Jump to content

Aufgabe mit Adminrechten remote eintragen


Recommended Posts

Moin,

 

vielleicht sollten wir dann doch jetzt langsam mal über die eigentliche Anforderung sprechen. Die Datensammlung ist ja nur ein Werkzeug. Wofür werden die Daten denn benötigt? Was soll mit ihnen geschehen?

 

Gruß, Nils

 

Link to post
vor 6 Stunden schrieb MurdocX:

Das schlimmste sind "Cached-Credentials eines Domänen-Admins auf einem Client"  

Einige große Firmen merken das auch gerade... ;-)

Ja, das fällt beim Penetrationstest auch auf. Wenn, dann nur mit Bitlocker. Wobei lokal laufende Malware sich daran nicht stört.

Link to post

Moin,

 

auch wenn es in diesem Thread OT ist ...

 

vor 18 Minuten schrieb zahni:

Wenn, dann nur mit Bitlocker.

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

 

Gruß, Nils

 

Link to post
vor 23 Minuten schrieb NilsK:

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

Weil man sie zumindest Offline nicht auslesen kann. Das war eine der Angriffsstrategien beim Penetrationstest: Versuchen, ob man auf die lokal gespeicherten Daten zugreifen kann bzw. dort irgendwas zu verändern.

Wenn es per USB nicht geht, dann eben per PXE, wenn es aktiviert ist. Unsere Desktops verwenden alle Bitlocker und die Cached Credentials sind auch aus. Bei Notebooks kommt man übrigens von Cached Credential u.U. nicht herum.

Link to post
Am 16.7.2021 um 09:03 schrieb stefan4711:

Versuch 1:

per psexec

psexec64 \\ZielPC -u dom\administrator -p <pass> -h cmd /c FOR %L in ( DataCollect ) do SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"

 

Ergebnis: Benutzer oder Kennwort ist falsch, ist definitiv nicht falsch

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

 

So viele Rechte wie nötig, so wenig wie möglich. ;)

Link to post
vor 36 Minuten schrieb Sunny61:

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

@stefan4711 Korrekt. Deshalb kennt schtasks (bzw. fast alle Remote Verwaltungs APIs) ja auch entsprechende Parameter, um eben KEINE Session auf dem Zielsystem zu starten (deren Credentials dann gecached sind), sondern das mit entsprechenden Rechten direkt remote zu erledigen. Bei schtasks wären das /s /p /u

 

Link to post

@sunny: ja bei dem ersten hättest du recht gehabt, aber über das startscript als system, brauch ich ja keine credentials (SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"), ist mir auch lieber so, werde natürlch den Teufel tun in ein Startscript so etwas zu hinterlegen.

 

Danke noch mal für die interessante Diskussion die sich hieraus entwickelt hat

 

lg und schöne Woche noch

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...