{"id":815,"date":"2024-07-02T13:26:48","date_gmt":"2024-07-02T11:26:48","guid":{"rendered":"https:\/\/www.tippex.net\/?p=815"},"modified":"2024-07-08T08:59:09","modified_gmt":"2024-07-08T06:59:09","slug":"wmi-einem-ad-user-zugriff-auf-wmi-gestatten","status":"publish","type":"post","link":"https:\/\/www.tippex.net\/?p=815","title":{"rendered":"WMI: Einem AD User Zugriff auf WMI gestatten"},"content":{"rendered":"\n

F\u00fcr mein neues Assetmanagement Tool ben\u00f6tige ich einen User, der von diesem Tool genutzt wird, um via WMI Abfragen auf den Clients durchzuf\u00fchren. Aus Sicherheitsgr\u00fcnden wird daf\u00fcr ein Service Account im AD angelegt. Dieser bekommt dann die WMI Rechte „Remote Access“ und „ReadSecurity“. Lt. Hersteller des Tools soll dies ausreichen. Da ich mich noch am Anfang der Evaluierung befinde, kann ich an dieser Stelle noch nicht berichte, ob es am Ende auch genau so funktioniert. In dieser Anleitung geht es aber auch erstmal nur darum, den Grundstein zu legen.<\/p>\n\n\n\n

WMI AD User anlegen:<\/strong><\/p>\n\n\n\n

Ich habe f\u00fcr diesen User ein sehr komplexes Kennwort mit einer l\u00e4nge von 30 Zeichen gew\u00e4hlt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Herunterladen des Powershellskripts<\/strong><\/p>\n\n\n\n

Wir ben\u00f6tigen ein Powershellskript, welches sp\u00e4ter die Rechte\u00e4nderung am WMI vornimmt. Dieses bekommen wir auf Github<\/a><\/p>\n\n\n\n

Dieses Skript wird via GPO auf die Clientcomputer verteilt, die sp\u00e4ter abgefragt werden sollen<\/p>\n\n\n\n

<\/p>\n\n\n\n

Erstellen des GPO<\/strong><\/p>\n\n\n\n

Das GPO ist in 3 Aufgaben unterteilt. Die erste Aufgabe verteilt obiges Powershell Skript nach „c:\\windows\\temp“. Im 2. Teil wird eine geplante Aufgabe dazu genutzt, dieses Skript mit den erforderlichen Parametern aufzurufen. Der 3. Teil innerhalb des GPO konfiguriert die sog. „Eingeschr\u00e4nkten Gruppen“ f\u00fcr die Remoteverwaltungsbenutzer. Dieser Teil schr\u00e4nkt die Mitglieder der lokalen Gruppe “ Remoteverwaltungsbenutzer“ein, sodass nur der von uns erzeugte WMI User Mitglied ist und demnach auch nur er Abfragen an die WMI Schnitstelle stellen darf.<\/p>\n\n\n\n

Das Skript kopieren wir an einen f\u00fcr die Clients zug\u00e4nglichen Ort im Netzwerk. Ich habe es direkt im Sysvol abgelegt.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wie im Screenshot zu sehen wird dieses Skript vom Sysvol auf den Clientcomputer nach „c:\\windows\\temp“ kopiert<\/p>\n\n\n\n

Innerhalb der geplanten Aufgabe unter „Allgemein“ nehmen wir folgende Angaben vor:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Im Tab „Trigger“ wird ein neuer Trigger hinzugef\u00fcgt:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Den Trigger k\u00f6nnt ihr nach euren Bed\u00fcrfnissen anpassen.<\/p>\n\n\n\n

Im Tab „Aktionen“ werden 4 Aktionen in folgender Reihenfolge erstellt:<\/p>\n\n\n\n

Aktion1:

Argument = -file C:\\windows\\temp\\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\\wmi-user – Remote WMI Access -operation Add -permissions Enable<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aktion 2:<\/p>\n\n\n\n

Argument = -file C:\\windows\\temp\\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\\wmi-user -operation Add -permissions RemoteAccess<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aktion 3:<\/p>\n\n\n\n

Argument = -file C:\\windows\\temp\\Set-WMINamespaceSecurity.ps1 -namespace root -account xx\\wmi-user -operation Add -permissions ReadSecurity<\/p>\n\n\n\n

<\/p>\n\n\n\n

Aktion 4:<\/p>\n\n\n\n

Argument = -ExecutionPolicy Bypass -command „Restart-Service winmgmt -force“<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Eingeschr\u00e4nkte Gruppe in dem GPO erstellen:<\/p>\n\n\n\n

Die gezeigten Angaben im folgenden Screenshot sollten f\u00fcr sich sprechen \ud83d\ude09<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Lokal am Client-PC sieht es dann wie folgt aus:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"

F\u00fcr mein neues Assetmanagement Tool ben\u00f6tige ich einen User, der von diesem Tool genutzt wird, um via WMI Abfragen auf den Clients durchzuf\u00fchren. Aus Sicherheitsgr\u00fcnden wird daf\u00fcr ein Service Account im AD angelegt. Dieser bekommt dann die WMI Rechte „Remote Access“ und „ReadSecurity“. Lt. Hersteller des Tools soll dies ausreichen. Da ich mich noch am […]<\/p>\n","protected":false},"author":1,"featured_media":48,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,15,6,7,5,39],"tags":[98,51,100],"class_list":["post-815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-anleitung","category-win10","category-win11","category-windows","category-windows-server","tag-gpo","tag-powershell","tag-wmi","wpbf-post"],"_links":{"self":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=815"}],"version-history":[{"count":12,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/815\/revisions"}],"predecessor-version":[{"id":846,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/815\/revisions\/846"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/media\/48"}],"wp:attachment":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}