Vollständige Windows-Details ohne Admin-Konten
Dieser Artikel baut auf dem vorherigen Blogbeitrag Windows Geräte ohne Administrative Rechte inventarisieren auf. Sie fragen sich vielleicht, was neu oder anders ist und warum es sich lohnt, weiterzulesen? Lassen Sie uns herausfinden, wie man vollständige Windows-Details ohne Admin-Konten erhält.
Vollständige Windows-Details ohne Admin-Konten
Es gibt interessamte Verbesserungen am JDisc Discovery Zero-Footprint Agent, die erwähnenswert sind, darunter:
- Einheitliche Benennung der ausführbaren Dateien – keine zusätzlichen Namensbestandteile mehr
- Automatische Zuweisung der erforderlichen Berechtigungen/Privilegien
- Installation oder Bereitstellung des Agents durch Anmeldung als Benutzer
Wir hoffen, dass einige dieser Verbesserungen Ihr Interesse wecken oder Probleme lösen, denen Sie in der Vergangenheit begegnet sind.
Einheitliche Benennung ausführbarer Dateien
Bisher wurden die ausführbaren Dateien rsysexecagent32.exe und rsysexecagent64.exe mit zusätzlichen Namensbestandteilen versehen – einer zufällig generierten 32-stelligen Hexadezimalzahl –, um den Installations- und Aktualisierungsprozess des Agents auf entfernten Windows-Computern zu optimieren. Obwohl dieser Ansatz für den JDisc Discovery Programmcode vorteilhaft war, führte das zu Herausforderungen bei der Konfiguration von Filterdefinitionen in Antiviren- und Intrusion-Detection-Software.
Der Installations- und Aktualisierungsprozess erstellt nun ein dediziertes Unterverzeichnis (eine zufällig generierte 32-stellige Hexadezimalzahl) auf entfernten Windows-Computern, um die JDisc Discovery Zero-Footprint Agent-Ausführungsdateien (rsysexecagent32.exe und rsysexecagent64.exe) zu speichern. Dies vereinfacht die Konfiguration von Filterdefinitionen in Antiviren- und Intrusion-Detection-Software.
Automatische Zuweisung der erforderlichen Berechtigungen
Benutzer oder Benutzergruppen, denen das Recht eingeräumt wird, Programme mit erhöhten Berechtigungen auszuführen, müssen auch Zugriff auf die Windows Computer im Netzwerk haben.
"Access this computer from the network" (SeNetworkLogonRight)
Wenn Sie sich dafür entscheiden, den Agenten unter einem anderen Benutzerkonto als dem standardmäßigen lokalen Systembenutzer auszuführen, werden diese Berechtigungen dem Benutzer (Anmelden als Benutzer) zugewiesen, der den JDisc Discovery Zero-Footprint Agent-Dienst betreibt.
"Log on as service" (SeServiceLogonRight) "Act as part of the operating system" (SeTcbPrivilege) "Replace a process-level token" (SeAssignPrimaryTokenPrivilege) "Impersonate a client after authentication" (SeImpersonatePrivilege)
Sie fragen sich vielleicht, wie Sie die Einstellung „Anmelden als Benutzer“ konfigurieren, wenn Sie den JDisc Discovery Zero-Footprint Agent Dienst installieren oder einsetzen.
Installieren oder Bereitstellen des Agenten mit Anmeldung als Benutzer
Standardmäßig läuft der JDisc Discovery Zero Footprint Agent Dienst als lokaler Systembenutzer. Diese Einstellung ist zwar bequem, da der lokale Systembenutzer immer verfügbar ist, aber sie gewährt dem Dienst auch unnötige Privilegien auf dem lokalen Computer. Hier kommt die Funktion „Als Benutzer anmelden“ zum Tragen, die es dem Agenten ermöglicht, mit weniger Rechten als dem lokalen System Konto zu laufen. Wenn Sie rsysexecagent32.exe oder rsysexecagent64.exe mit der Option -help ausführen, werden alle verfügbaren Befehlszeilenoptionen angezeigt.
Die Optionen -LogonAsUser und -LogonAsUserPassword sind neu und ermöglichen die Konfiguration des JDisc Discovery Zero-Footprint Agent-Dienstes, um unter einem anderen Benutzerkonto als dem des lokalen Systems zu laufen. Verwenden Sie die Unteroption -LogonAsUser für die Befehle -install und -deploy, um den JDisc Discovery Zero-Footprint Agent-Dienst so einzurichten, dass er unter einem anderen Benutzer als dem Systemkonto ausgeführt wird. Wenn Sie ein Group Managed Service Account (gMSA) für domänenverbundene Computer auswählen, ist kein Passwort erforderlich. Sie können die Unteroption -LogonAsUserPassword weglassen, da Windows und Active Directory das Passwort der gMSAs.
Bitte beachten Sie: Wenn Sie bei der Installation des Dienstes einen Standardbenutzer und dessen Passwort (nicht gMSA) eingeben, wird der Installationsprozess versuchen, sich mit den angegebenen Anmeldedaten anzumelden, um deren Gültigkeit zu überprüfen!
Lassen Sie uns nun ein Beispiel anschauen, bei dem der JDisc Discovery Zero-Footprint Agent-Dienst unter Ausnutzung fast aller verfügbaren Sicherheitsoptionen eingesetzt wird.
Der Installationsprozess (Deployment) gewährt dem Benutzer („JDISC-INTERNAL\KannNix“) erhöhte Berechtigungen und dem Benutzer („JDISC-INTERNAL\msa-Discover$“) automatisch die erforderlichen Rechte, fügt aber auch das Konto „Logon As User“ („JDISC-INTERNAL\msa-Discover$“) zur lokalen Administratorengruppe hinzu, falls es noch nicht Mitglied ist.
Nebenbei bemerkt, wenn Sie das Installationsverzeichnis des JDisc Discovery Zero-Footprint Agent im obigen Screenshot anschauen, werden Sie die Änderungen in der Dateibenennung und dem Installationsverzeichnis bemerken.
Wenn Sie detailliertere Informationen suchen, finden Sie eine umfassende Übersicht über den JDisc Discovery Zero-Footprint Agent im JDisc Discovery Security Guide.
Ich hoffe, dass Sie die neuen Sicherheitsfunktionen und Verbesserungen des JDisc Discovery Zero-Footprint Agent zu schätzen wissen. Wenn Sie Vorschläge oder Wünsche haben oder Unterstützung benötigen, zögern Sie nicht, uns zu kontaktieren. Das JDisc Team ist immer für Sie da!
Viele Grüße
Thomas
