Ja ein wenig möchte ich jetzt das allseits beliebte „Windows-Bashing“ betreiben. Allerdings hat das einen realen Hintergrund: es geht um ein sicherheitstechnisches Problem, dass Microsoft nunmehr bereits seit Jahrzehnten mit sich herumschleppt und bisher scheint keine Lösung in Sicht. Andererseits möchte ich ein weiteres Tool vorstellen, das bei keinem Admin in der Sammlung fehlen darf: den Offline Windows Password & Registry Editor.
Der Name verrät den Haupteinsatzzweck des Tools: „Knacken“ des Passwortes an einer Windowsmaschine. Der Programmierer liefert das Programm als CD-Image bzw. für USB-Sticks. Anwendbar für alle Windowsversionen seit NT (ja, auch Windows 8.1) und auch für alle Server-Versionen bis inklusive 2008! Und genau hier liegt mein Problem. Erweist sich das Tool für den „Hausgebrauch“ als sehr nützlich, wenn es darum geht Rechner ohne Neuinstallation wieder zugänglich zu machen, bei denen das Passwort vergessen wurde (kommt sehr häufig vor) so sehe ich eine große Gefahr im „Knacken“ von Serversystemen.
Das Tool arbeitet erstaunlich einfach und effizient:
- Booten von der CD oder dem Stick
- eventuell Laden von Treibern (meist nicht notwendig)
- Auswahl des Laufwerkes mit der Windowsinstallation (findet er meist alleine)
- Auswahl des Teils der Registry die bearbeitet werden soll
- Änderungen vornehmen (z.B. neues Passwort setzen für einen beliebigen Nutzer oder einfach Passort löschen)
- Änderungen zurückschreiben auf die HDD
- Fertig!
So einfach wie es sich liest, ist der ganze Vorgang auch. Im Zusammenhang mit einem Serversystem ein reines Horrorszenario. Ich brauche um an sensible Daten auf einem Windowsserver heranzukommen 3 Dinge:
- physischen Zugang zum Server
- das entsprechende Bootmedium
- 5 Minuten Zeit
Mehr nicht! Danach habe ich vollen Zugriff auf alle Dateien die auf dieser Maschine liegen. Das Tool funktioniert auch für den Administratoraccount einer eventuell vorhandenen Activ Directory Domain!
Einzige Einschränkung: sollte der User seine Dateien mit Hilfe von EFS verschlüsselt haben, sind diese Dateien ohne das ursprüngliche Passwort nicht lesbar …
Eine etwas ausführlichere Beschreibung der Funktionen und Workarounds zur Benutzung findet ihr auf einer der Webseiten zum Editor.
Nun, physischer Zugang zur Maschine bedeutet – unabhängig vom Betriebssystem – Zugang zu den Daten. Es sei denn, wie Du eingeschränkt hast, das Dateisystem ist verschlüsselt. Ich würde es zumindest nicht als Windows-Bashing ansehen.
Physischer Zugang bedeutet, dass ich das CD-Laufwerk öffnen und das Gerät neu booten kann. Zugriff auf die Daten und administrative Rechte bekommst du so nicht … So zumindest sehe ich das. Durch die Möglichkeit Passwort neu zu setzen bzw. zu löschen kann ich mich als Admin am System anmelden …
Bashing ist das tatsächlich nicht sondern eine Sicherheitslücke, die Windows-Syteme seit Jahren mit sich herum schleppen, ohne das Abhilfe geschaffen wird. Aufgrund der Systemarchitektur wahrscheinlich auch nicht geschaffen werden kann. Auf Workstations hinnehmbar, bei Servern eine Katastrophe …