Statt Lokale Sicherheitsrichtlinie Registry bearbeiten
Hallo Admins,
ich suche nach einer Möglichkeit folgende Lokale Sicherheitsrichtlinie bzw. GPO via Registry Eintrag für Windows 10 zu setzen:
Die Lokale Sicherheitsrichtlinie "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" -> "Lokale Sicherheitseinstellungen" -> "Jeder" entfernen"
Es verbleiben also: Administratoren, Benutzer und Sicherungs-Operatoren.
Bzw. die GPO "Computerkonfiguration" -> "Richtlinien" -> "Windows Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" -> "Auf diesem Computer vom Netzwerk aus zugreifen" -> "Sicherheitsrichtlinie" -> "Benutzer oder Gruppe hinzufügen" -> Administratoren, Benutzer und Sicherungs-Operatoren.
Ich habe per Regshot die Registry vor und nach der Änderung der Lokalen Sicherheitsrichtlinie vergleichen lassen, finde aber auch so nicht den richtigen Eintrag in der Registry
.
Wer kann mir helfen?
Viele Grüße
Potshock
ich suche nach einer Möglichkeit folgende Lokale Sicherheitsrichtlinie bzw. GPO via Registry Eintrag für Windows 10 zu setzen:
Die Lokale Sicherheitsrichtlinie "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" -> "Lokale Sicherheitseinstellungen" -> "Jeder" entfernen"
Es verbleiben also: Administratoren, Benutzer und Sicherungs-Operatoren.
Bzw. die GPO "Computerkonfiguration" -> "Richtlinien" -> "Windows Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" -> "Auf diesem Computer vom Netzwerk aus zugreifen" -> "Sicherheitsrichtlinie" -> "Benutzer oder Gruppe hinzufügen" -> Administratoren, Benutzer und Sicherungs-Operatoren.
Ich habe per Regshot die Registry vor und nach der Änderung der Lokalen Sicherheitsrichtlinie vergleichen lassen, finde aber auch so nicht den richtigen Eintrag in der Registry
Wer kann mir helfen?
Viele Grüße
Potshock
10 Antworten
- LÖSUNG emeriks schreibt am 22.01.2021 um 13:42:11 Uhr
- LÖSUNG potshock schreibt am 22.01.2021 um 16:55:04 Uhr
- LÖSUNG DerWoWusste schreibt am 22.01.2021 um 19:34:04 Uhr
- LÖSUNG potshock schreibt am 25.01.2021 um 13:16:31 Uhr
- LÖSUNG potshock schreibt am 26.01.2021 um 13:52:44 Uhr
- LÖSUNG emeriks schreibt am 26.01.2021 um 14:57:07 Uhr
- LÖSUNG DerWoWusste schreibt am 26.01.2021 um 20:28:15 Uhr
- LÖSUNG potshock schreibt am 27.01.2021 um 13:43:46 Uhr
- LÖSUNG DerWoWusste schreibt am 27.01.2021 um 14:31:29 Uhr
- LÖSUNG potshock schreibt am 27.01.2021 um 16:22:34 Uhr
- LÖSUNG DerWoWusste schreibt am 27.01.2021 um 14:31:29 Uhr
- LÖSUNG potshock schreibt am 27.01.2021 um 13:43:46 Uhr
- LÖSUNG DerWoWusste schreibt am 22.01.2021 um 19:34:04 Uhr
- LÖSUNG potshock schreibt am 22.01.2021 um 16:55:04 Uhr
LÖSUNG 22.01.2021, aktualisiert um 13:43 Uhr
Hi,
welche Registrywerte das sind, kannst Du selbst aus der betreffenden ADMX extrahieren.
Suche einfach in den deutschen ADML nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen". Dann weißt Du schon mal, welche ADMX das ist. Dann in der ADMX nach der Variable suchen, welcher in der ADML der o.g. String zugewiesen ist. In der ADMX findest Du dann die Registrywerte.
Weiterhin werden in der Registry dann nicht die Namen auftauchen sondern die SID's der betreffenden Konten oder Gruppen.
E.
welche Registrywerte das sind, kannst Du selbst aus der betreffenden ADMX extrahieren.
Suche einfach in den deutschen ADML nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen". Dann weißt Du schon mal, welche ADMX das ist. Dann in der ADMX nach der Variable suchen, welcher in der ADML der o.g. String zugewiesen ist. In der ADMX findest Du dann die Registrywerte.
Weiterhin werden in der Registry dann nicht die Namen auftauchen sondern die SID's der betreffenden Konten oder Gruppen.
E.
LÖSUNG 22.01.2021 um 16:55 Uhr
Hi Emeriks,
also ich habe mir den kompletten Ordner PolicyDefinitions auf meinen lokalen Linux PC kopiert.
Dort via grep in de-DE die adml Dateien nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen" durchsucht.
Der String ist nicht zu finden!
Um sicher zu stellen, daß mein grep Befehl funktioniert habe ich exemplarisch nach "Antivirenprogramme beim Öffnen von Anlagen benachrichtigen" gesucht.
Und siehe da die adml wird gefunden und ich kann dann natürlich die entsprechende admx Datei zuordnen.
Kann es sein, daß die Windows-Einstellungen sich gar nicht in den adml/admx Dateien befinden, sondern sich dort nur die Administrativen Vorlagen befinden?
Die dort definierten Einstellungen finde ich nämlich (s.o.)!
Viele Grüße und ein schönes Wochenende
Potshock
also ich habe mir den kompletten Ordner PolicyDefinitions auf meinen lokalen Linux PC kopiert.
Dort via grep in de-DE die adml Dateien nach dem String "Auf diesem Computer vom Netzwerk aus zugreifen" durchsucht.
grep -rwi '/Pfad/PolicyDefinitions/de-DE/' -e 'Auf diesem Computer vom Netzwerk aus zugreifen'
Um sicher zu stellen, daß mein grep Befehl funktioniert habe ich exemplarisch nach "Antivirenprogramme beim Öffnen von Anlagen benachrichtigen" gesucht.
Und siehe da die adml wird gefunden und ich kann dann natürlich die entsprechende admx Datei zuordnen.
Kann es sein, daß die Windows-Einstellungen sich gar nicht in den adml/admx Dateien befinden, sondern sich dort nur die Administrativen Vorlagen befinden?
Die dort definierten Einstellungen finde ich nämlich (s.o.)!
Viele Grüße und ein schönes Wochenende
Potshock
LÖSUNG 22.01.2021 um 19:34 Uhr
Hi.
Es ist dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind (siehe GPO Reference: https://www.microsoft.com/en-us/download/101451 )
Es ist dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind (siehe GPO Reference: https://www.microsoft.com/en-us/download/101451 )
LÖSUNG 25.01.2021, aktualisiert um 13:30 Uhr
Hallo DerWoWusste,
danke für den Hinweis.
Ich bin wohl wieder etwas blind
.
Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?
Ich finde dort nur den Hinweis, daß der dort angebotene Download "Group Policy Settings Reference Spreadsheet" sich nur auf die "Administrative template files " bezieht.
Das schließt natürlich die "Windows-Einstellungen" aus.
Deswegen war ich der Ansicht, wenn ich den kompletten Ordner PolicyDefinitions direkt aus unsere Domäne durchsuche, ich dort fündig werden würde.
Wie / Wo speichert Windows dann diese Einstellungen, wenn nicht in der Registry?
Ok, wenn diese GPO keine Registry Einträge erstellt, welche Möglichkeiten gibt es, um die Einstellungen dieser GPO an Clients ohne AD Anbindung zu verteilen?
Wäre ev. ein gangbarer Weg, ich würde die GPO sichern und sie dann via ImportGPO.wsf (siehe: https://gallery.technet.microsoft.com/group-policy-management-17a5f840) per script importieren?
Edith: Noch mal nachgedacht, ist natürlich Schwachsinn eine GPO kann ich ja nur am Server importieren und nicht an Clients, welche nicht im Ad sind!
Kann man lokale Sicherheitsrichtlinen exportieren und importieren?
Edith2: ja man kann wohl lokale Sicherheitsrichtlinen exportieren und importieren.
https://www.der-windows-papst.de/2017/08/13/windows-lokale-richtlinien-u ...
Das teste ich jetzt mal!
Grüße
Potshock
danke für den Hinweis.
Ich bin wohl wieder etwas blind
Wo ist "dokumentiert, dass die meisten (nicht alle) Sicherheitspolicysettings keine Registryeinträge sind"?
Ich finde dort nur den Hinweis, daß der dort angebotene Download "Group Policy Settings Reference Spreadsheet" sich nur auf die "Administrative template files " bezieht.
Das schließt natürlich die "Windows-Einstellungen" aus.
Deswegen war ich der Ansicht, wenn ich den kompletten Ordner PolicyDefinitions direkt aus unsere Domäne durchsuche, ich dort fündig werden würde.
Wie / Wo speichert Windows dann diese Einstellungen, wenn nicht in der Registry?
Ok, wenn diese GPO keine Registry Einträge erstellt, welche Möglichkeiten gibt es, um die Einstellungen dieser GPO an Clients ohne AD Anbindung zu verteilen?
Wäre ev. ein gangbarer Weg, ich würde die GPO sichern und sie dann via ImportGPO.wsf (siehe: https://gallery.technet.microsoft.com/group-policy-management-17a5f840) per script importieren?
Edith: Noch mal nachgedacht, ist natürlich Schwachsinn eine GPO kann ich ja nur am Server importieren und nicht an Clients, welche nicht im Ad sind!
Kann man lokale Sicherheitsrichtlinen exportieren und importieren?
Edith2: ja man kann wohl lokale Sicherheitsrichtlinen exportieren und importieren.
https://www.der-windows-papst.de/2017/08/13/windows-lokale-richtlinien-u ...
Das teste ich jetzt mal!
Grüße
Potshock
LÖSUNG 26.01.2021, aktualisiert um 13:55 Uhr
Hi emeriks, hi DerWoWusste,
ich habe die Lokale Sicherheitsrichtlinien via Powershell und LGPO.exe (Bestandteil des Microsoft Security Compliance Toolkit 1.0 https://www.microsoft.com/en-us/download/details.aspx?id=55319) ex- und importiert.
Export: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /b C:\Users\admin\Desktop\GPOs
Import: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /g C:\Users\admin\Desktop\GPOs
Funktioniert, allerdings mit einem kleinen Schönheitsfehler: Es werden alle Lokale Sicherheitsrichtlinien exportiert.
Habt Ihr schon einmal mit dem Tool gearbeitet und könnt mir sagen, ob ich damit auch nur eine ganz bestimmte Lokale Sicherheitsrichtlinie exportieren kann?
Viele Grüße
Potshock
ich habe die Lokale Sicherheitsrichtlinien via Powershell und LGPO.exe (Bestandteil des Microsoft Security Compliance Toolkit 1.0 https://www.microsoft.com/en-us/download/details.aspx?id=55319) ex- und importiert.
Export: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /b C:\Users\admin\Desktop\GPOs
Import: C:\Users\admin\Downloads\LGPO\LGPO_30\LGPO.exe /g C:\Users\admin\Desktop\GPOs
Funktioniert, allerdings mit einem kleinen Schönheitsfehler: Es werden alle Lokale Sicherheitsrichtlinien exportiert.
Habt Ihr schon einmal mit dem Tool gearbeitet und könnt mir sagen, ob ich damit auch nur eine ganz bestimmte Lokale Sicherheitsrichtlinie exportieren kann?
Viele Grüße
Potshock
LÖSUNG 26.01.2021, aktualisiert um 14:58 Uhr
Die POL-Dateien, welches dieses Tool erstellt, kannst Du mit PolViewer o.ä. untersuchen. Damit solltest Du die Registry-Einträge sehen, welche darin gespeichert sind. Vielleicht kommst Du damit weiter.
Schau mal hier: Da wird ein Tool genannt.
https://social.technet.microsoft.com/Forums/WINDOWS/en-US/45ded677-4ad5- ...
Edit:
Oder
https://sdmsoftware.com/389932-gpo-freeware-downloads/registry-pol-viewe ...
Schau mal hier: Da wird ein Tool genannt.
https://social.technet.microsoft.com/Forums/WINDOWS/en-US/45ded677-4ad5- ...
Edit:
Oder
https://sdmsoftware.com/389932-gpo-freeware-downloads/registry-pol-viewe ...
LÖSUNG 26.01.2021 um 20:28 Uhr
Also... es ist nicht so schwierig.
Ich nehme meinen Rechner, berechtige dort "admin" in "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" und nutze danach wie du LGPO.exe für ein Backup. Das sehe ich mir an und, wie angesagt: kein Registrywert. Die Einstellung ist zu finden unter
"D:\tools\LGPO_30\backup\{879CAFC4-769D-43E6-82CC-7B933AD470CF}\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf"
Diese Datei editiere ich nun so, dass nur noch dieses Privileg drin steht:
Alle anderen Dateien außer dieser lösche ich einfach, kopiere den Kram auf meine zweite Testmaschine und importiere und es läuft:
Ich nehme meinen Rechner, berechtige dort "admin" in "Lokale Richtlinien" -> "Zuweisen von Benutzerrechten" ->
"Auf diesem Computer vom Netzwerk aus zugreifen" und nutze danach wie du LGPO.exe für ein Backup. Das sehe ich mir an und, wie angesagt: kein Registrywert. Die Einstellung ist zu finden unter
"D:\tools\LGPO_30\backup\{879CAFC4-769D-43E6-82CC-7B933AD470CF}\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit\GptTmpl.inf"
Diese Datei editiere ich nun so, dass nur noch dieses Privileg drin steht:
[Unicode]
Unicode=yes
[System Access]
[Event Audit]
[Registry Values]
[Privilege Rights]
SeNetworkLogonRight = *S-1-1-0,admin,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551
[Version]
signature="$CHICAGO$"
Revision=1
LÖSUNG 27.01.2021, aktualisiert um 14:16 Uhr
LÖSUNG 27.01.2021 um 14:31 Uhr
LÖSUNG 27.01.2021, aktualisiert um 16:43 Uhr