WinXP Administrator Account/Passwort sichern |
||
---|---|---|
#0
| ||
21.05.2005, 15:46
Member
Beiträge: 12 |
||
|
||
21.05.2005, 18:01
Member
Beiträge: 427 |
#2
Da der User hardwaremäßig Zugang zu dem PC hat, kann er auch die (verschlüsselte) Paßwortdatei auslesen. Und wenn die Paßwörter nicht zu lang und vielleicht sogar in Form von Namen oder dgl. vorliegen schafft er es mit entsprechender Software auch diese in vertretbarer Zeit zu entschlüsseln. Hast du aber ein vernünftiges Paßwort (> 12 Zeichen, Mix aus Klein- Großbuchstaben, Ziffern u. Sonderzeichen) kann das Entschlüsseln bis zum Tag des jüngsten Gerichts dauern .
Ich frag mich nur wieso jemand, dem du solch boshaftes Tun unterstellst, Zugang zu deinem Rechner hat?? __________ Gruß BugFix |
|
|
||
22.05.2005, 00:17
Member
Themenstarter Beiträge: 12 |
#3
Das ist ein GemeinschaftsPc. Einige meinen damit könnte man alles machen, andere wollen ihn halt nur zum Arbeiten nutzen und da soll er Virenfrei sein! Das die das Pw knacken (zugegeben ein "weiches" hab ich schon erlebt)
Gruß ste |
|
|
||
22.05.2005, 12:43
Member
Beiträge: 427 |
#4
Bei dieser miesen Konstellation kann ich dir nur eines wärmstens empfehlen: Wechselplattenlaufwerke. Dann hat jeder das was er will und ist auch für den Mist den er verzapft selbst verantwortlich.
__________ Gruß BugFix |
|
|
||
22.05.2005, 14:04
Member
Themenstarter Beiträge: 12 |
#5
Wechselfestplatten geht leider nicht, das ist zu teuer - wir sind froh überhaupt einen Pc zu haben! Wir sind doch Studenten!
Gibt es denn keinen Weg das Adminpasswort vernünftig zu sichern? Wenn ich die Festplatte verschlüssel hilft das ja auch nix! Ich müßte den Usern doch irgendwie verbieten können auf die Regestry zu zu greifen, bzw sie zu kopieren. Gibt es da keinen Weg? Mal eine Frage an die Experten: Hilft es dem User den Zugriff auf das Verzeichnis c:windows\system\config zu verbieten, denn dort liegt ja offenbar die "Sam"-Datei, oder funktioniert dann das ganze System nicht mehr ??? Ich würde das dann auf einer NTFS Platte mittels der Windows-Zugriffsrechte machen! Bitte helft der hellen Seite der Macht im Kampf gegen die Dunkle! ;-) Dieser Beitrag wurde am 22.05.2005 um 14:18 Uhr von ste editiert.
|
|
|
||
22.05.2005, 14:35
Member
Beiträge: 3306 |
#6
Du versuchst soziale Probleme mit Technik zu erschlagen, das wird nicht funktionieren.
__________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
22.05.2005, 14:44
Member
Themenstarter Beiträge: 12 |
#7
... ich finde es ja nett, dass ihr mir helfen wollt, aber ich wollte hier keine soziale Beratung, sondern hatte gedacht, dass mir jemand bei diesem technischen Problem helfen kann. oder ist das unmöglich?
das social engenieering mach ich schon! Aber man erreicht ja eben doch nie alle! Also wie kann ich einen Pc an dem User arbeiten dürfen dagegen sichern, dass die User Adminrechte bekommen! Ich weiß, dass es geht. An Schulen gibt es doch auch ausreichend gesicherte Pcs! |
|
|
||
22.05.2005, 14:55
Member
Beiträge: 3306 |
#8
Das ist unmöglich du wirst nie alle Lücken schließen können. Die Schul-PCs sind nur deshalb "sicher", weil man nicht ohne weitere den PC aufschrauben kann und weil teure Hard- und Software zum Einsatz kommt die du vergessen kannst, wenn schon eine Wechselfestplatte das Budget sprengt.
__________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
24.05.2005, 23:55
Member
Beiträge: 4730 |
#9
Zitat asdrubael posteteOh, Du kennst offensichtlich keine Schul-PCs. Was Du beschreibst, ist dann wohl eher die Ausnahme. Das, was ich bisher kennengelernt habe, entspricht nicht mal dem Sicherheitsstandard, den ich an meinem Heim-PC habe Es gibt einige Programme, mit denen man einstellen kann, welche Benutzer welche Rechte haben dürfen. Tweak-XP könnte das beispielsweise beinhalten. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.05.2005, 08:03
Member
Beiträge: 669 |
#10
Schul-PCs sind aber schonmal generell Domänen-PCs mit Gruppenrichtlinien, das hat man Normalerweise nicht zu Hause. Da ich für ein Schulnetzwerk mitverantwortlich bin, hab ich da zumindest für Baden-Württemberg einen Einblick in die fest definierten Standards die hier an jeder Schule gelten. Ein weiterer wichtiger Fakt ist, das die Schüler keinen uneingeschränkten Zugriff auf die Kisten haben ... nur wenn auch Lehrer anwesend sind dürfen die an die Rechner, da kannst du nicht mal eben so deine ERD-Commander CD auspacken und reinschieben (nachdem man den BIOS-Schutz ausgehebelt hat etc), sowas wird bemerkt.
Natürlich gibt es Mittel und Wege den Rechner zu sichern, aber sobald jemand ungestört lokalen Zugriff auf einen Rechner hat, ist es prinzipiell möglich beinahe jede Sperre auszuhebeln. Ein wichtiges Kriterium dabei ist jedoch die Kompetenz und Aufwandsbereitschaft, die der potentielle "Einbrecher" (sag ich jetzt einmal so) hat. Des weiteren stimme ich asdrubael zu, am heimischen PC sollte man in der Lage sein, solche Probleme in Ruhe zu besprechen um zu einer WG-tauglichen Lösung zu kommen. Leute denen man nicht zutraut das sie mit dem Rechner vernünftig umgehen, sollte man keinen Zugriff darauf geben. Unter Freunden ist eine Vertrauensbasis ein muss! (Oder teilst du deinen wichtigen Heim/Arbeitsrechner mit Wildfremden?) Allerdings hat auch blueslayah Recht, es gibt Programme mit denen man das ein oder andere Einstellen kann, um zu verhindern das Unsinn gemacht wird. Voraussetzung hierfür ist, dass die Leute vor denen man sich Schützen möchte jetzt nicht die "1337-Cracker" sind, sondern mehr der 08/15-Benutzer, der vielleicht hin und wieder am System rumspielt. Wie ste in seinem ersten Post schon schrieb, ist ein BIOS-Passwort mit abgeänderter Boot-Reihenfolge dazu Pflicht. Jedoch wird auch hier schon wieder Vorausgesetzt, das die Freunde nicht einfach den Rechner öffnen und die CMOS-Batterie entfernen bzw. ein Master-Passwort für's BIOS benutzen. Denn können sie erst einmal von CD booten, ist jeder Windows-Schutz für die Katz! Eine relativ simple Lösung die ich hier noch Vorschlagen würde: System sauber auf einer kleinen Partition installieren, mit allen zum Arbeiten benötigen Programmen. Backup ziehen (Norton Ghost etc. 40-50 EUR, aber da gibt es vielleicht auch ne Freeware-Lösung, muss man sich umschaun). Dokumente und Semesterarbeiten auf Wechseldatenträgern wie USB-Sticks sichern (10 EUR), die externe Sicherung ist so oder so Pflicht, das sind also auch keine zusätzlichen Kosten. Was schätzt ihr wieviele Studenten zu uns in die Firma kommen "Ahhh, meine Festplatte ist kaputt, da ist meine Semesterarbeit drauf un die muss ich in 5 Tagen abgeben, Hilfe!". Und immer, wenn dann was am System nicht stimmt einfach das Backup zurück holen und das frische System wieder herstellen. Dauert nur ein paar Minuten so ein Backup wieder aufzuspielen (bei einer kleinen Systempartition heißt das! ~10GB). __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 25.05.2005 um 08:10 Uhr von Malkesh editiert.
|
|
|
||
27.05.2005, 19:58
Member
Themenstarter Beiträge: 12 |
#11
Also um das Rästel mal zu lösen: Es ist der härteste Einsatz eines Pcs den ich mir vorstellen kann (aus der Sicherheitsperspektive) - es ist ein Fachschaftsrechner, der alleine in einem Raum steht, in den eine Gruppe von etwa 15 Leuten zutritt haben, wo aber in unbeaufsichtigten Momenten auch mal ganz fremde rein schleichen.
Der Pc ist gegen wegtragen im Boden verdübelt und mit 2 Muttern gekontert... ;-) soviel zum Hardwareschutz (das Gehäuse wird vielleicht auch bald abschließbar! Und da das eine besondere Herausforderung ist diesen Pc mal "sicher" zu machen dachte ich ich hol mir bei den Pros hier Schützenhilfe... die Idee mit dem Image ist gut! Das werde ich demnächst machen! Was ich suche ist eine Art To-do-liste um möglichst viele Einfalltore (windows ist da wie eine Scheune) abzudichten! Das Problem ist, dass es ja vielleicht auch noch 1-2 Menschen gibt die sinnvolles damit anstellen und denen will ich möglichst viel Komfort Internet, email, Icq, text und Bildbearbeitung etc. ermöglichen... ... also verstanden was ich suche??? Die Tricks die ich schon kenne hab ich ja oben schon mal aufgelistet! Kann man die Sam noch auslesen kopieren, wenn ich die Platte verschlüssel? wie verbiete ich dem User den Zugriff darauf ?? |
|
|
||
27.05.2005, 22:12
Member
Beiträge: 3306 |
#12
Zitat Kann man die Sam noch auslesen kopieren, wenn ich die Platte verschlüssel?Du kannst die Systemdateien nicht verschlüsseln, wenn Windows läuft. Genausowenig kannst du die SAM verschlüsseln oder den Zugriff darauf verweigern, weil immer wenn du das könntest wird sie benutzt. Zu Pwdump hab ich hier ein paar Anmerkungen gemacht: http://board.protecus.de/t12708.htm __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 27.05.2005 um 22:41 Uhr von asdrubael editiert.
|
|
|
||
28.05.2005, 14:18
Member
Themenstarter Beiträge: 12 |
#13
Hallo! Guckst du!! Ich will ja nicht dem System den Zugriff verweigern, sondern dem USER !!!!!
Was ich noch mal sagen wollte: Ich finde es ja toll wenn einige hier anderen Usern helfen, aber was mich total anko*** sind die Moralappostel der Art "Wir-sind-kein- Hackerboard" und "Wenn-du-soziale-Probleme-hast-dann-regel-das-nicht-mit-Technik!" Sorry, aber bei diesem Gesülze geht mir immer der Hut hoch. Wenn man keine Antwort/Ahnung hat die das Problem lösen könnte, dann behaltet den Rest doch bitte für euch! Das ist jetzt nicht nur auf diesen Thread bezogen! Redefreiheit heißt, dass man seine Meinung sagen DARF, man aber nicht MUSS! Also erspart es mir und den anderen Usern. Ich wiederhol noch mal meine Frage: - Kennt jemand eine to-do liste die man abarbeiten kann um ein WinXP Pro System abzusichern so gut es geht, so dass USER keine Administratorrechte erhalten! - Kann linux auf von Windows verschlüsselte Platten zugreifen ??? |
|
|
||
28.05.2005, 14:49
Member
Beiträge: 3306 |
#14
Zitat Mit EFS ist es nicht möglich, komplette Festplatten zu verschlüsseln. Anders als bei Krypto-Dateisystemen, die es für Linux gibt, können Sie mit EFS keine Systemdateien chiffrieren. Im Klartext: Das Windows-Verzeichnis lässt sich nicht verschlüsseln, und auch beim Boot-Loader funktioniert EFS nicht.Somit kann man unter dem laufenden Windows und mit einem gebooteten OS den Admin-Schutz knacken. Wenn von CD booten ausgeschlossen ist kannst du dich jetzt dran machen Tools unbrauchbar zu machen, die unter laufendem Windows Passwörter auslesen. Dazu hab ich ja oben schon was geschrieben. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
28.05.2005, 15:39
Member
Themenstarter Beiträge: 12 |
#15
Microsoft sagt dazu:
Das von NTFS zur Verfügung gestellte verschlüsselnde Dateisystem (Encrypting File System, EFS) bietet eine Verschlüsselung von ausgewählten Ordnern und Dateien auf Ihrer Festplatte. Verschlüsseln Sie immer ganze Ordner und keine Dateien. So werden temporäre Dateien immer mit verschlüsselt. Sie müssen nicht alles auf Ihrer Festplatte verschlüsseln. Viele Menschen benutzen den "Eigene Dateien"-Ordner, um Ihre Daten abzulegen. Bei der Verwendung des verschlüsselnden Dateisystems empfiehlt es sich auch diesen Ordner zu verschlüsseln. Quelle: http://www.microsoft.com/germany/sicherheit/5min/5min-205.mspx Also für mich klingt das, als ob doch Systemdateien verschlüsselt werden. |
|
|
||
ich suche einen Weg das Administrator Passwort so zu sichern, dass es NICHT mehr auslesbar/ resetbar ist für einen User mit eingeschränkten Rechten. Dazu suche ich geeignete Software / Anleitungen.
Hier ein paar Tricks die ich schon kenne!
- regedit ausschalten für User um Syskey zu schützen
- Bootreihenfolge auf nur festplatte setzen (Biospw eingeben)
- Softwareinstallation verbieten
- .... alle Ms Updates ...
- msconfig ausschalten
mein Problem: wie schütze ich die Dateien, aus denen man das PW auslesen kann!
Das System ist ein älterer PC mit XP Pro und allen Updates drauf!