18
Listet Microsoft Default ACLs von Windows?
Moin Kollegen.
Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt sind.
Da Microsoft selbst keine Listen mehr zu führen scheint (wie sie es einst taten, siehe http://web.archive.org/web/20060626044023/http://support.microsoft.com/ ... ), suche ich also nach Listen von Sicherheitsexperten, die nicht nur Verzeichnis-ACLs beinhalten, sondern eben auch Datei-ACLs.
Kennt Ihr sowas?
Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt sind.
Da Microsoft selbst keine Listen mehr zu führen scheint (wie sie es einst taten, siehe http://web.archive.org/web/20060626044023/http://support.microsoft.com/ ... ), suche ich also nach Listen von Sicherheitsexperten, die nicht nur Verzeichnis-ACLs beinhalten, sondern eben auch Datei-ACLs.
Kennt Ihr sowas?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1079299473
Url: https://administrator.de/contentid/1079299473
Printed on: April 23, 2024 at 23:04 o'clock
18 Comments
Latest comment
Moin DWW,
das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Die einzige Möglichkeit um sicherzustellen, dass sie immer den Vorgaben entsprechen, sind doch GPO/GPP. Ja es macht aufwand, aber den muss man ja nur einmal betreiben.
Also das spuckt jetzt mein Hirn, zu dem Thema aus
Gruß
C.C.
das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Die einzige Möglichkeit um sicherzustellen, dass sie immer den Vorgaben entsprechen, sind doch GPO/GPP. Ja es macht aufwand, aber den muss man ja nur einmal betreiben.
Also das spuckt jetzt mein Hirn, zu dem Thema aus
Gruß
C.C.
Moin.
das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Denkste. Microsoft setzt die ja mitunter schon falsch bei der Installation. Hast Du Hivenightmare nicht mitbekommen, oder auch vor jahren schon https://mskb.pkisolutions.com/kb/4045251 ? Die lernen ja nichts aus Ihren Fehlern.Zitat von @DerWoWusste:
Moin.
Moin.
das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Denkste. Microsoft setzt die ja mitunter schon falsch bei der Installation. Hast Du Hivenightmare nicht mitbekommen, oder auch vor jahren schon https://mskb.pkisolutions.com/kb/4045251 ? Die lernen ja nichts aus Ihren Fehlern.Ja, dachte ich
Ich setzte solche Anpassungen immer im AD. Durch das "Blanke-System" hat man erstmal eine Baseline.
Ich suche nach einer Liste, wo MIcrosoft beschreibt, wie es eingestellt werden soll (und nicht, wie sie es eingestellt haben, denn das war ja nachgewiesenermaßen schon mehrfach falsch!). Schau, sowas http://web.archive.org/web/20060626044023/http://support.microsoft.com/ ... für Win10 suche ich, aber auch mit Dateiberechtigungen, sofern Vererbung unterbrochen ist.
Ahhh, jetzt macht es klick.
Ich habe deine Frage so verstanden.
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?
Ich habe deine Frage so verstanden.
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?
Zitat von @148656:
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?
z.B. über eine GPO, welche beim Systemstart alle Berechtigungen neu setzt. Ich stell mir das jedoch schwierig vor, weil es ziemlich lange dauern kann und/oder fehleranfällig sowie mit hohem Wartungsbedarf verbunden ist.
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
Zitat von @DerWoWusste:
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
hmm, dann wäre das ja etwas für die Community
also diese Liste zusammenzustellen
Zitat von @148656:
hmm, dann wäre das ja etwas für die Community
also diese Liste zusammenzustellen
Zitat von @DerWoWusste:
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
hmm, dann wäre das ja etwas für die Community
also diese Liste zusammenzustellen
Nöö, sehe ich nicht bei der Community.
Die muss dann ja "raten" was das richtige wäre.
Eigentlich kann so eine Liste nur MS bereitstellen, denn die setzen die Rechte ja initial, wissen also, welche Ordner/ Dateien welche ACLs abbekommen soll(t)en.
Auch wenn da sicherlich mehr als nur zwei Nasen bei MS für zuständig sind, aber ein Repository/ Doku werden die ja gerade dann haben, wo alles dokumentiert sein (müsste).
@dww:
Kann dir leider auch nicht mit einer Liste dienen - wäre aber tatsächlich interessant, wenn jemand (hier) solche eine Übersicht im Zugriff hätte.
Ich lese jetzt erst einmal "nur" still mit
Gruß
em-pie
Hi DWW,
soweit ich weiß, ist nur Win10 davon betroffen, oder?
Man könnte auch ein 2016 LTSB als Vorlage nehmen. Also die ursprüngliche Version von Win2016, welche damals rauskam.
Nackt installieren und auslesen. Das müsste so ziemlich deckungsgleich sein.
E.
soweit ich weiß, ist nur Win10 davon betroffen, oder?
Man könnte auch ein 2016 LTSB als Vorlage nehmen. Also die ursprüngliche Version von Win2016, welche damals rauskam.
Nackt installieren und auslesen. Das müsste so ziemlich deckungsgleich sein.
E.
Nee, 2016 LTSB war ja auch schon fehlerhaft, siehe https://mskb.pkisolutions.com/kb/4045251
Deshalb will ich nicht aus ISOs/nackten installationen auslesen, sondern eben eine Liste, die wiedergibt, wie es sein sollte.
Deshalb will ich nicht aus ISOs/nackten installationen auslesen, sondern eben eine Liste, die wiedergibt, wie es sein sollte.
Sorry, ich meinte nicht Win10 1607 sondern Windows Server 2016.
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Sorry, ich meinte nicht Win10 1607 sondern Windows Server 2016.
Server 2016 ist ebenso von genanntem Problem betroffen. MS ist nur zu blöd, die als betroffen zu listen.Naja, so eine Liste wird es nicht geben.
Ach. Aber es gab sie schon vor fast 20 Jahren, wie Du meinem ersten Link entnehmen kannst - erstellt von MS.Zitat von @148656:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
1Zitat von @emeriks:
Zitat von @148656:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Die setzten meist das "Default" von MS davor.
Und dann kommen ihre Anpassung. Den Aufwand kennt man ja von der Einrichtung eines Terminalservers, wenn die Applikation nicht für jeden sichtbar und verfügbar sein soll.
Zitat von @emeriks:
Zitat von @148656:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Ja, genau so, wie es "nach der Installation" von dem Setupmedium und aller Updates von MS vorliegt. Daß das jedesmal anders aussieht, ist doch nicht das Problem von MS.
Zitat von @Lochkartenstanzer:
...
Ja, genau so, wie es "nach der Installation" von dem Setupmedium und aller Updates von MS vorliegt. Daß das jedesmal anders aussieht, ist doch nicht das Problem von MS.
Jupps, Treiber und dazugehörige Bloatware können schon viel bewirken. 😉...
Ja, genau so, wie es "nach der Installation" von dem Setupmedium und aller Updates von MS vorliegt. Daß das jedesmal anders aussieht, ist doch nicht das Problem von MS.
Gruß
C.C.
