Schwache Nutzer können userbezogene GPOs umgehen
Wie bei Borncity ausführlich nachzulesen, haben verschiedene Sicherheitsprofis zum Teil schon vor 5 Jahren festgestellt, dass Restriktionen, die Admins mittels User-GPOs setzen, von den Nutzern umgangen werden können. Damals ging die Meldung an mir vorbei, nun kommt die Sache erneut ins Gespräch.
Da Windows einen Dienst nutzt, um ggf. erwünschte mandatory user profiles zu laden und dieser Dienst Systemrechte besitzt, muss der Nutzer dazu lediglich einen Weg finden, eine ntuser.man zu erstellen und im eigenen Profil abzulegen.
Das ist nicht sonderlich schwierig, so dass Admins, die sich auf die GPOs verlassen, sich besser Stefan Kanthaks Befehle (sucht im obigen Link nach cacls.exe) zur Abhilfe ansehen sollten, die diesen Weg verbauen. Da diese ntuser.man natürlich auch Autostarteinträge setzen könnte, welche Ihrerseits Code nachladen, kann man damit aus Sicht eines Dritten sogar recht einfach böse Absichten verstecken und ein Umsetzen der Abhilfe ist ratsam!
Microsoft jedenfalls sieht darin kein größeres Problem und es sieht nicht nach einem Fix aus.
Da Windows einen Dienst nutzt, um ggf. erwünschte mandatory user profiles zu laden und dieser Dienst Systemrechte besitzt, muss der Nutzer dazu lediglich einen Weg finden, eine ntuser.man zu erstellen und im eigenen Profil abzulegen.
Das ist nicht sonderlich schwierig, so dass Admins, die sich auf die GPOs verlassen, sich besser Stefan Kanthaks Befehle (sucht im obigen Link nach cacls.exe) zur Abhilfe ansehen sollten, die diesen Weg verbauen. Da diese ntuser.man natürlich auch Autostarteinträge setzen könnte, welche Ihrerseits Code nachladen, kann man damit aus Sicht eines Dritten sogar recht einfach böse Absichten verstecken und ein Umsetzen der Abhilfe ist ratsam!
Microsoft jedenfalls sieht darin kein größeres Problem und es sieht nicht nach einem Fix aus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673167
Url: https://administrator.de/info/windows-sicherheitsluecke-gpo-umgehung-673167.html
Ausgedruckt am: 05.06.2025 um 11:06 Uhr
20 Kommentare
Neuester Kommentar
Mahlzeit.
Es ist wirklich erstaunlich, dass diese und andere Situationen einfach so hingenommen werden und es schlaue, teilweise nicht zur Software-Firma gehörende, Leute geben muss, welche sich Lösungen für solche Probleme ausdenken.
Diese Dinge sollte die, zugegeben noch recht junge, damit unerfahrene und auch eher kleinere, Softwareschmiede selbst in den Griff bekommen.
Einfach generisch zu veröffentlichen, dass kein Problem erkennbar ist und ein Update zur Behebung eher mit geringerer Priorität angegangen wird, ist schon ein sehr deutlicher Schlag ins Gesicht der zahlenden Kunden.
Die Antwort liest sich so, dass es eher nicht ganz durchgedrungen ist, was die eigentliche Misere ist.
Mir fehlt bei der ganzen Geschichte der dezente Hinweis: "In der Cloud passiert das nicht, weil die einfach besser ist."
Gruß
Marc
Es ist wirklich erstaunlich, dass diese und andere Situationen einfach so hingenommen werden und es schlaue, teilweise nicht zur Software-Firma gehörende, Leute geben muss, welche sich Lösungen für solche Probleme ausdenken.
Diese Dinge sollte die, zugegeben noch recht junge, damit unerfahrene und auch eher kleinere, Softwareschmiede selbst in den Griff bekommen.
Einfach generisch zu veröffentlichen, dass kein Problem erkennbar ist und ein Update zur Behebung eher mit geringerer Priorität angegangen wird, ist schon ein sehr deutlicher Schlag ins Gesicht der zahlenden Kunden.
Die Antwort liest sich so, dass es eher nicht ganz durchgedrungen ist, was die eigentliche Misere ist.
Mir fehlt bei der ganzen Geschichte der dezente Hinweis: "In der Cloud passiert das nicht, weil die einfach besser ist."
Gruß
Marc
Microsoft jedenfalls sieht darin kein größeres Problem
Da passt die neue Ausrichtungs-Strategie ja wie die Faust aufs Auge ....Prioritizing security above all else
🙈😂
Bis zum nächsten Blackout ... 🥳🖖
Alter was saufen die da in Redmond?! Muss auf jeden Fall hochprozentig sein und Vergesslichkeit fördern.
Ohne mich jetzt mit den Möglichkeiten von Intune und Microsoft 365 auszukennen: Ist es nicht so, das GPOs dort nicht zum Einsatz kommen? Ich würde annehmen, das Microsoft an dem System GPO nicht mehr viel verändern möchte und es lieber durch ein, entsprechend auf M365 und Azure ausgerichtetes, System ersetzen möchte.
Vielleicht ist meine Wahrnehmung aber auch falsch
Vielleicht ist meine Wahrnehmung aber auch falsch
Das fühlt sich an wie viel Aufregung um nichts.
Gut, ein Benutzer kann Benutzerrichtlinien aushebeln. Aber eben keine Computerrichtlinien.
Benutzerrichtlinien sind also nicht dazu ausgelegt, einen PC abzusichern, sondern lediglich dazu, dem User das Leben zu erleichtern. Ich sehe auf den ersten Blick kein Fehlverhalten von MS.
Gibt es etwas, das man nur mit Benutzerrichtlinien machen kann und die Aufregung rechtfertigt?
Gut, ein Benutzer kann Benutzerrichtlinien aushebeln. Aber eben keine Computerrichtlinien.
Benutzerrichtlinien sind also nicht dazu ausgelegt, einen PC abzusichern, sondern lediglich dazu, dem User das Leben zu erleichtern. Ich sehe auf den ersten Blick kein Fehlverhalten von MS.
Gibt es etwas, das man nur mit Benutzerrichtlinien machen kann und die Aufregung rechtfertigt?
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
Also Fakt ist, dass ein Benutzer, der 100% weiß was er da tut, in der Lage wäre, HKCU zu umgehen. Wow, toll!!! Und nun? Der Benutzer hat GPOs umgangen und evtl. damit sein Windows Profil kaputt gemacht. Ich konnte bei den bisherigen Artikeln nichts finden, dass den Benutzer weitere Rechte im OS geben kann bei Anwendung dieser "Schwachstelle".
Zitat von @DerMaddin:
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Zitat von @Freak-On-Silicon:
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Was spricht dagegen?
Zitat von @DerMaddin:
Was spricht dagegen?
Zitat von @Freak-On-Silicon:
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Was spricht dagegen?
Hast du dir den Link auf durchgelesen?
Ja und es ist seeeehr verallgemeinert.
Eine Belastung des Netzwerks möglich bei sehr großen Umgebungen mit vielen Clients und ziemlich großer GPO Anzahl. Das sind aber Strukturen mit tausenden von Clients wenn nicht sogar darüber hinaus.
Aus eigener Erfahrung kann ich sagen, dass es keine Belastung in einem überwiegend 100 Mbit-Netz gab, bei ~600 Clients.
Die aufgeführten Instabilitäten kann ich nicht nachvollziehen bzw. sind mir noch nie aufgefallen. Solange dies kein Problem für meine Infrastruktur darstellt, werde ich nichts verändern.
Eine Belastung des Netzwerks möglich bei sehr großen Umgebungen mit vielen Clients und ziemlich großer GPO Anzahl. Das sind aber Strukturen mit tausenden von Clients wenn nicht sogar darüber hinaus.
Aus eigener Erfahrung kann ich sagen, dass es keine Belastung in einem überwiegend 100 Mbit-Netz gab, bei ~600 Clients.
Die aufgeführten Instabilitäten kann ich nicht nachvollziehen bzw. sind mir noch nie aufgefallen. Solange dies kein Problem für meine Infrastruktur darstellt, werde ich nichts verändern.
Um das gings mir gar nicht, sondern um diesen Absatz:
Der Übernahme Prozess löscht und fügt alles wieder neu hinzu. Die Integration erfolgt nicht additiv. Es werden nicht nur die 2, 3 Werte hinzugefügt, die fehlen oder einer gelöscht, Nein! Das Prozess wirft alles weg und übernimmt alles erneut. Achtung! Für einen kurzen Moment ist das System, Richtlinien frei!
Der Übernahme Prozess löscht und fügt alles wieder neu hinzu. Die Integration erfolgt nicht additiv. Es werden nicht nur die 2, 3 Werte hinzugefügt, die fehlen oder einer gelöscht, Nein! Das Prozess wirft alles weg und übernimmt alles erneut. Achtung! Für einen kurzen Moment ist das System, Richtlinien frei!
Ja, das ist auch richtig so. Selektiv alle lokal gesetzten Werte mit den in der GPO zu prüfen und dann individuell zu ändert dauert wesentlich länger und ist komplexer in der Umsetzung.
Dieser "kurze Moment" kann Millisekunden oder sehr wenige Sekunden dauern. Ist ein potenzielles Risiko aber nicht bei einem Office-PC. Eher ein Thema für VDI, spezielle sichere Umgebungen, Kiosk-PCs etc. In solchen Bereichen sollte genauer geschaut werde welche und wie viele GPOs angewendet werden und weitere zusätzliche Schutzmaßnahmen wie AppLocker, Device Guard etc. verwendet werden.
Dieser "kurze Moment" kann Millisekunden oder sehr wenige Sekunden dauern. Ist ein potenzielles Risiko aber nicht bei einem Office-PC. Eher ein Thema für VDI, spezielle sichere Umgebungen, Kiosk-PCs etc. In solchen Bereichen sollte genauer geschaut werde welche und wie viele GPOs angewendet werden und weitere zusätzliche Schutzmaßnahmen wie AppLocker, Device Guard etc. verwendet werden.
Zitat von @Freak-On-Silicon:
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Nimm irgendeine verwaltete "Schlangenöl-App" und passe die Richtlinien an, dies minimiert das Risiko enorm. Dazu noch die Anwender regelmäßig sensibilisieren auf mögliche Angriffs-Vektoren und schon haben wir nahezu 100% Endpunkt-Sicherheit.