Sunny61 806 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 Melde dich als Benutzer1 am PC1 an. Jetzt den Explorer öffnen, in die Adresszeile \\PC2\c$ [ENTER] eingeben. Was passiert? Bekommt der angemeldete Benutzer1 am PC1 auch wirklich die komplette Root von PC2 zu sehen? Zitieren Link zu diesem Kommentar
Daviiid 0 Geschrieben 30. August 2017 Autor Melden Teilen Geschrieben 30. August 2017 Melde dich als Benutzer1 am PC1 an. Jetzt den Explorer öffnen, in die Adresszeile \\PC2\c$ [ENTER] eingeben. Was passiert? Bekommt der angemeldete Benutzer1 am PC1 auch wirklich die komplette Root von PC2 zu sehen? JA! Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 Moin, hm ... dann gehen wir noch mal sicher. Falls du dich mit einem normalen Useraccount (nicht dein eigener Admin-User) anmelden kannst, gib bitte mal in einem CMD-Fenster ein: whoami /groups | clip Welche administrativen Gruppen tauchen in der Ausgabe auf, die sich wieder in der Zwischenablage befindet? Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 Auf dem Server mal prüfen, ob das wirklich der User ist, welcher sich verbindet: net session bzw. net file. Wenn ja, ist er direkt oder indirekt berechtigt. Vielleicht hat da auch schon ein Virus "ganze Arbeit" geleistet und anonyme Zugriffe erlaut. Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger neu installieren und nicht einen Virenscanner vertrauen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 JA! Dann ist jeder User auf jedem PC lokaler Admin! Das ist kontraproduktiv. Evtl. wäre es sinnvoller wenn Du dir jemanden ins Boot holst, der dir hilft. Schau dem dann über die Schulter, so lernst Du auch etwas. 1 Zitieren Link zu diesem Kommentar
Daviiid 0 Geschrieben 30. August 2017 Autor Melden Teilen Geschrieben 30. August 2017 Moin, hm ... dann gehen wir noch mal sicher. Falls du dich mit einem normalen Useraccount (nicht dein eigener Admin-User) anmelden kannst, gib bitte mal in einem CMD-Fenster ein: whoami /groups | clip Welche administrativen Gruppen tauchen in der Ausgabe auf, die sich wieder in der Zwischenablage befindet? Gruß, Nils GRUPPENINFORMATIONEN -------------------- Gruppenname Typ SID Attribute ======================================================== =============== ============================================ =============================================================== Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe KONSOLENANMELDUNG Bekannte Gruppe S-1-2-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\Abteilung_E_EDV Gruppe S-1-5-21-1644491937-688789844-682003330-1237 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\RDS_User Gruppe S-1-5-21-1644491937-688789844-682003330-5188 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\Combit Gruppe S-1-5-21-1644491937-688789844-682003330-5160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\Everyone Gruppe S-1-5-21-1644491937-688789844-682003330-1203 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\VPN_KIVBF Gruppe S-1-5-21-1644491937-688789844-682003330-4160 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe SV\VPNSSL Gruppe S-1-5-21-1644491937-688789844-682003330-4162 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung S-1-16-8192 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe Auf dem Server mal prüfen, ob das wirklich der User ist, welcher sich verbindet: net session bzw. net file. Wenn ja, ist er direkt oder indirekt berechtigt. Vielleicht hat da auch schon ein Virus "ganze Arbeit" geleistet und anonyme Zugriffe erlaut. Wenn man z.B. Wannacry hatte, sollte man eh etwas großflächiger neu installieren und nicht einen Virenscanner vertrauen. Ja es sind tatsächlich diverse normale User. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 SV\Abteilung_E_EDV Ist diese Gruppe Mitglied in anderen Gruppen? Domänen Admins? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 melden die user sich alle mit dem selben namen an oder sind die accounts personalisiert? Zitieren Link zu diesem Kommentar
Daviiid 0 Geschrieben 30. August 2017 Autor Melden Teilen Geschrieben 30. August 2017 Abteilung ist kein Domänen admin. Nein. Also auch kein Mitglied in dieser Gruppe. Die User melden sich alle personalisiert mit eigenen Kennwörtern an. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 (bearbeitet) Vielleicht hilft dieses Script weiter: https://gallery.technet.microsoft.com/scriptcenter/Get-All-Group-Membership-f637bece Habe ich nicht getestet, sollte man ermitteln können, wo der User überall direkt und indirekt Member ist. bearbeitet 30. August 2017 von zahni Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 Moin, die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen. Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen. Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt. Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen. Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen. Viel Erfolg, Nils Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 Moin, die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen. Danke gut zu wissen, man lernt nie aus. Wenn er aber mit seinem User "Lokaler Admin" ist, müsste dann nicht "VORDEFINIERT\Administratoren" auftauchen? Tut es zumindest bei mir... Zitieren Link zu diesem Kommentar
Daviiid 0 Geschrieben 31. August 2017 Autor Melden Teilen Geschrieben 31. August 2017 Moin, die Gruppen müssen nicht mehr ausgewertet werden, und auch weitere Nachforschungen zu den Gruppen erübrigen sich - sofern das oben stehende Ergebnis von whoami für die anderen User übertragbar ist. Es sind dort die Gruppenmitgliedschaften vermerkt, die im Access Token auftauchen, also auch durch Verschachtelungen. Da ist tatsächlich keine lokale Administratorgruppe dabei. Hier muss also was anderes vorliegen - ich neige nun auch zu Zahnis Verdacht, dass die Systeme bereits durch eine Malware kompromittiert wurden und jetzt als offene Scheunentore dastehen. Was man jetzt noch prüfen könnte: Möglicherweise sind durch Verbiegen der lokalen Sicherheitsrichtlinien anonyme Zugriffe aktiviert worden. Damit wäre jeder Berechtigungsschutz ausgehebelt. Nach derzeitigem Stand der Dinge würde ich jetzt ins Auge fassen, alle Rechner plattzumachen und neu zu installieren. Dann natürlich mit hohem Sicherheitsstandard. Und ich würde mir mit der Entscheidung nicht viel Zeit lassen. Mag sein, dass wir falsch liegen, eine Ferndiagnose ist über ein Forum kaum möglich. Wäre ich aber in der tatsächlichen Situation, dann wären das meine Überlegungen. Viel Erfolg, Nils Hallo Nils, vielen Dank für deine Empfehlung. Dummerweise habe ich in diesem Netzwerk an die 100 Clients und nicht die Manpower, dass in kurzer Zeit alles neu zu installieren. Mein Weg ist jetzt per GPO die lokalen Admins rauszunehmen (Da habe ich ja schon über gruppenrichtlinien.de eine Anleitung gefunden); Die Firewall zu reaktivieren. (teilweise wohl deaktiviert auf den Clients - vielleicht auch durch den Virus). UNd im nächsten Schritt an allen PCs mit einer Offline Virenschutz Disk um den Virus rauszuhauen. Habe wohl eine Variante des emotet-virus abbekommen. Ist ein sehr ähnliches Verhalten. Klar wird doof sein, wenn dadurch der Virus nicht raus ist. Aber ist jetzt erstmal die schnellere Variante meiner Meinung nach. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 (bearbeitet) Da habe ich ja schon über gruppenrichtlinien.de eine Anleitung gefunden Achso, die hast _du_ gefunden? ;) Deinen Weg halte ich nicht für sinnvoll, aber du scheinst davon überzeugt. :) Viel Erfolg Bye Norbert bearbeitet 31. August 2017 von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 Moin, also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen? Wenn das so ist, dann ist an dem System irgendwas verdreht bzw. nicht in Ordnung. Die whoami-Ausgabe (so sie denn vollständig ist) belegt, dass der User nicht lokaler Admin ist. Wenn er von einem anderen Rechner aus einen Admin-Share auf diesem Rechner öffnen kann, dann fehlt dort anscheinend die Zugriffsbeschränkung auf lokale Administratoren. Das ist nicht ohne Weiteres zu erreichen, also muss dort was manipuliert sein. Sofern dies also zutrifft, liegt die Ursache des Phänomens nicht an falschen lokalen Admin-Mitgliedschaften. Es wird dir dann also nichts nützen, an den lokalen Admins etwas zu ändern. Was auch immer da geschehen ist, es liegt auf einer anderen Ebene. Ohne genaue Untersuchung kann man das nicht besser sagen. Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind. Ich würde mir jetzt nicht mehr viel Zeit lassen ... Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.