Allgemeines Sicherheitsleck beim Booten von Windows und Anmelden von Benutzerkonten
 

Einen schönen guten Morgen!

Ich bin jetzt auf etwas gestoßen, mit dem beim Booten von Windows ein gesetztes Benutzerpasswort automatisch auf ein leeres Benutzerpasswort gesetzt wird.
Der Rechner wird dabei von einem externen Datenträger, wie z.B. CD-ROM, USB-Stick, gebootet. Auf diesem Datenträger ist dann etwas drauf, das o.g. Verhalten zeigt.
Und die Datei, die man dafür braucht kann jede Privatperson kostenfrei herunterladen. Und vor 1 oder 2 Jahren wurde das schon über 1 Million mal gemacht. Das heißt, man sollte lieber davon ausgehen, dass jemand aus dem Umfeld auch so einen Datenträger besitzt.

Meine Frage ist jetzt, kann ich Windows so einstellen, dass leere Passwörter nie akzeptiert werden?
Festplattenverschlüsselung, wie z.B. über Bitlocker auf der Festplatte und TPM-Modul, ist dabei auch völlig Sinn frei, da die Festplatte quasi beim Anmelden entschlüsselt wird.
Und Biospasswörter sind auch relativ einfach auszuhebeln.
Möglicherweise ist Bitlocker über einen USB-Stick ein Weg. Das Windows nur gestartet wird, wenn der USB-Stick am Rechner ist und das Bitlocker/TPM-Passwort bekannt ist.
Problem hier, USB-Sticks gehen schnell mal verloren und vor Defekten sind sie auch nicht sicher.
Daher nochmal die Frage, kann ich Windows so einstellen, dass keine leeren Passwörter akzeptiert werden? Und wenn ja, wie mache ich das genau?

Danke!

Hallo,

wie bitte kommst du darauf? Festplattenverschlüsselung ist hier nicht sinnfrei, denn das Livesystem kann die verschlüsselte Festplatte bzw die verschlüsselte Windows-Systempartition nicht lesen und somit logischerweise auch die Benutzerpasswörter nicht resetten!

Ich fürchte das ist der falsche Ansatz. Über die Livesystem wird das Passwort geleert, beim nächsten Booten von Windows und Login des Users verhindert die Passwortkomplexitätsrichtlinie das Anmelden, schließlich dürfen sich User mit leerem Kennwort nicht anmelden.

Das ist jetzt aber nur meine Theorie, ich hab es nicht getestet. Falls die stimmt würdest du dich damit richtig schön aus dem System aussperren.

Danke für die Rückmeldung!

Es geht hier nicht um ein "Livesystem".
Das Stichwort ist kon-boot.ISO
Dieses ISO-Image ist 576KB groß. Allein diese Größe spricht nicht für ein Livesystem.
Dieses Image brennt man entweder auf eine CD-ROM oder macht daraus, mit einem geeigneten Programm, einen bootbaren USB-Stick daraus.
Ich habe mir eine CD gebrannt, da mein Rechner das Booten von USB-Stick nicht unterstützt.
Werde den ISO-File mal anhängen, den ich gebrannt habe.
Wenn der Rechner dann von der CD gebootet wird, baut sich kurz ein großes farbliches Symbol auf dem Rechner auf und man sieht seine "normale" Anmeldemaske. Wo ich dann den Benutzer anklicke und normalerweise das Passwort eingebe.
Hier lässt man das Passwort aber frei und drückt einfach OK oder Enter. Und man ist ganz normal angemeldet.
Und man hat dann auch die jeweiligen Rechte.
Ich benutze zur Zeit Windows 7.

Ob Livesystem oder nicht ist ja jetzt völlig egal. Bei einem vollververschlüsselten System wird auch kon boot keine Windows-Partition finden können. Wenn mögest du bitte mal erklären wie kon-boot eine zB per truecrypt verschlüsselte Festplatte entschlüsseln kann ;)

Bezüglich der Verschlüsselung.
Also ich gehe von der Windows-eigenen Verschlüsselung (Bitlocker) über TPM aus. Und dort wird die Festplatte beim Anmelden entschlüsselt.
Aber mir geht es erst mal primär um das kennwortfreie Anmelden mittels Kon-Boot. Und was man dagegen machen kann. Denn das Verschlüsselungsproblem betrifft mich jetzt nicht persönlich, da kein TPM-Modul auf meinem Mainboard verbaut ist.

Ich kenn nur die Richtlinie, die das Anmelden per Netzwerk (zB Windows-Freigabe) eines Users mit leerem Passwort untersagt. Das ist standardmäßig aktiviert. Ansosnten wüsste ich nur die Möglichkeit, dass man per secpol.msc bestimmte Passwortkomplexitätsrichtlinien und -mindestlängen definiert. Ob die Kon-Boot verhindern müsstest du dann testen.

Wie wäre es wenn du ein BIOS-Passwort setzt und es so einstellst, dass es nicht von externen Medien wie Stick oder CD bootet?

BTW: Kon-Boot kann auch die Passwörter von Linux-Benutzern umgehen, mal als Denksanstoß => http://debianforum.de/forum/viewtopic.php?f=37&t=121015
Da wurde das im Debianforum auch schon durchexerziert.

Dankeschön!
Na ja, "secpol.msc" sagt mir jetzt nichts genaues. Verstehe es nur so, dass ich versuchen kann, etwas an den Verwaltungsrichtlinien zu ändern.
Verzeihung, konkret verstehe ich nur Bahnhof. Bin doch kein IT-Spezialist.
Alleine traue ich mich da gar nicht ran. Müsste das auch erst über einen Suchanbieter zusammentragen. Und ob es dann alles so stimmt, was man findet. Oder ob ich es dann richtig verstehe und umsetze, ist eine weitere Frage.
Der Rechner mit Windows läuft scheinbar z.Z. richtig gut. Und ich zerschieße mir ungern ein funktionierendes System.
Bios-Passwort und externe Datenträger als Boot-Quelle zu deaktivieren ist eine Möglichkeit.
Stellt letztendlich aber auch nur eine kleine Zeithürde dar.

Und das sich "Linux" auch so leicht überwinden lässt ist schade. Bin in letzter Zeit öfter zwischen Windows und einer Linux-Distribution hin und her gewechselt. Ich meine, ich hatte entweder komplett "Linux" oder eben Windows auf dem Rechner. Und ich habe leider die Erfahrung gemacht, dass mein PC mit Windows viel flüssiger läuft. Und das trotz einer Sicherheits-Software unter Windows. Kein Aufhängen des Betriebssystems. Und auch so kommt mir eben Windows flüssiger vor. Lag möglicherweise auch daran, dass ich 2 aktuelle Abbilder von Kubuntu 13.10 ausprobiert habe. Und diese Distribution ist ja noch in der Entwicklungsphase. Trotzdem kann ich diesen negativen Eindruck unter Linux nicht ausblenden. Vielleicht lege ich mir mal eine 2. SSD zu, nur für Linux. Oder komplett einen 2. Rechner.

Danke und Gruß

Start, Ausführen => secpol.msc

Schonmal was von Backups gehört?

Vollverschlüsselung mit Truecrypt wolltest du ja nicht wirklich hören.
Letztendes hat man aber fast immer verloren, wenn ein Agreifer physikalischen Zugriff auf den Rechner bekommt. Dann hilft fast nur noch Truecrypt, damit er an die Daten nicht rankommt. Angriffe sind aber auch da möglich => Angriff auf Truecrypt | heise Security

Lässt sich idR noch leichter überwinden. Bestimmte Einträge im GRUB-Bootmenü und man hat gleich ne rootshell, dafür braucht es kein konboot

Falsche Distro? Proprietäre Grafikkartentreiber vergessen?
Desktop-Monster wie Unity oder KDE smag ich nicht, ich verwende XFCE oder LXDE (Xubuntu oder Lubuntu)

Backups habe ich. Sogar komplette Abbilder der Festplatte (SSD).

Habe jetzt erst mal ein relativ langes Bios-Passwort vergeben, welches ich vor dem Booten eingeben muss. Und als Boot-Medium ist jetzt nur die SSD eingetragen.
Hilft aber nichts, wenn das Bios/Boot-Passwort herausgefunden bzw. überwunden wurde.
Denn, wenn ich dann über F12 sage, er soll vom CD-Laufwerk (Kon-Boot-CD liegt drin) aus booten, wird Windows dann wieder so gestartet, dass ich kein Passwort eingeben muss.
Na ja, es müsste schon jemand bei mir einbrechen, um auf meinem PC Zugriff zu haben. Ansonsten lasse ich meinen Rechner nicht unbeaufsichtigt, wenn jemand anderes da ist.

Kubuntu 13.04 lief ganz gut. Und Version 13.10 soll schon im Oktober raus kommen. Irgendwie ist das immer so ein Kompromiss bei (*)buntu, man hat relativ aktuelle Software, aber der Support und die Aktualisierungen sind nach einem halben Jahr vorbei. Und bei bei den LTS-Versionen wird glaube ich das Betriebssystem dann für 2 Jahre aktualisiert. Und man veraltete Software.

(Un)sicherheit hardwarebasierter Festplattenverschlüsselung:
hxxp://www.youtube.com/watch?v=IzE2SKVP-MQ

Jap zB CMOS Reset (die meisten Boards haben einen Jumper dafür) oder man nimmt einfach die CR2032 Knopfzelle für ein paar Minuten aus dem Mainboard.

Ist ja auch logisch, das Bootdevicemenu muss extra deaktiviert werden

Nur um dein Windows ohne Benutzerpasswort starten zu können, bricht man nicht in deine Wohnung ein
Aber prinzipiell stimmt es schon, hat man physikalischen Zugriff auf den Rechner, ist es vorbei. Dann kann eigentlich nur noch ein vollverschlüsseltes System helfen.

Lies mal richtig => Ubuntu ? Wikipedia

Allerdings werden bei den LTS-Versionen von *ubuntu nicht die ganzen drei Jahre lang alle Programm-Updates geliefert. Das Wichtigste sind natürlich die Sicherheitsupdates, und die gibt es. Aber z.B. gibt es einen kleinen Bug in dem Programm ImageMagick (mehrzeilige Bildbeschriftungen mit --caption werden nicht richtig eingepasst), der in Ubuntu 12.10 schon lange behoben ist und ich ärgere mich in 12.04 LTS immer noch damit herum.

Wer natürlich immer das neuste haben will, ist mit einer LTS natürlich nicht so gut beraten. Nur blöd, dass die Versionen zwischen den LTS-Versionen von Ubuntu nur noch magere 9 (neun!!!) Monate Support haben. Aber solange eine LTS noch unterstützt wird, heißt das nicht, dass sie veraltete Software hat.
Veraltet bedeutet für mich, "nicht mehr unterstützt" bzw EOL, so wie Windows XP ab April 2014 :D :zunge:

Ja, ich muss zugeben, "zum Beispiel" war falsch ausgedrückt. In Wirklichkeit ist das der einzige echte Bug bei 12.04, den ich bemerkt habe und der nicht behoben wurde. Und WENN ein Programm bugfrei ist und alles kann, was ich will, brauche ich auch keine neuere Version.

Entschuldigung, vielleicht suche ich an der falschen Stelle.
Bei meinem einfachen Gigabyte Z77-Mainboard (GA-Z77-DS3H) erkenne ich keine Möglichkeit, das Bootgerätemenu zu deaktivieren.
Ich habe hier unter Boot Option Prioritäten erst mal 3 Auswahlmöglichkeiten, von Boot-Option 1 bis Boot-Option 3. Bei Boot-Option 1 habe ich meine SSD eingetragen und die anderen 2 deaktiviert.
Und dann stehen darunter noch 3 Sachen Floppy-, Festplatten-, CD/DVD ROM Drive- BBS Priorities.
Bei Floppy ist mein Drucker eingetragen, unter Festplatten meine SSD und meine Backup-Festplatte. Und bei CD/DVD ROM mein CD/DVD-Laufwerk. Die Einträge bei Floppy und bei CD/DVD habe ich dann mal deaktiviert und bei den Festplatten nur meine SSD eingetragen.
Speicher ich dann alles mit F10 und starte den PC neu, sind die ganzen Deaktivierungen bei den BBS Priorities wieder draußen und mein Drucker und das CD/DVD-Laufwerk sind wieder eingetragen.
Es gibt da im Mainboard-Menu noch den Eintrag XHCI Pre-Boot Treiber. Bin mir jetzt nicht sicher, was dort genau stand. Glaube, man kann den dort nur aktivieren, deaktivieren oder auf AUTO stellen.

D.h. der Rechner kann immer noch über die Kon-Boot CD booten.

hxxp://extreme.pcgameshardware.de/mainboards-und-arbeitsspeicher/252350-werden-boot-geraete-im-uefi-biso-eeprom-gespeichert.html

Es ist nicht möglich ein 100% sicheres System zu machen. Wie hoch sind außerdem die Chancen, dass jemand in dein Haus / Wohnung gelangt, falls ich es richtig verstanden habe?

Das kann ich jetzt nur als Antwort zu geben.

Mir ist bekannt, dass es keine 100%-ige Sicherheit gibt.

Aber trotzdem bin ich auf der Suche nach möglichst einfachen, aber effektiven Möglichkeiten, den Zugriff auf auf meine Daten auf dem PC zu erschweren.
Auch wenn ich nichts Geheimes oder Wichtiges dort speichere. Es geht einfach um`s Prinzip.

Wurde jetzt schon mehrfach genannt. Da hier immer wieder auf einen Einbruch herumgeritten wird, bei dem der Angreifer physikalischen Zugriff auf den Rechner bekommt und ihn wahrscheinlich auch klaut, bleibt außer Vollverschlüsselung mit Truecrypt eigentlich nichts mehr übrig.

Dann kann's auch völlig wumpe sein von welchen Geräten der Rechner booten kann. BIOS-Passwörter und Deaktivieren des Booten von externen Geräten stellt ja eh keine Hürde da, also kann dich das nicht interessieren weil du ja einen effektiven Schutz suchst.

Danke allen soweit!

Werde mich mal über Truecrypt informieren und dann für mich entscheiden, ob das für mich etwas ist.
Nicht allein, was die Sicherheit betrifft. Sondern auch, ob sich die Performance dann merkbar verschlechtern soll.

wie wärs wenn du es einfach so lässt und nicht mehr so paranoid agierst finde das langsam krank bei manchen leuten hier^^

mfg HardStylerx3

Na, Wahnvorstellungen hatte ich jetzt keine.
Aber ich habe mich auch dazu entschlossen, alles so zu lassen wie es ist.
Danke für die indirekte Zustimmung!