19
Interessanter Trick für Windows-Nutzersupporter
Moin.
Ich bin gerade über einen interessanten Artikel gestolpert, der mein Arsenal als Supporter um eine "Waffe" reicher macht.
-> Wusstet Ihr, dass Admins auch gesperrte Sitzungen übernehmen können, ohne das Nutzerkennwort zu kennen?
Kann sehr nützlich sein, wenn man ein Problem des Nutzers beheben soll, er aber nicht dabei anwesend sein möchte/soll.
Man muss lediglich vor Ort sein (per RDP klappt das bei OS' neuer als Server 2016/Win10 1803 nicht - es klappt jedoch per VNC und Co, sprich mit allem, was echten Konsolenzugang zum Server bietet) und psexec zur Verfügung haben.
So geht's:
Anmelden als Admin, cmd elevated starten, dort
(der Taskmanager öffnet sich evtl. minimiert)
Im Taskmanager auf die Userliste wechseln, die Zielsitzung mit der rechten Taste anklicken und "verbinden" wählen.
Da ja Nutzer nicht immer so begeistert davon sind, wenn man etwas als Ihr Nutzer macht, sollte man sicherlich vorher informieren und dafür auch Regeln erlassen und protokollieren, wer wen übernommen hat. Vermutlich gibt es dafür ja auch Eventlogeinträge.
Ich bin gerade über einen interessanten Artikel gestolpert, der mein Arsenal als Supporter um eine "Waffe" reicher macht.
-> Wusstet Ihr, dass Admins auch gesperrte Sitzungen übernehmen können, ohne das Nutzerkennwort zu kennen?
Kann sehr nützlich sein, wenn man ein Problem des Nutzers beheben soll, er aber nicht dabei anwesend sein möchte/soll.
Man muss lediglich vor Ort sein (per RDP klappt das bei OS' neuer als Server 2016/Win10 1803 nicht - es klappt jedoch per VNC und Co, sprich mit allem, was echten Konsolenzugang zum Server bietet) und psexec zur Verfügung haben.
So geht's:
Anmelden als Admin, cmd elevated starten, dort
psexec -si taskmgrIm Taskmanager auf die Userliste wechseln, die Zielsitzung mit der rechten Taste anklicken und "verbinden" wählen.
Da ja Nutzer nicht immer so begeistert davon sind, wenn man etwas als Ihr Nutzer macht, sollte man sicherlich vorher informieren und dafür auch Regeln erlassen und protokollieren, wer wen übernommen hat. Vermutlich gibt es dafür ja auch Eventlogeinträge.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672981
Url: https://administrator.de/info/interessanter-trick-fuer-windows-nutzersupporter-672981.html
Ausgedruckt am: 12.06.2025 um 04:06 Uhr
19 Kommentare
Neuester Kommentar
Hi
Schön. Geht das auch mit teamviewer? Vorort ist so eine Sache. Bzw vnc intern.
Mh
Schön. Geht das auch mit teamviewer? Vorort ist so eine Sache. Bzw vnc intern.
Mh
Hi @DerWoWusste
Interessant... ist aber mal wieder ein Leck in Windows.. ob das so gewollt ist ?
... Über den Taskmanager konnte man auch schon sehr viel früher einiges richten/vernichten - oder über umbenennen des Explorers zu cmd.exe.
BTW. Es gibt auch viele PS Scripts welche so einiges können..
Gruss Globe!
Interessant... ist aber mal wieder ein Leck in Windows.. ob das so gewollt ist ?
... Über den Taskmanager konnte man auch schon sehr viel früher einiges richten/vernichten - oder über umbenennen des Explorers zu cmd.exe.
BTW. Es gibt auch viele PS Scripts welche so einiges können..
Gruss Globe!
1
Zitat von @Crusher79:
Hi
Schön. Geht das auch mit teamviewer? Vorort ist so eine Sache. Bzw vnc intern.
Hi
Schön. Geht das auch mit teamviewer? Vorort ist so eine Sache. Bzw vnc intern.
Probier es aus und berichte!
lks
Geht das auch mit teamviewer?
Soweit ich lesen konnte: ja, mit TV, VNC und Co. geht es, mit RDP-Logon (Supporter kommt als Admin per RDP rein) jedoch nicht.Edit doch, es scheint unter gewissen Randumständen, die ich noch untersuchen werde, auch per RDP zu gehen - auf einem Server 2016 zum Beispiel, den wir als Terminalserver laufen lassen, geht es, während es aber auf einem 2019er TS nicht funktoniert.
Hallo,
ich bin hier per TakeControl (ähnlich Teamviewer) auf einem RDS 2016.
Damit konnte ich mich mit einer getrennten Sitzung meiner Martina Musterfrau ohne deren Kennwort verbinden.
Macht schon Angst...
Stefan
ich bin hier per TakeControl (ähnlich Teamviewer) auf einem RDS 2016.
Damit konnte ich mich mit einer getrennten Sitzung meiner Martina Musterfrau ohne deren Kennwort verbinden.
Macht schon Angst...
Stefan
Servus,
klappt (mal eben schnell) nicht auf Terminal-Server
(Server 2016 - aktuelles Patchlevel)
klappt (mal eben schnell) nicht auf Terminal-Server
(Server 2016 - aktuelles Patchlevel)
Moin,
wer die ASR einsetzt, braucht es gar nicht erst zu testen :D
Zumindest, sofern die entsprechende Regel konfiguriert wurde, wird das Ganze geblockt.
Block process creations originating from PSExec and WMI commands
LG
wer die ASR einsetzt, braucht es gar nicht erst zu testen :D
Zumindest, sofern die entsprechende Regel konfiguriert wurde, wird das Ganze geblockt.
Block process creations originating from PSExec and WMI commands
LG
Es werden sicherlich einige sagen, dass es bei Ihnen nicht klappt. Ob die es dann so gemacht haben, wie beschrieben? Ohne psexec klappt es nicht. Mit RDP klappt es nur bedingt (auf Server 2016 klappt es hier sogar per RDP, während es auf Server 2019 nicht klappt, sondern mich nur auf die Anmeldemaske des Nutzers trägt und nach dessen Kennwort fragt. Auf Win10 1809 und höher /Windows 11 läuft es nur ohne RDP). Probiert es aus, findet für Euch raus, ob und wann es klappt.
Ob ASR damit zu tun hat? Welches wäre "die entsprechende Regel"?
Ob ASR damit zu tun hat? Welches wäre "die entsprechende Regel"?
Was ich am Rande bermerkt, auch festgestellt habe ist:
z.B. wenn man Massen Mega Update machen will per Turnschuh Administration,
und man bootet PCs hoch und meldet sich lokal am PC an mit nem Admin Account und macht seinen Job,
dann hat der User ja am nächsten Tag als Login den Admin Account sichtbar drin und muss erst anderer Benutzer auswählen und sein Login + PW eintippen.
Man sieht also das jemand dran war.
Wenn man das so macht, den PC hochfahren, und dann per RDP drauf anmeldet und das Update macht,
dann bleibt der User im Login Screen gleich wie vorher - User sieht dann nicht das ein Admin angemeldet war.
Wenn man Morgens also keine Blöde Fragen beantworten will, oder um Spezialisten kümmern die zu doof sind zu checken das sie ihr Login zum anmelden anpassen müssen, dann ist das auch ne Option...
z.B. wenn man Massen Mega Update machen will per Turnschuh Administration,
und man bootet PCs hoch und meldet sich lokal am PC an mit nem Admin Account und macht seinen Job,
dann hat der User ja am nächsten Tag als Login den Admin Account sichtbar drin und muss erst anderer Benutzer auswählen und sein Login + PW eintippen.
Man sieht also das jemand dran war.
Wenn man das so macht, den PC hochfahren, und dann per RDP drauf anmeldet und das Update macht,
dann bleibt der User im Login Screen gleich wie vorher - User sieht dann nicht das ein Admin angemeldet war.
Wenn man Morgens also keine Blöde Fragen beantworten will, oder um Spezialisten kümmern die zu doof sind zu checken das sie ihr Login zum anmelden anpassen müssen, dann ist das auch ne Option...
Hallo,
recht nett, aber ich betreibe schon lange einen Meschcentral Server, da muss ich Windof nicht um Erlaubnis fragen
grüße
recht nett, aber ich betreibe schon lange einen Meschcentral Server, da muss ich Windof nicht um Erlaubnis fragen
grüße
@Globetrotter
psexec -s ...
startet einen Prozess als SYSTEM. Und SYSTEM hat das Recht, in den Sitzungen gerade angemeldeter Benutzer weitere Prozesse zu starten. Somit war es schon immer möglich, als Administrator Prozesse im Kontext einer anderen Benutzeranmeldung laufen zu lassen, sofern man die API dafür kennt und nutzen kann. Insofern ist das jetzt kein neues "Leck".
Aber dass man als SYSTEM einfach so eine andere Sitzung interaktiv verbinden kann, überrascht micht jetzt schon! Wobei es im Endeffekt zum von mir o.G. fast keinen Unterschied macht, ob ich da nun interaktiv unterwegs bin oder "nur" mit Hintergrundprozessen.
psexec -s ...
startet einen Prozess als SYSTEM. Und SYSTEM hat das Recht, in den Sitzungen gerade angemeldeter Benutzer weitere Prozesse zu starten. Somit war es schon immer möglich, als Administrator Prozesse im Kontext einer anderen Benutzeranmeldung laufen zu lassen, sofern man die API dafür kennt und nutzen kann. Insofern ist das jetzt kein neues "Leck".
Aber dass man als SYSTEM einfach so eine andere Sitzung interaktiv verbinden kann, überrascht micht jetzt schon! Wobei es im Endeffekt zum von mir o.G. fast keinen Unterschied macht, ob ich da nun interaktiv unterwegs bin oder "nur" mit Hintergrundprozessen.
Ich habe das gerade getestet und es funktioniert auch auf TS, wenn man es lokal am Server macht.
Das ist schon sehr unheimlich.
Ich schaue mal, ob das wenigstens im Eventlog vermerkt wurde ...
Das ist schon sehr unheimlich.
Ich schaue mal, ob das wenigstens im Eventlog vermerkt wurde ...
Unter RDP funktioniert das prinzipiell auch, nur landet man dann im Anmeldedialog für diesen Benutzer.
(Anmeldedialog der getrennten Sitzung)
(Anmeldedialog der getrennten Sitzung)
Die Regel ist : Block process creations originating from PSExec and WMI commands
@emeriks
@Nils02
Danke. Schau doch mal, wie man über Powershell eine sichtbare Shell mit Systemrechten bekommt, das müsste man dann auch blocken, wenn man diese Methode verhindern will.
Unter RDP funktioniert das prinzipiell auch, nur landet man dann im Anmeldedialog für diesen Benutzer.
Wie schon geschrieben: unter Server 2016 eben nicht, da funktioniert es ohne Kennworteingabe auch per RDP. Warum das so ist, versuche ich noch herauszufinden. Dokumentiert ist diese Funktion des Taskmanagers ja kaum.@Nils02
Danke. Schau doch mal, wie man über Powershell eine sichtbare Shell mit Systemrechten bekommt, das müsste man dann auch blocken, wenn man diese Methode verhindern will.
Ich habe nun weitere Tests gemacht und danach noch einmal ausgiebig mit DeepSeek gequatscht, welcher mir nur bedingt erklären konnte, warum sich verschiedene OS' hier unterschiedlich verhalten *
Also: es funktioniert mit RDP anscheinend nur bis höchstens Win10 1803 bzw Server 2016.
Auf höheren Systemen funktioniert es nur von der Konsole aus (das habe ich auch getestet - Server 2022: klappt!)
Grund hierfür sind laut DeepSeek grob gesagt Veränderungen an der Sicherheitsarchitektur, welche man jedoch nicht tunen kann.
*
Es war wie immer mit der KI: sie gibt vor, alles zu wissen, fühlt man den Lösungsvorschlägen dann auf den Zahn, sind alle falsch, sie gibt das danach auch zu und bietet alternative Wege an. Wenn man nach den Quellen für die Alternativen fragt, stellt sich heraus, dass es keine gibt und man wird auf allgemein verfügbare MS Doku verwiesen, wo das Angebotene aber keineswegs explizit drin steht. Letzter Schluss der KI: man müsse, wenn man möchte, dass es von Remotesitzungen aus klappt, eben ein reverse engineering versuchen. Nee klar.
Also: es funktioniert mit RDP anscheinend nur bis höchstens Win10 1803 bzw Server 2016.
Auf höheren Systemen funktioniert es nur von der Konsole aus (das habe ich auch getestet - Server 2022: klappt!)
Grund hierfür sind laut DeepSeek grob gesagt Veränderungen an der Sicherheitsarchitektur, welche man jedoch nicht tunen kann.
*
Es war wie immer mit der KI: sie gibt vor, alles zu wissen, fühlt man den Lösungsvorschlägen dann auf den Zahn, sind alle falsch, sie gibt das danach auch zu und bietet alternative Wege an. Wenn man nach den Quellen für die Alternativen fragt, stellt sich heraus, dass es keine gibt und man wird auf allgemein verfügbare MS Doku verwiesen, wo das Angebotene aber keineswegs explizit drin steht. Letzter Schluss der KI: man müsse, wenn man möchte, dass es von Remotesitzungen aus klappt, eben ein reverse engineering versuchen. Nee klar.
@emeriks
Ich schaue mal, ob das wenigstens im Eventlog vermerkt wurde ...
Jou. Hier um 14:24:06 habe ich eine Sitzung übernommen und das wurde parallel geloggt:ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
23.05.2025 14:24:07 4778 Information A session was reconnected to a Window Station....
23.05.2025 14:24:07 4800 Information The workstation was locked....
23.05.2025 14:24:06 4800 Information The workstation was locked....
23.05.2025 14:24:06 4779 Information A session was disconnected from a Window Station....
23.05.2025 14:24:06 4779 Information A session was disconnected from a Window Station....
ProviderName: Microsoft-Windows-Wcmsvc
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
23.05.2025 14:24:07 1006 Information A Terminal Services session change was processed. ...
23.05.2025 14:24:06 1006 Information A Terminal Services session change was processed. ...
23.05.2025 14:24:06 1006 Information A Terminal Services session change was processed.
ProviderName: Microsoft-Windows-TerminalServices-LocalSessionManager
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
23.05.2025 14:24:07 25 Information Remote Desktop Services: Session reconnection succeeded:...
23.05.2025 14:24:07 24 Information Remote Desktop Services: Session has been disconnected:...
23.05.2025 14:24:06 40 Information Session 1 has been disconnected, reason code 5
23.05.2025 14:24:06 24 Information Remote Desktop Services: Session has been disconnected:...
23.05.2025 14:24:06 40 Information Session 3 has been disconnected, reason code 0
23.05.2025 14:24:06 59 Information %s from %S( #0x%x/0x%x ) 
LOL ja, die KI kannst du wohl vergessen in der Sache. Meine Erfahrung bisher? Zeitverschwendung, alles nicht exakt sondern nur Blabla.
Die scheitert bei mir schon wenn ich ein Datum von EoS von Microsoft haben will. Gibt einem einfach ein falsches, hat einfach irgendeinen Standard-Supportzeitraum angesetzt. Habe ich ihr das korrekte Datum inklusive Link gegeben. Direkt danach wollte ich eine Liste haben, da stands dann wieder falsch drin.
Die scheitert bei mir schon wenn ich ein Datum von EoS von Microsoft haben will. Gibt einem einfach ein falsches, hat einfach irgendeinen Standard-Supportzeitraum angesetzt. Habe ich ihr das korrekte Datum inklusive Link gegeben. Direkt danach wollte ich eine Liste haben, da stands dann wieder falsch drin.
@ukulele-7
Es kommt ja auch darauf an, welche KI und für was man sie benutzt.
Wenn man die KI als Ersatz oder Aufsatz für die Verwendung von Suchmaschinen betrachtet, dann muss man natürlich aufpassen, was da geliefert wird. Wenn einem die Ergebnisse nicht plausibel erscheinen, dann muss man eben überprüfen. Aber dieses Problem hat man bei einer direkten Suche mit z.B. Goggle auch schon. Wer blind darauf vertraut, dass der oder die obersten Treffer korrekt sind, begeht den gleichen Fehler an andere Stelle. Selbst wenn man Artikel direkt vom Hersteller geliefert bekommt, muss man schauen, ob diese aktuell noch zutreffend sind.
Es kommt ja auch darauf an, welche KI und für was man sie benutzt.
Wenn man die KI als Ersatz oder Aufsatz für die Verwendung von Suchmaschinen betrachtet, dann muss man natürlich aufpassen, was da geliefert wird. Wenn einem die Ergebnisse nicht plausibel erscheinen, dann muss man eben überprüfen. Aber dieses Problem hat man bei einer direkten Suche mit z.B. Goggle auch schon. Wer blind darauf vertraut, dass der oder die obersten Treffer korrekt sind, begeht den gleichen Fehler an andere Stelle. Selbst wenn man Artikel direkt vom Hersteller geliefert bekommt, muss man schauen, ob diese aktuell noch zutreffend sind.
