WinXP Administrator Account/Passwort sichern

#1 Hallo zusammen!

ich suche einen Weg das Administrator Passwort so zu sichern, dass es NICHT mehr auslesbar/ resetbar ist für einen User mit eingeschränkten Rechten. Dazu suche ich geeignete Software / Anleitungen.

Hier ein paar Tricks die ich schon kenne!

- regedit ausschalten für User um Syskey zu schützen
- Bootreihenfolge auf nur festplatte setzen (Biospw eingeben)
- Softwareinstallation verbieten
- .... alle Ms Updates ...
- msconfig ausschalten

mein Problem: wie schütze ich die Dateien, aus denen man das PW auslesen kann!
Das System ist ein älterer PC mit XP Pro und allen Updates drauf!

#2 Da der User hardwaremäßig Zugang zu dem PC hat, kann er auch die (verschlüsselte) Paßwortdatei auslesen. Und wenn die Paßwörter nicht zu lang und vielleicht sogar in Form von Namen oder dgl. vorliegen schafft er es mit entsprechender Software auch diese in vertretbarer Zeit zu entschlüsseln. Hast du aber ein vernünftiges Paßwort (> 12 Zeichen, Mix aus Klein- Großbuchstaben, Ziffern u. Sonderzeichen) kann das Entschlüsseln bis zum Tag des jüngsten Gerichts dauern .
Ich frag mich nur wieso jemand, dem du solch boshaftes Tun unterstellst, Zugang zu deinem Rechner hat??
__________
Gruß BugFix

#3 Das ist ein GemeinschaftsPc. Einige meinen damit könnte man alles machen, andere wollen ihn halt nur zum Arbeiten nutzen und da soll er Virenfrei sein! Das die das Pw knacken (zugegeben ein "weiches" hab ich schon erlebt)

Gruß
ste

#4 Bei dieser miesen Konstellation kann ich dir nur eines wärmstens empfehlen: Wechselplattenlaufwerke. Dann hat jeder das was er will und ist auch für den Mist den er verzapft selbst verantwortlich.
__________
Gruß BugFix

#5 Wechselfestplatten geht leider nicht, das ist zu teuer - wir sind froh überhaupt einen Pc zu haben! Wir sind doch Studenten!

Gibt es denn keinen Weg das Adminpasswort vernünftig zu sichern? Wenn ich die Festplatte verschlüssel hilft das ja auch nix! Ich müßte den Usern doch irgendwie verbieten können auf die Regestry zu zu greifen, bzw sie zu kopieren. Gibt es da keinen Weg?

Mal eine Frage an die Experten: Hilft es dem User den Zugriff auf das Verzeichnis c:windows\system\config zu verbieten, denn dort liegt ja offenbar die "Sam"-Datei, oder funktioniert dann das ganze System nicht mehr ???
Ich würde das dann auf einer NTFS Platte mittels der Windows-Zugriffsrechte machen!

Bitte helft der hellen Seite der Macht im Kampf gegen die Dunkle!

;-)

#6 Du versuchst soziale Probleme mit Technik zu erschlagen, das wird nicht funktionieren.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 ... ich finde es ja nett, dass ihr mir helfen wollt, aber ich wollte hier keine soziale Beratung, sondern hatte gedacht, dass mir jemand bei diesem technischen Problem helfen kann. oder ist das unmöglich?

das social engenieering mach ich schon! Aber man erreicht ja eben doch nie alle!

Also wie kann ich einen Pc an dem User arbeiten dürfen dagegen sichern, dass die User Adminrechte bekommen!

Ich weiß, dass es geht. An Schulen gibt es doch auch ausreichend gesicherte Pcs!

#8 Das ist unmöglich du wirst nie alle Lücken schließen können. Die Schul-PCs sind nur deshalb "sicher", weil man nicht ohne weitere den PC aufschrauben kann und weil teure Hard- und Software zum Einsatz kommt die du vergessen kannst, wenn schon eine Wechselfestplatte das Budget sprengt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#9

Zitat

asdrubael postete
Die Schul-PCs sind nur deshalb "sicher", (...) weil teure Hard- und Software zum Einsatz kommt

Oh, Du kennst offensichtlich keine Schul-PCs. Was Du beschreibst, ist dann wohl eher die Ausnahme. Das, was ich bisher kennengelernt habe, entspricht nicht mal dem Sicherheitsstandard, den ich an meinem Heim-PC habe

Es gibt einige Programme, mit denen man einstellen kann, welche Benutzer welche Rechte haben dürfen. Tweak-XP könnte das beispielsweise beinhalten.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 Schul-PCs sind aber schonmal generell Domänen-PCs mit Gruppenrichtlinien, das hat man Normalerweise nicht zu Hause. Da ich für ein Schulnetzwerk mitverantwortlich bin, hab ich da zumindest für Baden-Württemberg einen Einblick in die fest definierten Standards die hier an jeder Schule gelten. Ein weiterer wichtiger Fakt ist, das die Schüler keinen uneingeschränkten Zugriff auf die Kisten haben ... nur wenn auch Lehrer anwesend sind dürfen die an die Rechner, da kannst du nicht mal eben so deine ERD-Commander CD auspacken und reinschieben (nachdem man den BIOS-Schutz ausgehebelt hat etc), sowas wird bemerkt.

Natürlich gibt es Mittel und Wege den Rechner zu sichern, aber sobald jemand ungestört lokalen Zugriff auf einen Rechner hat, ist es prinzipiell möglich beinahe jede Sperre auszuhebeln.
Ein wichtiges Kriterium dabei ist jedoch die Kompetenz und Aufwandsbereitschaft, die der potentielle "Einbrecher" (sag ich jetzt einmal so) hat.

Des weiteren stimme ich asdrubael zu, am heimischen PC sollte man in der Lage sein, solche Probleme in Ruhe zu besprechen um zu einer WG-tauglichen Lösung zu kommen. Leute denen man nicht zutraut das sie mit dem Rechner vernünftig umgehen, sollte man keinen Zugriff darauf geben. Unter Freunden ist eine Vertrauensbasis ein muss! (Oder teilst du deinen wichtigen Heim/Arbeitsrechner mit Wildfremden?)

Allerdings hat auch blueslayah Recht, es gibt Programme mit denen man das ein oder andere Einstellen kann, um zu verhindern das Unsinn gemacht wird. Voraussetzung hierfür ist, dass die Leute vor denen man sich Schützen möchte jetzt nicht die "1337-Cracker" sind, sondern mehr der 08/15-Benutzer, der vielleicht hin und wieder am System rumspielt. Wie ste in seinem ersten Post schon schrieb, ist ein BIOS-Passwort mit abgeänderter Boot-Reihenfolge dazu Pflicht. Jedoch wird auch hier schon wieder Vorausgesetzt, das die Freunde nicht einfach den Rechner öffnen und die CMOS-Batterie entfernen bzw. ein Master-Passwort für's BIOS benutzen. Denn können sie erst einmal von CD booten, ist jeder Windows-Schutz für die Katz!

Eine relativ simple Lösung die ich hier noch Vorschlagen würde:
System sauber auf einer kleinen Partition installieren, mit allen zum Arbeiten benötigen Programmen. Backup ziehen (Norton Ghost etc. 40-50 EUR, aber da gibt es vielleicht auch ne Freeware-Lösung, muss man sich umschaun). Dokumente und Semesterarbeiten auf Wechseldatenträgern wie USB-Sticks sichern (10 EUR), die externe Sicherung ist so oder so Pflicht, das sind also auch keine zusätzlichen Kosten. Was schätzt ihr wieviele Studenten zu uns in die Firma kommen "Ahhh, meine Festplatte ist kaputt, da ist meine Semesterarbeit drauf un die muss ich in 5 Tagen abgeben, Hilfe!".
Und immer, wenn dann was am System nicht stimmt einfach das Backup zurück holen und das frische System wieder herstellen. Dauert nur ein paar Minuten so ein Backup wieder aufzuspielen (bei einer kleinen Systempartition heißt das! ~10GB).
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#11 Also um das Rästel mal zu lösen: Es ist der härteste Einsatz eines Pcs den ich mir vorstellen kann (aus der Sicherheitsperspektive) - es ist ein Fachschaftsrechner, der alleine in einem Raum steht, in den eine Gruppe von etwa 15 Leuten zutritt haben, wo aber in unbeaufsichtigten Momenten auch mal ganz fremde rein schleichen.

Der Pc ist gegen wegtragen im Boden verdübelt und mit 2 Muttern gekontert... ;-) soviel zum Hardwareschutz (das Gehäuse wird vielleicht auch bald abschließbar!

Und da das eine besondere Herausforderung ist diesen Pc mal "sicher" zu machen dachte ich ich hol mir bei den Pros hier Schützenhilfe...

die Idee mit dem Image ist gut! Das werde ich demnächst machen! Was ich suche ist eine Art To-do-liste um möglichst viele Einfalltore (windows ist da wie eine Scheune) abzudichten!
Das Problem ist, dass es ja vielleicht auch noch 1-2 Menschen gibt die sinnvolles damit anstellen und denen will ich möglichst viel Komfort Internet, email, Icq, text und Bildbearbeitung etc. ermöglichen...
... also verstanden was ich suche???
Die Tricks die ich schon kenne hab ich ja oben schon mal aufgelistet!
Kann man die Sam noch auslesen kopieren, wenn ich die Platte verschlüssel?
wie verbiete ich dem User den Zugriff darauf ??

#12

Zitat

Kann man die Sam noch auslesen kopieren, wenn ich die Platte verschlüssel?
wie verbiete ich dem User den Zugriff darauf ??

Du kannst die Systemdateien nicht verschlüsseln, wenn Windows läuft. Genausowenig kannst du die SAM verschlüsseln oder den Zugriff darauf verweigern, weil immer wenn du das könntest wird sie benutzt. Zu Pwdump hab ich hier ein paar Anmerkungen gemacht:
http://board.protecus.de/t12708.htm
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#13 Hallo! Guckst du!! Ich will ja nicht dem System den Zugriff verweigern, sondern dem USER !!!!!

Was ich noch mal sagen wollte: Ich finde es ja toll wenn einige hier anderen Usern helfen, aber was mich total anko*** sind die Moralappostel der Art "Wir-sind-kein- Hackerboard" und "Wenn-du-soziale-Probleme-hast-dann-regel-das-nicht-mit-Technik!"

Sorry, aber bei diesem Gesülze geht mir immer der Hut hoch. Wenn man keine Antwort/Ahnung hat die das Problem lösen könnte, dann behaltet den Rest doch bitte für euch! Das ist jetzt nicht nur auf diesen Thread bezogen!

Redefreiheit heißt, dass man seine Meinung sagen DARF, man aber nicht MUSS! Also erspart es mir und den anderen Usern.

Ich wiederhol noch mal meine Frage:
- Kennt jemand eine to-do liste die man abarbeiten kann um ein WinXP Pro System abzusichern so gut es geht, so dass USER keine Administratorrechte erhalten!

- Kann linux auf von Windows verschlüsselte Platten zugreifen ???

#14

Zitat

Mit EFS ist es nicht möglich, komplette Festplatten zu verschlüsseln. Anders als bei Krypto-Dateisystemen, die es für Linux gibt, können Sie mit EFS keine Systemdateien chiffrieren. Im Klartext: Das Windows-Verzeichnis lässt sich nicht verschlüsseln, und auch beim Boot-Loader funktioniert EFS nicht.

Somit kann man unter dem laufenden Windows und mit einem gebooteten OS den Admin-Schutz knacken. Wenn von CD booten ausgeschlossen ist kannst du dich jetzt dran machen Tools unbrauchbar zu machen, die unter laufendem Windows Passwörter auslesen. Dazu hab ich ja oben schon was geschrieben.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#15 Microsoft sagt dazu:
Das von NTFS zur Verfügung gestellte verschlüsselnde Dateisystem (Encrypting File System, EFS) bietet eine Verschlüsselung von ausgewählten Ordnern und Dateien auf Ihrer Festplatte. Verschlüsseln Sie immer ganze Ordner und keine Dateien. So werden temporäre Dateien immer mit verschlüsselt.

Sie müssen nicht alles auf Ihrer Festplatte verschlüsseln. Viele Menschen benutzen den "Eigene Dateien"-Ordner, um Ihre Daten abzulegen. Bei der Verwendung des verschlüsselnden Dateisystems empfiehlt es sich auch diesen Ordner zu verschlüsseln.

Quelle: http://www.microsoft.com/germany/sicherheit/5min/5min-205.mspx


Also für mich klingt das, als ob doch Systemdateien verschlüsselt werden.