Uneingeschränkter Zugriff auf Serverfreigaben – Schadsoftware oder Systemfehler?

[Rappi789]

Hallo zusammen,

Ich habe in der Firma derzeit ein recht großes Sicherheitsproblem.

Kurzfassung:
Laptop: Windows 10, Version 20H2
Server: Windows Server 2019
Rechner ist Mitglied in der Domain & User hat keine Administrator-Rechte im Netzwerk
User ist Administrator Lokal am Laptop
G DATA Security ist up to Date und Komplett-System-Scan hat keine Funde.
Mit meinem Laptop ist mir uneingeschränkter Datenzugriff auf die Server\Partition D$ möglich. Ursache ist uns unbekannt.


Im Detail:
Vor einigen Monaten war mir aufgefallen dass ich keinen Zugriff auf eine Netzwerkfreigabe „Projekte“ habe. Andere Freigaben funktionieren nach wie vor und wie gewohnt. Anfangs hat man sich nicht viel dabei gedacht und vermutet das bei den Berechtigungen etwas geändert worden ist.

Nun haben wir uns das Problem jedoch genauer angesehen: Am Server hat der Benutzer noch sämtliche Zugriffe auf die Freigabe „Projekte“.
Auch mehrere Server oder Laptop Neustarts, hinzufügen / entfernen anderer Gruppen und direkten Berechtigungen änderten nichts an der Situation. Alle Freigaben funktionieren, nur die Freigabe „Projekte“ nicht. Nicht über das Netzlaufwerk, auch nicht direkt "\\Server\Projekte" oder "\\IP-Adresse\Projekte".

Interessanterweise über "\\Server\D$" konnte ich nun auf die Freigabe zugreifen. Und damit kam der Schock-Moment.
Der Rechner kann auf die gesamte Freigabe / Partition uneingeschränkt zugreifen.

Bei anderen Usern und Domain-Computern geht dies nicht, denn es erscheint immer das Anmeldefenster.
Um weiter zu Testen habe ich mich mit meinem User auf einem anderen Domain-PC angemeldet und dort funktioniert auf einmal alles richtig. Zugriff auf die Netzwerkfreigabe „Projekte“ und bei der direkten Eingabe \\Server\D$ erscheint das Anmeldefenster.
Auf dem betroffenem Laptop habe ich dem User nun die Lokalen-Administratorrechte entzogen, noch immer dasselbe Problem.
Also handelt es sich um ein Problem direkt auf diesem Laptop…
Ein zwischenzeitliches Funktionsupdate von 1909 auf Version 20H2 brachte auch keine Änderung.

Beschlossen wurde bereits dass wir den Laptop neu aufsetzen und Diskpart-Clean laufen lassen.
Jedoch wäre doch gut herauszufinden was die Ursache sein könnte, ob es sich einfach nur um einen Fehler oder um eine Schadsoftware handelt, um eben mit dem Wissen auch andere PCs darauf zu kontrollieren.

Wir sind jedenfalls Ratlos und leider bin ich derzeit wieder auf Dienstreise, weshalb ich gewisse Sachen möglicherweise nicht sofort Testen oder nachschauen kann...

Vielen Dank für eure Unterstützung!
MfG

 

[kartoffelpü]

Schaut euch halt die Freigabe- und NTFS-Berechtigungen von D: auf dem Server an. Ich denke mal, dass dein Benutzer da damals mit Vollzugriff eingetragen wurde, als du die Probleme hattest.

 

[Turian]

Lokaler Admin für den täglichen Betrieb ist Pfui, nur so am Rande - das wirkt sich aber auch nicht auf den Netzwerkzugriff aus, wie "Lokal" schon andeutet.
Wie werden grundsätzlich bei dir die Berechtigungen verteilt ? Manuell einzeln, per Gruppe oder per GPO ?

Edit: wie sieht die lokale Admingruppe auf dem Fileserver aus ?

 

[PHuV]

Habt Ihr keine IT, die sich um sowas kümmert?

 

[Rappi789]

Schaut euch halt die Freigabe- und NTFS-Berechtigungen von D: auf dem Server an. Ich denke mal, dass dein Benutzer da damals mit Vollzugriff eingetragen wurde, als du die Probleme hattest.

Das Phänomen besteht nur auf diesem Laptop. Selber User angemeldet auf anderem PC und alles funktioniert so wie es soll.

Lokaler Admin für den täglichen Betrieb ist Pfui, nur so am Rande

Ist richtig, machen wir mittlerweile bei neuen PCs auch nicht mehr so.

Wie werden grundsätzlich bei dir die Berechtigungen verteilt ? Manuell einzeln, per Gruppe oder per GPO ?

Per Gruppe

Habt Ihr keine IT, die sich um sowas kümmert?

Zum Teil mache ich die IT und dann haben wir einen externen Experten. Mit dem bin ich gemeinsam an dem Problem gesessen und wir wissen nicht mehr weiter als den PC neu aufzusetzen.

Ergänzung (18. Mai 2021)

Edit: wie sieht die lokale Admingruppe auf dem Fileserver aus ?

Was möchtest du genau wissen?
Die Admins haben Zugriff auf andere Freigaben und sind "Administratoren" und "Domänen-Admins"

 

[Turian]

Hört sich erstmal danach an, das die Berechtigung für "Projekte" in Richtung D: versemmelt wurde, was aber per Gruppe wiederrum keinen Sinn ergibt.

Die gespeicherten Anmeldungen habt ihr auch mal gelöscht?

Habt ihr das mit einem anderen Userkonto vom betroffenen Gerät aus versucht ? Lässt sich nicht eindeutig lesen. Falls das auch geht, wird das Gerät selbst in einer ACL hinterlegt sein.

Bzgl. Lokalem Admin vom Fileshare, alles was in der Gruppe ist sollte Zugriff haben, nicht das der dort über 3 Ecken Berechtigungen hat.

 

[kartoffelpü]

Zum Teil mache ich die IT und dann haben wir einen externen Experten. Mit dem bin ich gemeinsam an dem Problem gesessen und wir wissen nicht mehr weiter als den PC neu aufzusetzen.

Ich bin mir ziemlich sicher, dass es kein Problem des PCs ist, sondern einfach nur falsche Berechtigungen für deinen Benutzer.
Um gegenzutesten, wie von @Turian geschrieben, mit einem anderen Benutzer von deinem PC testen und auch mit deinem Benutzer von einem anderen PC aus.

 

[Rappi789]

mit einem anderen Benutzer von deinem PC testen und auch mit deinem Benutzer von einem anderen PC aus.

hab ich schon geschrieben, wenn ich mir mit meinem User auf einem anderen PC anmelde funktioniert alles richtig. Zugriff über die Netzwerkfreigabe und Anmeldefenster bei D$

Ich bin mir ziemlich sicher, dass es kein Problem des PCs ist, sondern einfach nur falsche Berechtigungen für deinen Benutzer.

Deswegen glauben wir auch dass das ein Problem am Laptop ist. Die Benutzer und Gruppenberechtigungen haben wir im Detail kontrolliert.

 

[kartoffelpü]

Okay, dass du das getestet hast, hab ich überlesen.

Einmal im Credential Manager auf deinem PC schauen (und Einträge löschen).
Außerdem kann man auf dem Server noch im Computer Management sehen, von welchem Benutzer und welchem PC Dateien bzw. Sessions offen sind. Spätestens dort sollte man dann ja Hinweise finden.

 

[Rappi789]

Im Computer Management sind keine Einträge unter Sessions vorhanden...

Folgendes habe ich eben noch probiert:
Lokalen Administrator --> Anmeldefenster = kein Zugriff auf D$
Anderer User (Domain Administrator) --> Uneingeschränkter Zugriff auf D$

 

[PHuV]

Dann ist doch klar, dann wurde das so per AD berechtigt, daß nur der Domain Admin darauf zugreifen darf.

 

[Turian]

Er hat A) oben geschrieben, der User hat KEINE Admin-Rechte im Netz & B) würde ich bei "anderer User" auf ein anderes Konto tippen
Aber DomAdmin ist zum testen Mist, der darf (fast) alles - zur Not schnell einen neuen Test-User anlegen.
Anderer Ansatz - verfolge ansonsten, warum du keine Berechtigungen für den Projektordner hast, also auf anderer Maschine mal testen usw. - hört sich immer noch nach (fehlgeschlagenem) manuellem Eingriff an, so spezifisch wie das ganze ist. Hast du die ACLs geprüft, ob die Maschine (oder eine Gruppe, die nicht dort sein sollte) da irgendwo auftaucht ?

 

[Rappi789]

Moin,

Aber DomAdmin ist zum testen Mist, der darf (fast) alles

der darf eigentlich auch nicht da rein, aber leider hab ich gerade keinen anderen User...

zur Not schnell einen neuen Test-User anlegen

ich kann zwar einen Test User erstellen, bin aber auf Dienstreise und nur mit VPN verbunden. Dass heißt ich kann die Erstanmeldung nicht durchführen und das somit jetzt gerade nicht testen. Deswegen konnte ich das nur mit dem Admin testen.

Hast du die ACLs geprüft

Da geht es jetzt ins Detail wo ich mich nicht so gut auskenne. Könnt ihr mir bitte genauer erklären was hier zu prüfen wäre?

Dann ist doch klar, dann wurde das so per AD berechtigt, daß nur der Domain Admin darauf zugreifen darf.

Das Problem besteht aber auch mit einem normalen Domain-User (keine Admin-Rechte) und nur auf diesem Gerät
Was meinst du mit "per AD"?

 

[PHuV]

Active Directory, wo die Richtlinien für Benutzer und Laufwerke abgelegt werden.

 

[Turian]

Domänen-Admin ist in der Regel auf allen Geräten auch in der Gruppe der lokalen Administratoren, welche eben die Berechtigung für diese Freigabe haben - deshalb geht das und ist ungeeignet zum testen.
ACL - Access Control list - Zugriffsberechtigungen.
Per Powershell (auf dem Server)

Get-SmbShareAccess -Name $D

Get-Acl D:\ | Format-List

Ist dort etwas auffällig ?

 

[Rappi789]

Ist dort etwas auffällig ?

Wir haben nun am Server nochmals alles kontrolliert.
In der ACL war nichts ungewöhnlich.
Alle Freigaben und Sicherheitsrichtlinien scheinen am Server auch zu stimmen.

Aber suchen wir auch an der richtigen Stelle? Kann ich an meinem Laptop noch etwas kontrollieren?

Was eben auch so extrem ungewöhnlich ist, dass ich von meinem Laptop auf einen bestimmten Freigabeordner keinen Zugriff habe und auf D$ Vollzugriff.
Von einem anderen Rechner funktioniert der Zugriff auf den Freigabeordner und bei D$ erscheint das Anmeldefenster.

Selbst unserm G-Data Support ist dieses Phänomen unerklärlich...

 

[Turian]

Stelle bitte nochmal detailierter dar, wie bei dir der User Zugriff auf einen Ordner bekommt. Und ist das der einzige vorhandene / benutzte User auf der betroffenen Maschine ?

 

[snaxilian]

Ich würde am Client auch mal die gespeicherten Credentials sichten/aufräumen. Findest du über die Suche bzw. die alte Systemsteuerung unter "Anmeldeinformationsverwaltung".
Gespeicherte Credentials für Netzwerkfreigaben sind dann unter dem Punkt "Windows-Anmeldeinformationen".