dribbi
Goto Top

Registry Eintrag von User ändern ohne lokale Adminrechte

Hallo zusammen,

das hier ist mein erster Forumsbeitrag, seid bitte nicht so streng mit mir und gebt mir gerne bescheid wenn ich in Zukunft etwas besser machen kann.

Ich habe ein Problem mit dem Task-Manager auf einem Windows-PC, das durch einen Eintrag in der Registry verursacht wird. Der Eintrag blockiert den Task-Manager und befindet sich unter dem Schlüssel für den aktuellen Benutzer (Current User).

Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist. Öffne ich jedoch den Registry-Editor als dieser Benutzer, kann ich den Eintrag sehen, aber der Benutzer hat keine Berechtigung, diesen Eintrag zu ändern.

Meine Frage ist nun: Wie kann ich den Registry-Eintrag unter Current User mit administrativen Rechten bearbeiten, um den Task-Manager wieder zu aktivieren? Gibt es eine Möglichkeit, die Berechtigungen zu umgehen oder den Eintrag mit erhöhten Rechten zu bearbeiten, während ich den Kontext des aktuellen Benutzers beibehalte?

Vielen Dank im Voraus für euere Hilfe!

Content-Key: 72489152550

Url: https://administrator.de/contentid/72489152550

Printed on: July 16, 2024 at 14:07 o'clock

Member: chiefteddy
Solution chiefteddy Jul 05, 2024 at 08:18:26 (UTC)
Goto Top
Hallo,
warum machst du den User nicht temporär zum lokalen Admin, änderst den Eintrag und entziehst die Admin-Rechte wieder?

Jürgen
Member: TK1987
Solution TK1987 Jul 05, 2024 at 08:20:37 (UTC)
Goto Top
Moin,

Zitat von @dribbi:
Wenn ich den Registry-Editor mit administrativen Rechten öffne, wird dieser Eintrag nicht angezeigt, da er nur im Kontext des aktuellen Benutzers sichtbar ist.
doch, die sind auch dort sichtbar - du musst in dem Fall halt nicht unter "HKEY_CURRENT_USER" gucken, sondern unter "HKEY_USERS".
Die Schlüssel, die mit "S-1-5-21" beginnen sind die Nutzer, bei diesen solltest du jeweils unter "Environment" erkennen können, um welchen Nutzer es sich handelt.

Öffne ich jedoch den Registry-Editor als dieser Benutzer, kann ich den Eintrag sehen, aber der Benutzer hat keine Berechtigung, diesen Eintrag zu ändern.
Der Nutzer sollte die Schlüssel unter "HKEY_CURRENT_USER" eigentlich problemlos ändern können. Mir ist allerdings neu, das man den Registry-Editor auch ohne Adminrechte öffnen kann.

Alternativ kann man den Schlüssel auch über Powershell ändern oder durch import einer .reg-Datei

Gruß Thomas
Member: Hubert.N
Solution Hubert.N Jul 05, 2024 at 08:22:31 (UTC)
Goto Top
Mopin

Einfach die Gruppenrichtlinie des Systems entsprechend bearbeiten unter
Benutzerkonfiguration/Administrative Vorlagen/System/ STRG+ALT+ENTF -> Task-Manger entfernen deaktivieren.

Und sollte die Policy zentral über eine Domänenrichtlinie ausgerollt werden ->den Admin fragen.

Gruß
Member: dribbi
dribbi Jul 05, 2024 at 08:23:35 (UTC)
Goto Top
Manchmal steht man einfach auf dem Schlauch. Vielen Dank für euere Antworten.

Gelöst!
Member: Coreknabe
Coreknabe Jul 05, 2024 at 08:24:19 (UTC)
Goto Top
Member: NordicMike
NordicMike Jul 05, 2024 at 08:27:04 (UTC)
Goto Top
Falls du dem User die Rechte geben solltest, nach dem ändern sofort wieder entziehen. Sonst bedankt sich der nächste Angreifer dafür.
Member: Penny.Cilin
Penny.Cilin Jul 05, 2024 at 09:56:12 (UTC)
Goto Top
Hallo,

ist der Rechner Mitglied einer Domäne? Oder ist der Rechner in einer Arbeitsgruppe?
Wenn der Rechner in der Domäne ist, dann könnte es an GPOs liegen.

Gruss Penny.