auf dem Zielsystem zu starten (deren Credentials dann gecached sind), sondern das mit entsprechenden Rechten direkt remote zu erledigen. Bei schtasks wären das /s /p /u

 

Link zu diesem Kommentar

@sunny: ja bei dem ersten hättest du recht gehabt, aber über das startscript als system, brauch ich ja keine credentials (SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"), ist mir auch lieber so, werde natürlch den Teufel tun in ein Startscript so etwas zu hinterlegen.

 

Danke noch mal für die interessante Diskussion die sich hieraus entwickelt hat

 

lg und schöne Woche noch

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...