tomtombon
Goto Top

Übernahme Admin Rechte aus normalem Nutzer Account, W10 1703 Pro, MS-Account

Moin moin,

Ich vermute (!) Ich habe die Lösung dafür schon, social Engineering.
Aber das am Schluß.

Das Szenario:
Mein 13jähriger Sohn, der in Minecraft scripten kann sonst aber keinen echten Durchblick in IT Sachen hat,
hat einen PC mit Win 10 Pro 1703.
Weil MS meckert wegen Updates habe Ich mich mal an den PC gemacht als er ihn nicht belegte und Ich Zeit habe.
Dabei ist mir aufgefallen das er sämtliche Admin Accounts degradiert hat zu Benutzer Accounts und sich selbst Admin Rechte gegeben hat.
Den Hintergrund kann Ich verstehen.
Pubertät (Aufbegehren gegen die "Obrigkeit") und vor allem Faulheit face-wink

Er hat gesagt bei der Frage nach dem wie das er einen "Bug" ausgenutzt hat...

Meiner Meinung nach hat er entweder jemanden bei sich drauf gelassen per Teamviewer zb oder einer Anleitung im Netz befolgt.
ODER, was ich wie gesagt am ehesten vermute, das er über seine Mutter spioniert hat..
Die benötigte zwischendurch als ich nicht da war das Admin PW.
Und hat es u.U. weiter gegeben und nicht geheim eingegeben.
Oder Ich habe nicht genug drauf geachtet das er mir beim eingeben nicht über die Schulter schaut...
Und Ich habe es nicht geändert.....
So etwas lässt Wünsche nach einem Fingerabdruckscanner via USB aufkommen face-smile
Die eingebauten in Laptops habe Ich schon genießen können.


Ich habe sein Passwort dann geändert und die Rechte umgeschrieben.
Beim Untersuchen des Restes bin ich noch bei... face-smile


Wie gesagt, Ich vermute den "sozialen" Aspekt des PW Abgreifen.
Was ist eure Vermutung?

Denn einen technischen Aspekt fände Ich mehr als bedenklich.

Thx

Tom


Er hat eine normale Installation (kein Upgrade von W7! Nur die Lizenzrechte darüber face-smile ) mit normalen User Rechten.
Login geht über ein MS Konto (Google ist auch nicht besser... Aber wenn das ein Grund ist das er admin rechte erlangen kann kommt es weg. Ich habe es damals für die MS kindersicherung erstellt, die leider nicht mehr sauber klappt seid W7.).
Für einen rudimentären Schutz habe Ich Sophos Home laufen.
Zudem sichere Ich die Browser mit Spybot SD ab.
Natürlich läuft im Hintergrund W10 Defender mit.
Den kann man so oft abschalten... Ich habe es da aufgegeben. face-sad


PS:
NT Offline PassWD hatte immer einen Kernel Panic.
Wahrscheinlich dadurch das Ich UEFI nutze.
Oder hat jemand eine andere Idee?

Danke nochmals face-smile

Content-ID: 376003

Url: https://administrator.de/contentid/376003

Printed on: December 12, 2024 at 20:12 o'clock

136166
136166 Jun 05, 2018 updated at 08:48:34 (UTC)
Goto Top
Das schafft doch jeder Grundschüler face-smile wenn keine Verschlüsselung von Platte und Bootschutz vorhanden ist. Stichwort Konboot, Mimikatz und Co. ...
GrueneSosseMitSpeck
GrueneSosseMitSpeck Jun 05, 2018 at 09:06:33 (UTC)
Goto Top
also... Tools die einem ein Konto wieder einschalten und sogar nachträglich Adminrechte geben, gibts wie Sand am Meer und das Beste daran ist daß man dafür eigentich nur wissen muß wie das freizuschaltende Konto heißt, was beim Administrator eher trivial ist - denn den kann man seit XP nicht mehr löschen. Man bootet von einem externen Datenträger, den man vorher runterlädt und brennt.

Man kann sch allerdings auch erfolgreich mit Bordnitteln aussperren... indem man das automatische Login ohne Kennwort aktiviert. Windows degradiert das Konto dann automatisch, und wenn das das letzte verbliebene Konto mit Adminrechten war, dann hilft auch nur noch die CD aus dem Giftschrank.

Für aufmüpfige Bengel gibts allerdings auch Software zur Durchsetzung von Jugendschutzmaßnahmen face-smile
Lochkartenstanzer
Lochkartenstanzer Jun 05, 2018 at 09:27:32 (UTC)
Goto Top
Zitat von @TomTomBon:

NT Offline PassWD hatte immer einen Kernel Panic.
Wahrscheinlich dadurch das Ich UEFI nutze.
Oder hat jemand eine andere Idee?


Moin, Solange Du ihm ZHUgriff zu der hardware erlaubst, ist das alles kein Hexenwerk. Anleitungen um so etwas zu machen, gibt es wie Sand am Meer. Notfalls schraubt man die Platte raus und bearbeitet die Dateien auf einem anderen System.

Ich würde da eher erzieherische Maßnahmen und ein klärendes Gespräch empfehlen.

lks
TomTomBon
TomTomBon Jun 05, 2018 at 10:59:52 (UTC)
Goto Top
Moin,

Ich vergaß zu erwähnen das das BIOS dicht ist.
Sprich PW ist eingerichtet und Boot via UEFI nur die Windows Partition.

Wie Ich schrieb macht NToffline PassWD Probleme wenn Ich das Booten von Stick damit aufrufe nachdem Ich die sicherheit entfernt habe.
Aber sonstiges Booten geht nicht.


Ja,
Gespräche können zum Ziel führen.
Ich habe auch versucht es ihm fachlich zu erklären.
Für Asperger Aspiranten meist ein guter Ansatz face-smile

Aber es sagt der Vater, und der will dich nur einschränken...


Wenn Ich die Platte ausbaue, mir die SAM mounte und entsprechend editiere kann Ich mir das auch sofort vorstellen.
Ist ja nichts anderes, vom Aufwand abgesehen, als von Medium Live System booten und entsprechend editieren.
Aber diesen Aufwand zu treiben, davon ab das er nicht interessiert ist zu schauen wo Adapter sind und PCs auf die er zugreifen kann...
Denn es gibt einen zweit PC der aber nur Office auf W7 hat face-smile
Im Wohnzimmer, für Schulsachen z.B. gedacht.
Aber der lief seit einiger Zeit nicht mehr.
Und hat gar kein ext Laufwerk.

Was Ich im kurzen gefunden habe sind das alles nur variationen von NTOfflinePassWD.
Keine Wertungen dazu, sondern nur Kurzansicht.

Wie Ich sagte kann Ich das Booten von Fremdsystemen und Zugriff auf die Platte damit fast ausschließen.
Wobei Ich am Überlegen bin Bitlocker zu aktivieren.


Ich habe wahrscheinlich die falschen Suchwörter, aber welche Methoden außer SAM Änderung / Löschen des SAM Wertes ohne installierbare Fremdsoftware sollte das erreichen?

Danke
Tom
Lochkartenstanzer
Lochkartenstanzer Jun 05, 2018 at 11:05:18 (UTC)
Goto Top
Zitat von @TomTomBon:

Ich habe wahrscheinlich die falschen Suchwörter, aber welche Methoden außer SAM Änderung / Löschen des SAM Wertes ohne installierbare Fremdsoftware sollte das erreichen?

Die Utilman-Variante funktioniert schon seit langem sehr gut und wenn man einem Admin eine passende BVatch unterschiebt ist das recht unauffällig erledigt.

Aber man braucht den ganzen Aufwand nicht, wenn man einfach einen keylogger für 3,95€ aus Polen anstöpselt.

lks
TomTomBon
TomTomBon Jun 05, 2018 at 14:09:41 (UTC)
Goto Top
Hmmm,

Ich arbeite gerne mit Batch.
Allerdings eher nicht an dem PC, da die Anforderungen Speziell sind.
(Das Spiel updatet nicht, das will mehr Rechte...)
Wie gesagt, absolut privat face-smile

Aber im Firmenumfeld sieht das alles anders aus.

Aber wie gesagt,
er ist IT seitig unbeleckt.
Und so ein Keylogger...
Er fragt wie man eine USB Tastatur richtig ansteckt.

Und Ich glaube es ihm
face-sad
136166
136166 Jun 05, 2018 updated at 16:54:57 (UTC)
Goto Top
Och da gibt's jede Menge One Click Tools für die privilege escalation bspw. eins von vielen ...
https://github.com/WindowsExploits/Exploits/blob/master/CVE-2017-0213/Re ...
Solange er doppelt mit der Maus klicken und einen Befehl eintippen kann ein Kinderspiel.
BassFishFox
Solution BassFishFox Jun 05, 2018 at 17:43:52 (UTC)
Goto Top
Du solltest mal etwas mehr mit ihm reden.

Er hat gesagt bei der Frage nach dem wie das er einen "Bug" ausgenutzt hat...

Er fragt wie man eine USB Tastatur richtig ansteckt.

Die beiden Sachen passen nicht zusammen. face-big-smile
Entweder er verarscht Dich oder er hat jemanden der ihm das Wissen gibt.

Mit meinem "Luetten" hatte ich Aehnliches durch. Nach Toetung des Internetzuganges (kein Kabel und Kein Telefon als HotSpot) haben wir uns darauf geeinigt, dass er immer fragt wenn er was "braucht" und wir ohne gleich "nein" zu sagen versuchen eine gemeinsame Loesung zu finden.

BFF
TomTomBon
TomTomBon Jun 06, 2018 at 07:24:19 (UTC)
Goto Top
face-smile

Ein Teil von allem.
Schauspielern kann er nicht genug.
Und derzeit auch nicht genug logisch denken.
Es gibt Stunden an Theater und Entzug von Medien, Internet etc. weil er nicht die 7 Vokabeln vorzeigen kann die er min täglich machen muss...
Wie lange dauern 14 Wörter aufschreiben?
Was sagt die Logik? Machen und Medien nutzen können.
Bei ihm...
Er will auch nur nicht darüber nachdenken wie man die USB Tastatur anschließt.
Die Maus kann er nämlich anschließen wenn er sie zu "Kollegen" mal mitnimmt face-wink

Und ja, er hat Schulkollegen die was Ich so mitbekomme wirklich schon recht fortgeschritten sind.
Und man bekommt im Netz in der richtigen "Szene" viel mit.
Szene bezieht sich hier auf Bekannte/Freunde mit dem gleichen Interessenkreis. Hört sich aber besser an bei Teenagern.
"Hast du den Bericht hierüber/den Blog darüber gelesen?"
Ist bei uns ja auch nicht anders.
Und wenn dann jemand noch Russisch versteht...
Meine Vermutung ist das im Russischen/Kyrillischen Sprachraum pi mal Daumen die gleiche Menge an Informationen der Art abrufbar sind wie im Englischen.
Wenn man genug von der Sprache versteht das man Suchen kann...
Die genaue Übersetzung kann man sich besorgen :-P


Bei großen kommen mehrere Sachen zusammen.
Streß Schule, die Noten gehen auch runter, Der Hang zur Medien sucht, die aber ziemlich verbreitet ist leider,
Asperger Syndrom, Pubertät.
Das macht es alles nicht leichter face-smile

Trotz alledem gibt es Sachen die man einhalten muss.
136166
136166 Jun 06, 2018 updated at 10:13:34 (UTC)
Goto Top
So langsam glaube ich du bist im falschen Forum face-smile
Lochkartenstanzer
Solution Lochkartenstanzer Jun 06, 2018 at 08:55:30 (UTC)
Goto Top
Zitat von @136166:

So langsam glaube ich du bist im falschen Forum face-smile

Ja, da gibt es sicher passendere.

Da habt ihr wohl als Eltern vollkommen versagt face-wink.

Das sagt sich so leicht, aber wenn der Bengel tatsächluch Asperger hat, ist das für die Eltern wirklich nicht einfach. Das kann man als Außenstehender kaum erahnen.

kks
136166
136166 Jun 06, 2018 updated at 10:12:25 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
aber wenn der Bengel tatsächluch Asperger hat, ist das für die Eltern wirklich nicht einfach.
Uups das habe ich vollkommen überlesen. In dem Fall nehme ich das natürlich zurück, sorry.