Batch-Datei Adminrechte geben?
Hi,
ist es unter Windows 10 möglich, dass ein Nutzer, der durch Benutzerrollen/-beschränkungen, etc. keine Rechte hat cmd oder PowerShell zu öffnen, eine Batch-Datei auszuführen? Kann man ihr vielleicht Adminrechte geben?
Der Nutzer soll nur diese Batch-Datei ausführen können, sonst nichts...
Danke für hilfreiche Antworten :)
4 Antworten
...Mach folgendes nicht, bringt nichts... , Erklärung folgt..
Du kannst für cmd.exe/Powershell.exe die Zugriffsberechigungen für einen oder mehere Benutzer entziehen.
Dazu musst Du lediglich als Admin (unter Eigenschaften/Sicherheit/Erweitert) den Besitz übernehmen. Anschließend fügst Du den entsprechenden Benutzer hinzu und setz für diesen unter Verweigern lesen und ausführen. (verweigern hat Priorität vor zulassenden anderweitigen Rechten!)
Damit kann der betreffende Benutzer nicht mehr auf CMD.exe zugreifen.
Der Nachteil dieses verfahren, man kann auch keinerlei Batch mehr ausführen. Damit bliebe lediglich die Option jegliche Batch als Admin auszuführen.
Du kannst nicht alles haben... entweder Du sperrst Cmd oder erlaubst dessen Ausführung. Da Batches lediglich Dateien sind, welche mit cmd ausgeführt werden, gibt es auch keine Möglichkeit einzelne Batchdateien auszuführen.
Die von goddy250 aufgezeigte Option ist nur eine banale Hintertür, welche wie erwähnt das Adminpasswort in Klartext enthält. zudem kann PSExec auch nich aus einer Batch aufgerufen werden, da cmd ja nicht als der betreffende Nutzer gestartet werden kann.
Das Verbieten von .bat/.cmd in der Gruppenrichtlinie für Softwareeinschränkung lässt sich recht einfach umgehen, solange man Zugriff auf cmd.exe hat kann man auch Consolbefehle ausführen. Dabei ist die Dateiendung irrelevant...
Im übrigen gibt es außer Batch auch noch .js, .vbs, .wsf, .hta und viele weitere Schnittstellen um völlig ohne cmd.exe oder Powerschell mit dem System zu interagieren (zb wmic.exe).
Dein Ansinnen ist den Zugriff auf Systembefehle zu unterbinden ist Sinnlos, im Prinzip müsstest Du den betreffenden Benutzer soweit "einmauern", bis garnichts mehr möglich ist.
Naja es gibt da so Befehle wie PSExec und so. Damit konnte man skripte als Administrator ausführen lassen obwohl ein User angemeldet war. Dafür stand dann aber das Admin Kennwort im Klartext in der Batchdatei drin, war daher natürlich nicht wirklich nutzbar. Wahrscheinlich läuft das unter Win10 auch nicht mehr.
Ja: Es gibt Möglichkeiten, einen Task (eine Aufgabe) für einen bestimmten Benutzer zu "planen". Für den kann man entweder die "Credentials" (im wesentlichen das Passwort) bei der Aufgabe speichern (mögliche Sicherheitslücke) oder den Task regelmäßig ausführen und ein Signal abfragen (am einfachsten Existenz einer Datei, am sinnvollsten vermutlich Eintrag im volatileb (flüchtigen) Bereich der Registry.
Nein, sowas wäre ohne Adminrechte wohl nur per privilege escalation exploit machbar.
Du müsstest mit einer Adminkennung diese Datei z.b. als Dienst installieren, damit sie jemand mit niedrigen Rechten ausführen kann.
Oder du führst die Datei eben selbst unter einem anderen Nutzer aus, der Adminrechte hat.