Windows ein wenig sicherer machen
von caschy | 21 Kommentare
TrueCrypt, BitLocker und wie sie alle heißen: Verschlüsselungs-Software für euer Windows. Wer damit nicht umgehen kann oder der Meinung ist, diese Software nicht nutzen zu müssen, der kann unter Umständen die sprichwörtliche Arschkarte gezogen haben. Denn es ist scheinbar sehr beliebt, sich in andere Accounts einzuloggen. Ich sehe das immer an den Fragen, die in Beiträgen von mir zum Thema Windows 7 Passwort umgehen oder Windows 7 Passwort knacken kommen.
Da werden Ausreden erfunden, da reisst es mich manchmal fast vor lachen vom Stuhl. Passwörter vergessen, Papa hat es 2 x falsch eingetippt und und und. Ich bekam sogar schon Anfragen, ob ich per Telefon helfen könne weil eine Dame der Meinung war, ihr Freund würde sie betrügen – und der olle Caschy sollte am Telefon erklären, wie man sich in den Account einloggen kann. Ja ne – is klar!
Nun aber der kleine Tipp, um es den Schnüfflern nicht ganz so einfach zu machen. Passwörter werden in der SAM (Security Account Manager) gespeichert – und die meisten Tools umgehen diese, beziehungsweise lesen die SAM aus. Also sollte man eine zweite Barriere einbauen und die SAM verschlüsseln. So geht es:
WIN+R drücken (oder Start – Ausführen) und syskey eingeben. Danach erscheint das Fenster aus dem ersten Screen. Hier einfach mal Aktualisieren wählen:
Hier könnt ihr ein eigenes oder ein generiertes Passwort für die SAM festlegen. Die Passwortabfrage erscheint vor der Abfrage nach dem Benutzer. Ist die SAM verschlüsselt, dann nützen Tools wie ntpasswd auch nichts. Speichert den Schlüssel ruhig lokal – oder vertraut ihr etwa Disketten? 😉 Habt ihr das getan, müsst ihr halt 2 x ein Passwort eingeben. Entscheidet selbst, ob es euch das wert ist.
Also: den Computer vor neugierigen Augen schützen ist keine Raketenwissenschaft. Bei Laptops kann man auch gerne ein BIOS-Passwort setzen, da baut man die Batterie nicht so schnell aus, wie bei Desktop PCs.
Wird geladen ...
Caschy hast du vielleicht einen Link oder einen Namen deines Wallpapers?
Ist mir jetzt schon öfters bei dir aufgefallen und ich habe nämlich die kleinere Variante auf meinem iPod laufen und finde das Wallpaper ganz cool…
Vielen Dank!
Starker Artikel und danke für den Tipp 🙂
Wallpaper: http://www.dropbox.com/gallery/93354/1/Wallpaper?h=0a82c6
an die Daten des Benutzers gelangt man ja immer noch ohne weiteres von außen solange diese nicht richtig verschlüsselt sind.
Tools welche die SAM einfach so auslesen gibt es m.M. nach nicht. Denn die ist ja auch schon verschlüsselt. Es gibt höchstens tools welche die SAM mit Brute Force knacken. Aber genauso gut muss man dann halt auch die hier vorgestellte Verschlüsselung noch knacken.
Also irgendwie ist das ganze sinnlos doppelt gemoppelt. Wobei ich eigentlich sogar bezweifle dass die doppelte Verschlüsselung der SAM etwas gegen das Rücksetzen des PW ausrichtet …
Danach suche ich ja schon seit ungefähr einem Jahr!
Ich bereue es nicht im geringsten dich abonniert zu haben, wie immer herzlichen Dank, Caschy! 😀
Vielen Dank!
und ab zur Keynote 😉
hmm je mehr ich drüber nachdenke umso sinnloser ist das Ganze.
Der einzige Vorteil ist wohl der, dass jmd der wirklich an den reinen Passwort-Text kommen will 2 x Brute Force entschlüsseln muss statt 1x .
Rücksetzen des PW und Zugriff auf Daten ist trotzdem möglich. Also was soll das?
Wie Hoschi schon gesagt hat bringt das grundsätzlich nicht viel, da man die Daten auf der Festplatte auch so immer noch leicht (z.B. mit Live Linux) auslesen kann.
Aber ist so zumindest ein wenig sicherer. Unter Windows 7 ja auch schon standardmässig so konfiguriert wie ich gerade gesehen habe.
Also ich halte mich manchmal in Gegenden auf wo es gang und gebe ist in fremden Laptops zu stöbern. Ich hab mal mit meiner Webcam das Hotelzimmer überwachen lassen und stellte fest das die „Housekeepings“ genannt „Skeepies“ durchaus versuchen an meine Daten zu kommen. Dank einer Software ala „SafeGuard Easy“ scheiterten sie jedoch schon vor dem Bios 😉
Zuhause sicherlich nicht unbedingt nötig, am Arbeitsplatz oder aber im Ausland unbedingt jede Form der Verschlüsselung nutzen!
Ich bräuchte das mal umgekehrt. Also nachdem das Passwort eingegeben wurde noch eine weitere Passwortabfrage bei einem bestimmten Nutzer. Gibt’s sowas?
..so bin nach 4 Monaten Krankenhaus raus, und kann nun öfters wieder hier lesen…..fahre am WE erst man ane Ostsee entspannen…. Gruß an alle ..Miki is Back
Einzige Szenarien, weswegen sich überhaupt jemand die Mühe machen würde, wären vermutlich, weil er das Passwort noch für EFS benötigt oder für vom System völlig unabhängige Zwecke (weil die Passwörter auch woanders verwendet werden). In allen anderen Fällen braucht man es ohnehin nicht. Entweder kommt gleich eine Festplattenverschlüsselung zum Einsatz oder die Daten liegen sowieso offen rum. Diese „zusätzliche Sicherheit“ ist somit nichts weiter als ein umständliches Placebo. Es mag Brute-Force-Attacken mit Rainbow-Tables ein klein wenig erschweren. Doch wofür? Um daraus wieder Schlangenöl herzustellen?
So eine Lösung nur für einen bestimmten User würde mich auch interessieren. Das ist aber ggf. Stoff für einen weiteren Blog-Beitrag.
Gruß Adam
Wenn man das durchgeführt hat, kann man dann noch con-boot? machen?
Da schaut man grad die Apple Keynote und schon verpasst man den bisher besten Beitrag von dir…. tststs …
Ich finds immer gut – nach dem du gebloggt hattest wie ma das Passwort knackt hab ich mir gleich Sorgen gemacht. Schließlich ließt meine ganze Familie inkl. Opa Oma Onkels und Tanten mit… — schleunigst verschlüsselt…
Caschy kannst vielleicht noch das Wallpaper von
http://stadt-bremerhaven.de/windows-7-classic-start-menu
in deine Dropbox schieben? 😉
Zum Glück hat bei mir niemand außer mir Zugriff auf meine Rechner. Am besten wär ja ein Blanko-System mit Browser und Online-Login zu allen Daten und Anwendungen. Das ist wohl das sicherste System, da es keine Hardware gibt, die man doch noch manipulieren oder sogar ausbauen und dann auslesen kann! Insofern ist so ein Online-Backup auf dem eigenen Server wohl derzeit die sicherste Methode diese Daten vor fremden Zugriffen zu schützen!
Viele Brute Force Angriffe gehen auf den Lan-Manager Hashwert los.
Dessen Erzeugung kann man relativ einfach unterbinden:
1) Per Policy
2) Einfach ein Kennwort (oder soll ich lieber Passwort-Satz sagen) mit 15 Zeichen Länge verwenden. Dadurch kann der Hashwert nicht mehr angelegt werden.
Näheres dazu findet Ihr hier: http://support.microsoft.com/kb/299656/de
Schöner Beitrag, aber man sollte doch noch ein Wort zur Passwortlänge verlieren, sonst fühlen sich User mit zusätzlichem Passwort „schnecke“ sicher und wundern sich dann, dass es doch geknackt wurde. Ich persönlich halte die beschriebene Maßnahme auch für unwirksam und empfehle TC. Das ist inzwischen so leicht installiert, dass selbst mein 62-jähriger Vater nur noch vollencrypted arbeitet.
Hier vllt auch noch eine weiterer Hinweis:
http://www.datenschutz-bremen.de/technik/administration.php#Securityunten