12
Admin ohne Passwort
Wie (un)sicher ist ein leeres Kennwort unter Windows?
Hallo allerseits.
Weiss jemand, welche konkreten Risiken bestehen, wenn ein Rechner mit Windows (XP aufwärts) einen lokalen Admin mit leerem Kennwort hat?
Dass jeder, der zufällig vorbei spaziert, die Kontrolle über die Maschine übernehmen kann, ist trivial, und davon ist im Moment nicht die Rede, zumal bei einem physikalischen Zugriff auch keine Kennwörter helfen (Stichwort
Die Motivation ist die folgende: Ich benutze meinen privaten Rechner als Benutzer mit eingeschränkten Rechten, muss aber sehr oft Aktionen ausführen, die administrative Privilegien erfordern (z.B. Ressourcenmonitor, Ereignisanzeige uvm.). Dafür muss ich oft das Adminkennwort eingeben, was auf dauer lästig ist, weil das Kennwort ca. 20 Zeichen hat. (Ich finde, dass ein schwaches Kennwort schlimmer sein kann, als gar keins.) Für viele Zwecke reicht auch ein CMD-Fenster mit Admin-Rechten, welches man dann einfach nicht nach jedem ausgeführten Befehl gleich schließt, sondern die ganze Zeit an lässt. Doch es gibt auch einige Aufgaben, die sich nicht einfach aus einem Kommandozeilenfenster heraus starten lassen.
Auch gibt es den Administrator-Bestätigungs-Modus, bei dem Prozesse im Admin-Kontext zunächst mit eingeschränkten Rechten starten, dann aber nach einer Ja/Nein-Bestätigung erhöhte Rechte erhalten können. Diesen Schutzmechanismus halte ich persönlich für eine Mogelpackung, lasse mich aber gerne mit sachlichen Argumenten vom Gegenteil überzeugen. Unterschiedliche Benutzerkonten bringen dagegen eine strikte Trennung zwischen den Berechtigungen.
Also, einen physikalischen Zugriff auf meinen Rechner beiseite gelassen, interessieren mich potentielle Gefahren aus dem Netzwerk, die speziell darauf beruhen, dass eines der Benutzerkonten aus der Administratoren-Gruppe ein leeres Kennwort hat. (Die Tatsache, dass ein Rechner ohne Sicherheitsupdates auch auf andere Arten kompromittiert werden kann, lassen wir hier außer Betracht.)
Gehen wir von folgender Situation aus:
Ohne
Welchen Bedrohungen (nach der obigen Definition) ist so ein Rechner im Netz ausgesetzt, wenn ...
Könnte ein potentieller Angreifer, der es geschafft hat mein Benutzerkonto (mit eingeschränkten Rechten) zu kompromittieren, Admin- bzw. Systemrechte erlangen, indem er sich das leere Kennwort eines der Admin-Konten zunutze macht?
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Zum Schluss noch eine kleine Bitte: Versucht bei euren Antworten von pauschalen Aussagen wie "Ist doch allgemein bekannt..." Abstand zu nehmen. Davon gibt es in den Suchergebnissen bei Google mehr als genug und nicht zuletzt deshalb stelle ich diese Frage in diesem Forum. Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Grüße
format-c
Hallo allerseits.
Weiss jemand, welche konkreten Risiken bestehen, wenn ein Rechner mit Windows (XP aufwärts) einen lokalen Admin mit leerem Kennwort hat?
Dass jeder, der zufällig vorbei spaziert, die Kontrolle über die Maschine übernehmen kann, ist trivial, und davon ist im Moment nicht die Rede, zumal bei einem physikalischen Zugriff auch keine Kennwörter helfen (Stichwort
sethc.exe & Co.). Ich spreche hier von einem Privatrechner, z.B. bei mir zu Hause, wo der Parteienverkehr gegen Null konvergiert.Die Motivation ist die folgende: Ich benutze meinen privaten Rechner als Benutzer mit eingeschränkten Rechten, muss aber sehr oft Aktionen ausführen, die administrative Privilegien erfordern (z.B. Ressourcenmonitor, Ereignisanzeige uvm.). Dafür muss ich oft das Adminkennwort eingeben, was auf dauer lästig ist, weil das Kennwort ca. 20 Zeichen hat. (Ich finde, dass ein schwaches Kennwort schlimmer sein kann, als gar keins.) Für viele Zwecke reicht auch ein CMD-Fenster mit Admin-Rechten, welches man dann einfach nicht nach jedem ausgeführten Befehl gleich schließt, sondern die ganze Zeit an lässt. Doch es gibt auch einige Aufgaben, die sich nicht einfach aus einem Kommandozeilenfenster heraus starten lassen.
Auch gibt es den Administrator-Bestätigungs-Modus, bei dem Prozesse im Admin-Kontext zunächst mit eingeschränkten Rechten starten, dann aber nach einer Ja/Nein-Bestätigung erhöhte Rechte erhalten können. Diesen Schutzmechanismus halte ich persönlich für eine Mogelpackung, lasse mich aber gerne mit sachlichen Argumenten vom Gegenteil überzeugen. Unterschiedliche Benutzerkonten bringen dagegen eine strikte Trennung zwischen den Berechtigungen.
Also, einen physikalischen Zugriff auf meinen Rechner beiseite gelassen, interessieren mich potentielle Gefahren aus dem Netzwerk, die speziell darauf beruhen, dass eines der Benutzerkonten aus der Administratoren-Gruppe ein leeres Kennwort hat. (Die Tatsache, dass ein Rechner ohne Sicherheitsupdates auch auf andere Arten kompromittiert werden kann, lassen wir hier außer Betracht.)
Gehen wir von folgender Situation aus:
- Betriebssystem: Windows 7 Professional, mit aktuellem SP und allen wichtigen Updates
- Benutzerkontensteuerung ist an, zusätzlich sind folgende Einstellungen gegeben:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin REG_DWORD 0x5
ConsentPromptBehaviorUser REG_DWORD 0x3
DisableCAD REG_DWORD 0x1
EnableCursorSuppression REG_DWORD 0x1
EnableInstallerDetection REG_DWORD 0x1
EnableLUA REG_DWORD 0x1
EnableSecureUIAPaths REG_DWORD 0x1
EnableUIADesktopToggle REG_DWORD 0x0
EnableVirtualization REG_DWORD 0x1
FilterAdministratorToken REG_DWORD 0x0
LocalAccountTokenFilterPolicy REG_DWORD 0x1
PromptOnSecureDesktop REG_DWORD 0x1
ValidateAdminCodeSignatures REG_DWORD 0x0
- Der Freigabe-Assistent ist deaktiviert
- Das eingebaute Benutzerkonto Administrator (RID 500) ist deaktiviert
- Es gibt ein Benutzerkonto mit Admin-Rechten, welches mit einem starken Kennwort versehen ist. Das gleiche Benutzerkonto ist auf allen Rechnern vorhanden, denn ich betreibe keinen DC.
- Es gibt einen zweiten Admin, ohne Kennwort
- Erweiterte Freigabeeinstellungen:
- Kennwortgestütztes Freigeben aktiviert
- Netzwerkerkennung eingeschaltet
- Datei- und Druckerfreigabe ist aktiviert
- Freigabe des Öffentlichen Ordners deaktiviert
- Verbindungen zu anderen Computern mittels Benutzerkonten und Kennwörter (ohne Heimnetzgruppen)
- Internetanbindung: NAT Router
- Windows Firewall ist an
- Als Antiviren-Software wird Microsoft Security Essentials eingesetzt
Ohne
LocalAccountTokenFilterPolicy wäre es sicherheitstechnisch zwar besser, aber ich möchte meine Kisten übers Netzwerk steuern können, ohne jedes Mal auf RDP zugreifen zu müssen.Welchen Bedrohungen (nach der obigen Definition) ist so ein Rechner im Netz ausgesetzt, wenn ...
- ... eine Anmeldung mit leerem Kennwort übers Netzwerk durch die Sicherheitsoption "Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken" unterbunden wird.
- ... unter XP sogar "Ausführen als..." ohne Kennwort nicht möglich ist (bzw. ist standardmäßig deaktiviert(?)) und
runasohne Kennwort ebenfalls nicht funnktioniert. - ... es unter Windows 7 kein
runasgibt, das man per Skript starten könnte. (Bestimmt gibt es dafür Tools von Drittanbietern, aber funktionieren sie auch ohne eine Installation bzw. eine Genehmigung des Admins?). Und das Häkchen "Als Administrator ausführen..." in den Eigenschaften einer Verknüpfung führt zur Eingabe des Kennworts bzw. der Wahl eines Benutzerkontos auf dem Secure Desktop und erfordert somit eine menschliche Interaktion, was einen Angriff per Skript verhindert.
Könnte ein potentieller Angreifer, der es geschafft hat mein Benutzerkonto (mit eingeschränkten Rechten) zu kompromittieren, Admin- bzw. Systemrechte erlangen, indem er sich das leere Kennwort eines der Admin-Konten zunutze macht?
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Zum Schluss noch eine kleine Bitte: Versucht bei euren Antworten von pauschalen Aussagen wie "Ist doch allgemein bekannt..." Abstand zu nehmen. Davon gibt es in den Suchergebnissen bei Google mehr als genug und nicht zuletzt deshalb stelle ich diese Frage in diesem Forum. Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Grüße
format-c
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204506
Url: https://administrator.de/contentid/204506
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Hi.
Ein paar Fakten: Per Default ist seit Windows xp ein Konto mit leerem Kennwort nicht mehr nutzbar für ausführen als. Damit ereilt Deine Vorstellung, ein Konto mit leerem Kw. zu nutzen, ein jäher Tod.
Man KANN jedoch leere Kennwörter für runas buw. UAC-Abfragen per lokaler Policy zulassen - dann KÖNNTE jedoch auch jeder Virus/jedes im Web gestartete Skript dies tun, und das ist ganz, ganz schlecht. Insofern solltest Du in jedem Fall ein KW. setzen.
Warum überhaupt 2 Konten? Dank der UAC ist die Arbeit als Admin sicherer geworden - sind Dir die Kompromittierungsmöglichkeiten bzw. die verbliebenen Risiken bekannt? Wenn nicht, dann lies mal http://theinvisiblethings.blogspot.de/2007/02/running-vista-every-day.h ...
Mein Fazit: für den normalen Sicherheitsbedarf reicht ein Konto mit Adminrechten und UAC auf höchster Stufe allemal.
Ein paar Fakten: Per Default ist seit Windows xp ein Konto mit leerem Kennwort nicht mehr nutzbar für ausführen als. Damit ereilt Deine Vorstellung, ein Konto mit leerem Kw. zu nutzen, ein jäher Tod.
Man KANN jedoch leere Kennwörter für runas buw. UAC-Abfragen per lokaler Policy zulassen - dann KÖNNTE jedoch auch jeder Virus/jedes im Web gestartete Skript dies tun, und das ist ganz, ganz schlecht. Insofern solltest Du in jedem Fall ein KW. setzen.
Warum überhaupt 2 Konten? Dank der UAC ist die Arbeit als Admin sicherer geworden - sind Dir die Kompromittierungsmöglichkeiten bzw. die verbliebenen Risiken bekannt? Wenn nicht, dann lies mal http://theinvisiblethings.blogspot.de/2007/02/running-vista-every-day.h ...
Mein Fazit: für den normalen Sicherheitsbedarf reicht ein Konto mit Adminrechten und UAC auf höchster Stufe allemal.
Ist denn schon wieder Freitag,
Aber Kompliment zu so einem langen Beitrag. Aus dir wird noch ein guter Politiker.
Wozu braucht man für den Zugang ein Benutzerkonto, wenn das wohlbekannte Administratorkonto frei ist?
Gruß
Netman
Aber Kompliment zu so einem langen Beitrag. Aus dir wird noch ein guter Politiker.
Wozu braucht man für den Zugang ein Benutzerkonto, wenn das wohlbekannte Administratorkonto frei ist?
Gruß
Netman
Hallo,
sein kann?
das ist schon alles was Dir fehlt, Du musst mal wieder an die frische Luft, zumindest so wie das sehe.
Schönes WE an alle
mit Gruß von
Dobby
Ist noch jemand der Meinung, dass kein Kennwort besser sein kann als ein schwaches?
Nein und das definitiv. Ein schlechtes Passwort ist besser als kein Passwort!deshalb stelle ich diese Frage in diesem Forum.
Ne klar, mach mal ruhig, Mann du fragst hier im Forum, für Administratoren, ob das so richtigsein kann?
Für konkrete sachliche Hinweise bin ich im voraus dankbar.
Mensch mach mal ein bisschen mehr Sport,das ist schon alles was Dir fehlt, Du musst mal wieder an die frische Luft, zumindest so wie das sehe.
Schönes WE an alle
mit Gruß von
Dobby
Hallo !
Dobby, du liest - wie so oft - zwischen den Zeilen.
Du schreibst auch zwischen den Zeilen.
Aaaahhh - daher auch der Link zu dem Zeilenpferd
Wünsche Euch allen ein schönes Wochende!
-- Ende der Freitagsantwort --
Dobby, du liest - wie so oft - zwischen den Zeilen.
Du schreibst auch zwischen den Zeilen.
Aaaahhh - daher auch der Link zu dem Zeilenpferd
Wünsche Euch allen ein schönes Wochende!
-- Ende der Freitagsantwort --
1
Dir auch ein schönes WE, aber es wäre dennoch nett, zu den Antworten Feedback zu geben.
Hi Leute.
Ist euch mein Ton zu spießig? Sorry, war nicht so gemeint. Ich wollte halt was Vernünftiges zusammenstellen und nicht irgendwas einfach so dahin gerotztes ins Forum schmeißen und die Anderen die ganze Arbeit für mich machen lassen. Ihr kennt doch auch solche Anfragen à la "Ich brauche Hilfe und zwar schnell. Wozu seid ihr Freaks denn sonst da?" Der Beitrag ist nicht an einem Tag entstanden, also D.o.b.b.y, sei unbesorgt, ich sitze nicht den ganzen Tag vor der Kiste — ab und zu bin ich auch in der Küche und auf dem Klo anzutreffen.
Ist aber trotzdem angenehm zu erfahren, dass es hier auch auf zwischenmenschlicher Ebene um einen gekümmert wird. *grins* Ohne Schmarrn.
@d.o.b.b.y
Angenommen, ich habe ein 4-6 stelliges Kennwort, bestehend nur aus Kleinbuchstaben. Der Hash wird bei einem Lauschangriff abgehört und noch am selben Tag geknackt. Ok, ok, dazu müsste man zuerst an meinem WPA2 WLAN-Schlüssel vorbei. Aber dennoch bringt ein schwaches KW somit keine zusätzliche Sicherheit. Ein kompletter Auschluss der Möglichkeit sich anzumelden (weil das KW leer ist) stellt in meinen Augen dagegen durchaus eine Sicherheitsmaßnahme dar. Wir denken ja alle noch daran, dass es hier nicht um den lokalen Zugriff auf die Maschine geht.
Mal ein anderes Beispiel: Auf der Straße parkt ein Fahrrad. Ein Zahlenschloss mit 3 Ziffern am Fahrrad ist besser als gar kein Schloss. Dem kann man schlecht widersprechen. Aber wenn ich das Fahrrad ohne Schloss nicht auf der Straße abstelle, sondern in meiner Wohnung, ist es sicherer als mit einem Schloss auf der Straße, denn es ist überhaupt nicht angreifbar. uc? Und wenn ich mein Rad schon auf der Straße abstellen muss, dann mit einem vernünftigen Schloss.
@DerWoWusste
Hast Recht mit XP. Das habe ich irgendwie aus den Augen verloren. Für XP erübrigt sich diese Frage also von selbst.
Und Danke für den Link.
Grüße
format-c
Ist euch mein Ton zu spießig? Sorry, war nicht so gemeint. Ich wollte halt was Vernünftiges zusammenstellen und nicht irgendwas einfach so dahin gerotztes ins Forum schmeißen und die Anderen die ganze Arbeit für mich machen lassen. Ihr kennt doch auch solche Anfragen à la "Ich brauche Hilfe und zwar schnell. Wozu seid ihr Freaks denn sonst da?" Der Beitrag ist nicht an einem Tag entstanden, also D.o.b.b.y, sei unbesorgt, ich sitze nicht den ganzen Tag vor der Kiste — ab und zu bin ich auch in der Küche und auf dem Klo anzutreffen.
Ist aber trotzdem angenehm zu erfahren, dass es hier auch auf zwischenmenschlicher Ebene um einen gekümmert wird. *grins* Ohne Schmarrn.@d.o.b.b.y
Ein schlechtes Passwort ist besser als kein Passwort!
Das wage ich zu bezweifeln. Angenommen, ich habe ein 4-6 stelliges Kennwort, bestehend nur aus Kleinbuchstaben. Der Hash wird bei einem Lauschangriff abgehört und noch am selben Tag geknackt. Ok, ok, dazu müsste man zuerst an meinem WPA2 WLAN-Schlüssel vorbei. Aber dennoch bringt ein schwaches KW somit keine zusätzliche Sicherheit. Ein kompletter Auschluss der Möglichkeit sich anzumelden (weil das KW leer ist) stellt in meinen Augen dagegen durchaus eine Sicherheitsmaßnahme dar. Wir denken ja alle noch daran, dass es hier nicht um den lokalen Zugriff auf die Maschine geht.Mal ein anderes Beispiel: Auf der Straße parkt ein Fahrrad. Ein Zahlenschloss mit 3 Ziffern am Fahrrad ist besser als gar kein Schloss. Dem kann man schlecht widersprechen. Aber wenn ich das Fahrrad ohne Schloss nicht auf der Straße abstelle, sondern in meiner Wohnung, ist es sicherer als mit einem Schloss auf der Straße, denn es ist überhaupt nicht angreifbar. uc? Und wenn ich mein Rad schon auf der Straße abstellen muss, dann mit einem vernünftigen Schloss.
@DerWoWusste
Hast Recht mit XP. Das habe ich irgendwie aus den Augen verloren. Für XP erübrigt sich diese Frage also von selbst.
Und Danke für den Link.
@alle: Euch auch ein schönes WE! Grüße
format-c
Und wenn ich mein Rad schon auf der Straße abstellen muss, dann mit einem vernünftigen Schloss.
Also machst benutzt Du den PC nicht zum Surfen (Datenautobahn) und nicht für Email (Straße)!Aber selbst dann ist ein Passwort immer besser als kein Passwort, ist eben meine Meinug.
Bequemer mag es sein, aber sicherer eben nicht, egal wie lange es dauert, es muss eben geknackt werden und auch vorher belauscht werden!
Gruß
Dobby
Es ist nicht mit xp so, sondern ab xp, also auch in win7/Vista/8. Gib bitte bei Zeiten mal ein angemessenes Feedback zu meiner Frage zurück, damit Dein/mein Geschreibsel nicht umsonst war.
Sorry, dass meine Antwort auf sich hat warten lassen. Ein guter Artikel, wenn auch etwas älter. Er hinterlässt einen weniger optimistischen Eindruck, wenn man sieht auf welch wackeligen Füßen die Sicherheit von Windows steht. Es bleibt nur zu hoffen, dass MS mit der nächsten Version (und jetz auch mit der übernächsten) hier und da was nachgebessert hat.
Die Sache mit den Integritätslevels erklärt für mich so Manches. Ich werde sie in mein "Sicherheitskonzept" einbeziehen, aber das ist bereits ein anderes Thema.
Die alltägliche Arbeit am PC mit eingeschränkten Benutzerrechten und ein Adminkonto für Installationen ist eine Gewohnheit von mir, die ich wohl seit der XP-Zeit habe. Es ist jetzt (seit Vista) zwar nicht mehr erforderlich, aber zur Zeit sind immer noch alle meine Rechner so eingerichtet und noch fehlt mir die nötige Motivation, alles konsequent zu ändern, bzw. ich sehe noch keinen akuten Handlungsbedarf, weil es, so wie es jetzt ist, auch keine Minderung der Sicherheit darstellt. Es ist nur weniger bequem als der Administrator-Bestätigungs-Modus. Vielleicht beim Umstieg auf ein neues Betriebssystem...
Meine Überlegungen: Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten. Auch fehlt mir bis jetzt ein Hinweis darauf, dass ein leeres Admin-Kennwort ein Sicherheitsrisiko (im Kontext dieses Threads) darstellt, vorausgesetzt, die nötigen Sicherheitsoptionen (z.B. die Beschränkung auf eine Konsolenanmeldung) sind aktiviert.
Wenn Secure Deskop aktiviert ist, dann erfolgt die Authentifizierung — unabhängig davon, ob es nur eine Bestätigung oder eine Eingabe von Benutzername+Kennwort ist — in einem für sonstige im Benutzerkontext laufenden Prozesse unerreichbaren Bereich. Für mich sieht es also so aus, dass wenn man die Authentifizierung mit einem leeren Kennwort kompromittieren kann, kann man das auch mit dem Administrator-Bestätigungs-Modus tun. Oder nicht?
Ganz sicher, was Windows 7 angeht? Ich habe in meinem "Haushalt" drei Rechner, alle mit Win7 Prof (32 sowie 64 bit). Auf allen dreien kann ich bei einer Rechteerhöhung einen Admin wählen, der kein KW hat. Ich habe speziell diesbezüglich keine Einstellungen vorgenommen, es war schon so. Es kann höchstens sein, dass dies ein Nebeneffekt einer der anderen weiter oben erwähnten Einstellungen ist. Eine Idee, was es eventuell sein kann?
Zugegebenermaßen müsste die Nicht-Agreifbarkeit eines Benutzerkontos mit leerem KW erst noch erwiesen werden, aber bis jetzt bin ich auch noch nicht vom Gegenteil überzeugt werden. Sollte es sich herausstellen, dass ein leeres Kennwort von einem Angreifer dazu ausgenutzt werden könnte, um Adminrechte zu erlangen, dann hättest du natürlich Recht, aber nur dann. Um dieser Frage nachzugenen, habe ich diesen Thread auch gestartet.
Grüße
format-c
Die Sache mit den Integritätslevels erklärt für mich so Manches. Ich werde sie in mein "Sicherheitskonzept" einbeziehen, aber das ist bereits ein anderes Thema.
Die alltägliche Arbeit am PC mit eingeschränkten Benutzerrechten und ein Adminkonto für Installationen ist eine Gewohnheit von mir, die ich wohl seit der XP-Zeit habe. Es ist jetzt (seit Vista) zwar nicht mehr erforderlich, aber zur Zeit sind immer noch alle meine Rechner so eingerichtet und noch fehlt mir die nötige Motivation, alles konsequent zu ändern, bzw. ich sehe noch keinen akuten Handlungsbedarf, weil es, so wie es jetzt ist, auch keine Minderung der Sicherheit darstellt. Es ist nur weniger bequem als der Administrator-Bestätigungs-Modus. Vielleicht beim Umstieg auf ein neues Betriebssystem...
Meine Überlegungen: Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten. Auch fehlt mir bis jetzt ein Hinweis darauf, dass ein leeres Admin-Kennwort ein Sicherheitsrisiko (im Kontext dieses Threads) darstellt, vorausgesetzt, die nötigen Sicherheitsoptionen (z.B. die Beschränkung auf eine Konsolenanmeldung) sind aktiviert.
Wenn Secure Deskop aktiviert ist, dann erfolgt die Authentifizierung — unabhängig davon, ob es nur eine Bestätigung oder eine Eingabe von Benutzername+Kennwort ist — in einem für sonstige im Benutzerkontext laufenden Prozesse unerreichbaren Bereich. Für mich sieht es also so aus, dass wenn man die Authentifizierung mit einem leeren Kennwort kompromittieren kann, kann man das auch mit dem Administrator-Bestätigungs-Modus tun. Oder nicht?
Ganz sicher, was Windows 7 angeht? Ich habe in meinem "Haushalt" drei Rechner, alle mit Win7 Prof (32 sowie 64 bit). Auf allen dreien kann ich bei einer Rechteerhöhung einen Admin wählen, der kein KW hat. Ich habe speziell diesbezüglich keine Einstellungen vorgenommen, es war schon so. Es kann höchstens sein, dass dies ein Nebeneffekt einer der anderen weiter oben erwähnten Einstellungen ist. Eine Idee, was es eventuell sein kann?
Zitat von @108012:
Also machst benutzt Du den PC nicht zum Surfen (Datenautobahn) und nicht für Email (Straße)!
Das Beispiel mit dem Fahrrad habe ich nur benutzt, um das Prinzip der Nicht-Agreifbarkeit zu verdeutlichen. Ein direkter Vergleich mit dem Netzwerkverkehr ist hier, meiner Meinung nach, nicht ganz geeignet, wenn auch möglich. Und für den Zugang zu meinem Rechner (Fahrrad) vom Netzwerk aus (auf der Straße) habe ich ein Adminkonto mit einem starken KW (Monsterschloss), s.o.Also machst benutzt Du den PC nicht zum Surfen (Datenautobahn) und nicht für Email (Straße)!
Zitat von @108012:
Bequemer mag es sein, aber sicherer eben nicht, egal wie lange es dauert, es muss eben geknackt werden und auch vorher belauscht werden!
Kennst du ein Beispiel, bei dem "schwierig, aber knackbar" besser ist als "nicht angreifbar"?Bequemer mag es sein, aber sicherer eben nicht, egal wie lange es dauert, es muss eben geknackt werden und auch vorher belauscht werden!
Zugegebenermaßen müsste die Nicht-Agreifbarkeit eines Benutzerkontos mit leerem KW erst noch erwiesen werden, aber bis jetzt bin ich auch noch nicht vom Gegenteil überzeugt werden. Sollte es sich herausstellen, dass ein leeres Kennwort von einem Angreifer dazu ausgenutzt werden könnte, um Adminrechte zu erlangen, dann hättest du natürlich Recht, aber nur dann. Um dieser Frage nachzugenen, habe ich diesen Thread auch gestartet.
Grüße
format-c
Ok, ein paar Antworten dazu und auch ein paar Fragen, diese zuerst:
Aber jetzt erklär bitte auch, was es denn bringen soll die Konten zu trennen, wenn man es verwendet, wie Du, nämlich beide Konten in einer Session. Ich bin mir sicher, dass es gegenüber dem Login als Admin mit eingeschalteter UAC keinen Vorteil hat.
wenn man sieht auf welch wackeligen Füßen die Sicherheit von Windows steht
Was aus dem Artikel lässt diese Schlussfolgerung zu?Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten
Ich dachte bis jetzt, das stünde auch nicht zur Debatte, deshalb schrieb ich, dass der Bestätigungsmodus kaum echte Nachteile bringt - dass er keine zusätzliche Sicherheit bringt, ist doch sonnenklar.Ganz sicher, was Windows 7 angeht? [Anmerkung von DWW: bezogen auf runas/UAC und leere Kennwörter]
Du musst unterscheiden zwischen der runas.exe und der UAC-Abfrage. Runas läuft Default nicht mit leeren Kennwörtern, die UAC-Abfrage jedoch, wie Du festgestellt hast, schon. Und, wie Du richtig festgestellt hast, diese kann in Standardeinstellungen nur interaktiv bestätigt werden - kein böses Skript kann die mal so eben wegklicken. Du hast also vollkommen Recht, außer am Konsolenlogin, den Du per se ausschließt, wäre das leere Kennwort auch nicht ausnutzbar und Deine Annahme, ein leeres Kennwort wäre für Deinen Fall kein Nachteil komplett richtig, sofern Du für runas und administrative Remotezugriffe und geplante Tasks ein weiteres administratives Konto (diesmal) mit Kennwort bereithältst (sofern Du diese Dinge überhaupt brauchst).Aber jetzt erklär bitte auch, was es denn bringen soll die Konten zu trennen, wenn man es verwendet, wie Du, nämlich beide Konten in einer Session. Ich bin mir sicher, dass es gegenüber dem Login als Admin mit eingeschalteter UAC keinen Vorteil hat.
Was aus dem Artikel lässt diese Schlussfolgerung zu?
Z.B. das hier:Interestingly, UIPI implementation is a bit “unfinished” I would say… For example, in contrast to design assumption, on my system at least, it is possible for the Low integrity process to send e.g. WM_KEYDOWN to e.g. open Administrative shell (cmd.exe) running at High IL and gets arbitrary commands executed.
Aber der Artikel ist ja schon ein paar Jährchen alt, vielleicht besteht dieses Risiko mittlerweile nicht mehr.Mir ist auch klar, dass Windows (im Auslieferungszustand) nicht gleichzeitig alle Interessen bedienen kann: die von sicherheitsbesessenen Paranoikern; die von 0815-Usern, die einen PC nur als eine "Schreibmaschine mit MP3-Player" nutzen, und die von Managern im Vorstand von MS. Erst in den Händen eines Systemadministrators wird es zu einem "reifen" Betriebssystem. So finde ich z.B. die von der Authorin vorgeschlagene Lösung mit einem eingeschränkten Installer-Konto nicht schlecht.
Zitat von @format-c:
Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten.
Damit wollte ich nicht sagen, der Administrator-Bestätigungs-Modus sei weniger sicher, sondern warum ich keinen akuten Handlungsbedarf sehe, auf ihn umzusteigen, wenn es bei mir auch anders läuft. Das aber soll wiederum nicht heißen, dass ich ewig daran festhalten will, mehrere Konten zu benutzen.Ich konnte — auch in dem Artikel — noch keinen Hinweis darauf finden, dass die Arbeit am PC im Administrator-Bestätigungs-Modus mehr Sicherheit bringt als eine Trennung in unterschiedliche Benutzerkonten.
Du musst unterscheiden zwischen der runas.exe und der UAC-Abfrage.
Hab wieder was gelernt. Ich meine nicht, dass runas und UAC-Abfrage nicht das Selbe ist — das war mir vorher schon bewusst. Dass runas sowohl auf XP, als auch auf den nachfolgenden Betriebssystemen by-default nicht mit leerem Kennwort funktioniert, wusste ich auch. Aber, dadurch, dass ich es nach XP nie wieder benutzt habe, habe ich erst jetzt entdeckt, dass auch das "Ausführen als..." (also das GUI) unter Win7 nicht ohne KW geht. Was eigentlich auch logisch ist, denn da erfolgt die Autorisierung nicht auf dem Secure Desktop.Aber jetzt erklär bitte auch, was es denn bringen soll die Konten zu trennen, wenn man es verwendet, wie Du, nämlich beide Konten in einer Session. Ich bin mir sicher, dass es gegenüber dem Login als Admin mit eingeschalteter UAC keinen Vorteil hat.
Speziell in meinem Fall (nur User und Admin) bringt die Aufteilung keinen Vorteil. Ich nutze sie eher aus historischen Gründen. Zu der Zeit, als ich von XP auf Win7 (Vista habe ich übersprungen) umgestiegen bin, habe ich mich mit dieser Thematik (UAC und Rechteerhöhung) noch nicht genug ausgekannt, um eine bewusste Entscheidung zu treffen, auf das "neue" Konzept umzusteigen. Bin halt etwas dickköpfig.Dennoch kann die Aufteilung in mehrere Konten nützlich sein. Nämlich, wenn man es auf die Spitze treibt und für unterschiedliche Aufgaben am PC entsprechend unterschiedliche Accounts benutzt, wie es die Authorin des Artikels demonstriert. Jedenfalls hat man davon einen ähnlichen Effekt wie durch Schotten in einem Schiff — Schadenbegrenzung. Ob das normal oder sinnvoll ist, steht auf einem anderen Blatt.
Versteht mich bitte nicht falsch. Ich möchte niemanden davon überzeugen, dass das, wie ich es mit den Admin-Konten handhabe, eine optimale bzw. empfehlenswerte Lösung sei. Ich wollte — halb aus Vorsicht, halb aus Neugier — nur wissen, welche mir bis dato nicht bekannte Risiken, das Fehlen eines Kennwortes beim Administrator birgt. Und dazu wollte ich eure professionellen Meinungen einholen.
Ich könnte ja auch meinem Benutzerkonto einfach wieder Adminrechte geben und ab heute im Administrator-Bestätigungs-Modus arbeiten. ... Ich sag' mal: Ich werd's mir überlegen.
Die Frage möchte ich aber noch nicht als gelöst markieren, denn die Sache mit der Sicherheit ist ja die, dass man sich nie ganz sicher sein kann.
Grüße
format-c
Kann ich alles gut nachvollziehen und der Thread war mit Sicherheit sinnvoll.
Zu UIPI kann man eigentlich schon fast schmunzeln - es ist offenbar nicht eben leicht, zu erfahren, ob diese Designschwäche noch besteht (bzw. ob sie je bestand, auch Starhacker Joanna macht Fehler). Immer wieder, wenn's ans Eingemachte geht, wird die Luft dünn und die Personenkreise, die mit Erfahrung und gesichertem Wissen aufwarten können, sind schwer zu finden. Ich kann es Dir nicht beantworten.
Zu UIPI kann man eigentlich schon fast schmunzeln - es ist offenbar nicht eben leicht, zu erfahren, ob diese Designschwäche noch besteht (bzw. ob sie je bestand, auch Starhacker Joanna macht Fehler). Immer wieder, wenn's ans Eingemachte geht, wird die Luft dünn und die Personenkreise, die mit Erfahrung und gesichertem Wissen aufwarten können, sind schwer zu finden. Ich kann es Dir nicht beantworten.
