5
Admin werden dank des Windows 10 Upgrade-Setups
Wenn Windows ein Upgrade durchführt, zum Beispiel von 7 oder 8 auf 10 oder von 10 auf die nächste Unterversion von 10, dann sollte man meinen, der Nutzer kann hier nicht eingreifen, da ja keine Dialogfenster erscheinen, in denen er Setup anhalten kann um nun irgendwas zu tun.
Drückt der Nutzer jedoch Shift F10, erhält er eine Shell mit Systemrechten und kann von dort aus alles tun und lassen, was er mag
Dies wird insbesondere dann interessant, wenn Admins auf die Idee kommen, Windowsupgrades (wie 10 v10240 auf v1511) im laufenden Bürobetrieb auszurollen (WSUS) oder zumindest fertigstellen zu lassen, während allein der Nutzer anwesend ist.
Also: niemals Mitarbeiter z.B. per WSUS oder Onlineupgrade auf Windows 10 upgraden lassen, wenn Ihr Wert darauf legt, dass User auch weiterhin nur mit Userrechten arbeiten sollen. Win10 TH2 oder Redstone über WSUS verteilen nur dann, wenn Ihr allein mit den Maschinen seid.
--
Edit: wie eigentlich zu befürchten war: es ist nicht nur bei Windows 10 so, sondern auch bei vorigen Windows-Versionen. Ich meine, zumindest für Vista-Setup und höher gilt das.
Update für v1703 oder höher: Microsoft hat reagiert und zumindest das Shift-F10 deaktiviert. Dennoch ändert das nichts daran, dass Setup Bitlocker suspendiert und Mitarbeiter lediglich den Rechner während des Setups ausschalten müssten, um offline (Bootdisk oder Platte ausbauen) vollen Zugriff auf die Platte zu erlangen. Wählen die Mitarbeiter dafür den richtigen Zeitpunkt, nämlich, wenn das System von Setup eh gerade neu gestartet wird, dann bleibt die Manipulation sogar unbemerkt!
Drückt der Nutzer jedoch Shift F10, erhält er eine Shell mit Systemrechten und kann von dort aus alles tun und lassen, was er mag
Dies wird insbesondere dann interessant, wenn Admins auf die Idee kommen, Windowsupgrades (wie 10 v10240 auf v1511) im laufenden Bürobetrieb auszurollen (WSUS) oder zumindest fertigstellen zu lassen, während allein der Nutzer anwesend ist.
Also: niemals Mitarbeiter z.B. per WSUS oder Onlineupgrade auf Windows 10 upgraden lassen, wenn Ihr Wert darauf legt, dass User auch weiterhin nur mit Userrechten arbeiten sollen. Win10 TH2 oder Redstone über WSUS verteilen nur dann, wenn Ihr allein mit den Maschinen seid.
--
Edit: wie eigentlich zu befürchten war: es ist nicht nur bei Windows 10 so, sondern auch bei vorigen Windows-Versionen. Ich meine, zumindest für Vista-Setup und höher gilt das.
Update für v1703 oder höher: Microsoft hat reagiert und zumindest das Shift-F10 deaktiviert. Dennoch ändert das nichts daran, dass Setup Bitlocker suspendiert und Mitarbeiter lediglich den Rechner während des Setups ausschalten müssten, um offline (Bootdisk oder Platte ausbauen) vollen Zugriff auf die Platte zu erlangen. Wählen die Mitarbeiter dafür den richtigen Zeitpunkt, nämlich, wenn das System von Setup eh gerade neu gestartet wird, dann bleibt die Manipulation sogar unbemerkt!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293904
Url: https://administrator.de/contentid/293904
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
Also: niemals Mitarbeiter z.B. per WSUS oder Onlineupgrade auf Windows 10 upgraden lassen
Sowieso nicht, abgesehen davon dass wir erstmal bei 8.1 bleiben, wir haben da so Spezialisten... Bei manchen sagen wir dann, sie sollen ihre Gerät dann und dann bei uns abgegeben, dann gibts Updates. Vorallem bei Leuten, die nicht warten können und/oder nicht lesen können
Ein Upgrade im laufendem Betrieb wäre auch ganz schön gewagt, wie ich finde ;)
Wir sind mit Win 7 64Bit seit geraumer Zeit durch, da es leider von der AG vorher keine Freigabe gab.
An die Migration auf Win10 möchte ich noch gar nicht denken
Wir sind mit Win 7 64Bit seit geraumer Zeit durch, da es leider von der AG vorher keine Freigabe gab.
An die Migration auf Win10 möchte ich noch gar nicht denken
Für den Zweck gibt es doch eigentlich die disablecmdrequest.tag Datei.
Wenn die an der richtigen Stelle existiert, sollte Shift-F10 eigentlich disabled sein.
https://support.microsoft.com/de-de/kb/929839
Wenn die an der richtigen Stelle existiert, sollte Shift-F10 eigentlich disabled sein.
https://support.microsoft.com/de-de/kb/929839
Sehr gut! Kannte ich nicht, wird bald getestet. Ungemein wichtig.
Frank, teste es bitte mal selbst, hier funktioniert es nicht, ich kann weiterhin das Prompt bekommen. Geht es bei Dir?
