nordicmike
Goto Top

Dateibesitz übernehmen per GPO - Sicherheirslücke ADV200006

Moin zusammen,

wegen der aktuellsten Sicherheitslücke möchte ich per GPO die Datei umbenennen, das funktioniert jedoch noch nicht, da die Sicherheitseinstellungen der Datei es nur für den TrustedInstaller erlauben. Ich möchte nun per GPO den Besitzer übernehmen, bevor ich die Rechte verstellen kann, ich finde jedoch keine passende GPO Einstellung.

Wenn ich im Gruppenrichlinieneditor auf Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Dateisystem diese betroffene Datei c:\windows\system32\atmfd.dll hinzufüge, zeigt er mit nur die Rechte des lokalen Rechners an, die mit den Rechten der Remotecomputer, die die Richtlinien erhalten werden, nicht übereinstimmen. Kann ich das da dann überhaupt machen?

Hat jemand einen Tip für mich?

Keep Rockin

Der Mike

Content-Key: 560452

Url: https://administrator.de/contentid/560452

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: emeriks
emeriks 24.03.2020 um 11:44:11 Uhr
Goto Top
Hi,
die ACL, welche er Dir da standardmäßig anbietet, ist doch nur eine "Vorlage". Passe diese an, wie Du es brauchst.

E.
Mitglied: NordicMike
NordicMike 24.03.2020 um 11:59:00 Uhr
Goto Top
Das habe ich gemacht. Tatsächläch fasst er die lokale Datei nicht an.

Ich habe nun den Besitz auf "jeder" gestellt und auch vollzugriff an "jeder" gegeben. Die Datei hat die Recht auch angenommen. Trotzdem wird die Datei nicht gelöscht. In der Ereignisanzeige erscheint:

Das Computer "atmfd.dll"-Einstellungselement im Gruppenrichtlinienobjekt "temp {DF3DFFC6-3A35-41A9-927F-2E7A11ED79B2}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..  

Ob da der Ordner darüber noch was erben lässt? Ich werde da aber einen Teufel tun und am SYSTEM32 Ordner irgendwelche Rechte verstellen.
Mitglied: emeriks
emeriks 24.03.2020 aktualisiert um 12:09:01 Uhr
Goto Top
  1. muss diese GPO dann 2x angewendet werden. Beim ersten Mal zum Ändern der ACL und beim zweiten Mal zum Löschen der Datei.
  2. kann es sein, dass Windows (der TrustedInstaller) dieses Datei besonders schützt und die ACL sofort wieder ändert. Nimm mal statt "Jeder" als Besitzer besser "SYSTEM". Und auch nicht "Jeder" Vollzugriff erteilen. Denn "TrustedInstaller" ist auch Mitglied von "Jeder".
Mitglied: NordicMike
NordicMike 24.03.2020 um 12:16:02 Uhr
Goto Top
Danke, das hatte ich vor "jeder" schon versucht. Als letzte Verzweiflungstat habe ich dann auf jeden gesetzt. Wenn ich 1 Minute danach in den Ordner schaue, sind die Rechte immer noch auf "jeder" und Vollzugriff. Trotzdem funktioniert die löschung nicht. Dann dachte ich mir, er führt die zwei Aktion zu schnell hintereinander aus und die Datei wird noch bearbeitet, während versucht wird zu löschen. Also habe ich die GPO auf den Löschvorgang minimiert und es klappt immer noch nicht. Die Rechte "jeder" Vollzugriff hat er ja noch von vorhin behalten. Das kontrolliere ich bei jedem Versuch.
Mitglied: emeriks
emeriks 24.03.2020 um 12:28:05 Uhr
Goto Top
Dann nehme ich an, ist diese Datei in Verwendung und kann deshalb nicht gelöscht werden.
Ich hoffe doch, dass Du die Löschung unter "Computerkonfiguration" versuchst und nicht unter "Benutzerkonfiguration".
Dann würde ich einen Neustart des Computers versuchen.
Wenn das immer noch nichts bringt, dann ein Startup-Script, welches
  1. mit Takeown den Besitz übernimmt
  2. mit calcs die Rechte ändert
  3. die Datei löscht
Mitglied: NordicMike
NordicMike 24.03.2020 um 12:56:11 Uhr
Goto Top
Neustart habe ich versucht.

Richtig, Computerkonfiguration, wie im ersten Beitrag zu sehen ist.

In Verwendung ist die Datei auch nicht. Wenn ich manuell über den Explorer lösche, kommt noch eine Frage nach Administrator Berechtigungen, obwohl alle Vollzugriff haben. Nach der Eingabe der Administrator Credentials wird die Datei dann auch gelöscht. Also ist sie nicht in Benutzung.

Ich habe die Datei kopiert (in den selben Ordner) und umbenannt und die Kopie lässt sich über GPO entfernen. In der Kopie stehen aber auch nicht andere Berechtigungen oder Besitzer drinnen als in der Originaldatei.