Sicherheit: Zugriff per Admin-Passwort-Reset verhindern
Für die Sicherheit mobiler Windows-Notebooks ist Bitlocker die erste Wahl. Kombiniert man das Trusted Platform Module (TPM) mit einem Passwort oder einem Schlüssel auf einem USB-Datenträger, ist sichergestellt, dass der durch ein verlorenes oder gestohlenes Gerät verursachte Schaden nicht der Wert der Hardware übersteigt – der Festplatteninhalt jedenfalls ist für den Finder oder Dieb unbrauchbar.
Nun ist Bitlocker aber nicht immer verfügbar: Viele Notebooks laufen noch unter Windows XP, nicht alle besitzen einen TPM. Ohne Verschlüsselung ist es allerdings ein Leichtes, von CD oder USB-Stick eine Linux-Distribution zu booten, die das Dienstprogramm chntpw enthält, und damit das Administrator-Passwort zurückzusetzen. Zwei Strategien helfen, dieser Gefahr auch ohne Bitlocker wirksam zu begegnen.
EFS für sensible Daten
Sensible Daten sind auf jeden Fall mit EFS zu verschlüsseln. Mit zurückgesetztem Passwort kann man sich zwar immer noch lokal anmelden, doch per EFS verschlüsselte Dateien des entsprechenden Benutzers sind nicht mehr zugreifbar und sind auch nicht durch erweiterte Hack-Angriffe wiederherzustellen.
Schlüssel zur Benutzerdatenbank per Syskey auslagern
Normalerweise liegt der Schlüssel zur Benutzerdatenbank ebenfalls auf der Festplatte. Mit Hilfe des seit NT 4.0 SP3 zu Windows gehörenden Dienstprogrammes Syskey kann man das ändern und den Schlüssel entweder auf eine Floppy-Disk auslagern oder per Passwort-Eingabe beim Systemstart anfordern. Floppies dürften kaum noch irgendwo vorhanden sein, die Umstellung auf Passworteingabe funktioniert aber nach wie vor. In Syskey klickt man dazu auf die Schaltfläche „Update“ und stellt den Startschlüssel auf Passwort-Eingabe um.
Der Schlüssel zur Benutzerdatenbank wird daraufhin bei jedem Start aus dem eingegebenen Passwort generiert, ansonsten komplett aus dem System entfernt. Auch wenn man nun Administrator- oder Benutzerkennwörter per chntpw zurücksetzt, kann man sich trotzdem nicht lokal anmelden, da der Syskey-Prompt einen potentiellen Angreifer erst gar nicht so weit vorlässt.
Ein fehlender Syskey-Schlüssel ist nicht wiederherstellbar, die Benutzerdatenbank damit wertlos – allerdings auch ein Grund dafür, warum das Tool bei Administratoren als Absicherung für mobile Geräte normaler Mitarbeiter eher unpopulär ist.
Ähnliche Beiträge
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- SpecOps Password Policy: Sichere Passwörter für das Active Directory
- Microsoft 365: Kennwort für Benutzer soll nicht ablaufen
- Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren
- SMB mit der Windows Firewall gegen Angriffe absichern
Keine Kommentare