Statt Lokale Sicherheitsrichtlinie Registry bearbeiten

Mitglied: potshock

potshock (Level 2) - Jetzt verbinden

22.01.2021 um 11:58 Uhr, 641 Aufrufe, 10 Kommentare

Hallo Admins,

ich suche nach einer Möglichkeit folgende Lokale Sicherheitsrichtlinie bzw. GPO via Registry Eintrag für Windows 10 zu setzen:

Die Lokale Sicherheitsrichtlinie "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" -> "Lokale Sicherheitseinstellungen" -> "Jeder" entfernen"
Es verbleiben also: Administratoren, Benutzer und Sicherungs-Operatoren.

Bzw. die GPO "Computerkonfiguration" -> "Richtlinien" -> "Windows Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" -> "Auf diesem Computer vom Netzwerk aus zugreifen" -> "Sicherheitsrichtlinie" -> "Benutzer oder Gruppe hinzufügen" -> Administratoren, Benutzer und Sicherungs-Operatoren.

Ich habe per Regshot die Registry vor und nach der Änderung der Lokalen Sicherheitsrichtlinie vergleichen lassen, finde aber auch so nicht den richtigen Eintrag in der Registry :-( face-sad.

Wer kann mir helfen?

Viele Grüße
Potshock
Mitglied: emeriks
LÖSUNG 22.01.2021, aktualisiert um 13:43 Uhr
Hi,
welche Registrywerte das sind, kannst Du selbst aus der betreffenden ADMX extrahieren.
Suche einfach in den deutschen ADML nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen". Dann weißt Du schon mal, welche ADMX das ist. Dann in der ADMX nach der Variable suchen, welcher in der ADML der o.g. String zugewiesen ist. In der ADMX findest Du dann die Registrywerte.

Weiterhin werden in der Registry dann nicht die Namen auftauchen sondern die SID's der betreffenden Konten oder Gruppen.

E.
Bitte warten ..
Mitglied: potshock
22.01.2021 um 16:55 Uhr
Hi Emeriks,

also ich habe mir den kompletten Ordner PolicyDefinitions auf meinen lokalen Linux PC kopiert.
Dort via grep in de-DE die adml Dateien nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen" durchsucht.
Der String ist nicht zu finden!

Um sicher zu stellen, daß mein grep Befehl funktioniert habe ich exemplarisch nach "Antivirenprogramme beim Öffnen von Anlagen benachrichtigen" gesucht.
Und siehe da die adml wird gefunden und ich kann dann natürlich die entsprechende admx Datei zuordnen.

Kann es sein, daß die Windows-Einstellungen sich gar nicht in den adml/admx Dateien befinden, sondern sich dort nur die Administrativen Vorlagen befinden?
Die dort definierten Einstellungen finde ich nämlich (s.o.)!

Viele Grüße und ein schönes Wochenende
Potshock
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.01.2021 um 19:34 Uhr
Hi.

Es ist dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind (siehe GPO Reference: https://www.microsoft.com/en-us/download/101451 )
Bitte warten ..
Mitglied: potshock
25.01.2021, aktualisiert um 13:30 Uhr
Hallo DerWoWusste,

danke für den Hinweis.
Ich bin wohl wieder etwas blind ;-) face-wink.
Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?

Ich finde dort nur den Hinweis, daß der dort angebotene Download "Group Policy Settings Reference Spreadsheet" sich nur auf die "Administrative template files " bezieht.
Das schließt natürlich die "Windows-Einstellungen" aus.

Deswegen war ich der Ansicht, wenn ich den kompletten Ordner PolicyDefinitions direkt aus unsere Domäne durchsuche, ich dort fündig werden würde.

Wie / Wo speichert Windows dann diese Einstellungen, wenn nicht in der Registry?

Ok, wenn diese GPO keine Registry Einträge erstellt, welche Möglichkeiten gibt es, um die Einstellungen dieser GPO an Clients ohne AD Anbindung zu verteilen?

Wäre ev. ein gangbarer Weg, ich würde die GPO sichern und sie dann via ImportGPO.wsf (siehe: https://gallery.technet.microsoft.com/group-policy-management-17a5f840) per script importieren?

Edith: Noch mal nachgedacht, ist natürlich Schwachsinn eine GPO kann ich ja nur am Server importieren und nicht an Clients, welche nicht im Ad sind!
Kann man lokale Sicherheitsrichtlinen exportieren und importieren?

Edith2: ja man kann wohl lokale Sicherheitsrichtlinen exportieren und importieren.
https://www.der-windows-papst.de/2017/08/13/windows-lokale-richtlinien-u ...
Das teste ich jetzt mal!

Grüße
Potshock
Bitte warten ..
Mitglied: potshock
26.01.2021, aktualisiert um 13:55 Uhr
Hi emeriks, hi DerWoWusste,

ich habe die Lokale Sicherheitsrichtlinien via Powershell und LGPO.exe (Bestandteil des Microsoft Security Compliance Toolkit 1.0 https://www.microsoft.com/en-us/download/details.aspx?id=55319) ex- und importiert.

Export: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /b C:\Users\admin\Desktop\GPOs
Import: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /g C:\Users\admin\Desktop\GPOs

Funktioniert, allerdings mit einem kleinen Schönheitsfehler: Es werden alle Lokale Sicherheitsrichtlinien exportiert.
Habt Ihr schon einmal mit dem Tool gearbeitet und könnt mir sagen, ob ich damit auch nur eine ganz bestimmte Lokale Sicherheitsrichtlinie exportieren kann?

Viele Grüße
Potshock
Bitte warten ..
Mitglied: emeriks
LÖSUNG 26.01.2021, aktualisiert um 14:58 Uhr
Die POL-Dateien, welches dieses Tool erstellt, kannst Du mit PolViewer o.ä. untersuchen. Damit solltest Du die Registry-Einträge sehen, welche darin gespeichert sind. Vielleicht kommst Du damit weiter.
Schau mal hier: Da wird ein Tool genannt.
https://social.technet.microsoft.com/Forums/WINDOWS/en-US/45ded677-4ad5- ...

Edit:
Oder
https://sdmsoftware.com/389932-gpo-freeware-downloads/registry-pol-viewe ...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 26.01.2021 um 20:28 Uhr
Also... es ist nicht so schwierig.
Ich nehme meinen Rechner, berechtige dort "admin" in "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" und nutze danach wie du LGPO.exe für ein Backup. Das sehe ich mir an und, wie angesagt: kein Registrywert. Die Einstellung ist zu finden unter
"D:\tools\LGPO_30\backup\{879CAFC4-769D-43E6-82CC-7B933AD470CF}\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf"
Diese Datei editiere ich nun so, dass nur noch dieses Privileg drin steht:
Alle anderen Dateien außer dieser lösche ich einfach, kopiere den Kram auf meine zweite Testmaschine und importiere und es läuft:
!!! - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: potshock
27.01.2021, aktualisiert um 14:16 Uhr
Hi DerWoWusste, hi emeriks

ja super, das ist die Lösung :-) face-smile.

"Also... es ist nicht so schwierig."
Also ohne Deine Hilfe, das selbst einmal nachzustellen, hätte ich das nie hingekriegt, aller besten Dank!


Besten Dank auch an emeriks für Deine/Eure Unterstützung
Potshock
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 27.01.2021 um 14:31 Uhr
Fein, gern geschehen.
Abschließend noch zu Deinem "Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?"
!!! - Klicke auf das Bild, um es zu vergrößern
(findet sich im verlinkten Excelsheet auf dem Reiter "Security")
Bitte warten ..
Mitglied: potshock
27.01.2021, aktualisiert um 16:43 Uhr
Hi DerWoWusste,

danke noch einmal für die Info!

Schönen Feierabend
Potshock
Bitte warten ..
Heiß diskutierte Inhalte
Linux
Installation Grammm Server
smeclntVor 1 TagFrageLinux13 Kommentare

Hallo zusammen, meine Linux Kenntnisse sind sehr rudimentär trotzdem suche ich eigentlich ständig nach einer Alternative zu MS Exchange. Bis jetzt gab es nichts ...

Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 10 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 22 StundenFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Windows 10
Windows 10 interes Mikro ohne Funktion
TPH125Vor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich verzweifelt bald. Besitze einen Medion Akoya MD 97110. Habe Windows 10 installiert, seit dem funktioniert das inigrierte Mikrofon nicht mehr. Gerät ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 9 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Festplatten, SSD, Raid
(USB) Festplatten laut ?
TomEngelVor 1 TagFrageFestplatten, SSD, Raid6 Kommentare

Ich grüsse Sie Alle. Eine Frage eines engagierten Laien Habe mehrere 3,5 " Festplatte. Einige schon recht alt 8 Jahre, andere ca 2-3 jahre ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...