Admin werden dank des Windows 10 Upgrade-Setups

derwowusste
Goto Top
Wenn Windows ein Upgrade durchführt, zum Beispiel von 7 oder 8 auf 10 oder von 10 auf die nächste Unterversion von 10, dann sollte man meinen, der Nutzer kann hier nicht eingreifen, da ja keine Dialogfenster erscheinen, in denen er Setup anhalten kann um nun irgendwas zu tun.
Drückt der Nutzer jedoch Shift F10, erhält er eine Shell mit Systemrechten und kann von dort aus alles tun und lassen, was er mag

Dies wird insbesondere dann interessant, wenn Admins auf die Idee kommen, Windowsupgrades (wie 10 v10240 auf v1511) im laufenden Bürobetrieb auszurollen (WSUS) oder zumindest fertigstellen zu lassen, während allein der Nutzer anwesend ist.

Also: niemals Mitarbeiter z.B. per WSUS oder Onlineupgrade auf Windows 10 upgraden lassen, wenn Ihr Wert darauf legt, dass User auch weiterhin nur mit Userrechten arbeiten sollen. Win10 TH2 oder Redstone über WSUS verteilen nur dann, wenn Ihr allein mit den Maschinen seid.
--

Edit: wie eigentlich zu befürchten war: es ist nicht nur bei Windows 10 so, sondern auch bei vorigen Windows-Versionen. Ich meine, zumindest für Vista-Setup und höher gilt das.

Update für v1703 oder höher: Microsoft hat reagiert und zumindest das Shift-F10 deaktiviert. Dennoch ändert das nichts daran, dass Setup Bitlocker suspendiert und Mitarbeiter lediglich den Rechner während des Setups ausschalten müssten, um offline (Bootdisk oder Platte ausbauen) vollen Zugriff auf die Platte zu erlangen. Wählen die Mitarbeiter dafür den richtigen Zeitpunkt, nämlich, wenn das System von Setup eh gerade neu gestartet wird, dann bleibt die Manipulation sogar unbemerkt!

Content-Key: 293904

Url: https://administrator.de/contentid/293904

Ausgedruckt am: 20.05.2022 um 21:05 Uhr

Mitglied: tomolpi
tomolpi 22.01.2016 um 20:34:51 Uhr
Goto Top
Zitat von @DerWoWusste:

Also: niemals Mitarbeiter z.B. per WSUS oder Onlineupgrade auf Windows 10 upgraden lassen

Sowieso nicht, abgesehen davon dass wir erstmal bei 8.1 bleiben, wir haben da so Spezialisten... Bei manchen sagen wir dann, sie sollen ihre Gerät dann und dann bei uns abgegeben, dann gibts Updates. Vorallem bei Leuten, die nicht warten können und/oder nicht lesen können ;-) face-wink
Mitglied: Robbn-MB
Robbn-MB 26.01.2016 um 08:13:23 Uhr
Goto Top
Ein Upgrade im laufendem Betrieb wäre auch ganz schön gewagt, wie ich finde ;)
Wir sind mit Win 7 64Bit seit geraumer Zeit durch, da es leider von der AG vorher keine Freigabe gab.

An die Migration auf Win10 möchte ich noch gar nicht denken
Mitglied: frankj
frankj 20.02.2016 um 18:42:13 Uhr
Goto Top
Für den Zweck gibt es doch eigentlich die disablecmdrequest.tag Datei.
Wenn die an der richtigen Stelle existiert, sollte Shift-F10 eigentlich disabled sein.
https://support.microsoft.com/de-de/kb/929839
Mitglied: DerWoWusste
DerWoWusste 24.02.2016 um 21:43:28 Uhr
Goto Top
Sehr gut! Kannte ich nicht, wird bald getestet. Ungemein wichtig.
Mitglied: DerWoWusste
DerWoWusste 28.02.2016 um 13:04:47 Uhr
Goto Top
Frank, teste es bitte mal selbst, hier funktioniert es nicht, ich kann weiterhin das Prompt bekommen. Geht es bei Dir?