Mehrere Windows Server verändern "alleine" Lokale Gruppenrichtlinie für Remote Sessions

[Lukikum 8]

Hallo zusammen,

wir haben gerade ein merkwürdiges Phänomen in unserem Netzwerk. Unterschiedliche Windows Server Systeme (2012,2016,2019) scheinen willkürlich die Lokale Gruppenrichtlinie auf disabled zu setzen, welche den Zugriff auf den Server per remote steuert. Wir können uns das noch nicht ganz erklären, einen Cyber Angriff können wir auch nicht ausschließen. Es sind auch nicht alle Server betroffen. Im Eventviewer konnte ich auch kein Event finden was auf eine Änderung der Richtlinie  zurückführen lässt.

Hat jemand ähnliche Erfahrungen gemacht?

LG
Lukas

[daabm 1.356]

Zu wenig Info - was genau meinst Du mit "die lokale Gruppenrichtlinie" und mit "Zugriff per remote steuert"?

[Lukikum 8]

vor 7 Minuten schrieb daabm:

Zu wenig Info - was genau meinst Du mit "die lokale Gruppenrichtlinie" und mit "Zugriff per remote steuert"?

Sorry, ich meine die hier:

Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections -> Allow users to connect remotely by using remote desktop services.

Mittlerweile haben wir die Vermutung dass es eventuell an Greenbone Scans liegen könnte.

[daabm 1.356]

Das war mir schon fast klar, aber macht Ihr das echt per lokaler GPO? Greenbone sagt mir grad nichts.

Edit: "Lokale GPO" ist ein Widerspruch in sich - muß "lokale Policy" heißen Auch wenn man's per gpedit.msc bearbeitet.

bearbeitet 5. Mai 2023 von daabm

[Lukikum 8]

vor 3 Minuten schrieb daabm:

Das war mir schon fast klar, aber macht Ihr das echt per lokaler GPO? Greenbone sagt mir grad nichts.

Edit: "Lokale GPO" ist ein Widerspruch in sich - muß "lokale Policy" heißen Auch wenn man's per gpedit.msc bearbeitet.

Ja stimmt, die Lokale Policy. Wir machen es eigentlich nichts über diese Policy. Deswegen sind wir ja so verwundert wieso die sich plötzlich bei mehreren Systemen verstellen.

Greenbone is ein Tool um Schwachstellen im Netzwerk zu finden.

Wir haben nun erweitertes Logging eingerichtet um zu schauen wer oder was diese Policy ändert..

[daabm 1.356]

Wenn Du's per Domain Policy verteilst (und nach Möglichkeit noch die Verarbeitung der lokalen Policy deaktivierst), wäre das nicht passiert Aber ok.

Würde mich freuen, wenn Du ne Ursache findest und postest.

[Lukikum 8]

Am 5.5.2023 um 17:42 schrieb daabm:

Wenn Du's per Domain Policy verteilst (und nach Möglichkeit noch die Verarbeitung der lokalen Policy deaktivierst), wäre das nicht passiert Aber ok.

Würde mich freuen, wenn Du ne Ursache findest und postest.

Das Rätsel hat ich sich gelöst. Unser Domainadmin hat wohl ein paar Konfigurationen angepasst die zu diesem merkwürdigem Verhalten geführt haben. Was genau er gemacht hat kann ich leider nicht sagen.

[NorbertFe 2.045]

Am 5.5.2023 um 17:18 schrieb daabm:

Greenbone sagt mir grad nichts.

Schwachstellenscanner. ;) 

vor 11 Minuten schrieb Lukikum:

Was genau er gemacht hat kann ich leider nicht sagen.

Aber genau das wär jetzt interessant gewesen. :)

[Sunny61 806]

vor einer Stunde schrieb Lukikum:

Was genau er gemacht hat kann ich leider nicht sagen.

Frag ihn doch einfach.

[Lukikum 8]

vor 11 Minuten schrieb Sunny61:

Frag ihn doch einfach.

Zeit ist knapp. Ich denke es wird dazu noch ein Meeting geben. Ich melde mich wenn ich was neues weiß

[Lukikum 8]

Moin zusammen,

das Problem ist durch das entfernen einer Gruppe aufgetreten. In der Gruppe gab es eine RDP Richtlinie für die Server (wurde beim ersten Check übersehen, deshalb hat das Troubleshooten etwas gedauert).
Anschließend kam wohl MECM um die Ecke und hat nach und nach die lokalen Einstellungen auf die Maschinen gepuscht (vermutlich eine vergessene Einstellungen die früher durch die Gruppenrichtlinie blockiert wurde).

Ist etwas unglücklich gelaufen, aber man lernt ja aus jeden Fehlern ;)

LG

[Sunny61 806]

vor 22 Minuten schrieb Lukikum:

das Problem ist durch das entfernen einer Gruppe aufgetreten. In der Gruppe gab es eine RDP Richtlinie für die Server

In welcher Gruppe ist was genau konfiguriert gewesen? Oder meinst Du eine Gruppenrichtlinie?

[Lukikum 8]

vor 2 Minuten schrieb Sunny61:

In welcher Gruppe ist was genau konfiguriert gewesen? Oder meinst Du eine Gruppenrichtlinie?

Ich schätze mal eine selbsterstellte GG mit konfigurierter RDP Gruppenrichtlinie.

[Sunny61 806]

vor 2 Stunden schrieb Lukikum:

Ich schätze mal eine selbsterstellte GG mit konfigurierter RDP Gruppenrichtlinie.

Gruppenrichtlinien greifen nicht auf Gruppen. Gruppen können maximal als Sicherheitsfilter verwendet werden. Detailierter kannst Du es nicht benennen/beschreiben?

[Lukikum 8]

vor 4 Minuten schrieb Sunny61:

Gruppenrichtlinien greifen nicht auf Gruppen. Gruppen können maximal als Sicherheitsfilter verwendet werden. Detailierter kannst Du es nicht benennen/beschreiben?

Nein ich bin leider kein AD Admin, aber ich merke ich brauche wohl noch dringend Nachhilfe in dem Bereich
Ich dachte immer, dass GPOs auch auf Sicherheitsgruppen angwendet werden können, so dass Mitglieder dieser Gruppe die GPOs bekommen.

Ich frage bei Gelegenheit noch mal genauer nach. Ich gehe dann aber jetzt davon aus, dass eine bestimmte GPO für die Server gelöscht wurde, die eine RDP Regelung beinhaltet hat, was dann bei der erstmaligen Überprüfung übersehen wurde.