Listet Microsoft Default ACLs von Windows?

Moin Kollegen.

Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt sind.
Da Microsoft selbst keine Listen mehr zu führen scheint (wie sie es einst taten, siehe http://web.archive.org/web/20060626044023/http://support.microsoft.com/ ... ), suche ich also nach Listen von Sicherheitsexperten, die nicht nur Verzeichnis-ACLs beinhalten, sondern eben auch Datei-ACLs.

Kennt Ihr sowas?

Content-Key: 1079299473

Url: https://administrator.de/contentid/1079299473

Ausgedruckt am: 22.09.2021 um 05:09 Uhr

Mitglied: C.Caveman
C.Caveman 23.07.2021 um 14:16:08 Uhr
Goto Top
Moin DWW,

das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Die einzige Möglichkeit um sicherzustellen, dass sie immer den Vorgaben entsprechen, sind doch GPO/GPP. Ja es macht aufwand, aber den muss man ja nur einmal betreiben.

Also das spuckt jetzt mein Hirn, zu dem Thema aus ;-) face-wink

Gruß
C.C.
Mitglied: DerWoWusste
DerWoWusste 23.07.2021 um 14:25:08 Uhr
Goto Top
Moin.

das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Denkste. Microsoft setzt die ja mitunter schon falsch bei der Installation. Hast Du Hivenightmare nicht mitbekommen, oder auch vor jahren schon https://mskb.pkisolutions.com/kb/4045251 ? Die lernen ja nichts aus Ihren Fehlern.
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 14:44:02 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin.

das einfachste wäre doch, ein blankes System zu nehmen und die ACLs auszulesen?
Denkste. Microsoft setzt die ja mitunter schon falsch bei der Installation. Hast Du Hivenightmare nicht mitbekommen, oder auch vor jahren schon https://mskb.pkisolutions.com/kb/4045251 ? Die lernen ja nichts aus Ihren Fehlern.

Ja, dachte ich :-) face-smile
Ich setzte solche Anpassungen immer im AD. Durch das "Blanke-System" hat man erstmal eine Baseline.
Mitglied: DerWoWusste
DerWoWusste 23.07.2021 um 14:53:47 Uhr
Goto Top
Ich suche nach einer Liste, wo MIcrosoft beschreibt, wie es eingestellt werden soll (und nicht, wie sie es eingestellt haben, denn das war ja nachgewiesenermaßen schon mehrfach falsch!). Schau, sowas http://web.archive.org/web/20060626044023/http://support.microsoft.com/ ... für Win10 suche ich, aber auch mit Dateiberechtigungen, sofern Vererbung unterbrochen ist.
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 14:58:31 Uhr
Goto Top
Ahhh, jetzt macht es klick.
Ich habe deine Frage so verstanden.
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?
Mitglied: c0d3.r3d
c0d3.r3d 23.07.2021 um 15:25:55 Uhr
Goto Top
Zitat von @C.Caveman:
Wie kann ich sicherstellen, dass die Berechtigungen nicht verändert werden?

z.B. über eine GPO, welche beim Systemstart alle Berechtigungen neu setzt. Ich stell mir das jedoch schwierig vor, weil es ziemlich lange dauern kann und/oder fehleranfällig sowie mit hohem Wartungsbedarf verbunden ist.
Mitglied: DerWoWusste
DerWoWusste 23.07.2021 um 15:29:32 Uhr
Goto Top
Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 15:42:32 Uhr
Goto Top
Zitat von @DerWoWusste:

Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.

hmm, dann wäre das ja etwas für die Community ;-) face-wink
also diese Liste zusammenzustellen
Mitglied: em-pie
em-pie 23.07.2021 um 15:48:57 Uhr
Goto Top
Zitat von @C.Caveman:

Zitat von @DerWoWusste:

Es geht nicht um die Umsetzung, die bekomme ich hin. Es geht lediglich um die Liste.

hmm, dann wäre das ja etwas für die Community ;-) face-wink
also diese Liste zusammenzustellen

Nöö, sehe ich nicht bei der Community.
Die muss dann ja "raten" was das richtige wäre.
Eigentlich kann so eine Liste nur MS bereitstellen, denn die setzen die Rechte ja initial, wissen also, welche Ordner/ Dateien welche ACLs abbekommen soll(t)en.
Auch wenn da sicherlich mehr als nur zwei Nasen bei MS für zuständig sind, aber ein Repository/ Doku werden die ja gerade dann haben, wo alles dokumentiert sein (müsste).


:
Kann dir leider auch nicht mit einer Liste dienen - wäre aber tatsächlich interessant, wenn jemand (hier) solche eine Übersicht im Zugriff hätte.
Ich lese jetzt erst einmal "nur" still mit :-) face-smile

Gruß
em-pie
Mitglied: emeriks
emeriks 23.07.2021 um 16:02:17 Uhr
Goto Top
Hi DWW,
soweit ich weiß, ist nur Win10 davon betroffen, oder?
Man könnte auch ein 2016 LTSB als Vorlage nehmen. Also die ursprüngliche Version von Win2016, welche damals rauskam.
Nackt installieren und auslesen. Das müsste so ziemlich deckungsgleich sein.

E.
Mitglied: DerWoWusste
DerWoWusste 23.07.2021 um 16:07:41 Uhr
Goto Top
Nee, 2016 LTSB war ja auch schon fehlerhaft, siehe https://mskb.pkisolutions.com/kb/4045251
Deshalb will ich nicht aus ISOs/nackten installationen auslesen, sondern eben eine Liste, die wiedergibt, wie es sein sollte.
Mitglied: emeriks
emeriks 23.07.2021 um 16:13:44 Uhr
Goto Top
Sorry, ich meinte nicht Win10 1607 sondern Windows Server 2016.
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 16:13:53 Uhr
Goto Top
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Mitglied: DerWoWusste
DerWoWusste 23.07.2021 um 16:17:09 Uhr
Goto Top
Sorry, ich meinte nicht Win10 1607 sondern Windows Server 2016.
Server 2016 ist ebenso von genanntem Problem betroffen. MS ist nur zu blöd, die als betroffen zu listen.
Naja, so eine Liste wird es nicht geben.
Ach. Aber es gab sie schon vor fast 20 Jahren, wie Du meinem ersten Link entnehmen kannst - erstellt von MS.
Mitglied: emeriks
emeriks 23.07.2021 um 16:17:10 Uhr
Goto Top
Zitat von @C.Caveman:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 16:24:19 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @C.Caveman:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.

Die setzten meist das "Default" von MS davor.
Und dann kommen ihre Anpassung. Den Aufwand kennt man ja von der Einrichtung eines Terminalservers, wenn die Applikation nicht für jeden sichtbar und verfügbar sein soll.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 um 16:28:32 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @C.Caveman:
Naja, so eine Liste wird es nicht geben.
Alles was nach der Installation des OS abläuft ist Customizing. Für die einen sind diese "falschen" Berechtigungen notwendig, für den anderen uninteressant. Erst wenn die Hütte brennt, braucht man sie als Einstiegspunkt.
Es muss doch seitens des Herstellers einen definierten "Werkszustand" geben. Sonst könnte man seine Software gar nicht supporten bzw. die Rahmenbedingungen dafür festlegen.

Ja, genau so, wie es "nach der Installation" von dem Setupmedium und aller Updates von MS vorliegt. Daß das jedesmal anders aussieht, ist doch nicht das Problem von MS. :-) face-smile
Mitglied: C.Caveman
C.Caveman 23.07.2021 um 16:51:56 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
...
Ja, genau so, wie es "nach der Installation" von dem Setupmedium und aller Updates von MS vorliegt. Daß das jedesmal anders aussieht, ist doch nicht das Problem von MS. :-) face-smile
Jupps, Treiber und dazugehörige Bloatware können schon viel bewirken. 😉

Gruß
C.C.
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 1 TagTippOutlook & Mail31 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Dienst-PCs per Image sichern?Yan2021Vor 22 StundenFrageBackup15 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 23 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 22 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...