Zurücksetzen des Administratorpasswortes verhindern

**Kernel Panic** · 04.10.2009, 15:04

Hallo zusammen!

Habt Ihr eine Idee, wie ich es sinnvoll verhindern kann, dass jemand das Adminpasswort auf unserem Windows 2003 Server zurücksetzt?

Es gibt ja so Linuxtools, die das Adminpaßwort auf leer setzen können - habe ich auch mal ausprobiert, geht, wenn ich physikalischen Zugriff auf den Rechner habe.

Jetzt frage ich mich, ob ich irgendwas verschlüsseln kann oder was anderes tun kann, um sowas zu verhindern. Habt ihr da eine Idee?

Danke im voraus.

PS.: Wäre gut, wenn das auch mit Windows XP ginge...Benutzer sind manchmal sehr erfinderisch...

**XP-Fan** · 04.10.2009, 19:56

Hi,

Zitat von Kernel Panic

Es gibt ja so Linuxtools, die das Adminpaßwort auf leer setzen können - habe ich auch mal ausprobiert, geht, wenn ich physikalischen Zugriff auf den Rechner habe.

ich frage mich gerade wie ein Benutzer physikalischen Zugriff auf
einen laufenden Server erhalten soll ?

- Server in einen sicheren Raum verbannen
- Leute welche einen solchen Versuch unternehmen ( erfolgreich oder nicht )
die Konsequenzen klar machen ( Keule bereit legen ! )

Was ist das denn für ein Unternehmen wo Mitarbeiter das AdminPW ändern mittels Tools ?

**Kernel Panic** · 04.10.2009, 21:51

Hi!

Es geht zum einen um das Prinzip: Ein System, welches ich durch Booten mit einer CD und den Einsatz einfacher Tools knacken kann, ist generell ein Sicherheitsproblem.

Zum anderen: Ja, ich habe derzeit so einen Server unter den Fittichen, bei dem ich anderen nicht so vertraue - und sicher ist sicher. Ich frage mich halt, ob ich irgendwie das System gegen solche Angriffe wappnen kann.

Theoretisch kann der Server auch geklaut werden.

Any ideas?

**HeikoBerlin** · 04.10.2009, 23:09

> Ein System, welches ich durch Booten mit einer CD
> und den Einsatz einfacher Tools knacken kann

Die Tools kannst Du nicht verhindern ..
.. also bleibt doch eher Ersteres (als "Abschreckung").
0815 Nutzer ("Neugierige") kann man schon damit aufhalten wenn das Booten von CD im BIOS deaktiviert wird und Zugriff auf's BIOS passwortgeschützt ..
.. aber mit genügend krimineller Energie und etwas Zeit/Glück wird man aber auch ein passendes Universalpasswort finden können - klick ..
Windows in einer versteckten/verschlüsselten Partition ausführen wird wohl der einzige Schutz gegen "Angriffe" von aussen sein, wenn physikalischer Zugriff besteht.

Persönl. ungetestet klingt doch z.B. BootStar diesbezügl. tauglich:

ausgeprägte Sicherheitsmerkmale für ganze Partitionen mit Kennwörtern und "echtem" Verstecken

- Sicherheitsmerkmale (Übersicht)

Na und Klassiker TrueCrypt kann wohl seit v5.0 Systempartitionen verschlüsseln und müsste auch x64 unterstützen:
Verschlüsselung von Systempartitionen

twoday · 05.10.2009, 21:38

Optische Laufwerke ausbauen, USB-Ports abklemmen; Falls noch vorhanden, auch das Floppy-Laufwerk raus. Anders ist dem nicht beizukommen, ein BIOS-Passwort ist zu schnell geknackt und die Boot-Reihenfolge umgestellt.

Kollege hat es auf die Spitze getrieben und bewusst ein defektes optisches Laufwerk eingebaut (gut, war sein Rechner, kein Server, spielt aber keine Rolle). Ergo hatte Sohnemann keine Chance mehr, weil Case mit Kensington verschlossen. ;-)

**Tilo2300** · 08.10.2009, 16:23

Zitat von twoday

(...)
Kollege hat es auf die Spitze getrieben und bewusst ein defektes optisches Laufwerk eingebaut
(...)

Das ist doch mal 'ne geile Idee

Optisches Laufwerk ausbauen ist blöd, weil dann weiß der "böse Bube", wo seine erste Hürde ist.
Aber bei einem defekten Laufwerk muß er erst mal drauf kommen, warum's nicht geht

Aber ewig hält diese Taktik natürlich auch nicht.

Zum Schutz eines Servers hilft nur, den physikalischen Zugriff zu sperren... also separater Serverraum, Stahltür, ... und natürlich dann eine entsprechend gestrickte Politik zum Umgang mit dem / den Schlüssel/n für die Tür.