Terminalserver user können Registry ändern. Wie kritisch ist das?
Guten Tag zusammen,
nach einer ausführlichen Suche in den handelsüblichen Suchmaschinen fehlt mir leider immer noch eine Antwort. (u.a. wie setzt sich die Registry eines terminalserver users zusammen?)
Szenario:
In einer großen AD-Umgebung hat sich heraus gestellt, dass die User des ADs auf ihre registry zugreifen und ggf. auch ändern dürfen.
Wurde per GPO abgestellt.
Meine Frage(n) ist/sind folgende.
Wie kritisch ist das? Könnte der User damit den terminalserver zerschießen?
Ich bin mir nämlich nicht sooo sicher, ob das "globale" Konsequenzen hätte, wenn er zum Beispiel Wert/Schlüssel aus HKEY_USERS löscht.
Gerne wäre ich auch für weiterführende Lektüre (deutsch oder englisch) dankbar.
Ich hoffe die Frage(n) sind verständlich, ansonsten bin ich natürlich bereit weitere Fragen zur Umgebung zu beantworten.
bedanke im Voraus.
nach einer ausführlichen Suche in den handelsüblichen Suchmaschinen fehlt mir leider immer noch eine Antwort. (u.a. wie setzt sich die Registry eines terminalserver users zusammen?)
Szenario:
In einer großen AD-Umgebung hat sich heraus gestellt, dass die User des ADs auf ihre registry zugreifen und ggf. auch ändern dürfen.
Wurde per GPO abgestellt.
Meine Frage(n) ist/sind folgende.
Wie kritisch ist das? Könnte der User damit den terminalserver zerschießen?
Ich bin mir nämlich nicht sooo sicher, ob das "globale" Konsequenzen hätte, wenn er zum Beispiel Wert/Schlüssel aus HKEY_USERS löscht.
Gerne wäre ich auch für weiterführende Lektüre (deutsch oder englisch) dankbar.
Ich hoffe die Frage(n) sind verständlich, ansonsten bin ich natürlich bereit weitere Fragen zur Umgebung zu beantworten.
bedanke im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255810
Url: https://administrator.de/forum/terminalserver-user-koennen-registry-aendern-wie-kritisch-ist-das-255810.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
?
Wie soll ich mir das vorstellen, der Benutzer logt sich am TS-Server ein darf dann regedit startten (kann man verbieten) und hat dann Schreibrechte auf den gesammten Registrybaum?
Im normal fall sollte ein Benutzer auch auf dem TS genau wie an einer Workstation nur auf bestimmte Bereiche unter HKCU und HKCC zugreifen dürfen und dort auch nicht einfach so alles löschen oder anlegen sondern max anpassen..
Gruß
Chonta
?
Wie soll ich mir das vorstellen, der Benutzer logt sich am TS-Server ein darf dann regedit startten (kann man verbieten) und hat dann Schreibrechte auf den gesammten Registrybaum?
Im normal fall sollte ein Benutzer auch auf dem TS genau wie an einer Workstation nur auf bestimmte Bereiche unter HKCU und HKCC zugreifen dürfen und dort auch nicht einfach so alles löschen oder anlegen sondern max anpassen..
Gruß
Chonta
Hallo.
Ein normaler, eingeschränkter Nutzer hat nur schreibenden (oder ändernden) Zugriff auf den Teil der Registry, der sich als einzelne Datei "ntuser.dat" in seinem Benutzerprofil befindet. Das ist an einem Windows-TS nicht anders als an einem normalen Windows-Rechner.
Daß einfache, restriktive Benutzer an der Datei "usrclass.dat" etwas ändern können, glaub ich jetzt einfach mal nicht. Hast du das wirklich getestet? Falls ja, haben Deine TS-Benutzer mehr als die ihnen zustehenden Standardbenutzerrechte. Dann würde ich genau dies mal prüfen.
Wenn es so ist, wie ich im ersten Absatz geschrieben habe, können die Nutzer den Terminalserver über die Registry nicht zerschiessen, sondern maximal nur ihr eigenes Profil.
Grüße
von
departure69
Ein normaler, eingeschränkter Nutzer hat nur schreibenden (oder ändernden) Zugriff auf den Teil der Registry, der sich als einzelne Datei "ntuser.dat" in seinem Benutzerprofil befindet. Das ist an einem Windows-TS nicht anders als an einem normalen Windows-Rechner.
Daß einfache, restriktive Benutzer an der Datei "usrclass.dat" etwas ändern können, glaub ich jetzt einfach mal nicht. Hast du das wirklich getestet? Falls ja, haben Deine TS-Benutzer mehr als die ihnen zustehenden Standardbenutzerrechte. Dann würde ich genau dies mal prüfen.
Wenn es so ist, wie ich im ersten Absatz geschrieben habe, können die Nutzer den Terminalserver über die Registry nicht zerschiessen, sondern maximal nur ihr eigenes Profil.
Grüße
von
departure69
Hallo,
also. Jeder der SCHREIBZUGRIFF auf den Bereich hat der über CURRENUSER hinausgeht kann den ganzen Server schrotten, jeder andere nur sein eigenes Profil.
Es gibt viele Mittel und Wege aus den Eingeschrenkten Benutzerrechten auszubrechen, die Frage ist, glaubt ihr das eure Benutzer das drauf haben?
Wenn ja sollten die evtl mit in der ID arbeiten
Die Abarbeitung von GPO erfolgt nach dem Prinzip LSDOU wobei L für Lokal steht, was dann Lokalerichtlinien öder Registryeinstellungen wären.
Viele dieser Einstellungen erfordern einen Neustart, bei dem dann die GPO neu geladen und Angewendet werden und lokale Einstellungen überschrieben werden.
Man kann das nur testen, am beten eine VM mit 8.1 aufsetzen und dann mal als Domänenbenutzer versuchen die Registry zu löschen, neustarten und dann mit einem anderen anmelden.
Das was mit der VM passiert, kann auch potentiell mit dem Server passieren.
Gruß
Chonta
also. Jeder der SCHREIBZUGRIFF auf den Bereich hat der über CURRENUSER hinausgeht kann den ganzen Server schrotten, jeder andere nur sein eigenes Profil.
Es gibt viele Mittel und Wege aus den Eingeschrenkten Benutzerrechten auszubrechen, die Frage ist, glaubt ihr das eure Benutzer das drauf haben?
Wenn ja sollten die evtl mit in der ID arbeiten
Die Abarbeitung von GPO erfolgt nach dem Prinzip LSDOU wobei L für Lokal steht, was dann Lokalerichtlinien öder Registryeinstellungen wären.
Viele dieser Einstellungen erfordern einen Neustart, bei dem dann die GPO neu geladen und Angewendet werden und lokale Einstellungen überschrieben werden.
Man kann das nur testen, am beten eine VM mit 8.1 aufsetzen und dann mal als Domänenbenutzer versuchen die Registry zu löschen, neustarten und dann mit einem anderen anmelden.
Das was mit der VM passiert, kann auch potentiell mit dem Server passieren.
Gruß
Chonta
Nochmal:
Völlig unabhängig davon, welche Zugriffe Du dem User auf die Registry erlaubst oder verbietest, und dies per GPO oder anderswie geschieht, das ist völlig Wumpe (es gibt schließlich auch noch andere Tools außer "Regedit", die sich der User irgendwo herunterladen kann und die kein Setup benötigen):
Ein normaler, eingeschränkter Standardbenutzer kann den Terminalserver nicht per Regedit zerschiessen. Kann er es doch, hat er schlichtweg zuviele Rechte (z. B. Hauptbenutzer oder lokaler Admin am TS oder erhöhte Rechte auf die Dateien, aus denen sich die Registry zusammensetzt - das sind sieben Stück, nur eine davon darf er über Regedit ändern, nämlich die "ntuser.dat", das entspricht dann HKEY_CURRENT_USER, und mit der kann er eben maximal seinen eigenen Reg-Zweig kaputtmachen, also letztlich nur sein eigenes Profil).
Die GPO, die ihm den Aufruf von "regedit" verbietet, würde ich natürlich trotzdem belassen, denn alles, was den Spiel- oder Forscherbetrieb eines normalen Nutzers (bezogen auf's System) einschränkt, ist anzuraten.
Grüße
von
departure69
Völlig unabhängig davon, welche Zugriffe Du dem User auf die Registry erlaubst oder verbietest, und dies per GPO oder anderswie geschieht, das ist völlig Wumpe (es gibt schließlich auch noch andere Tools außer "Regedit", die sich der User irgendwo herunterladen kann und die kein Setup benötigen):
Ein normaler, eingeschränkter Standardbenutzer kann den Terminalserver nicht per Regedit zerschiessen. Kann er es doch, hat er schlichtweg zuviele Rechte (z. B. Hauptbenutzer oder lokaler Admin am TS oder erhöhte Rechte auf die Dateien, aus denen sich die Registry zusammensetzt - das sind sieben Stück, nur eine davon darf er über Regedit ändern, nämlich die "ntuser.dat", das entspricht dann HKEY_CURRENT_USER, und mit der kann er eben maximal seinen eigenen Reg-Zweig kaputtmachen, also letztlich nur sein eigenes Profil).
Die GPO, die ihm den Aufruf von "regedit" verbietet, würde ich natürlich trotzdem belassen, denn alles, was den Spiel- oder Forscherbetrieb eines normalen Nutzers (bezogen auf's System) einschränkt, ist anzuraten.
Grüße
von
departure69