Jump to content

Aufgabe mit Adminrechten remote eintragen

stefan4711
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   3.045

Geschrieben
Geschrieben

Moin,

 

vielleicht sollten wir dann doch jetzt langsam mal über die eigentliche Anforderung sprechen. Die Datensammlung ist ja nur ein Werkzeug. Wofür werden die Daten denn benötigt? Was soll mit ihnen geschehen?

 

Gruß, Nils

 

zahni Grand Master

zahni   587

Geschrieben
Geschrieben
vor 6 Stunden schrieb MurdocX:

Das schlimmste sind "Cached-Credentials eines Domänen-Admins auf einem Client"  

Einige große Firmen merken das auch gerade... ;-)

Ja, das fällt beim Penetrationstest auch auf. Wenn, dann nur mit Bitlocker. Wobei lokal laufende Malware sich daran nicht stört.

NilsK Grand Master

NilsK   3.045

Geschrieben
Geschrieben

Moin,

 

auch wenn es in diesem Thread OT ist ...

 

vor 18 Minuten schrieb zahni:

Wenn, dann nur mit Bitlocker.

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

 

Gruß, Nils

 

zahni Grand Master

zahni   587

Geschrieben
Geschrieben
vor 23 Minuten schrieb NilsK:

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

Weil man sie zumindest Offline nicht auslesen kann. Das war eine der Angriffsstrategien beim Penetrationstest: Versuchen, ob man auf die lokal gespeicherten Daten zugreifen kann bzw. dort irgendwas zu verändern.

Wenn es per USB nicht geht, dann eben per PXE, wenn es aktiviert ist. Unsere Desktops verwenden alle Bitlocker und die Cached Credentials sind auch aus. Bei Notebooks kommt man übrigens von Cached Credential u.U. nicht herum.

Sunny61 Grand Master

Sunny61   833

Geschrieben
Geschrieben
Am 16.7.2021 um 09:03 schrieb stefan4711:

Versuch 1:

per psexec

psexec64 \\ZielPC -u dom\administrator -p <pass> -h cmd /c FOR %L in ( DataCollect ) do SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"

 

Ergebnis: Benutzer oder Kennwort ist falsch, ist definitiv nicht falsch

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

 

So viele Rechte wie nötig, so wenig wie möglich. ;)

daabm Grand Master

daabm   1.428

Geschrieben
Geschrieben
vor 36 Minuten schrieb Sunny61:

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

@stefan4711 Korrekt. Deshalb kennt schtasks (bzw. fast alle Remote Verwaltungs APIs) ja auch entsprechende Parameter, um eben KEINE Session auf dem Zielsystem zu starten (deren Credentials dann gecached sind), sondern das mit entsprechenden Rechten direkt remote zu erledigen. Bei schtasks wären das /s /p /u

 

stefan4711 Fellow

stefan4711   3

Geschrieben
  • Autor
Geschrieben

@sunny: ja bei dem ersten hättest du recht gehabt, aber über das startscript als system, brauch ich ja keine credentials (SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"), ist mir auch lieber so, werde natürlch den Teufel tun in ein Startscript so etwas zu hinterlegen.

 

Danke noch mal für die interessante Diskussion die sich hieraus entwickelt hat

 

lg und schöne Woche noch

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...