[mighty]

Gibt es eine Möglichkeit das Auslesen von "HKEY_LOCAL_MACHINE\Security\Policy\Secrets" zu verhindern, oder anstatt einer Passworteingabe gibt es vielleicht eine alternative Authentifizierung zum login? Kein Fingerprint!

Durch diverse Methoden ist es möglich die SAM Files zu überschreiben oder zu editieren (%systemroot%\system32\config).
Gibt es eine Möglichkeit dies ebenfalls zu verhindern?
Und jetzt keine Tipps vonwegen Autostart im Bios von CD/DVD-Laufwerken auszustellen.

Info: Windows XP SP2

[schrämp]

Biospasswort

so kommt man garnicht erst zum auslesen der Registry

ja, kann aber auch umgangen werden, aber dazu müsste man sich an der HW zu schaffen machen *g*

[ShadowHunter]

Du kannst ueber die Benutzerkontenverwaltung zumindest innerhalb der Registry die Rechte anpassen, damit nur Admins noch da rankommen. Ihnen kannst es theoretisch auch sperren, aber mit Adminrechten kannst du dir leicht das Recht wieder holen es anzupassen.

Biospasswort -> Werkspasswort -> Bringt nur beding was!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 06. Oktober 2007 - 15:51

[schrämp]

das mit den Werkspasswörtern ist auch nicht so wie man sichs vorstellt

schonmal probiert?

also ich habs schon das eine oder andere mal probiert und kann dir sagen es hat kein einziges mal funktioniert

und zb bei Dell da ist das Masterpasswort, ein String den die irgendwie aus der Gerätenummer generieren/errechnen

bevor da einer das Masterpasswort hat und angenommen es funktioniert auch, macht er eher das Case auf und nimmt die Batterie kurz raus

[ph030]

Wer genau an diese Daten ran will, weis in der Regel wozu sie gut sind und was er/sie damit vorhat. Ergo, es lässt sich nicht verhindern, wenn Zugriff auf die Hardware besteht - ausser man verschlüsselt die komplette Win-Partition. Wenn's natürlich über's Netzwerk passieren soll, helfen die alten Prinzipien.

[mighty]

Zitat (Hinterwäldler: 06.10.2007, 20:29)

Unter Windows kannst du die Fragestellung vergessen. Es gibt keine Möglichkeit. Das BIOS-Passwort wäre noch eine, aber wer sich auch nur ein klein wenig mit der Materie auskennt, hat schon den Zugang.

Ist einfach lächerlich, in 5 sekunden umgangen.

Zitat

Einzig ein Container von TrueCrypt oder GPG wäre eine Lösung. Aus unerfindlichen Gründen gibt es Datenverluste und Verluste der Passworte enMasse. Für Otto Normalo also auch keine Lösung. Die Startpartition derart abzusichern bedeutet, das du mit totalen Datenverlust rechnen musst. Dann kann dir auch keine LiveCD mehr helfen. Du brauchst nach einem derartigen Ereignis auch keine Fragen mehr stellen. Keiner von uns hat eine Kristallkugel

Bist schon nen lustiges Kerlchen.

Zitat

Wenn du ein sicheres System haben willst, so mußt du dich mit Linux abgeben. Dort sind viele Sichheitsprobleme, welche unter Windows Gang&Gebe sind, von Haus aus nicht existent. Das beginnt schon damit, das du jede Installation einer Software mit deinem Admin-Passwort bestätigen musst.

Na Mensch was ganz neues, hab aber nicht nach einem alternativen Betriebsystem gefragt.

Zitat

Hast du so wenig Vertrauen zu den Regulars dieses Brettes?

Hat ja auch viel mit Vertrauen zu tun, Batterie raus und rein. Funktioniert gut, so gesehen vertraue ich dem Mechanismus.

Und nun jemand vielleicht mit konstruktiven Vorschlägen. Oder war der Login noch nie als Schutz geplant, und somit wäre das Passwort eigentlich überflüssig, oder soll es wie der MAC Filter eine Art pseudo Schutz gegen den Otto sein?.

[ShadowHunter]

Hast du dir meinen Vorschlag mal angeschaut?

[mighty]

Naja wenn ich das Login Passwort vom Admin lösche per BootCD die ich ja auch locker lesen und starten kann, weil das Biospasswort ja kein Hindernis darstellt, bringt mir das ja leider wenig, weil ich ja dann das Passwort wieder lesen, verändern kann.

[ph030]

Solange du nicht sämtliche DVD-Laufwerke komplett entfernst, die USB-/Firewire-Anschlüsse und alle bis auf einen IDE bzw. S-ATA-Port schrottest, ist ein Angriff auf die Hardware möglich. Punkt.
Da das wahrscheinlich nicht praktikabel für dich ist, bleibt dir, das ganze System zu verschlüsseln oder die Kiste in einen Safe einzubauen.

Desweiteren, verunglimpfe bitte nicht andere Leute, weil du ihre Beiträge nicht verstehst - und ja, du hast ihn nicht verstanden, sonst hättest du nicht weiter gefragt.

[ShadowHunter]

Sprich du hast immernoch den Fall, dass einer mit Adminrechten an das Windowssystem rankommt? richtig? Dann is eh sogut wie alles irrelevant. Das einzige bleibt den Zugriff zu verhindern oder komplett zu verschluesseln.

[schrämp]

im Prinzip kannst du davon ausgehen das es keinen wirklichen Schutz gibt wenn physischer Zugang besteht, ein Grund warum man die wichtigen Dinger in Firmen wegsperrt

selbst Linux ohne ein gepasswordetes grub ist mit ein bischen edit mode im Bootmenu, mit root access für jedermann zu rechnen, d.h. Verschüsseln und mit was du da zu rechnen hast hat dir ja Hinterwäldler schon ausführlichst erklärt