Sicherheitshandbuch - Windows NT - Benutzerverwaltung
(Autor: G.Hoffmann)
Themenüberblick: Hintergrundinformationen, Werkzeuge und Standardkonfigurationen
Themenüberblick: Praktische Maßnahmen
- Passwörter
- Umbenennen der Spezialkennung Administrator
- Anlegen einer Benutzerkennung mit eingeschränkten Rechten
Hintergrundinformationen, Werkzeuge und Standardkonfigurationen
Security Account Manager (SAM)
Benutzerkennungen und Gruppen werden in der sogenannten Security Account Manager
(SAM) Datenbank gespeichert. Die SAM Datenbank ist wiederum ein Teil
der Registry und kann entweder mit den unten besprochenen Werkzeugen bearbeitet
oder über Registry-Werkzeuge eingesehen und modifiziert werden. (Run: regedit)
In der Registry ist die SAM unter den Schlüsseln
HKEY_LOCAL_MACHINE\SAMHKEY_LOCAL_MACHINE\SECURITY
zu finden.
Die Informationen unterhalb der beiden Schlüssel werden in folgenden beiden
Dateien gespeichert (hier wird davon ausgegangen, dass Windows auf dem Laufwerk
C: installiert ist):
C:\WINNT\SYSTEM32\CONFIG\SAMC:\WINNT\SYSTEM32\CONFIG\SECURITY
Security Id (SID)
Beim Anlegen eines Kontos wird jeweils eine Security-Id (SID)
erzeugt, wie z.B. S-1-5-21-1844237615-1606980848-1060284298-500
für den Account Administrator. Innerhalb des Systems werden Kennungen,
Gruppen, Computer und NT-Domänen nicht über den Namen, sondern über die
SID referenziert.
(Die SIDs sind damit in der Funktion vergleichbar mit den UIDs und GIDs bei
UNIX-Systemen.)
Werkzeuge zur Benutzerverwaltung
Windows NT 5.0
Wie viele andere Verwaltungswerkzeuge ist auch die Benutzerverwaltung im Control Panel des Windows Explorers zu finden. Sie wird über das Symbol Users and Passwords aufgerufen.
Die Dialogansicht Users bietet sehr einfache Masken zur Verwaltung von Kennungen. Leider bieten diese Masken nicht den vollen Umfang und werden deshalb an dieser Stelle nicht weiter berücksichtigt.
Ein umfangreicheres Verwaltungswerkzeug kann in der Advanced Dialogansicht über den Button Advanced gestartet werden.
Alternativ kann dieses Werkzeug direkt über die Run Dialogbox mit dem
Kommando lusrmgr.msc gestartet werden.
Mit dem Fenster Local Users and Groups ist nun die Verwaltung lokaler Benutzer und Gruppen im vollen Umfang möglich.
Benutzer
Nach einer Neuinstallation von Windows NT (beliebige Version) sind zwei in das System eingebaute Kennungen zu finden:
Im Gegensatz zu weiteren von Hand angelegten Kennungen haben diese beiden Kennungen spezielle Eigenschaften, die in diesem Abschnitt kurz gezeigt werden.
Die Eigenschaften können über den Context-Menü Eintrag Properties
der jeweiligen Kennung im rechten Teil der unten abgebildeten Benutzeransicht angezeigt werden.
Einige gemeinsame Eigenschaften der beiden eingebauten Konten
- sie können nicht gelöscht werden
- sie können umbenannt werden
- die letzte Zahl der SIDs eingebauter Kennungen sind auf allen installierten
Systemen identisch
(ähnlich bei UNIX: root hat immer die UID 0)
Eigenschaften der eingebauten Kennung Administrator
- bei einer Neuinstallation erzwingt das System leider nicht das Setzen eines Passwortes
(Hinweise dazu im Abschnitt Passwörter) - die Kennung kann nicht deaktiviert werden
- SID endet immer mit 500
(auch nach einer Umbenennung ist der Name mit relativ geringem Aufwand zu ermitteln) - die Mitgliedschaft in der Gruppe Administrators kann nicht aufgehoben werden
(ansonsten wäre es denkbar, diese Kennung nur in eine nicht-privilegierte Gruppe einzutragen und damit das Aufinden einer alternativen administrativen Kennung zu erschweren)
Weitere Eigenschaften, die nach einer Neuinstallation gelten, sind in den folgenden beiden Abbildungen zu sehen.
Eigenschaften der eingebauten Kennung Guest
Im Gegensatz zum Administrator verhät sich die Guest-Kennung fast wie eine von Hand angelegte Kennung. Eine Ausnahme ist weiterhin, dass diese Kennung nicht gelöscht werden kann. Ansonsten gilt folgendes:
- die Kennung ist nach einer Neuinstallation deaktiviert
- SID endet immer mit 501
- die Mitgliedschaft in der Gruppe Guests kann aufgehoben werden
Weitere Eigenschaften, die nach einer Neuinstallation gelten, sind in den folgenden beiden Abbildungen zu sehen.
Gruppen
Themenüberblick: Praktische Maßnahmen
Passwörter
Nach einer Neuinstallation ist das Passwort der eingebauten Kennungen zunächst nicht gesetzt und das System überlässt es dem installierenden Benutzer, ob überhaupt ein Passwort gesetzt wird oder nicht. Bei Brute-Force-Passwortattacken auf die Administrator-Kennung erweist sich das leere Passwort leider viel zu oft als einfacher Einstiegspunkt für einen Angriff.
Desweiteren sind im Ursprungszustand einer Windowsinstallation keine besonderen Eigenschaften des Aufbaus eines Passwortes gefordert. Dies erleichtert ebenfalls die praktische Durchführung von Brute-Force-Passwortattacken, da auch hier leider allzu oft einfach zu erratende Passwörter verwendet werden. Diese Eigenschaft lässt sich aber so umstellen, dass Passwörter den folgenden Anforderungen gerecht werden müssen (Q161990):
- mindestens 6 Zeichen lang
- mindestens 3 der folgenden 4 Zeichenklassen müssen verwendet werden:
- Grossbuchstaben
- Kleinbuchstaben
- Ziffern
- Sonderzeichen
- weder Benutzerkennung noch irgendeine Zeichenkette aus dem vollen Namen dürfen enthalten sein
Im folgenden wird die Umstellung für die beiden Version NT5.0 kurz beschrieben.
Windows NT 5.0
Ab Windows NT 5.0 können für Passwörter einige Eigenschaften über Richtlinien (Policies) sehr einfach eingestellt werden.
Umbenennen der Spezialkennung Administrator
Die Kennung Administrator ist ein beliebter Ansatzpunkt für Brute-Force-Passwortattacken. Allerdings lässt sich der Name ändern. Da über die SID der aktuelle Name weiterhin ermittelt werden kann, bietet das Umbenennen allerdings keinen wirklichen Schutz.
zum Seitenanfang
Navigation ausblenden
