[English]Kleiner Tipp für Administratoren, die so langsam Windows 11 in Unternehmensumgebungen einführen. In den Standardeinstellungen des Betriebssystems lassen sich mittels einer einfachen DLL die Winlogon-Anmeldeinformationen im Klartext auslesen. Die neue Gruppenrichtlinie "Enable MPR notifications" soll dies nun verhindern. Das Ganze wurde (nach 20 Jahren) endlich in Windows 11 22H2 implementiert.
Anzeige
Ein Hinweis auf Twitter
Das Ganze Thema ist etwas an mir vorbei gegangen, bis ich auf Twitter über nachfolgenden Hinweis von Grzegorz Tworek gestoßen bin. Er gibt Administratoren, die für die Windows 11 Security Baseline (Sicherheitsgrundlagen) verantwortlich sind, den Tipp, sich die Gruppenrichtlinie "Enable MPR notifications" anzusehen.
Standardmäßig sendet Windows bei der Benutzeranmeldung über Winlogon eine MPR-Benachrichtigung an das System. Von Microsoft gibt es beispielsweise diesen Support-Beitrag (ist etwas älter) dazu. Die Standardeinstellungen erlauben das Lesen von Klartext-Anmeldeinformationen von Winlogon mit einer einfachen DLL.
In den neuen Security Baselines von Windows 11 22H2 gibt es nun eine Richtlinie "Enable MPR notification for the system" unter:
Anzeige
Windows Components\Windows Logon Options
("MPR-Benachrichtigung zulassen" unter Windows Komponenten -> Windows Anmeldeoptionen)
Wird die Richtlinie "Enable MPR notification for the system" auf Disabled (Deaktiviert) gesetzt, unterbleibt das Senden der MPR-Benachrichtigung an das System durch WinLogon. Ist die Richtlinie auf Enabled gesetzt oder nicht konfiguriert, werden MPR-Benachrichtigungen übermittelt.
Einführung mit Windows 11 22H2
Die Kollegen von Bleeping Computer haben im September 2022 im Beitrag Windows 11 22H2 adds kernel exploit protection to security baseline auf die Neuerungen in der Security Baseline von Windows 11 22H2 hingewiesen (das Betriebssystem wurde dann Anfang Oktober 2022 allgemein freigegeben).
The Windows 11 22H2 security baseline also includes credential theft protection via the 'Allow Custom SSPs and APs to be loaded into LSASS,' 'Configure LSASS to run as a protected process,' and 'Enable MPR notifications for the system' to restrict the loading of custom security packages and block password disclosure to providers.
Im Oktober 2022 hatte sich Wolfgang Sommergut auf Windows Pro im Beitrag Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK mit den Gruppenrichtlinien von Windows 10 22H2 sowie einigen Unterschieden zu Windows 11 22H2 befasst. Scheinbar gibt es aber Unterschiede, denn die Kollegen von deskmodder.de haben im Beitrag hier auf die Unterschiede in den ADMX-Gruppenrichtlinien von Windows 10 22H2 und Windows 11 22H2 hingewiesen. Hintergrund: Helmut Wagensonner von Microsoft hat dazu einen Beitrag Windows 10 or Windows 11 GPO ADMX – An Update in der Techcommunity veröffentlicht.
Anzeige
Eine blöde Verständnisfrage …
Ich habe gelesen das GPO-Settings von Windows10/11 inkompatibel zueinander sind.
Wie setzt ein Administrator dann GPO-Settings für gemischte Umgebungen um?
Ich mein, man wird in einer Firma wohl kaum alle Systeme auf einmal au Windows11 Upgraden.
https://learn.microsoft.com/de-DE/troubleshoot/windows-client/group-policy/create-and-manage-central-store
Das sollte Dir einen Anhaltspunkt geben (und ja, die administrativen Vorlagen kann man parallel ablegen und separat verteilen/einsetzen).
>Wie setzt ein Administrator dann GPO-Settings für gemischte Umgebungen um?
Entweder durch Aufteilung der W10/W11 Clients in OUs und/oder durch Sicherheitsfilterung in Gruppen, wenn die W10/W11 Clients in unterschiedlichen Gruppen liegen, oder mit Hilfe von WMI-Abfragen in den GPOs.
Wenn das genannte Setting "Enable MPR …" aus einer Windows 11 ADMX an einen Windows 10 Client "gesendet" werden würde, dann wird das wohl schnurz sein, da der Client dieses nicht kennt und daher nicht verarbeiten kann.
Die Einstellung der ADMX gilt ab Windows 10 1903.
Die grundsätzliche Frage ist GPO 1×1, es gibt diverse Möglichkeiten, wie GPOs nur auf bestimmten Geräten landen (Gruppen, OUs, WMI-Filter), ABER: wenn man mit dem Central Store arbeitet und dort die derzeit aktuellen ADMX-Files für Win10 liegen hat und dann die ersten Win11 Clients in die Domäne aufnimmt und dafür Win11-spezifische GPOs (bzw. ADMX-Files die mit Win11 kommen) konfigurieren möchte, muss man eigentlich im Central Store die ADMX-Dateien aktualisieren (überschreiben).
Hier gibt es jedoch Files die inkompatibel zu Win10 sind also dort für Unruhe sorgen würden/könnten. Windows 11 ADMX-DAteien sind nicht rückwärtskompatibel zu Win10 (https://redmondmag.com/articles/2022/01/19/windows-11-admx-templates-are-not-backward-compatible.aspx).
Meine Lösung bislang dazu ist: ich belasse derzeit die ADMX-Dateien von Win10 im Store und konfiguriere von einem Win11 Client die Win11-GPOs.
Dazu benötigt es auf dem Admin-PC mit Win11 diesen Reg-key:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy]
EnableLocalStoreOverrideType= 1 REG_DWORD
Das erzwingt quasi, dass der Client beim Blick auf die GPOs seine lokalen ADMX-Files heranzieht.
Du kannst GPOs auch nur auf bestimmte OUs anwenden. Oder per Zielgruppen Adressierung.
Mit anderen Worten: Zugangsdaten können nun andersartig abgegriffen werden, so daß man die (gewollte?) Sicherheitslücke beheben konnte nach… "20+ Jahren".
Sonst wäre da weiterhin nichts passiert.
Was genau ist die angeblich 20 Jahre ungepatchte Sicherheitslücke? Wenn man sich einen Trojaner (DLL) mit Admin-Rechten installiert, kann der meine Passwörter, Tastatureingaben und Bildschirminhalte mitlesen??? Wow.
Im verlinkten Artikel von Microsoft sehe ich nur, dass eine Benachrichtigungsfunktion AUCH aufgerufen wird, wenn die Passwort-Änderung NICHT erfolgreich war – unter Windows 7 und 2008, vielleicht auch 95 und ME, WfW, 3.1,…
Für jede bekannte Sicherheitslücke gibt's eigentlich auch eine CVE. Wie lautet die?
Der Twitter-Beitrag ist leider nicht verlinkt. Da müsste ich erst suchen… das wäre zwar kein Problem, aber warum?
Hallo zusammen,
danke für den Tipp!
Nachdem wir das aktiviert haben funktioniert im Anschluss leider SSO im Citrix Workspace nicht mehr. Man muss sich bei jedem App-Start manuell anmelden.
Hat das noch jemand gehabt?
Gruß Daniel
Hallo Daniel, ein Jahr später … beim FeatureUpgrade zu 24H2 tritt dies bei uns ebenfalls auf. Was war dein Doing um das zu beheben?
@Daniel Leeser
"If you disable the Enable MPR notifications for the System policy in the Group Policy Object template, the domain pass-through (single sign-on) authentication feature isn't supported on Windows 11."