6
Dateibesitz übernehmen per GPO - Sicherheirslücke ADV200006
Moin zusammen,
wegen der aktuellsten Sicherheitslücke möchte ich per GPO die Datei umbenennen, das funktioniert jedoch noch nicht, da die Sicherheitseinstellungen der Datei es nur für den TrustedInstaller erlauben. Ich möchte nun per GPO den Besitzer übernehmen, bevor ich die Rechte verstellen kann, ich finde jedoch keine passende GPO Einstellung.
Wenn ich im Gruppenrichlinieneditor auf Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Dateisystem diese betroffene Datei c:\windows\system32\atmfd.dll hinzufüge, zeigt er mit nur die Rechte des lokalen Rechners an, die mit den Rechten der Remotecomputer, die die Richtlinien erhalten werden, nicht übereinstimmen. Kann ich das da dann überhaupt machen?
Hat jemand einen Tip für mich?
Keep Rockin
Der Mike
wegen der aktuellsten Sicherheitslücke möchte ich per GPO die Datei umbenennen, das funktioniert jedoch noch nicht, da die Sicherheitseinstellungen der Datei es nur für den TrustedInstaller erlauben. Ich möchte nun per GPO den Besitzer übernehmen, bevor ich die Rechte verstellen kann, ich finde jedoch keine passende GPO Einstellung.
Wenn ich im Gruppenrichlinieneditor auf Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Dateisystem diese betroffene Datei c:\windows\system32\atmfd.dll hinzufüge, zeigt er mit nur die Rechte des lokalen Rechners an, die mit den Rechten der Remotecomputer, die die Richtlinien erhalten werden, nicht übereinstimmen. Kann ich das da dann überhaupt machen?
Hat jemand einen Tip für mich?
Keep Rockin
Der Mike
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 560452
Url: https://administrator.de/forum/dateibesitz-uebernehmen-per-gpo-sicherheirsluecke-adv200006-560452.html
Ausgedruckt am: 31.03.2025 um 09:03 Uhr
6 Kommentare
Neuester Kommentar
Hi,
die ACL, welche er Dir da standardmäßig anbietet, ist doch nur eine "Vorlage". Passe diese an, wie Du es brauchst.
E.
die ACL, welche er Dir da standardmäßig anbietet, ist doch nur eine "Vorlage". Passe diese an, wie Du es brauchst.
E.
Das habe ich gemacht. Tatsächläch fasst er die lokale Datei nicht an.
Ich habe nun den Besitz auf "jeder" gestellt und auch vollzugriff an "jeder" gegeben. Die Datei hat die Recht auch angenommen. Trotzdem wird die Datei nicht gelöscht. In der Ereignisanzeige erscheint:
Ob da der Ordner darüber noch was erben lässt? Ich werde da aber einen Teufel tun und am SYSTEM32 Ordner irgendwelche Rechte verstellen.
Ich habe nun den Besitz auf "jeder" gestellt und auch vollzugriff an "jeder" gegeben. Die Datei hat die Recht auch angenommen. Trotzdem wird die Datei nicht gelöscht. In der Ereignisanzeige erscheint:
Das Computer "atmfd.dll"-Einstellungselement im Gruppenrichtlinienobjekt "temp {DF3DFFC6-3A35-41A9-927F-2E7A11ED79B2}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt.. Ob da der Ordner darüber noch was erben lässt? Ich werde da aber einen Teufel tun und am SYSTEM32 Ordner irgendwelche Rechte verstellen.
- muss diese GPO dann 2x angewendet werden. Beim ersten Mal zum Ändern der ACL und beim zweiten Mal zum Löschen der Datei.
- kann es sein, dass Windows (der TrustedInstaller) dieses Datei besonders schützt und die ACL sofort wieder ändert. Nimm mal statt "Jeder" als Besitzer besser "SYSTEM". Und auch nicht "Jeder" Vollzugriff erteilen. Denn "TrustedInstaller" ist auch Mitglied von "Jeder".
Danke, das hatte ich vor "jeder" schon versucht. Als letzte Verzweiflungstat habe ich dann auf jeden gesetzt. Wenn ich 1 Minute danach in den Ordner schaue, sind die Rechte immer noch auf "jeder" und Vollzugriff. Trotzdem funktioniert die löschung nicht. Dann dachte ich mir, er führt die zwei Aktion zu schnell hintereinander aus und die Datei wird noch bearbeitet, während versucht wird zu löschen. Also habe ich die GPO auf den Löschvorgang minimiert und es klappt immer noch nicht. Die Rechte "jeder" Vollzugriff hat er ja noch von vorhin behalten. Das kontrolliere ich bei jedem Versuch.
Dann nehme ich an, ist diese Datei in Verwendung und kann deshalb nicht gelöscht werden.
Ich hoffe doch, dass Du die Löschung unter "Computerkonfiguration" versuchst und nicht unter "Benutzerkonfiguration".
Dann würde ich einen Neustart des Computers versuchen.
Wenn das immer noch nichts bringt, dann ein Startup-Script, welches
Ich hoffe doch, dass Du die Löschung unter "Computerkonfiguration" versuchst und nicht unter "Benutzerkonfiguration".
Dann würde ich einen Neustart des Computers versuchen.
Wenn das immer noch nichts bringt, dann ein Startup-Script, welches
- mit Takeown den Besitz übernimmt
- mit calcs die Rechte ändert
- die Datei löscht
Neustart habe ich versucht.
Richtig, Computerkonfiguration, wie im ersten Beitrag zu sehen ist.
In Verwendung ist die Datei auch nicht. Wenn ich manuell über den Explorer lösche, kommt noch eine Frage nach Administrator Berechtigungen, obwohl alle Vollzugriff haben. Nach der Eingabe der Administrator Credentials wird die Datei dann auch gelöscht. Also ist sie nicht in Benutzung.
Ich habe die Datei kopiert (in den selben Ordner) und umbenannt und die Kopie lässt sich über GPO entfernen. In der Kopie stehen aber auch nicht andere Berechtigungen oder Besitzer drinnen als in der Originaldatei.
Richtig, Computerkonfiguration, wie im ersten Beitrag zu sehen ist.
In Verwendung ist die Datei auch nicht. Wenn ich manuell über den Explorer lösche, kommt noch eine Frage nach Administrator Berechtigungen, obwohl alle Vollzugriff haben. Nach der Eingabe der Administrator Credentials wird die Datei dann auch gelöscht. Also ist sie nicht in Benutzung.
Ich habe die Datei kopiert (in den selben Ordner) und umbenannt und die Kopie lässt sich über GPO entfernen. In der Kopie stehen aber auch nicht andere Berechtigungen oder Besitzer drinnen als in der Originaldatei.
