Nur ein kurzer Infosplitter mit einem Hinweis auf ein potentielles Problem. Die Remote Desktop Services können mit lokalen Administratorrechten verwendet werden, um sich per RDP-Hijacking durch ein Netzwerk zu bewegen.
Anzeige
Man kann dann auf Sitzungen anderer Benutzersitzungen zugreifen, ohne deren Passwort zu kennen. Dann lassen sich einige Dinge tun, auch wenn der betreffende Benutzer längst abgemeldet ist. Es lässt sich z.B. auf deren Online-Sitzungen zugreifen. Kevin Beaumon hat da kürzlich per Twitter darauf hingewiesen.
Once you have a local admin account you can use this technique to jump to any user session – without their password, even if their session is locked. https://t.co/sPfBPKspkF
— Kevin Beaumont (@GossiTheDog) 18. September 2018
Details zu diesem Thema und zu Abwehrmaßnahmen finden sich in diesem doublepulsar-Beitrag.
2015
Ein Problem wäre es, wenn ein Systemadminstrator nicht auf Benutzersitzungen zugreifen könnte.
Das ist in der beschriebenen Weise (Systemkonto, tscon…) auf Windows 10 v1803 nicht möglich. Die Sitzung wird zwar übernommen, aber man kommt nur auf die Anmeldemaske.
Bitte nachstellen.