none
Default Domain-Policy Sicherheitseinstellungen: Dateisystem + Registrierung "verschwunden" RRS feed

  • Frage

  • Hallo,

    beim Kampf mit dem W32/Conficker-Wurm in einem Netzwerk mit z.T. nicht gepatchten Rechner, bin ich über folgenden Knowledgebase-Artikel gestolpert: http://support.microsoft.com/kb/962007/de

    Die Idee unter dem Absatz "Schritte zur Abwehr":

    • Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den folgenden Registrierungsunterschlüssel entfernt werden:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    • Dies verhindert das Erstellen des willkürlich benannten Schadsoftwarediensts im Registrierungsschlüssel netsvcs .

    UND

    • Legen Sie mit der Richtlinie fest, dass Schreibberechtigungen für den Ordner "%windir%\Tasks" entfernt werden: Dies verhindert, dass die Conficker-Schadsoftware die geplanten Aufgaben erstellt, die das System erneut infizieren.

    habe ich für eine gute Idee gehalten, da während der Aktualisierung und Scannen der Rechner immer wieder die Einträge vorgenommen wurden. Bis ich mit der Säuberung fertig bin, wollte ich dies unterbinden.

    Also habe ich wie in dem Artikel beschrieben, dass Verzeichnis und den Registryeintrag hinzugefügt und "Vollzugriff" für den Administrator + System entzogen. In meinem jugendlichen Wahnsinn leider direkt in der Default Domain Policy.

    Das traurige Ergebnis, öffne ich die Default Domain Policy zum Bearbeiten sind die Einträge "Dateisystem" und "Registrierung" unter den Sicherheitseinstellungen verschwunden.

    Ich kann die Einträge also leider nicht entfernen und somit keine neuen Tasks anlegen bzw. die Berechtigung für den Svchost-Registrypfad zurückstellen....

     

    Auch wenn ich mich blöd angestellt habe: Hat Jemand eine Idee?????

    Vielen, vielen Dank!

     

    Viele Grüße

    Dienstag, 15. März 2011 22:32

Antworten

  • - du öffnest die gpmc
    - du öffnest die DefDonConPol
    - in dieser sind dann im GPEditor die Knoten "Dateisystem" und "Registry" unterhalb nicht mehr vorhanden?

    Das macht keinen Sinn. Die Ansicht im Editor ist nur abhängig von den geladenen "PlugIns" (CSEs)
    aber evtl. hast du dir selbst die Rechte daran entzogen ...

    Editiere zur Not die gpttempl.inf direkt und korrigiere die zugehörigen Einträge unter [Registry] und [Filesystem]
    Die Syntax ist SDDL/SDDI, da kannst du besser erst eine MMC öffnen -> Sicherheitsvorlagen integrieren und in dieser Schablone die orginal Berchtigungen in der GUI nachbauen, dann als INF speichern und in der kaputten ersetzen.
    Einfach löschen wäre unklug, denn BErechtigungen in Dateisystem un Registry bleiben nach lköschen der Werte erhalten, deswegen korrigieren.

    Grundsätzlich hat aber aber der Inhalt dert Textdatei keine Auswirkung auf die "Ansicht".
    Wäre der Knoten [Registry] falsch geschrieben, dann würde er einfach richtig "neu" erstellt ... das ist schlieslich nur einfacher Text ...

    Davon abgesehen: Installiere das betroffene System neu. Es ist nicht mehr sicher.

    TschöMark

    • Als Antwort markiert Andreas_Koch Mittwoch, 16. März 2011 15:05
    Mittwoch, 16. März 2011 13:44

Alle Antworten

  • Hi,

    neu registrieren der DLLs, siehe Script am Ende des Artikels:

    http://www.gruppenrichtlinien.de/Grundlagen/Client_Side_Extensions.htm

     

    Tschö

    Mark

    Mittwoch, 16. März 2011 11:41
  • Hi Mark,

    die Idee war zwar gut, habe die DLL's gerade nachregistriert, aber leider immer noch dasselbe.

    In anderen GPO's sind die beiden Einträge ja auch nach wie vor da. Nur nicht in meiner jetzt leider "verbastelten" Default Domain Policy. Es muss irgendwie an den Berechtigungsänderungen, wie im Knowlede-Base-Artikel beschrieben, liegen...

    Noch eine Idee?

    Vieeeeelen Dank!

    Mittwoch, 16. März 2011 12:28
  • - du öffnest die gpmc
    - du öffnest die DefDonConPol
    - in dieser sind dann im GPEditor die Knoten "Dateisystem" und "Registry" unterhalb nicht mehr vorhanden?

    Das macht keinen Sinn. Die Ansicht im Editor ist nur abhängig von den geladenen "PlugIns" (CSEs)
    aber evtl. hast du dir selbst die Rechte daran entzogen ...

    Editiere zur Not die gpttempl.inf direkt und korrigiere die zugehörigen Einträge unter [Registry] und [Filesystem]
    Die Syntax ist SDDL/SDDI, da kannst du besser erst eine MMC öffnen -> Sicherheitsvorlagen integrieren und in dieser Schablone die orginal Berchtigungen in der GUI nachbauen, dann als INF speichern und in der kaputten ersetzen.
    Einfach löschen wäre unklug, denn BErechtigungen in Dateisystem un Registry bleiben nach lköschen der Werte erhalten, deswegen korrigieren.

    Grundsätzlich hat aber aber der Inhalt dert Textdatei keine Auswirkung auf die "Ansicht".
    Wäre der Knoten [Registry] falsch geschrieben, dann würde er einfach richtig "neu" erstellt ... das ist schlieslich nur einfacher Text ...

    Davon abgesehen: Installiere das betroffene System neu. Es ist nicht mehr sicher.

    TschöMark

    • Als Antwort markiert Andreas_Koch Mittwoch, 16. März 2011 15:05
    Mittwoch, 16. März 2011 13:44
  • Hi!

    Ja, genauso war es. Die Einträge waren nicht mehr vorhanden.

    Habe jetzt die betroffene gpttempl.inf geöffnet (zuerst gesichert) und anschließendnur die einträge mit abschnitten [Registry] und [Filesystem] entfernt.

    Schon sind die Einträge wieder da und bei einem gpupdate, kommen keine Fehlermeldungen mehr.

    Trotzdem schleierhaft - Aber: Vielen, vielen Dank!!!

     

    Viele Grüße!

    Mittwoch, 16. März 2011 14:53