Get-CimInstance Win32_Service remote ohne Adminrechte abfragen

[Ebenezer 17]

Hi, wir versuchen im LAN den Dienst-Status auf div. Windows Servern 2016 / 2019 ohne Admin Berechtigungen abzufragen und scheitern:

 

Get-CimInstance Win32_Service -Filter "Name='Spooler'" -ComputerName server01

 

Get-CimInstance : Der WS-Verwaltungsdienst kann die Anforderung nicht verarbeiten. Der WMI-Dienst hat einen "Zugriff
verweigert"-Fehler zurückgegeben.
In Zeile:1 Zeichen:1
+ Get-CimInstance Win32_Service -Filter "Name='Spooler'" -ComputerName
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (:) [Get-CimInstance], CimException
    + FullyQualifiedErrorId : HRESULT 0x80338104,Microsoft.Management.Infrastructure.CimCmdlets.GetCimInstanceCommand
    + PSComputerName        : server01

 

Folgender Befehl funktioniert hingegen mit eingeschränkten Rechten!

 

Get-CimInstance Win32_OperatingSystem -ComputerName server01

 

Wie löst Ihr das Problem? Danke!

[cj_berlin 1.580]

Service Security and Access Rights - Win32 apps | Microsoft Learn


Was Du tun könntest, ist überall einen JEA Endpoint ausrollen, der Get-Service beinhaltet. Dann läuft es lokal mit einem privilegierten virtuellen Account, und remote kannst Du Zugriff erlauben wem Du willst.

EDIT: Oder Du kannst auch Get-CIMInstance in den Endpoint einschließen, und alle WMI-Abfragen quasi lokal auf den Servern fahren.

bearbeitet 8. Juni von cj_berlin

[testperson 2.007]

Hi,

 

"anders betrachtet" (falls möglich): Deaktiviert den Dienst per GPO auf allen Servern, wo er "eh nicht" benötigt wird, dann weißt du ja auch, wo er läuft und wo nicht. :)

 

Eine andere Frage wäre, was möchtest du denn mit dem Ergebnis machen bzw. was willst du ganz am Ende erreichen? Evtl. wäre es auch eine Option, eine Aufgabe (per GPO) auf die Systeme zu bringen, die dann lokal abfragen.

 

Gruß

Jan

[Ebenezer 17]

Danke für Eure Antworten!

 

Wir wollen via PRTG ohne Admin-Rechte den Status von Diensten monitoren! Für andere Klassen funktioniert das mittlerweile via WSMan und KERBEROS problemlos, aber leider nicht für die Dienste:

 

https://blog.paessler.com/more-security-better-performance-wsman-and-kerberos-authentication-for-wmi-sensors-in-prtg

 

https://helpdesk.paessler.com/en/support/solutions/articles/76000088235-how-can-i-use-a-non-administrator-windows-account-for-wmi-monitoring-via-the-wsman-protocol-

 

Die Berechtigungen nur für den überwachenden Dienst zu ändern, bringt leider auch nichts:

 

https://www.der-windows-papst.de/2020/09/18/allow-users-to-manage-windows-services/

 

Da fehlt vermutlich das generelle Recht für den SC-Manager, oder? Kann man der Gruppe "Remoteverwaltungsbenutzer" dieses Recht nicht irgendwie einräumen?

 

Ich komme derzeit an den lokalen Adminrechten nicht vorbei... immerhin erfolgt die Authentifizierung nun vermeintlich sicher via KERBEROS und nicht mehr via NTML, aber ideal ist das immer noch nicht!

bearbeitet 8. Juni von Ebenezer

[Dukel 477]

Geht da evtl. via SNMP?

[cj_berlin 1.580]

vor einer Stunde schrieb Dukel:

Geht da evtl. via SNMP?

SNMP auf Windows mit Bordmitteln willst Du aber nicht wirklich...

bearbeitet 8. Juni von cj_berlin

[Ebenezer 17]

Hi, ich habe ein Tool gefunden um die Rechte für den Service Control Manager zu ändern:

 

https://systeminformer.io/ (Tools -> Permissions -> Service Control Manager)

 

Ich habe folgende Berechtigungen gegeben:

 

Connect, Enumerate services, Query lock status, Read permissions

 

Damit lassen sich auch Berechtigungen von Windows Diensten sehr einfach anpassen (brauchte ich für div. Third-Party-Dienste).

 

So klappt das nun prima - ganz ohne Adminrechte und NTLM!