7
Registry Eintrag von User ändern ohne lokale Adminrechte
Hallo zusammen,
das hier ist mein erster Forumsbeitrag, seid bitte nicht so streng mit mir und gebt mir gerne bescheid wenn ich in Zukunft etwas besser machen kann.
Ich habe ein Problem mit dem Task-Manager auf einem Windows-PC, das durch einen Eintrag in der Registry verursacht wird. Der Eintrag blockiert den Task-Manager und befindet sich unter dem Schlüssel für den aktuellen Benutzer (Current User).
Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist. Öffne ich jedoch den Registry-Editor als dieser Benutzer, kann ich den Eintrag sehen, aber der Benutzer hat keine Berechtigung, diesen Eintrag zu ändern.
Meine Frage ist nun: Wie kann ich den Registry-Eintrag unter Current User mit administrativen Rechten bearbeiten, um den Task-Manager wieder zu aktivieren? Gibt es eine Möglichkeit, die Berechtigungen zu umgehen oder den Eintrag mit erhöhten Rechten zu bearbeiten, während ich den Kontext des aktuellen Benutzers beibehalte?
Vielen Dank im Voraus für euere Hilfe!
das hier ist mein erster Forumsbeitrag, seid bitte nicht so streng mit mir und gebt mir gerne bescheid wenn ich in Zukunft etwas besser machen kann.
Ich habe ein Problem mit dem Task-Manager auf einem Windows-PC, das durch einen Eintrag in der Registry verursacht wird. Der Eintrag blockiert den Task-Manager und befindet sich unter dem Schlüssel für den aktuellen Benutzer (Current User).
Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist. Öffne ich jedoch den Registry-Editor als dieser Benutzer, kann ich den Eintrag sehen, aber der Benutzer hat keine Berechtigung, diesen Eintrag zu ändern.
Meine Frage ist nun: Wie kann ich den Registry-Eintrag unter Current User mit administrativen Rechten bearbeiten, um den Task-Manager wieder zu aktivieren? Gibt es eine Möglichkeit, die Berechtigungen zu umgehen oder den Eintrag mit erhöhten Rechten zu bearbeiten, während ich den Kontext des aktuellen Benutzers beibehalte?
Vielen Dank im Voraus für euere Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72489152550
Url: https://administrator.de/contentid/72489152550
Printed on: July 8, 2024 at 06:07 o'clock
7 Comments
Latest comment
Hallo,
warum machst du den User nicht temporär zum lokalen Admin, änderst den Eintrag und entziehst die Admin-Rechte wieder?
Jürgen
warum machst du den User nicht temporär zum lokalen Admin, änderst den Eintrag und entziehst die Admin-Rechte wieder?
Jürgen
1
Moin,
Die Schlüssel, die mit "S-1-5-21" beginnen sind die Nutzer, bei diesen solltest du jeweils unter "Environment" erkennen können, um welchen Nutzer es sich handelt.
Alternativ kann man den Schlüssel auch über Powershell ändern oder durch import einer .reg-Datei
Gruß Thomas
Zitat von @dribbi:
Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist.
doch, die sind auch dort sichtbar - du musst in dem Fall halt nicht unter "HKEY_CURRENT_USER" gucken, sondern unter "HKEY_USERS".Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist.
Die Schlüssel, die mit "S-1-5-21" beginnen sind die Nutzer, bei diesen solltest du jeweils unter "Environment" erkennen können, um welchen Nutzer es sich handelt.
Öffne ich jedoch den Registry-Editor als dieser Benutzer, kann ich den Eintrag sehen, aber der Benutzer hat keine Berechtigung, diesen Eintrag zu ändern.
Der Nutzer sollte die Schlüssel unter "HKEY_CURRENT_USER" eigentlich problemlos ändern können. Mir ist allerdings neu, das man den Registry-Editor auch ohne Adminrechte öffnen kann.Alternativ kann man den Schlüssel auch über Powershell ändern oder durch import einer .reg-Datei
Gruß Thomas
1
Mopin
Einfach die Gruppenrichtlinie des Systems entsprechend bearbeiten unter
Benutzerkonfiguration/Administrative Vorlagen/System/ STRG+ALT+ENTF -> Task-Manger entfernen deaktivieren.
Und sollte die Policy zentral über eine Domänenrichtlinie ausgerollt werden ->den Admin fragen.
Gruß
Einfach die Gruppenrichtlinie des Systems entsprechend bearbeiten unter
Benutzerkonfiguration/Administrative Vorlagen/System/ STRG+ALT+ENTF -> Task-Manger entfernen deaktivieren.
Und sollte die Policy zentral über eine Domänenrichtlinie ausgerollt werden ->den Admin fragen.
Gruß
1
Manchmal steht man einfach auf dem Schlauch. Vielen Dank für euere Antworten.
Gelöst!
Gelöst!
Falls du dem User die Rechte geben solltest, nach dem ändern sofort wieder entziehen. Sonst bedankt sich der nächste Angreifer dafür.
1
Hallo,
ist der Rechner Mitglied einer Domäne? Oder ist der Rechner in einer Arbeitsgruppe?
Wenn der Rechner in der Domäne ist, dann könnte es an GPOs liegen.
Gruss Penny.
ist der Rechner Mitglied einer Domäne? Oder ist der Rechner in einer Arbeitsgruppe?
Wenn der Rechner in der Domäne ist, dann könnte es an GPOs liegen.
Gruss Penny.
