Admin ohne Passwort
Wie (un)sicher ist ein leeres Kennwort unter Windows?
Hallo allerseits.
Weiss jemand, welche konkreten Risiken bestehen, wenn ein Rechner mit Windows (XP aufwärts) einen lokalen Admin mit leerem Kennwort hat?
Dass jeder, der zufällig vorbei spaziert, die Kontrolle über die Maschine übernehmen kann, ist trivial, und davon ist im Moment nicht die Rede, zumal bei einem physikalischen Zugriff auch keine Kennwörter helfen (Stichwort
Die Motivation ist die folgende: Ich benutze meinen privaten Rechner als Benutzer mit eingeschränkten Rechten, muss aber sehr oft Aktionen ausführen, die administrative Privilegien erfordern (z.B. Ressourcenmonitor, Ereignisanzeige uvm.). Dafür muss ich oft das Adminkennwort eingeben, was auf dauer lästig ist, weil das Kennwort ca. 20 Zeichen hat. (Ich finde, dass ein schwaches Kennwort schlimmer sein kann, als gar keins.) Für viele Zwecke reicht auch ein CMD-Fenster mit Admin-Rechten, welches man dann einfach nicht nach jedem ausgeführten Befehl gleich schließt, sondern die ganze Zeit an lässt. Doch es gibt auch einige Aufgaben, die sich nicht einfach aus einem Kommandozeilenfenster heraus starten lassen.
Auch gibt es den Administrator-Bestätigungs-Modus, bei dem Prozesse im Admin-Kontext zunächst mit eingeschränkten Rechten starten, dann aber nach einer Ja/Nein-Bestätigung erhöhte Rechte erhalten können. Diesen Schutzmechanismus halte ich persönlich für eine Mogelpackung, lasse mich aber gerne mit sachlichen Argumenten vom Gegenteil überzeugen. Unterschiedliche Benutzerkonten bringen dagegen eine strikte Trennung zwischen den Berechtigungen.
Also, einen physikalischen Zugriff auf meinen Rechner beiseite gelassen, interessieren mich potentielle Gefahren aus dem Netzwerk, die speziell darauf beruhen, dass eines der Benutzerkonten aus der Administratoren-Gruppe ein leeres Kennwort hat. (Die Tatsache, dass ein Rechner ohne Sicherheitsupdates auch auf andere Arten kompromittiert werden kann, lassen wir hier außer Betracht.)
Gehen wir von folgender Situation aus:
Ohne
Welchen Bedrohungen (nach der obigen Definition) ist so ein Rechner im Netz ausgesetzt, wenn ...
Könnte ein potentieller Angreifer, der es geschafft hat mein Benutzerkonto (mit eingeschränkten Rechten) zu kompromittieren, Admin- bzw. Systemrechte erlangen, indem er sich das leere Kennwort eines der Admin-Konten zunutze macht?
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Zum Schluss noch eine kleine Bitte: Versucht bei euren Antworten von pauschalen Aussagen wie "Ist doch allgemein bekannt..." Abstand zu nehmen. Davon gibt es in den Suchergebnissen bei Google mehr als genug und nicht zuletzt deshalb stelle ich diese Frage in diesem Forum. Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Grüße
format-c
Hallo allerseits.
Weiss jemand, welche konkreten Risiken bestehen, wenn ein Rechner mit Windows (XP aufwärts) einen lokalen Admin mit leerem Kennwort hat?
Dass jeder, der zufällig vorbei spaziert, die Kontrolle über die Maschine übernehmen kann, ist trivial, und davon ist im Moment nicht die Rede, zumal bei einem physikalischen Zugriff auch keine Kennwörter helfen (Stichwort
sethc.exe
& Co.). Ich spreche hier von einem Privatrechner, z.B. bei mir zu Hause, wo der Parteienverkehr gegen Null konvergiert.Die Motivation ist die folgende: Ich benutze meinen privaten Rechner als Benutzer mit eingeschränkten Rechten, muss aber sehr oft Aktionen ausführen, die administrative Privilegien erfordern (z.B. Ressourcenmonitor, Ereignisanzeige uvm.). Dafür muss ich oft das Adminkennwort eingeben, was auf dauer lästig ist, weil das Kennwort ca. 20 Zeichen hat. (Ich finde, dass ein schwaches Kennwort schlimmer sein kann, als gar keins.) Für viele Zwecke reicht auch ein CMD-Fenster mit Admin-Rechten, welches man dann einfach nicht nach jedem ausgeführten Befehl gleich schließt, sondern die ganze Zeit an lässt. Doch es gibt auch einige Aufgaben, die sich nicht einfach aus einem Kommandozeilenfenster heraus starten lassen.
Auch gibt es den Administrator-Bestätigungs-Modus, bei dem Prozesse im Admin-Kontext zunächst mit eingeschränkten Rechten starten, dann aber nach einer Ja/Nein-Bestätigung erhöhte Rechte erhalten können. Diesen Schutzmechanismus halte ich persönlich für eine Mogelpackung, lasse mich aber gerne mit sachlichen Argumenten vom Gegenteil überzeugen. Unterschiedliche Benutzerkonten bringen dagegen eine strikte Trennung zwischen den Berechtigungen.
Also, einen physikalischen Zugriff auf meinen Rechner beiseite gelassen, interessieren mich potentielle Gefahren aus dem Netzwerk, die speziell darauf beruhen, dass eines der Benutzerkonten aus der Administratoren-Gruppe ein leeres Kennwort hat. (Die Tatsache, dass ein Rechner ohne Sicherheitsupdates auch auf andere Arten kompromittiert werden kann, lassen wir hier außer Betracht.)
Gehen wir von folgender Situation aus:
- Betriebssystem: Windows 7 Professional, mit aktuellem SP und allen wichtigen Updates
- Benutzerkontensteuerung ist an, zusätzlich sind folgende Einstellungen gegeben:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin REG_DWORD 0x5
ConsentPromptBehaviorUser REG_DWORD 0x3
DisableCAD REG_DWORD 0x1
EnableCursorSuppression REG_DWORD 0x1
EnableInstallerDetection REG_DWORD 0x1
EnableLUA REG_DWORD 0x1
EnableSecureUIAPaths REG_DWORD 0x1
EnableUIADesktopToggle REG_DWORD 0x0
EnableVirtualization REG_DWORD 0x1
FilterAdministratorToken REG_DWORD 0x0
LocalAccountTokenFilterPolicy REG_DWORD 0x1
PromptOnSecureDesktop REG_DWORD 0x1
ValidateAdminCodeSignatures REG_DWORD 0x0
- Der Freigabe-Assistent ist deaktiviert
- Das eingebaute Benutzerkonto Administrator (RID 500) ist deaktiviert
- Es gibt ein Benutzerkonto mit Admin-Rechten, welches mit einem starken Kennwort versehen ist. Das gleiche Benutzerkonto ist auf allen Rechnern vorhanden, denn ich betreibe keinen DC.
- Es gibt einen zweiten Admin, ohne Kennwort
- Erweiterte Freigabeeinstellungen:
- Kennwortgestütztes Freigeben aktiviert
- Netzwerkerkennung eingeschaltet
- Datei- und Druckerfreigabe ist aktiviert
- Freigabe des Öffentlichen Ordners deaktiviert
- Verbindungen zu anderen Computern mittels Benutzerkonten und Kennwörter (ohne Heimnetzgruppen)
- Internetanbindung: NAT Router
- Windows Firewall ist an
- Als Antiviren-Software wird Microsoft Security Essentials eingesetzt
Ohne
LocalAccountTokenFilterPolicy
wäre es sicherheitstechnisch zwar besser, aber ich möchte meine Kisten übers Netzwerk steuern können, ohne jedes Mal auf RDP zugreifen zu müssen.Welchen Bedrohungen (nach der obigen Definition) ist so ein Rechner im Netz ausgesetzt, wenn ...
- ... eine Anmeldung mit leerem Kennwort übers Netzwerk durch die Sicherheitsoption "Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken" unterbunden wird.
- ... unter XP sogar "Ausführen als..." ohne Kennwort nicht möglich ist (bzw. ist standardmäßig deaktiviert(?)) und
runas
ohne Kennwort ebenfalls nicht funnktioniert. - ... es unter Windows 7 kein
runas
gibt, das man per Skript starten könnte. (Bestimmt gibt es dafür Tools von Drittanbietern, aber funktionieren sie auch ohne eine Installation bzw. eine Genehmigung des Admins?). Und das Häkchen "Als Administrator ausführen..." in den Eigenschaften einer Verknüpfung führt zur Eingabe des Kennworts bzw. der Wahl eines Benutzerkontos auf dem Secure Desktop und erfordert somit eine menschliche Interaktion, was einen Angriff per Skript verhindert.
Könnte ein potentieller Angreifer, der es geschafft hat mein Benutzerkonto (mit eingeschränkten Rechten) zu kompromittieren, Admin- bzw. Systemrechte erlangen, indem er sich das leere Kennwort eines der Admin-Konten zunutze macht?
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Zum Schluss noch eine kleine Bitte: Versucht bei euren Antworten von pauschalen Aussagen wie "Ist doch allgemein bekannt..." Abstand zu nehmen. Davon gibt es in den Suchergebnissen bei Google mehr als genug und nicht zuletzt deshalb stelle ich diese Frage in diesem Forum. Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Grüße
format-c
Please also mark the comments that contributed to the solution of the article
Content-ID: 204506
Url: https://administrator.de/contentid/204506
Printed on: December 7, 2024 at 08:12 o'clock
12 Comments
Latest comment
Hi.
Ein paar Fakten: Per Default ist seit Windows xp ein Konto mit leerem Kennwort nicht mehr nutzbar für ausführen als. Damit ereilt Deine Vorstellung, ein Konto mit leerem Kw. zu nutzen, ein jäher Tod.
Man KANN jedoch leere Kennwörter für runas buw. UAC-Abfragen per lokaler Policy zulassen - dann KÖNNTE jedoch auch jeder Virus/jedes im Web gestartete Skript dies tun, und das ist ganz, ganz schlecht. Insofern solltest Du in jedem Fall ein KW. setzen.
Warum überhaupt 2 Konten? Dank der UAC ist die Arbeit als Admin sicherer geworden - sind Dir die Kompromittierungsmöglichkeiten bzw. die verbliebenen Risiken bekannt? Wenn nicht, dann lies mal http://theinvisiblethings.blogspot.de/2007/02/running-vista-every-day.h ...
Mein Fazit: für den normalen Sicherheitsbedarf reicht ein Konto mit Adminrechten und UAC auf höchster Stufe allemal.
Ein paar Fakten: Per Default ist seit Windows xp ein Konto mit leerem Kennwort nicht mehr nutzbar für ausführen als. Damit ereilt Deine Vorstellung, ein Konto mit leerem Kw. zu nutzen, ein jäher Tod.
Man KANN jedoch leere Kennwörter für runas buw. UAC-Abfragen per lokaler Policy zulassen - dann KÖNNTE jedoch auch jeder Virus/jedes im Web gestartete Skript dies tun, und das ist ganz, ganz schlecht. Insofern solltest Du in jedem Fall ein KW. setzen.
Warum überhaupt 2 Konten? Dank der UAC ist die Arbeit als Admin sicherer geworden - sind Dir die Kompromittierungsmöglichkeiten bzw. die verbliebenen Risiken bekannt? Wenn nicht, dann lies mal http://theinvisiblethings.blogspot.de/2007/02/running-vista-every-day.h ...
Mein Fazit: für den normalen Sicherheitsbedarf reicht ein Konto mit Adminrechten und UAC auf höchster Stufe allemal.
Hallo,
sein kann?
das ist schon alles was Dir fehlt, Du musst mal wieder an die frische Luft, zumindest so wie das sehe.
Schönes WE an alle
mit Gruß von
Dobby
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Nein und das definitiv. Ein schlechtes Passwort ist besser als kein Passwort!deshalb stelle ich diese Frage in diesem Forum.
Ne klar, mach mal ruhig, Mann du fragst hier im Forum, für Administratoren, ob das so richtigsein kann?
Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Mensch mach mal ein bisschen mehr Sport,das ist schon alles was Dir fehlt, Du musst mal wieder an die frische Luft, zumindest so wie das sehe.
Schönes WE an alle
mit Gruß von
Dobby
Und wenn ich mein Rad schon auf der Straße abstellen muss, dann mit einem vernünftigen Schloss.
Also machst benutzt Du den PC nicht zum Surfen (Datenautobahn) und nicht für Email (Straße)!Aber selbst dann ist ein Passwort immer besser als kein Passwort, ist eben meine Meinug.
Bequemer mag es sein, aber sicherer eben nicht, egal wie lange es dauert, es muss eben geknackt werden und auch vorher belauscht werden!
Gruß
Dobby
Ok, ein paar Antworten dazu und auch ein paar Fragen, diese zuerst:
Aber jetzt erklär bitte auch, was es denn bringen soll die Konten zu trennen, wenn man es verwendet, wie Du, nämlich beide Konten in einer Session. Ich bin mir sicher, dass es gegenüber dem Login als Admin mit eingeschalteter UAC keinen Vorteil hat.
wenn man sieht auf welch wackeligen Füßen die Sicherheit von Windows steht
Was aus dem Artikel lässt diese Schlussfolgerung zu?Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten
Ich dachte bis jetzt, das stünde auch nicht zur Debatte, deshalb schrieb ich, dass der Bestätigungsmodus kaum echte Nachteile bringt - dass er keine zusätzliche Sicherheit bringt, ist doch sonnenklar.Ganz sicher, was Windows 7 angeht? [Anmerkung von DWW: bezogen auf runas/UAC und leere Kennwörter]
Du musst unterscheiden zwischen der runas.exe und der UAC-Abfrage. Runas läuft Default nicht mit leeren Kennwörtern, die UAC-Abfrage jedoch, wie Du festgestellt hast, schon. Und, wie Du richtig festgestellt hast, diese kann in Standardeinstellungen nur interaktiv bestätigt werden - kein böses Skript kann die mal so eben wegklicken. Du hast also vollkommen Recht, außer am Konsolenlogin, den Du per se ausschließt, wäre das leere Kennwort auch nicht ausnutzbar und Deine Annahme, ein leeres Kennwort wäre für Deinen Fall kein Nachteil komplett richtig, sofern Du für runas und administrative Remotezugriffe und geplante Tasks ein weiteres administratives Konto (diesmal) mit Kennwort bereithältst (sofern Du diese Dinge überhaupt brauchst).Aber jetzt erklär bitte auch, was es denn bringen soll die Konten zu trennen, wenn man es verwendet, wie Du, nämlich beide Konten in einer Session. Ich bin mir sicher, dass es gegenüber dem Login als Admin mit eingeschalteter UAC keinen Vorteil hat.
Kann ich alles gut nachvollziehen und der Thread war mit Sicherheit sinnvoll.
Zu UIPI kann man eigentlich schon fast schmunzeln - es ist offenbar nicht eben leicht, zu erfahren, ob diese Designschwäche noch besteht (bzw. ob sie je bestand, auch Starhacker Joanna macht Fehler). Immer wieder, wenn's ans Eingemachte geht, wird die Luft dünn und die Personenkreise, die mit Erfahrung und gesichertem Wissen aufwarten können, sind schwer zu finden. Ich kann es Dir nicht beantworten.
Zu UIPI kann man eigentlich schon fast schmunzeln - es ist offenbar nicht eben leicht, zu erfahren, ob diese Designschwäche noch besteht (bzw. ob sie je bestand, auch Starhacker Joanna macht Fehler). Immer wieder, wenn's ans Eingemachte geht, wird die Luft dünn und die Personenkreise, die mit Erfahrung und gesichertem Wissen aufwarten können, sind schwer zu finden. Ich kann es Dir nicht beantworten.