albertminrich
Goto Top

GPO Computerstartscript UAC blockiert

Hallo,

ich möchte per Computerstartscript Bitlocker aktivieren. Leider funkt die UAC dazwischen.
Das Script sieht so aus (whoami um sicherzustellen, dass es als System läuft):

whoami > c:\temp\bitlockerlog.txt
manage-bde -on c: -rp >> c:\temp\bitlockerlog.txt

In der bitlockerlog.txt steht dann folgendes:
nt-autorit„t\system
Der Vorgang wurde erfolgreich beendet.

BitLocker-Laufwerkverschlsselung: Konfigurationstool, Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Windows]  
[Betriebssystemvolume]
Hinzugefgte Schlsselschutzvorrichtungen:

    Numerisches Kennwort:
      ID: {98AF9466-46A8-4A9A-AFB4-19890EB43F52}
      Kennwort:
        399025-700744-565510-592845-404734-284537-253627-667161

FEHLER: Ein Fehler ist aufgetreten (Code 0x80070522):
Dem Client fehlt ein erforderliches Recht.

Wie kann man das trotzdem ausführen? Ich dachte eigentlich, mit Systemrechten darf man alles, trotz UAC.
Und die Ursache ist auch wirklich UAC. Schalte ich es aus, wird Bitlocker aktiviert.

Danke
Martin

Content-ID: 81569872744

Url: https://administrator.de/forum/gpo-computerstartscript-uac-blockiert-81569872744.html

Ausgedruckt am: 26.12.2024 um 08:12 Uhr

DerWoWusste
DerWoWusste 31.01.2024 aktualisiert um 10:54:44 Uhr
Goto Top
Moin.

Meine Stirn runzelt sich "hörbar". Ich habe das (Bitlocker) schon mit Startskripten gemacht, trotz aktiver UAC, insofern ist es schwer zu glauben. Das Systemkonto wird NIE eine UAC-Abfrage sehen, da, genau wie für das eingebaute Konto "Administrator", die UAC nicht für dieses Konto greift; sprich: alles läuft automatisch elevated.

Mach bitte auf einem PC mit aktiver UAC folgendes:
lade die pstools von Microsoft und extrahiere daraus psexec.exe
Öffne ein elevated command prompt und dort:
psexec -si cmd
->eine Shell mit Systemrechten öffnet sich. Nun nutze das Skript/den Befehl von dort erneut.
AlbertMinrich
AlbertMinrich 31.01.2024 um 11:52:36 Uhr
Goto Top
Wenn ich eine Eingabeaufforderung normal starte, also nicht elevated, dann kann ich keine shell mit Systemrechten öffnen
C:\Users\sa>psexec -si cmd

PsExec v1.97 - Execute processes remotely
Copyright (C) 2001-2009 Mark Russinovich
Sysinternals - www.sysinternals.com

Couldn't install PsExec service:  
Zugriff verweigert
C:\Users\sa>

Starte ich eine elevatete Eingabeaufforderung, funktioniert es und dann funktioniert in dieser System-Shell auch das Aktivieren von Bitlocker (ID's und Kennwort sind anonymisiert)
C:\Windows\System32>manage-bde -on c: -rp
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Windows]  
[Betriebssystemvolume]
Hinzugefügte Schlüsselschutzvorrichtungen:

    Numerisches Kennwort:
      ID: {00000000-0000-0000-0000-000000000000}
      Kennwort:
        000000-000000-000000-000000-000000-000000-000000-000000

    TPM:
      ID: {00000000-0000-0000-0000-000000000000}
      PCR-Validierungsprofil:
        7, 11
        (Verwendet den sicheren Start für die Integritätsüberprüfung)

, aber nur, weil die dann ja eben auch elevated läuft.
erkennbar an der Ausgabe von "whoami /priv"
C:\Windows\System32>whoami
nt-autorität\system

C:\Windows\System32>whoami /priv

BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname                         Beschreibung                                                            Status
========================================= ======================================================================= ===========
SeAssignPrimaryTokenPrivilege             Ersetzen eines Tokens auf Prozessebene                                  Deaktiviert
SeLockMemoryPrivilege                     Sperren von Seiten im Speicher                                          Aktiviert
SeIncreaseQuotaPrivilege                  Anpassen von Speicherkontingenten für einen Prozess                     Deaktiviert
SeTcbPrivilege                            Einsetzen als Teil des Betriebssystems                                  Aktiviert
SeSecurityPrivilege                       Verwalten von Überwachungs- und Sicherheitsprotokollen                  Deaktiviert
SeTakeOwnershipPrivilege                  Übernehmen des Besitzes von Dateien und Objekten                        Deaktiviert
SeLoadDriverPrivilege                     Laden und Entfernen von Gerätetreibern                                  Deaktiviert
SeSystemProfilePrivilege                  Erstellen eines Profils der Systemleistung                              Aktiviert
SeSystemtimePrivilege                     Ändern der Systemzeit                                                   Deaktiviert
SeProfileSingleProcessPrivilege           Erstellen eines Profils für einen Einzelprozess                         Aktiviert
SeIncreaseBasePriorityPrivilege           Anheben der Zeitplanungspriorität                                       Aktiviert
SeCreatePagefilePrivilege                 Erstellen einer Auslagerungsdatei                                       Aktiviert
SeCreatePermanentPrivilege                Erstellen von dauerhaft freigegebenen Objekten                          Aktiviert
SeBackupPrivilege                         Sichern von Dateien und Verzeichnissen                                  Deaktiviert
SeRestorePrivilege                        Wiederherstellen von Dateien und Verzeichnissen                         Deaktiviert
SeShutdownPrivilege                       Herunterfahren des Systems                                              Deaktiviert
SeDebugPrivilege                          Debuggen von Programmen                                                 Aktiviert
SeAuditPrivilege                          Generieren von Sicherheitsüberwachungen                                 Aktiviert
SeSystemEnvironmentPrivilege              Verändern der Firmwareumgebungsvariablen                                Deaktiviert
SeChangeNotifyPrivilege                   Auslassen der durchsuchenden Überprüfung                                Aktiviert
SeUndockPrivilege                         Entfernen des Computers von der Docking-Station                         Deaktiviert
SeManageVolumePrivilege                   Durchführen von Volumewartungsaufgaben                                  Deaktiviert
SeImpersonatePrivilege                    Annehmen der Clientidentität nach Authentifizierung                     Aktiviert
SeCreateGlobalPrivilege                   Erstellen globaler Objekte                                              Aktiviert
SeIncreaseWorkingSetPrivilege             Arbeitssatz eines Prozesses vergrößern                                  Aktiviert
SeTimeZonePrivilege                       Ändern der Zeitzone                                                     Aktiviert
SeCreateSymbolicLinkPrivilege             Erstellen symbolischer Verknüpfungen                                    Aktiviert
SeDelegateSessionUserImpersonatePrivilege Identitätstoken für einen anderen Benutzer in derselben Sitzung abrufen Aktiviert

C:\Windows\System32>

Ergänze ich das Computerstartscript um "whoami /priv"
erkennt man in c:\temp\bitlockerlog.txt, das die Computerstartscript-Shell eben nicht elevated läuft
nt-authorität\system
BERECHTIGUNGSINFORMATIONEN
--------------------------

Berechtigungsname             Beschreibung                                           Status     
============================= ====================================================== ===========
SeAssignPrimaryTokenPrivilege Ersetzen eines Tokens auf Prozessebene                 Deaktiviert
SeIncreaseQuotaPrivilege      Anpassen von Speicherkontingenten fr einen Prozess    Deaktiviert
SeTcbPrivilege                Einsetzen als Teil des Betriebssystems                 Aktiviert  
SeSecurityPrivilege           Verwalten von šberwachungs- und Sicherheitsprotokollen Deaktiviert
SeTakeOwnershipPrivilege      šbernehmen des Besitzes von Dateien und Objekten       Deaktiviert
SeLoadDriverPrivilege         Laden und Entfernen von Ger„tetreibern                 Deaktiviert
SeCreatePagefilePrivilege     Erstellen einer Auslagerungsdatei                      Aktiviert  
SeCreatePermanentPrivilege    Erstellen von dauerhaft freigegebenen Objekten         Aktiviert  
SeBackupPrivilege             Sichern von Dateien und Verzeichnissen                 Deaktiviert
SeRestorePrivilege            Wiederherstellen von Dateien und Verzeichnissen        Deaktiviert
SeShutdownPrivilege           Herunterfahren des Systems                             Deaktiviert
SeChangeNotifyPrivilege       Auslassen der durchsuchenden šberprfung               Aktiviert  
SeImpersonatePrivilege        Annehmen der Clientidentit„t nach Authentifizierung    Aktiviert  
Der Vorgang wurde erfolgreich beendet.


OS ist übrigens Windows 11 22H2
DerWoWusste
DerWoWusste 31.01.2024 um 12:35:58 Uhr
Goto Top
Das Letzte werde ich nachstellen. Melde mich.
DerWoWusste
Lösung DerWoWusste 31.01.2024 um 15:27:09 Uhr
Goto Top
Hab's nachvollzogen auf Win10 22H2 - selbe "Privilegiendifferenz" auch hier.
Ich möchte dir nahe legen, die Aktivierung von Bitlocker mit einem Scheduled Task zu machen, siehe mein Artikel hier:
https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we- ...
(PowerShell-Skript in der Mitte) - das Skript müsste leicht abgewandelt werden, da du ja keine PIN willst.
AlbertMinrich
AlbertMinrich 03.02.2024 um 12:06:05 Uhr
Goto Top
OK, danke. Hab's jetzt mit einer Geplanten Aufgabe gelöst.

VG
Martin