Passwort bei .exe-Datei übergeben

[dremba]

Moin,
ich habe ein kleines Skript, welches ich in eine .exe kompiliert habe. Das Problem ist, dass die User die .exe nicht starten können, weil sie Administratorenrechte erfordert. Ist es möglich, dass ich in dem Skript, ein Passwort von einem domain-user mit administratorenrechten übergebe und somit ein normaler User die .exe starten kann?

VG
dremba

 

[Falc410]

Ist möglich, aber hard-gecodete Passwörter, gerade von Domain-Admins, sind so ungefähr das schlimmste was du machen kannst. Da würde ich mir eine andere Lösung suchen.

 

[freestaler]

Wir umgehen dieses Problen jeweils, in dem wir Task erstellen die mit spezifischen User laufen, aber von normalen User gestartet werden können. Obacht, script und Task darf nicht editierbar sein ohne admin Rechte.

 

[kartoffelpü]

Kann man das Script denn ohne Admin-Berechtigung starten?
Und wieso überhaupt als exe?

 

[dremba]

Ist möglich, aber hard-gecodete Passwörter, gerade von Domain-Admins, sind so ungefähr das schlimmste was du machen kannst. Da würde ich mir eine andere Lösung suchen.

Weil das Passwort dann von der einfach .exe ausgelesen werden kann?

 

[Autokiller677]

Wahrscheinlich ja. Kommt ein bisschen drauf an, was für eine Skriptsprache du da genau wie kompilierst, aber bei den meisten Sprachen ist es möglich die wieder zu dekompilieren und das Passwort auszulesen.

 

[dremba]

Wir umgehen dieses Problen jeweils, in dem wir Task erstellen die mit spezifischen User laufen, aber von normalen User gestartet werden können. Obacht, script und Task darf nicht editierbar sein ohne admin Rechte.

Okay das hört sich interessant an, werde mir das mal anschauen.

Ergänzung (25. Juli 2022)

@Autokiller677 Achso da war ich mir auch nicht ganz sicher. Mit Powershell also von einer .ps1 in eine .exe

Ergänzung (25. Juli 2022)

Kann man das Script denn ohne Admin-Berechtigung starten?

Nein, geht nur mit Admin-Berechtigung

Und wieso überhaupt als exe?

Damit das Script nicht lesbar ist

 

[Autokiller677]

Google sagt dazu, dass es (je nach compiler) durchaus Wege gibt. Sollte man lassen.

 

[derlorenz]

Was genau machst du denn mit dem Skript? Ggf. gibts ja noch andere Lösungen als ein Admin-PW hardcoded zu hinterlegen. Was halt einfach keine Lösung wäre ^^

Das mit den Tasks klingt aber schon ganz gut.

 

[Falc410]

Selbst wenn man es nicht direkt auslesen kann (reverse engineering, de-compiler), kann man das script immer noch verändern und eigenen Schadcode hinten anfügen (auch wenn das eine .exe ist). Somit ist so ein Script extrem gefährlich. Wie man so etwas nutzt um Exploits zu schreiben ist so ungefähr Hacker Grundkurs.

Solche Informationen oder Tokens sollten zur Laufzeit nachgeladen und an das Script übergeben werden. Ich bin jetzt kein Windows-Experte aber ich hätte erwartet, dass man über entsprechen GPOs so etwas ausrollen kann und als Scheduled Task anlegen lassen kann, welches dann wie viele andere Dienste eben mit SYSTEM Rechten laufen. Aber da bin ich leider zu wenig in der Windows-AD-Admin-Welt unterwegs.

 

[dremba]

@derlorenz das Skript dient dazu, dass man einen Neustart durchführen kann ohne das die Bitlocker-Passwortabfrage kommt. Also der Bitlocker-Schutz wird für ein Neustart angehalten. Das sind nur die 2 Befehle:

Suspend-BitLocker -MountPoint "C:" -RebootCount 1
shutdown /r /t 0

Ergänzung (25. Juli 2022)

@Falc410 Ja das mit dem Passwort übergeben, kommt für mich jetzt auch nicht mehr in Frage, da es zu unsicher ist. Aber das mit dem Task schau ich mir mal genauer an.

 

[Micke]

Ist es möglich, dass ich in dem Skript, ein Passwort von einem domain-user mit administratorenrechten übergebe und somit ein normaler User die .exe starten kann?

Ja. Du übergibst aber nicht, sondern sagst in der exe als wer der Prozess laufen soll.

Der Weg von @freestaler gefällt mir auch. Hat den Nachteil du musst es pro PC installieren. Dafür hast du im Scheduler eine gute GUI.
Eine Exe kannst du hingegen auch ohne Installation aufrufen lassen.

Suspend-BitLocker -MountPoint "C:" -RebootCount 1
shutdown /r /t 0

Du kannst dein script auch als Windows Dienst laufen lassen, welchen du remote aktivieren kannst, sprich ohne Passwort Thema.

 

[freestaler]

Und für was wollt ihr den Bitlocker suspenden Biosupdate? Je nach Hersteller gibts da andere Optionen.

 

[dremba]

@Micke Alles klar, ja ich würde es auch über einen Task versuchen.

@freestaler Viele arbeiten bei uns in der Firma im Homeoffice über Remote. Und wenn man den Rechner neu startet, kommt man dann nicht mehr drauf, da der Rechner beim Bitlocker Passwort hängen bleibt.

schon mal vielen Dank für die zahlreichen Antworten

 

[cloudman]

Und remote ist keine Option?
https://docs.microsoft.com/en-us/po...shell.core/invoke-command?view=powershell-7.2

 

[freestaler]

Und wieso bleibt er hängen? Biosupdate oder was ist da der Grund?

 

[dremba]

Nein, wegen dem Bitlocker Passwort. Das kann der User via remote nicht eingeben

Ergänzung (25. Juli 2022)

Und remote ist keine Option?
https://docs.microsoft.com/en-us/po...shell.core/invoke-command?view=powershell-7.2

Das ich über SSH das Bitlocker Passwort eingeben kann?

 

[cloudman]

Nein nicht ssh.
Powershell remoting. Damit kannst du Befehle von deinem Rechner auf einem anderen Rechner starten wenn Winrm auf dem Zielrechner eingeben.

https://docs.microsoft.com/de-de/po...g/running-remote-commands?view=powershell-7.2

 

[dremba]

@cloudman Okay, ich verstehe nur nicht inwiefern das eine Lösung sein soll.

Ergänzung (25. Juli 2022)

Ich habe es jetzt mit einer Aufgabe versucht, allerdings gibt es da ein Problem. Um eine Verknüpfung zu erstellen, dass ich die Aufgabe manuell ausführen kann, habe ich den folgenden Pfad angegeben: C:\Windows\System32\schtasks.exe /run /TN<Aufgabenname>

Allerdings kann ich den Pfad mit einem normalen User nicht öffnen, da "schtasks.exe" administratorenrechte benötigt.

 

[kartoffelpü]

Die Methode funktioniert wohl seit Win10/Server2016 nicht mehr: https://www.mysysadmintips.com/wind...-and-run-scheduled-tasks-without-admin-rights

Mal ne Grundsatzfrage: Wieso überhaupt Bitlocker mit Passwort und nicht einfach mit TPM? Da würde es das Problem mit der Abfrage beim Boot gar nicht geben.