ComputerBase Menü
Aktuelles

Uneingeschränkter Zugriff auf Serverfreigaben – Schadsoftware oder Systemfehler?

Rappi789

Rappi789

Lt. Junior Grade
Registriert
Mai 2010
Beiträge
369
Hallo zusammen,

Ich habe in der Firma derzeit ein recht großes Sicherheitsproblem.

Kurzfassung:
Laptop: Windows 10, Version 20H2
Server: Windows Server 2019
Rechner ist Mitglied in der Domain & User hat keine Administrator-Rechte im Netzwerk
User ist Administrator Lokal am Laptop
G DATA Security ist up to Date und Komplett-System-Scan hat keine Funde.
Mit meinem Laptop ist mir uneingeschränkter Datenzugriff auf die Server\Partition D$ möglich. Ursache ist uns unbekannt.


Im Detail:
Vor einigen Monaten war mir aufgefallen dass ich keinen Zugriff auf eine Netzwerkfreigabe „Projekte“ habe. Andere Freigaben funktionieren nach wie vor und wie gewohnt. Anfangs hat man sich nicht viel dabei gedacht und vermutet das bei den Berechtigungen etwas geändert worden ist.

Nun haben wir uns das Problem jedoch genauer angesehen: Am Server hat der Benutzer noch sämtliche Zugriffe auf die Freigabe „Projekte“.
Auch mehrere Server oder Laptop Neustarts, hinzufügen / entfernen anderer Gruppen und direkten Berechtigungen änderten nichts an der Situation. Alle Freigaben funktionieren, nur die Freigabe „Projekte“ nicht. Nicht über das Netzlaufwerk, auch nicht direkt "\\Server\Projekte" oder "\\IP-Adresse\Projekte".

Interessanterweise über "\\Server\D$" konnte ich nun auf die Freigabe zugreifen. Und damit kam der Schock-Moment.
Der Rechner kann auf die gesamte Freigabe / Partition uneingeschränkt zugreifen.

Bei anderen Usern und Domain-Computern geht dies nicht, denn es erscheint immer das Anmeldefenster.
Um weiter zu Testen habe ich mich mit meinem User auf einem anderen Domain-PC angemeldet und dort funktioniert auf einmal alles richtig. Zugriff auf die Netzwerkfreigabe „Projekte“ und bei der direkten Eingabe \\Server\D$ erscheint das Anmeldefenster.
Auf dem betroffenem Laptop habe ich dem User nun die Lokalen-Administratorrechte entzogen, noch immer dasselbe Problem.
Also handelt es sich um ein Problem direkt auf diesem Laptop…
Ein zwischenzeitliches Funktionsupdate von 1909 auf Version 20H2 brachte auch keine Änderung.

Beschlossen wurde bereits dass wir den Laptop neu aufsetzen und Diskpart-Clean laufen lassen.
Jedoch wäre doch gut herauszufinden was die Ursache sein könnte, ob es sich einfach nur um einen Fehler oder um eine Schadsoftware handelt, um eben mit dem Wissen auch andere PCs darauf zu kontrollieren.

Wir sind jedenfalls Ratlos und leider bin ich derzeit wieder auf Dienstreise, weshalb ich gewisse Sachen möglicherweise nicht sofort Testen oder nachschauen kann...

Vielen Dank für eure Unterstützung!
MfG
 
Schaut euch halt die Freigabe- und NTFS-Berechtigungen von D: auf dem Server an. Ich denke mal, dass dein Benutzer da damals mit Vollzugriff eingetragen wurde, als du die Probleme hattest.
 
Lokaler Admin für den täglichen Betrieb ist Pfui, nur so am Rande - das wirkt sich aber auch nicht auf den Netzwerkzugriff aus, wie "Lokal" schon andeutet.
Wie werden grundsätzlich bei dir die Berechtigungen verteilt ? Manuell einzeln, per Gruppe oder per GPO ?

Edit: wie sieht die lokale Admingruppe auf dem Fileserver aus ?
 
Zuletzt bearbeitet:
kartoffelpü schrieb:
Schaut euch halt die Freigabe- und NTFS-Berechtigungen von D: auf dem Server an. Ich denke mal, dass dein Benutzer da damals mit Vollzugriff eingetragen wurde, als du die Probleme hattest.
Zum Vergrößern anklicken....
Das Phänomen besteht nur auf diesem Laptop. Selber User angemeldet auf anderem PC und alles funktioniert so wie es soll.

Turian schrieb:
Lokaler Admin für den täglichen Betrieb ist Pfui, nur so am Rande
Zum Vergrößern anklicken....
Ist richtig, machen wir mittlerweile bei neuen PCs auch nicht mehr so.

Turian schrieb:
Wie werden grundsätzlich bei dir die Berechtigungen verteilt ? Manuell einzeln, per Gruppe oder per GPO ?
Zum Vergrößern anklicken....
Per Gruppe

PHuV schrieb:
Habt Ihr keine IT, die sich um sowas kümmert?
Zum Vergrößern anklicken....
Zum Teil mache ich die IT und dann haben wir einen externen Experten. Mit dem bin ich gemeinsam an dem Problem gesessen und wir wissen nicht mehr weiter als den PC neu aufzusetzen.
Ergänzung ()

Turian schrieb:
Edit: wie sieht die lokale Admingruppe auf dem Fileserver aus ?
Zum Vergrößern anklicken....
Was möchtest du genau wissen?
Die Admins haben Zugriff auf andere Freigaben und sind "Administratoren" und "Domänen-Admins"
 
Hört sich erstmal danach an, das die Berechtigung für "Projekte" in Richtung D: versemmelt wurde, was aber per Gruppe wiederrum keinen Sinn ergibt.

Die gespeicherten Anmeldungen habt ihr auch mal gelöscht?

Habt ihr das mit einem anderen Userkonto vom betroffenen Gerät aus versucht ? Lässt sich nicht eindeutig lesen. Falls das auch geht, wird das Gerät selbst in einer ACL hinterlegt sein.

Bzgl. Lokalem Admin vom Fileshare, alles was in der Gruppe ist sollte Zugriff haben, nicht das der dort über 3 Ecken Berechtigungen hat.
 
Rappi789 schrieb:
Zum Teil mache ich die IT und dann haben wir einen externen Experten. Mit dem bin ich gemeinsam an dem Problem gesessen und wir wissen nicht mehr weiter als den PC neu aufzusetzen.
Zum Vergrößern anklicken....
Ich bin mir ziemlich sicher, dass es kein Problem des PCs ist, sondern einfach nur falsche Berechtigungen für deinen Benutzer.
Um gegenzutesten, wie von @Turian geschrieben, mit einem anderen Benutzer von deinem PC testen und auch mit deinem Benutzer von einem anderen PC aus.
 
kartoffelpü schrieb:
mit einem anderen Benutzer von deinem PC testen und auch mit deinem Benutzer von einem anderen PC aus.
Zum Vergrößern anklicken....
hab ich schon geschrieben, wenn ich mir mit meinem User auf einem anderen PC anmelde funktioniert alles richtig. Zugriff über die Netzwerkfreigabe und Anmeldefenster bei D$

Ich bin mir ziemlich sicher, dass es kein Problem des PCs ist, sondern einfach nur falsche Berechtigungen für deinen Benutzer.
Zum Vergrößern anklicken....
Deswegen glauben wir auch dass das ein Problem am Laptop ist. Die Benutzer und Gruppenberechtigungen haben wir im Detail kontrolliert.
 
Okay, dass du das getestet hast, hab ich überlesen.

Einmal im Credential Manager auf deinem PC schauen (und Einträge löschen).
Außerdem kann man auf dem Server noch im Computer Management sehen, von welchem Benutzer und welchem PC Dateien bzw. Sessions offen sind. Spätestens dort sollte man dann ja Hinweise finden.
1621347432535.png
 
Im Computer Management sind keine Einträge unter Sessions vorhanden...

Folgendes habe ich eben noch probiert:
Lokalen Administrator --> Anmeldefenster = kein Zugriff auf D$
Anderer User (Domain Administrator) --> Uneingeschränkter Zugriff auf D$
 
Er hat A) oben geschrieben, der User hat KEINE Admin-Rechte im Netz & B) würde ich bei "anderer User" auf ein anderes Konto tippen ;)
Aber DomAdmin ist zum testen Mist, der darf (fast) alles - zur Not schnell einen neuen Test-User anlegen.
Anderer Ansatz - verfolge ansonsten, warum du keine Berechtigungen für den Projektordner hast, also auf anderer Maschine mal testen usw. - hört sich immer noch nach (fehlgeschlagenem) manuellem Eingriff an, so spezifisch wie das ganze ist. Hast du die ACLs geprüft, ob die Maschine (oder eine Gruppe, die nicht dort sein sollte) da irgendwo auftaucht ?
 
Moin,
Turian schrieb:
Aber DomAdmin ist zum testen Mist, der darf (fast) alles
Zum Vergrößern anklicken....
der darf eigentlich auch nicht da rein, aber leider hab ich gerade keinen anderen User...
Turian schrieb:
zur Not schnell einen neuen Test-User anlegen
Zum Vergrößern anklicken....
ich kann zwar einen Test User erstellen, bin aber auf Dienstreise und nur mit VPN verbunden. Dass heißt ich kann die Erstanmeldung nicht durchführen und das somit jetzt gerade nicht testen. Deswegen konnte ich das nur mit dem Admin testen.
Turian schrieb:
Hast du die ACLs geprüft
Zum Vergrößern anklicken....
Da geht es jetzt ins Detail wo ich mich nicht so gut auskenne. Könnt ihr mir bitte genauer erklären was hier zu prüfen wäre?
PHuV schrieb:
Dann ist doch klar, dann wurde das so per AD berechtigt, daß nur der Domain Admin darauf zugreifen darf.
Zum Vergrößern anklicken....
Das Problem besteht aber auch mit einem normalen Domain-User (keine Admin-Rechte) und nur auf diesem Gerät
Was meinst du mit "per AD"?
 
Domänen-Admin ist in der Regel auf allen Geräten auch in der Gruppe der lokalen Administratoren, welche eben die Berechtigung für diese Freigabe haben - deshalb geht das und ist ungeeignet zum testen.
ACL - Access Control list - Zugriffsberechtigungen.
Per Powershell (auf dem Server)
PowerShell: 
Get-SmbShareAccess -Name $D

Get-Acl D:\ | Format-List
Ist dort etwas auffällig ?
 
  • Gefällt mir
Reaktionen: snaxilian
Turian schrieb:
Ist dort etwas auffällig ?
Zum Vergrößern anklicken....
Wir haben nun am Server nochmals alles kontrolliert.
In der ACL war nichts ungewöhnlich.
Alle Freigaben und Sicherheitsrichtlinien scheinen am Server auch zu stimmen.

Aber suchen wir auch an der richtigen Stelle? Kann ich an meinem Laptop noch etwas kontrollieren?

Was eben auch so extrem ungewöhnlich ist, dass ich von meinem Laptop auf einen bestimmten Freigabeordner keinen Zugriff habe und auf D$ Vollzugriff.
Von einem anderen Rechner funktioniert der Zugriff auf den Freigabeordner und bei D$ erscheint das Anmeldefenster.

Selbst unserm G-Data Support ist dieses Phänomen unerklärlich...
 
Stelle bitte nochmal detailierter dar, wie bei dir der User Zugriff auf einen Ordner bekommt. Und ist das der einzige vorhandene / benutzte User auf der betroffenen Maschine ?
 
Ich würde am Client auch mal die gespeicherten Credentials sichten/aufräumen. Findest du über die Suche bzw. die alte Systemsteuerung unter "Anmeldeinformationsverwaltung".
Gespeicherte Credentials für Netzwerkfreigaben sind dann unter dem Punkt "Windows-Anmeldeinformationen".
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Externer Zugriff aus internem Netz funktioniert nicht mehr
Antworten
10
Aufrufe
434
norKoeri
N
ForenHans
Datenrettung: Laptop HDD als externe Platte angeschlossen - Zugriff auf User Ordner
Antworten
8
Aufrufe
1.098
ForenHans
ForenHans
ESU26
PC: Nach reshade Installation - Kein Administrator zugriff - Spezielle rechte
Antworten
12
Aufrufe
549
cumulonimbus8
cumulonimbus8
A
  • Gesperrt
VPN-Zugriff auf Fileserver am Arbeitsplatz - Fehler
Antworten
8
Aufrufe
778
Alphabetics
A
chrstu77
Mit Android Smartphone auf Windows Netzlaufwerk zugreifen
Antworten
4
Aufrufe
641
chrstu77
chrstu77
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz