Microsoft

Die Jänner 2019 Updates KB4480970 und KB4480960 für Windows 7 und Windows Server 2008 R2 verursachen Probleme im Zusammenhang mit dem Zugriff auf Fileshares. Wenn die og. Updates auf einem Host installiert sind welcher Netzwerkfreigaben (Shares) anbietet können Benutzer, die lokale Adminberechtigungen auf eben diesem Host haben nicht mehr remote zugreifen.

Benutzer „answer“ hat das Problem im administrator.de Forum analysiert und Lösungsvorschläge gepostet.

Ursache

Nach der Installation der Updates schlagen SMB2-Verbindungen der betroffenen Nutzer mit der Meldung „Invalid Handle“ fehl. Das dürfte mit dem geänderten Handling von Remote UAC-Tokens zu tun haben.

Bei näherer Betrachtung hat Microsoft mit dem Patch die Sicherheit des Systems erhöht, da nun dieselben Remote UAC-Regeln wie bei administrativen Shares (zB. admin$) gelten!

Lösung bzw. Workaround

Methode 1: Mit Benutzern ohne Adminrechte arbeiten

Die auch von Microsoft empfohlene Methode ist, zu evaluieren, weshalb Benutzer mit lokalen Adminberechtigungen auf Freigaben des Hosts zugreifen müssen.

Methode 2: Updates deinstallieren

Nach dem Deinstallieren der Updates und einem Reboot verschwindet das Problem natürlich auch.

Methode 3: UAC Token-Filter Policy anpassen

VORSICHT, dieser Workaround schwächt die Sicherheit des Systems!

Die Remote-UAC-Prüfung lässt sich via Registry-Key steuern. Wird der Key „LocalAccountTokenFilterPolicy“ auf „1“ gesetzt, dann erhalten ALLE Benutzer mit lokalen Administratorrechten auch remote einen Administrator-Token. Das öffnet das System jedoch für potentielle Pass-the-Hash-Attacken!

Ist der Zugriff auf die Shares durch lokale Administratoren unbedingt nötig, so kann der RegKey per Batch, PowerShell oder GPO gesetzt werden:

Set-ItemProperty –Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –Name  LocalAccountTokenFilterPolicy –Value 1 –Type DWord
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Quellen: