Sicherheit: Zugriff per Admin-Passwort-Reset verhindern
Für die Sicherheit mobiler Windows-Notebooks ist Bitlocker die erste Wahl. Kombiniert man das Trusted Platform Module (TPM) mit einem Passwort oder einem Schlüssel auf einem USB-Datenträger, ist sichergestellt, dass der durch ein verlorenes oder gestohlenes Gerät verursachte Schaden nicht der Wert der Hardware übersteigt – der Festplatteninhalt jedenfalls ist für den Finder oder Dieb unbrauchbar.
Nun ist Bitlocker aber nicht immer verfügbar: Viele Notebooks laufen noch unter Windows XP, nicht alle besitzen einen TPM. Ohne Verschlüsselung ist es allerdings ein Leichtes, von CD oder USB-Stick eine Linux-Distribution zu booten, die das Dienstprogramm chntpw enthält, und damit das Administrator-Passwort zurückzusetzen. Zwei Strategien helfen, dieser Gefahr auch ohne Bitlocker wirksam zu begegnen.
EFS für sensible Daten
Sensible Daten sind auf jeden Fall mit EFS zu verschlüsseln. Mit zurückgesetztem Passwort kann man sich zwar immer noch lokal anmelden, doch per EFS verschlüsselte Dateien des entsprechenden Benutzers sind nicht mehr zugreifbar und sind auch nicht durch erweiterte Hack-Angriffe wiederherzustellen.
Schlüssel zur Benutzerdatenbank per Syskey auslagern
Normalerweise liegt der Schlüssel zur Benutzerdatenbank ebenfalls auf der Festplatte. Mit Hilfe des seit NT 4.0 SP3 zu Windows gehörenden Dienstprogrammes Syskey kann man das ändern und den Schlüssel entweder auf eine Floppy-Disk auslagern oder per Passwort-Eingabe beim Systemstart anfordern. Floppies dürften kaum noch irgendwo vorhanden sein, die Umstellung auf Passworteingabe funktioniert aber nach wie vor. In Syskey klickt man dazu auf die Schaltfläche „Update“ und stellt den Startschlüssel auf Passwort-Eingabe um.
Der Schlüssel zur Benutzerdatenbank wird daraufhin bei jedem Start aus dem eingegebenen Passwort generiert, ansonsten komplett aus dem System entfernt. Auch wenn man nun Administrator- oder Benutzerkennwörter per chntpw zurücksetzt, kann man sich trotzdem nicht lokal anmelden, da der Syskey-Prompt einen potentiellen Angreifer erst gar nicht so weit vorlässt.
Ein fehlender Syskey-Schlüssel ist nicht wiederherstellbar, die Benutzerdatenbank damit wertlos – allerdings auch ein Grund dafür, warum das Tool bei Administratoren als Absicherung für mobile Geräte normaler Mitarbeiter eher unpopulär ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft veröffentlicht neue Security-Updates für Exchange
- Windows Defender schließt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf
- Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019
- Kritische Exchange-Schwachstellen: Patches für alte CUs, vorläufige Schutzmaßnahmen, Tool zum Erkennen erfolgreicher Angriffe
- Windows Server 2022: Weitere Integration mit Azure, verbesserter Container-Support, mehr Boot- und Protokollsicherheit
Weitere Links
- Technisches Webinar: Schwachstellen von Endgeräten erkennen, Patches automatisch installieren
- Technisches Webinar zu DLP: USB-Geräte sperren, URLs und Cloud-Speicher blockieren, Versand von Dokumenten per Mail verhindern
- Wie Banken und Finanzdienstleister Herausforderungen beim Outsourcing von IT-Sicherheit bewältigen
Keine Kommentare