UAC Bypassing

donderdag 12 juli 2018 09:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Mijn vraag:

Sinds kort ben ik op zoek naar een manier om UAC te omzeilen voor het installeren van software (.exe).
Even voor de beeldvorming:

Momenteel zijn er gebruikers die inloggen op een account waar ze lokaal administrator zijn. Graag wil ik hier vanwege security redenen van af. Echter komt het voor dat gebruikers updates moeten installeren voor een softwarepakket. Graag wil ik dus kijken of ik voor bepaalde software de UAC kan uitschakelen. Nu is me dit gelukt door de onderstaande handelingen toe te passen, echter werkt dit omslachtig en lijkt me dit niet handig om in een bedrijf te injecteren.

Is er een manier (die security technisch acceptabel is voor een bedrijf waar dit hoog in het vaandel staat) om de windows UAC op een gangbare manier uit te schakelen voor deze toepassingen?

Relevante software en hardware die ik gebruik:

Windows 10

Wat ik al gevonden of geprobeerd heb:

TaskScheduler (helaas alleen lokaal uit te voeren)
GPO (Script proberen te laten uitvoeren die verwijst naar de installer (GPO ondersteund alleen installatie van .MSI), werkt omslachtig)

maandag 16 juli 2018 15:41

Verwijderd

Applicaties behoor je niet handmatig te installeren en configureren. Automatiseer dat met b.v. GPO (1 GPO per applicatie), MSI, startup-/shutdown-scripts, etc. GPO's kan je leuk aan OU's hangen. Om meerdere GPO's te mergen gebruik je 'Loopback processing'.

offtopic:
Oh, paar dagen oud topic. Meer cafeine!

[ Voor 11% gewijzigd door Verwijderd op 16-07-2018 15:42 ]

donderdag 12 juli 2018 09:38

Acties:

0 Henk 'm!

ImNotnoa

Verwijderd schreef op donderdag 12 juli 2018 @ 09:35:
Mijn vraag:

Sinds kort ben ik op zoek naar een manier om UAC te omzeilen voor het installeren van software (.exe).
Even voor de beeldvorming:

Momenteel zijn er gebruikers die inloggen op een account waar ze lokaal administrator zijn. Graag wil ik hier vanwege security redenen van af. Echter komt het voor dat gebruikers updates moeten installeren voor een softwarepakket. Graag wil ik dus kijken of ik voor bepaalde software de UAC kan uitschakelen. Nu is me dit gelukt door de onderstaande handelingen toe te passen, echter werkt dit omslachtig en lijkt me dit niet handig om in een bedrijf te injecteren.

Is er een manier (die security technisch acceptabel is voor een bedrijf waar dit hoog in het vaandel staat) om de windows UAC op een gangbare manier uit te schakelen voor deze toepassingen?

Relevante software en hardware die ik gebruik:

Windows 10

Wat ik al gevonden of geprobeerd heb:

TaskScheduler (helaas alleen lokaal uit te voeren)
GPO (Script proberen te laten uitvoeren die verwijst naar de installer (GPO ondersteund alleen installatie van .MSI), werkt omslachtig)

Ik heb zoiets wel eens heel beunhaas-pro opgelost door de exe via een .bat file via runas (administrator) aan te roepen, je voert dan de eerste keer het admin wachtwoord in (let op, deze is plain text als je hem invoert) en daarna wordt de .exe elke keer als je de .bat opent als admin uitgevoerd

Try SCE to Aux

donderdag 12 juli 2018 09:40

Acties:

+3 Henk 'm!

nescafe

Verwijderd schreef op donderdag 12 juli 2018 @ 09:35:
Is er een manier (die security technisch acceptabel is voor een bedrijf waar dit hoog in het vaandel staat) om de windows UAC op een gangbare manier uit te schakelen voor deze toepassingen?

Volgens mij is er dan maar 1 oplossing (zowel beleidsmatig als technisch): geen automatische updates door eindgebruikers laten installeren maar deze op een andere manier (beheerd & gecontroleerd) uitrollen.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 12 juli 2018 09:40

Acties:

0 Henk 'm!

HKLM_

Heb je hier iets aan: https://www.experts-excha...y-on-their-computers.html

Cloud ☁️

donderdag 12 juli 2018 09:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Imnoa schreef op donderdag 12 juli 2018 @ 09:38:
[...]

Ik heb zoiets wel eens heel beunhaas-pro opgelost door de exe via een .bat file via runas (administrator) aan te roepen, je voert dan de eerste keer het admin wachtwoord in (let op, deze is plain text als je hem invoert) en daarna wordt de .exe elke keer als je de .bat opent als admin uitgevoerd

Heb ik inderdaad ook geprobeerd. Als je deze bat instelt dat hij draait zodra de pc opstart kan je in principe de runas weglaten. Echter kreeg ik flinke problemen met het softwarepakket en de locatie hiervan.

donderdag 12 juli 2018 09:45

Acties:

0 Henk 'm!

ImNotnoa

Verwijderd schreef op donderdag 12 juli 2018 @ 09:42:
[...]

Heb ik inderdaad ook geprobeerd. Als je deze bat instelt dat hij draait zodra de pc opstart kan je in principe de runas weglaten. Echter kreeg ik flinke problemen met het softwarepakket en de locatie hiervan.

Gaat het alleen om updates van software? Kun je deze dan niet via het GPO assignen/deployen ?

Dit wordt automagisch met adminrechten gedaan

Ik moet leren lezen, nevermind

[ Voor 5% gewijzigd door ImNotnoa op 12-07-2018 09:45 ]

Try SCE to Aux

donderdag 12 juli 2018 09:53

Acties:

0 Henk 'm!

hellknight

Medieval Nerd

afhankelijk van beschikbare budget, etc, zijn hier wel oplossingen voor.
Zo is er Privilege Manager van Thycotic, welke middels een agent op de endpoints specifieke applicaties elevate, ipv gebruikers elevate. Hierbij kan ook nog worden ingesteld dat setup van een bepaalde applicatie uitgevoerd mag worden als dezezihc op locatie A (bijv. centrale software share binnen bedrijf) bevind, en niet als deze van locatie B komt (bijv. C:\temp).
Zo zullen er nog wel een aantal producten zijn met vergelijkbare functie.

Your lack of planning is not my emergency

donderdag 12 juli 2018 10:04

Acties:

0 Henk 'm!

cyberbetica

DevOpsen? CloudNation.nl

In de bedrijfswereld is het gewoon om automatische updates uit te schakelen en vervolgens via een software deploymentoplossing de update naar de computer/gebruiker te pushen. Als je budget/licenties hebt is SCCM de standaard.

Alternatief kun je de update via GPO pushen, vaak werkt het installatiebestand met de juiste parameters prima (Dus bijv. setup.exe /q)

donderdag 12 juli 2018 10:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

cyberbetica schreef op donderdag 12 juli 2018 @ 10:04:
In de bedrijfswereld is het gewoon om automatische updates uit te schakelen en vervolgens via een software deploymentoplossing de update naar de computer/gebruiker te pushen. Als je budget/licenties hebt is SCCM de standaard.

Alternatief kun je de update via GPO pushen, vaak werkt het installatiebestand met de juiste parameters prima (Dus bijv. setup.exe /q)

Het lijkt me een beetje onnodig om een software licentie aan te schaffen om alleen een bepaald onderdeel te gebruiken.

donderdag 12 juli 2018 10:55

Acties:

0 Henk 'm!

cyberbetica

DevOpsen? CloudNation.nl

Verwijderd schreef op donderdag 12 juli 2018 @ 10:50:
[...]

Het lijkt me een beetje onnodig om een software licentie aan te schaffen om alleen een bepaald onderdeel te gebruiken.

Dat klopt natuurlijk, geen idee hoe groot je werkgever is, dus kan ook niet bepalen of het uberhaupt interessant is. Misschien heb je nog wel veel meer uitdagingen waar SCCM bij kan helpen, maar als het een bedrijfje van 50 man betreft is een product aanschaffen waarschijnlijk niet de moeite waard.

GPO Software deployment kan het ook prima voor je doen natuurlijk. Maar in plaats van UAC uit te gaan klussen kun je beter het updateproces anders doen (dus door de gebruiker de update niet zelf uit te laten voeren)

maandag 16 juli 2018 15:41

Acties:

Beste antwoord ✓
+1 Henk 'm!

Verwijderd

Applicaties behoor je niet handmatig te installeren en configureren. Automatiseer dat met b.v. GPO (1 GPO per applicatie), MSI, startup-/shutdown-scripts, etc. GPO's kan je leuk aan OU's hangen. Om meerdere GPO's te mergen gebruik je 'Loopback processing'.

offtopic:
Oh, paar dagen oud topic. Meer cafeine!

[ Voor 11% gewijzigd door Verwijderd op 16-07-2018 15:42 ]

Vraag

Beste antwoord (via Verwijderd op 03-08-2018 08:55)

Alle reacties