Aufgabe mit Adminrechten remote eintragen

[NilsK 2.957]

Moin,

 

vielleicht sollten wir dann doch jetzt langsam mal über die eigentliche Anforderung sprechen. Die Datensammlung ist ja nur ein Werkzeug. Wofür werden die Daten denn benötigt? Was soll mit ihnen geschehen?

 

Gruß, Nils

 

[MurdocX 953]

Ich bin bei Dir. Wichtig finde ich auch, dass er versteht, was er dadurch riskiert.  Man kann es vll. auch missionieren nennen  

[stefan4711 3]

ich sehe das doch nicht als piesacken, aber ich erstelle die Aufgabe doch gar nicht an den clients, ich verteile die Jobs doch per GPO, so wie es sich gehört.

 

lg

 

 

Stefan

 

[zahni 554]

vor 6 Stunden schrieb MurdocX:

Das schlimmste sind "Cached-Credentials eines Domänen-Admins auf einem Client"  . 

Einige große Firmen merken das auch gerade... 

Ja, das fällt beim Penetrationstest auch auf. Wenn, dann nur mit Bitlocker. Wobei lokal laufende Malware sich daran nicht stört.

[NilsK 2.957]

Moin,

 

auch wenn es in diesem Thread OT ist ...

 

vor 18 Minuten schrieb zahni:

Wenn, dann nur mit Bitlocker.

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

 

Gruß, Nils

 

[zahni 554]

vor 23 Minuten schrieb NilsK:

Warum sollte Bitlocker an dem Problem etwas lösen oder auch nur mildern, dass Credentials eines hochberechtigten Kontos in einer Windows-Instanz hinterlegt sind?

Weil man sie zumindest Offline nicht auslesen kann. Das war eine der Angriffsstrategien beim Penetrationstest: Versuchen, ob man auf die lokal gespeicherten Daten zugreifen kann bzw. dort irgendwas zu verändern.

Wenn es per USB nicht geht, dann eben per PXE, wenn es aktiviert ist. Unsere Desktops verwenden alle Bitlocker und die Cached Credentials sind auch aus. Bei Notebooks kommt man übrigens von Cached Credential u.U. nicht herum.

[NorbertFe 2.061]

Das hat aber nix mit den Cached Credentials zu tun, denn die kann man sich mit offline Zugriff auch direkt selbst anlegen. Für PtH sind die aber egal, da nicht verwendbar.

[Sunny61 807]

Am 16.7.2021 um 09:03 schrieb stefan4711:

Versuch 1:

per psexec

psexec64 \\ZielPC -u dom\administrator -p <pass> -h cmd /c FOR %L in ( DataCollect ) do SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"

 

Ergebnis: Benutzer oder Kennwort ist falsch, ist definitiv nicht falsch

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

 

So viele Rechte wie nötig, so wenig wie möglich. ;)

[daabm 1.366]

vor 36 Minuten schrieb Sunny61:

 

Dieser Teil ist gemeint, du gibst an der Stelle den Domain Admin an, der wird auf dem Ziel-PC gecached. Das ist das gefährliche an der Sache.

@stefan4711 Korrekt. Deshalb kennt schtasks (bzw. fast alle Remote Verwaltungs APIs) ja auch entsprechende Parameter, um eben KEINE Session auf dem Zielsystem zu starten (deren Credentials dann gecached sind), sondern das mit entsprechenden Rechten direkt remote zu erledigen. Bei schtasks wären das /s /p /u

 

[stefan4711 3]

@sunny: ja bei dem ersten hättest du recht gehabt, aber über das startscript als system, brauch ich ja keine credentials (SCHTASKS /Create /TN %L /f /xml "C:\Users\Administrator\Downloads\Aufgaben\%L.xml"), ist mir auch lieber so, werde natürlch den Teufel tun in ein Startscript so etwas zu hinterlegen.

 

Danke noch mal für die interessante Diskussion die sich hieraus entwickelt hat

 

lg und schöne Woche noch