watislos
Goto Top

Problematik Debug-Privilegien

Hallo Zusammen,

weiß jemand wieso Microsoft per default die Lokale Richtlinie "Debuggen von Programmen" für Admins aktiviert hat?

Jetzt Abgesehen von einer Entwicklungs-Umgebung, welches Programm benötigt das auf einem normalen User Client PC, oder Server?

MS selbst schreibt dazu paar Zeilen und hält es für bedenklich.

"Das Benutzerrecht Debugprogramme kann ausgenutzt werden, um vertrauliche Geräteinformationen aus dem Systemspeicher zu erfassen oder auf Kernel- oder Anwendungsstrukturen zuzugreifen und diese zu ändern. Einige Angriffstools nutzen dieses Benutzerrecht aus, um Hash-Kennwörter und andere private Sicherheitsinformationen zu extrahieren oder Schadsoftware einzufügen. Standardmäßig wird das Benutzerrecht Debugprogramme nur Administratoren zugewiesen, wodurch das Risiko dieser Sicherheitsanfälligkeit verringert wird."


https://learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/debug-programs


Ich habe aus Sicherheitsgründen per GPO sowohl für Clients und Server das Recht für Debuggen für Admins rausgenommen.

Content-Key: 5064406056

Url: https://administrator.de/contentid/5064406056

Printed on: July 22, 2024 at 22:07 o'clock

Mitglied: 2423392070
2423392070 Dec 23, 2022 at 11:07:57 (UTC)
Goto Top
Windows hat eine Geschichte. Es gab Mal Zeiten... Da hätte jede Sekretärin Adminrechte usw...
Member: jsysde
jsysde Dec 23, 2022 at 17:11:23 (UTC)
Goto Top
N'Abend.

Das einzige Szenario, von dem mir bekannt ist, dass dieses Recht benötigt wird, ist die Installation von MS SQL bzw. das Einspielen von dessen CUs. Dafür haben wir das Recht einer DL-Gruppe zugewiesen (per GPO auf Server-OU). Die Gruppe ist leer und wird nur für diesen Zweck befüllt und nach Abschluss der Arbeiten wieder leergeräumt.

Cheers,
jsysde
Member: SeaStorm
SeaStorm Dec 23, 2022 at 20:28:05 (UTC)
Goto Top
Das lustige ist ja das man dem Admin das Privileg fürs Debugging entzieht. Aber wenn der Angreifer lokaler Admin ist, dann kann er sich damit auch zum System machen. Und System hat immer Debugging Rechte.

Das recht auf Debugging zu entziehen bringt also nur was, wenn man parallel auch monitored ob sich Admins zum System erheben.
Member: watIsLos
watIsLos Dec 24, 2022 at 12:43:54 (UTC)
Goto Top
Zitat von @jsysde:

N'Abend.

Das einzige Szenario, von dem mir bekannt ist, dass dieses Recht benötigt wird, ist die Installation von MS SQL bzw. das Einspielen von dessen CUs. Dafür haben wir das Recht einer DL-Gruppe zugewiesen (per GPO auf Server-OU). Die Gruppe ist leer und wird nur für diesen Zweck befüllt und nach Abschluss der Arbeiten wieder leergeräumt.

Cheers,
jsysde


Das heißt bei Server wo SQL und die Software schon selber installiert ist und läuft wird im normalen Betrieb keine Debugg funktion benutzt bzw. benötigt?
Member: jsysde
jsysde Dec 25, 2022 at 09:08:50 (UTC)
Goto Top
Moin.
Zitat von @watIsLos:
Das heißt bei Server wo SQL und die Software schon selber installiert ist und läuft wird im normalen Betrieb keine Debugg funktion benutzt bzw. benötigt?
So schaut's aus. Ich konnte jedenfalls keinerlei Probleme oder Funktionseinschränkungen auf MS SQL Servern feststellen, wenn per GPO die Debug-Privilegien entzogen wurden. Zumal die per Default auf "Administratoren" festgelegt sind und dein SQL Service (hoffentlich!) sowieso niemals ein Administrator ist. face-wink

Der Vollständigkeit halber: Wir reden von den MS SQL Database Services. Ob und welchen Einfluss es auf Analysis und/oder Reporting Services hat, kann ich nicht sagen. Kann mir aber nicht vorstellen, dass das einen Unterschied macht.

Cheers,
jsysde
Member: watIsLos
watIsLos Dec 25, 2022 at 17:59:33 (UTC)
Goto Top
Hallo Jsysde,

So schaut's aus. Ich konnte jedenfalls keinerlei Probleme oder Funktionseinschränkungen auf MS SQL Servern feststellen, wenn per GPO die Debug-Privilegien entzogen wurden. Zumal die per Default auf "Administratoren" festgelegt sind und dein SQL Service (hoffentlich!) sowieso niemals ein Administrator ist. face-wink

Ich habe gerade nachgeschaut, die SQL Dienste laufen alle über den NT-Service, ich denke mal das es so in Ordnung ist.
unbenannt
Member: jsysde
jsysde Dec 26, 2022 at 09:00:03 (UTC)
Goto Top
Moin.

Zitat von @watIsLos:
Ich habe gerade nachgeschaut, die SQL Dienste laufen alle über den NT-Service, ich denke mal das es so in Ordnung ist.
Klares Jein. face-smile
Den CEIP-Service würd' ich deaktivieren, das ist der Telemetrie-Dienst, der "nach Hause telefoniert". CEIP = Customer Experience Improvement Program.
https://www.dbi-services.com/blog/sql-server-tips-deactivate-the-custome ...

Seit 2012 (oder wars 2014?) erstellt der SQL Server beim Setup eigene Service-Accounts. Ich bevorzuge hingegen gMSA für den Betrieb von SQL-Diensten.
https://www.mssqltips.com/sqlservertip/5340/using-group-managed-service- ...

Damit hast du einen oder mehrere User im AD, deren Kennwort sich regelmäßig ändert, OHNE! dass es dabei zu einer Dienstunterbrechung kommt.

Cheers,
jsysde
Member: watIsLos
watIsLos Dec 26, 2022 at 10:49:25 (UTC)
Goto Top
stimmt das mit dem Telemetrie-Dienst kann ich auf jeden Fall abschalten, das mit gMSA muss ich mir noch durchlesen, Danke für die Tipps face-smile

Gruß
psyduck