Die Jänner 2019 Updates KB4480970 und KB4480960 für Windows 7 und Windows Server 2008 R2 verursachen Probleme im Zusammenhang mit dem Zugriff auf Fileshares. Wenn die og. Updates auf einem Host installiert sind welcher Netzwerkfreigaben (Shares) anbietet können Benutzer, die lokale Adminberechtigungen auf eben diesem Host haben nicht mehr remote zugreifen.
Benutzer “answer” hat das Problem im administrator.de Forum analysiert und Lösungsvorschläge gepostet.
Ursache
Nach der Installation der Updates schlagen SMB2-Verbindungen der betroffenen Nutzer mit der Meldung “Invalid Handle” fehl. Das dürfte mit dem geänderten Handling von Remote UAC-Tokens zu tun haben.
Bei näherer Betrachtung hat Microsoft mit dem Patch die Sicherheit des Systems erhöht, da nun dieselben Remote UAC-Regeln wie bei administrativen Shares (zB. admin$) gelten!
Lösung bzw. Workaround
Methode 1: Mit Benutzern ohne Adminrechte arbeiten
Die auch von Microsoft empfohlene Methode ist, zu evaluieren, weshalb Benutzer mit lokalen Adminberechtigungen auf Freigaben des Hosts zugreifen müssen.
Methode 2: Updates deinstallieren
Nach dem Deinstallieren der Updates und einem Reboot verschwindet das Problem natürlich auch.
Methode 3: UAC Token-Filter Policy anpassen
VORSICHT, dieser Workaround schwächt die Sicherheit des Systems!
Die Remote-UAC-Prüfung lässt sich via Registry-Key steuern. Wird der Key “LocalAccountTokenFilterPolicy” auf “1” gesetzt, dann erhalten ALLE Benutzer mit lokalen Administratorrechten auch remote einen Administrator-Token. Das öffnet das System jedoch für potentielle Pass-the-Hash-Attacken!
Ist der Zugriff auf die Shares durch lokale Administratoren unbedingt nötig, so kann der RegKey per Batch, PowerShell oder GPO gesetzt werden:
Set-ItemProperty –Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –Name LocalAccountTokenFilterPolicy –Value 1 –Type DWordreg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /fQuellen
- administrator.de – Windows 7: Zugriff auf Shares die auf Windows 7 gehostet werden nach Update 01-2019 (KB4480970 oder KB4480960) nicht mehr möglich
- Microsoft – Description of User Account Control and remote restrictions in Windows Vista
- harmj0y.net – Pass-the-Hash Is Dead: Long Live LocalAccountTokenFilterPolicy
- Microsoft – January 8, 2019—KB4480968 (Monthly Rollup) [Known Issues with this Update]