20
Schwache Nutzer können userbezogene GPOs umgehen
Wie bei Borncity ausführlich nachzulesen, haben verschiedene Sicherheitsprofis zum Teil schon vor 5 Jahren festgestellt, dass Restriktionen, die Admins mittels User-GPOs setzen, von den Nutzern umgangen werden können. Damals ging die Meldung an mir vorbei, nun kommt die Sache erneut ins Gespräch.
Da Windows einen Dienst nutzt, um ggf. erwünschte mandatory user profiles zu laden und dieser Dienst Systemrechte besitzt, muss der Nutzer dazu lediglich einen Weg finden, eine ntuser.man zu erstellen und im eigenen Profil abzulegen.
Das ist nicht sonderlich schwierig, so dass Admins, die sich auf die GPOs verlassen, sich besser Stefan Kanthaks Befehle (sucht im obigen Link nach cacls.exe) zur Abhilfe ansehen sollten, die diesen Weg verbauen. Da diese ntuser.man natürlich auch Autostarteinträge setzen könnte, welche Ihrerseits Code nachladen, kann man damit aus Sicht eines Dritten sogar recht einfach böse Absichten verstecken und ein Umsetzen der Abhilfe ist ratsam!
Microsoft jedenfalls sieht darin kein größeres Problem und es sieht nicht nach einem Fix aus.
Da Windows einen Dienst nutzt, um ggf. erwünschte mandatory user profiles zu laden und dieser Dienst Systemrechte besitzt, muss der Nutzer dazu lediglich einen Weg finden, eine ntuser.man zu erstellen und im eigenen Profil abzulegen.
Das ist nicht sonderlich schwierig, so dass Admins, die sich auf die GPOs verlassen, sich besser Stefan Kanthaks Befehle (sucht im obigen Link nach cacls.exe) zur Abhilfe ansehen sollten, die diesen Weg verbauen. Da diese ntuser.man natürlich auch Autostarteinträge setzen könnte, welche Ihrerseits Code nachladen, kann man damit aus Sicht eines Dritten sogar recht einfach böse Absichten verstecken und ein Umsetzen der Abhilfe ist ratsam!
Microsoft jedenfalls sieht darin kein größeres Problem und es sieht nicht nach einem Fix aus.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673167
Url: https://administrator.de/info/windows-sicherheitsluecke-gpo-umgehung-673167.html
Ausgedruckt am: 05.06.2025 um 11:06 Uhr
20 Kommentare
Neuester Kommentar
Mahlzeit.
Es ist wirklich erstaunlich, dass diese und andere Situationen einfach so hingenommen werden und es schlaue, teilweise nicht zur Software-Firma gehörende, Leute geben muss, welche sich Lösungen für solche Probleme ausdenken.
Diese Dinge sollte die, zugegeben noch recht junge, damit unerfahrene und auch eher kleinere, Softwareschmiede selbst in den Griff bekommen.
Einfach generisch zu veröffentlichen, dass kein Problem erkennbar ist und ein Update zur Behebung eher mit geringerer Priorität angegangen wird, ist schon ein sehr deutlicher Schlag ins Gesicht der zahlenden Kunden.
Die Antwort liest sich so, dass es eher nicht ganz durchgedrungen ist, was die eigentliche Misere ist.
Mir fehlt bei der ganzen Geschichte der dezente Hinweis: "In der Cloud passiert das nicht, weil die einfach besser ist."
Gruß
Marc
Es ist wirklich erstaunlich, dass diese und andere Situationen einfach so hingenommen werden und es schlaue, teilweise nicht zur Software-Firma gehörende, Leute geben muss, welche sich Lösungen für solche Probleme ausdenken.
Diese Dinge sollte die, zugegeben noch recht junge, damit unerfahrene und auch eher kleinere, Softwareschmiede selbst in den Griff bekommen.
Einfach generisch zu veröffentlichen, dass kein Problem erkennbar ist und ein Update zur Behebung eher mit geringerer Priorität angegangen wird, ist schon ein sehr deutlicher Schlag ins Gesicht der zahlenden Kunden.
Die Antwort liest sich so, dass es eher nicht ganz durchgedrungen ist, was die eigentliche Misere ist.
Mir fehlt bei der ganzen Geschichte der dezente Hinweis: "In der Cloud passiert das nicht, weil die einfach besser ist."
Gruß
Marc
Microsoft jedenfalls sieht darin kein größeres Problem
Da passt die neue Ausrichtungs-Strategie ja wie die Faust aufs Auge ....Prioritizing security above all else
🙈😂
Bis zum nächsten Blackout ... 🥳🖖
Alter was saufen die da in Redmond?! Muss auf jeden Fall hochprozentig sein und Vergesslichkeit fördern.
Ohne mich jetzt mit den Möglichkeiten von Intune und Microsoft 365 auszukennen: Ist es nicht so, das GPOs dort nicht zum Einsatz kommen? Ich würde annehmen, das Microsoft an dem System GPO nicht mehr viel verändern möchte und es lieber durch ein, entsprechend auf M365 und Azure ausgerichtetes, System ersetzen möchte.
Vielleicht ist meine Wahrnehmung aber auch falsch
Vielleicht ist meine Wahrnehmung aber auch falsch
Das fühlt sich an wie viel Aufregung um nichts.
Gut, ein Benutzer kann Benutzerrichtlinien aushebeln. Aber eben keine Computerrichtlinien.
Benutzerrichtlinien sind also nicht dazu ausgelegt, einen PC abzusichern, sondern lediglich dazu, dem User das Leben zu erleichtern. Ich sehe auf den ersten Blick kein Fehlverhalten von MS.
Gibt es etwas, das man nur mit Benutzerrichtlinien machen kann und die Aufregung rechtfertigt?
Gut, ein Benutzer kann Benutzerrichtlinien aushebeln. Aber eben keine Computerrichtlinien.
Benutzerrichtlinien sind also nicht dazu ausgelegt, einen PC abzusichern, sondern lediglich dazu, dem User das Leben zu erleichtern. Ich sehe auf den ersten Blick kein Fehlverhalten von MS.
Gibt es etwas, das man nur mit Benutzerrichtlinien machen kann und die Aufregung rechtfertigt?
3
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
1
Im Userteil der Policy muss man nicht nur Windows-eigene GPOs haben. Sämtliche Einstellungen diverser Programme (Browser usw.) können da drin liegen und die enthalten nicht selten sicherheitsrelevante Einstellungen.
in AD-Umgebungen wird oft die Policy im Minutentakt angewendet.
Auch das ist umgehbar und hier beschrieben: https://medium.com/tenable-techblog/bypass-windows-10-user-group-policy- ... im Absatz "But Windows will Resync Group Policy Rules and Override these Changes…Right?"nicht selten sicherheitsrelevante Einstellungen.
Welche? Mir sind keine bekannt. Bitte Beispiele nennen.
Proxy-Konfiguration fällt mir da mal spontan ein.
Ich verstehe das Argument. Aber das Richtlinien umgangen werden können, möchte man i.d.R. nicht.
Ich verstehe das Argument. Aber das Richtlinien umgangen werden können, möchte man i.d.R. nicht.
Also Fakt ist, dass ein Benutzer, der 100% weiß was er da tut, in der Lage wäre, HKCU zu umgehen. Wow, toll!!! Und nun? Der Benutzer hat GPOs umgangen und evtl. damit sein Windows Profil kaputt gemacht. Ich konnte bei den bisherigen Artikeln nichts finden, dass den Benutzer weitere Rechte im OS geben kann bei Anwendung dieser "Schwachstelle".
Welche? Mir sind keine bekannt. Bitte Beispiele nennen.
Nimm alle Policies, die z.B. sowohl als Computer- als auch als Userprolicy setzbar sind. Admins könnten die Unterscheidung wollen, dass ein Nutzerkreis am selben PC/Terminalserver andere Einstellungen bekommt, als ein anderer und setzen deshalb Userpolicies ein und nicht eine Computerpolicy.Ein Beispiel spontan: MS Office, Outlook, erzwingen, dass alle Nachrichten signiert und/oder verschlüsselt sind. Existiert diese Policy als Computerpolicy? Nein. Nimm die ADMX-Doku von https://www.microsoft.com/en-us/download/details.aspx?id=49030 (in den .exe enthalten als Excelsheet) und schau Dir an, was alles ausschließlich in HKCU\Policies ist und was du sicherheitsrelevant findest.
Ich konnte bei den bisherigen Artikeln nichts finden, dass den Benutzer weitere Rechte im OS geben kann bei Anwendung dieser "Schwachstelle"
Es muss nicht Rechteerweiterung sein, was die Sicherheit herabsetzt. Es kann ebenso das Umgehen von Restriktionen sein, von Geboten, wie mein Outlook-Beispiel zeigt.1
Zitat von @DerMaddin:
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
Ich sehe da keine Schwachstelle. Auch wenn ein versierter User den kompletten HKCU verändert, in AD-Umgebungen wird oft die Policy im Minutentakt angewendet. Habe mir zum Anlass unsere GPO angeschaut und in dem User-Baum sind nur Einstellungen für Drucker, Zuweisung von Netzlaufwerken, Startseiten in Browsern, Einstellungen für MS Office, Energieeinstellungen...
Im Grunde also nichts, was der User auch nicht selbst machen könnte.
Wo ist also das Risiko? Eine Ausweitung der Rechte ist darüber nicht möglich.
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Zitat von @Freak-On-Silicon:
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Was spricht dagegen?
Zitat von @DerMaddin:
Was spricht dagegen?
Zitat von @Freak-On-Silicon:
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
https://www.gruppenrichtlinien.de/artikel/registrierungsrichtlinien-auch ...
In Minutentakt angewendet? Gute Idee?
Was spricht dagegen?
Hast du dir den Link auf durchgelesen?
Ja und es ist seeeehr verallgemeinert.
Eine Belastung des Netzwerks möglich bei sehr großen Umgebungen mit vielen Clients und ziemlich großer GPO Anzahl. Das sind aber Strukturen mit tausenden von Clients wenn nicht sogar darüber hinaus.
Aus eigener Erfahrung kann ich sagen, dass es keine Belastung in einem überwiegend 100 Mbit-Netz gab, bei ~600 Clients.
Die aufgeführten Instabilitäten kann ich nicht nachvollziehen bzw. sind mir noch nie aufgefallen. Solange dies kein Problem für meine Infrastruktur darstellt, werde ich nichts verändern.
Eine Belastung des Netzwerks möglich bei sehr großen Umgebungen mit vielen Clients und ziemlich großer GPO Anzahl. Das sind aber Strukturen mit tausenden von Clients wenn nicht sogar darüber hinaus.
Aus eigener Erfahrung kann ich sagen, dass es keine Belastung in einem überwiegend 100 Mbit-Netz gab, bei ~600 Clients.
Die aufgeführten Instabilitäten kann ich nicht nachvollziehen bzw. sind mir noch nie aufgefallen. Solange dies kein Problem für meine Infrastruktur darstellt, werde ich nichts verändern.
Um das gings mir gar nicht, sondern um diesen Absatz:
Der Übernahme Prozess löscht und fügt alles wieder neu hinzu. Die Integration erfolgt nicht additiv. Es werden nicht nur die 2, 3 Werte hinzugefügt, die fehlen oder einer gelöscht, Nein! Das Prozess wirft alles weg und übernimmt alles erneut. Achtung! Für einen kurzen Moment ist das System, Richtlinien frei!
Der Übernahme Prozess löscht und fügt alles wieder neu hinzu. Die Integration erfolgt nicht additiv. Es werden nicht nur die 2, 3 Werte hinzugefügt, die fehlen oder einer gelöscht, Nein! Das Prozess wirft alles weg und übernimmt alles erneut. Achtung! Für einen kurzen Moment ist das System, Richtlinien frei!
Ja, das ist auch richtig so. Selektiv alle lokal gesetzten Werte mit den in der GPO zu prüfen und dann individuell zu ändert dauert wesentlich länger und ist komplexer in der Umsetzung.
Dieser "kurze Moment" kann Millisekunden oder sehr wenige Sekunden dauern. Ist ein potenzielles Risiko aber nicht bei einem Office-PC. Eher ein Thema für VDI, spezielle sichere Umgebungen, Kiosk-PCs etc. In solchen Bereichen sollte genauer geschaut werde welche und wie viele GPOs angewendet werden und weitere zusätzliche Schutzmaßnahmen wie AppLocker, Device Guard etc. verwendet werden.
Dieser "kurze Moment" kann Millisekunden oder sehr wenige Sekunden dauern. Ist ein potenzielles Risiko aber nicht bei einem Office-PC. Eher ein Thema für VDI, spezielle sichere Umgebungen, Kiosk-PCs etc. In solchen Bereichen sollte genauer geschaut werde welche und wie viele GPOs angewendet werden und weitere zusätzliche Schutzmaßnahmen wie AppLocker, Device Guard etc. verwendet werden.
Ja, ist mir bewusst.
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Ja, unter anderem Applocker ist da quasi Pflicht.
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Ja, unter anderem Applocker ist da quasi Pflicht.
Zitat von @Freak-On-Silicon:
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Und ich würde es auch bei einem Office-PC als Risiko sehen, wenn da schon was drauf ist, was nur auf sowas wartet...
Nimm irgendeine verwaltete "Schlangenöl-App" und passe die Richtlinien an, dies minimiert das Risiko enorm. Dazu noch die Anwender regelmäßig sensibilisieren auf mögliche Angriffs-Vektoren und schon haben wir nahezu 100% Endpunkt-Sicherheit.
Ja, unter anderem Applocker ist da quasi Pflicht.
Ach, und Applocker wäre nicht auch in genau so einem Moment "richtlinienfrei", wo die GPOs neu geschrieben werden? Die stehen für Applocker doch ebenfalls in der Registry (ja, HKLM, aber das ist hier unerheblich, da bei einem erzwungenen refresh ja beide Policyarten, User- und Computerpolicy, neu geschrieben werden).Wisst Ihr was: das ist doch völlig Banane. Ich habe hoffentlich verdeutlicht, dass ein Überschreiben NICHT MÖGLICH ist, wenn der User es wünscht (siehe tenable-link), somit ist die Diskussion darüber doch besser abzubrechen.
Zielführender wäre es doch, anzuerkennen, dass (wie belegt) in HKCU\software\policies sicherheitsrelevante Einstellungen sitzen können und man ggf. tatsächlich tätig werden muss, diese Hintertür dicht zu machen (siehe Befehle von S. Kanthak). Wer dort keine Sicherheitseinstellungen drin hat, der kann das auch gerne bleiben lassen.
Edit: Wer weiterhin nicht überzeugt ist, den verweise ich nochmals ans Ende des tenable Artikels mit weiteren Einsichten darüber, was damit abseits der verhinderten Gruppenrichtlinienumsetzung noch möglich ist:
- Single File Code Execution — Some exploits may be able to drop a file somewhere on the Windows filesystem as non-admin. If the exploit dropped a “%USERPROFILE\ntuser.man”, with an autostart registry key to execute a file off of a remote SMB share, then the exploit now gained reliable code execution simply by dropping one non-executable file.
- Antivirus/EDR Bypass — Some Antivirus/EDR products may only monitor registry modifications by intercepting Registry APIs or Kernel callbacks. In the case where you make a registry change by replacing the entire hive, this could circumvent monitoring and detection.
- Denial of Service — By dropping an empty ntuser.man file in %userprofile%, ProfSvc will fail to load registry and thus prevent the user from logging in, requiring Safe Mode boot or backup Admin account to remove offending ntuser.man file.
1
Stimmt, dann ist der AppLocker auch dahin...
Bin bei dir.
Bin bei dir.
