Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Adminhack im Umlauf - und der geht sogar!

Frage Microsoft

Mitglied: MrMiffy0812

MrMiffy0812 (Level 1) - Jetzt verbinden

04.04.2009, aktualisiert 13.04.2009, 12993 Aufrufe, 18 Kommentare

Habe einen admin Passwort Hack bei myvideo.de gesehen, unglaublich!

Bin echt fassungslos! Da wird in einem Video auf myvideo.de (genau: http://www.myvideo.de/watch/5601592/Admin_PW_hacken_mit_XP_Vista ) gezeigt, wie man mit Bordmitteln und ruckzuck sprich net user auf cmd.com das Admin Passwort neu vergeben werden kann. Mein 12jähriger hat ihn ausprobiert und ich habe das auf zwei Rechnern mit passwortgeschützten Admin-Accounts nachvollzogen. Funktioniert - das gibts doch nicht!
Ich will nicht die Einzelheiten aufzählen, und wahrscheinlich ist diese Lücke in Fachkreisen schon längst bekannt, aber fragen möchte ich denn doch mal:
Wie kann man denn einen XP-Rechner so schützen, dass das nicht mehr möglich ist? (Außer Umstieg auf Linux)
Das ganze ist wahrsch. ein undokumentierter Befehl, aber das Ding ist, dass es funktioniert!

So, ich hoffe, ich fliege hier nicht gleich wieder raus, nur weil ich auf kompetenten Rat in einer kniffligen Angelegenheit hoffe. Meine Google Suche hat dazu übrigens nur Hinweise erbracht, wie man das noch hacken kann. Ich möchte aber bitte gerne das Gegenteil!

Vielen Dank für jeden ernst gemeinten Beitrag!
Mitglied: Dani
04.04.2009 um 23:34 Uhr
Hi MrMiffy08,
auf diese Art ein Passwort zu ändern, ist kein Hack oder Bug sondern ein Feature!

Vorraussetzung ist, dass der aktuelle eingeloggte Account Administratorrechte bzw. erweiterte Rechte hat. Somit hat er die Möglichkeit, jedem Benutzer ein neues Passwort zugeben. Ist in etwas das Gleiche wie über die Computerverwaltung - eben auf Konsolenebene.

Du kannst das einfach ausprobieren: Gebe einen Benutzer das Recht "Hauptbenutzer" und versuche nach ab- & anmelden das Passwort vom Admin zu ändern. Dann wirst du feststellen, dass dir die Rechte dazu fehlen.

In deinem Fall solltest du deinem Sohn einfach die Rechte einschränken. Vorher aber noch das Adminpasswort erfragen bzw. ändern lassen. Sonst siehts düster aus!


Grüße,
Dani
Bitte warten ..
Mitglied: MrMiffy0812
04.04.2009 um 23:53 Uhr
Hallo dani,

danke für die super schnelle Antwort!
Ok, das ist verstehbar, sein Account hat leider auch (noch) admin-Rechte. Trotzdem verstehe ich nicht ganz, warum ein Admin den anderen aussperren können darf. Dumm dass es keinen sog. Super-Admin Acc. gibt....
Die Admin-Rechte muss ich ihm wohl klauen. Schade dass es kein Zwischending gibt, sowas wie Benutzer mit erweit. Rechten, aber ohne Admin-Rechte. Also Programme installieren ja, aber Systemzeit verstellen, Benutzerrechte manipulieren usw. nein. Oder soagr genau definierbar, was er kann und was nicht. Oder kenn ich das nur nicht? (Wahrschenlich)
Bitte warten ..
Mitglied: Dani
04.04.2009 um 23:59 Uhr
Tja...das ist die Windows-Logik. Die muss man nicht verstehen...
Einen SuperAdmin-Account wie es bei Linux ist, gibt es bei Windows nicht - mal nicht in den 0815 Umgebungen.

Oder soagr genau definierbar, was er kann und was nicht. Oder kenn ich das nur nicht?
Mit Hauptbenutzerrechte darf ehr schon viel aber Installationen sind selten drin. Wenn du WindowsXP Professional hast, kannst du über die Lokalen Sicherheitsrichtlinien in der Verwaltung anpassen.


Grüße,
Dani
Bitte warten ..
Mitglied: MrMiffy0812
05.04.2009 um 00:30 Uhr
Ja ich habe eine Prof. - da werde ich mich mal rein vertiefen, wie man die lokalen Sicherheitsreichtlinien genau anpassen kann.

Auf jeden Fall vielen Dank für die Tipps!
Bitte warten ..
Mitglied: maretz
05.04.2009 um 08:06 Uhr
Wie möchtest du das sperren? Wenn ich der Admin eines PCs oder eines Netzwerkes bin - dann muss ich die Passwörter von jedem auf meiner (oder unterliegender) Rechteebene ändern können. Genauso wie das Löschen von anderen Admins und Benutzern -> was machst du sonst wenn ein Admin kündigt?

Fatal wäre es wenn es nicht geht -> da dann jeder Admin im Netz auch immer gleich alle Rechte benötigt (z.B. wenn du im Netzwerk "lokale" Admins für PCs hast) und ich dieses nicht dem User zuweisen könnte. Denn damit verliere ich dann die Option zu prüfen wer was gemacht hat...

Unter Linux ist das übrigens auch nicht anders.. man kann durchaus einen User mit root-Rechten erstellen -> und dieser kann dann auch das root-Passwort ändern. Deshalb gibt man diese hohen Rechte ja auch nur an Leute denen man soweit vertrauen kann das man weiss das die das nicht mißbrauchen...
Bitte warten ..
Mitglied: 16568
05.04.2009 um 09:49 Uhr
Davon mal abgesehen, es gibt tatsächlich (mehr als nur) eine Möglichkeit, sich auf XP/Vista Systemrechte zu verschaffen.
(für die, die nicht wissen, was das ist: das ist eine Stufe höher als Admin...)
Und nein, das kann man nicht reparieren, sonst würden gewisse Sachen unter Windows nicht mehr funktionieren...


Lonesome Walker
Bitte warten ..
Mitglied: Gagarin
06.04.2009 um 08:15 Uhr
Die Logik ist doch hier relativ gut zu erkennen. Als Admin bin ich Admin und der hat nun mal nicht unbedingt alle Rechte um alles zutun aber er hat die notwendigen Rechte um eben dieses zu aendern. Und dazu gehoert eben auch das Passwort jedweden Users zu aendern.

Ebenso kann der Admin fuer jede Datei/Ordner den Besitzer aendern.
Das ist definitv kein Hacking sondern genauso von MS vorgesehen. Warum auch nicht?

@ Lonesome Walker
Nicht eine Stufe hoeher, sondern andere Rechte

Und ja, es ist moeglich hoehere Rechte zu erlangen, bei einer gepatchten Maschine aber eher komplex.
Bitte warten ..
Mitglied: 16568
06.04.2009 um 09:29 Uhr
Zitat von Gagarin:
@ Lonesome Walker
Nicht eine Stufe hoeher, sondern andere Rechte
Dem Niveau dieses Forums entsprechend passt eine Stufe höher...

Und ja, es ist moeglich hoehere Rechte zu erlangen, bei einer
gepatchten Maschine aber eher komplex.
Echt? Na dann solltest Du Dir besser nicht wünschen, mich als Pen-Tester in Deiner Firma vorzufinden...


Lonesome Walker
Bitte warten ..
Mitglied: Gagarin
06.04.2009 um 09:34 Uhr
Wenn du die entsprechende Sicherheitsueberpruefung haettest wuerde ich dich ja gerne mal Einladen und dir hier alles zeigen Das waere sicherlich hoechst interessant. fuer dich. Allerdings hat das hier eher weniger mit dem Thema zu tun.
Bitte warten ..
Mitglied: lifeadmin
06.04.2009 um 09:56 Uhr
Hi,

Unter Passwort Hack verstehe ich, sich Zugang zu einem Rechner zu verschaffen, ohne zu Beginn die Admin Rechte zu haben . Dazu gibt's auch verschiedene Methoden ...

Und es wird nicht lange dauern, bis Dein Filius auch dazu was gegoogled hat. Also immer schön auf der Höhe der Zeit bleiben, um Deinem Filius einen Schritt voraus zu bleiben ....

... => Es gibt keine 100 %ige Sicherheit. Also was bleibt: organisatorische, vertrauensbildende, erzieherische Maßnahmen treffen und ethisches Bewußtsein schärfen...

Um Deine vertraulichen Daten auf Deinem Rechner zu schützen, würde sich vielleicht noch die Verschlüsselung von Verzeichnissen oder Dateien anbieten.
Bitte warten ..
Mitglied: lifeadmin
06.04.2009 um 10:01 Uhr
Nachtrag: Auch unter Linux ist das Zurücksetzten des Root Passworts mittels Rescue CD möglich!
Bitte warten ..
Mitglied: Flash600
07.04.2009 um 10:54 Uhr
Hi!

ich gebe lifeadmin recht.
Also wenn das ein Hack sein soll, dann wäre ich auch ein Hacker und sicher viele Systemadministratoren auch
Kann sogar in einer Domäne die Passwörter aller Benutzer mit einen einzigen Befehl ändern (adminrechte logischerweise vorausgesetzt):

dsquery user|dsmod user -pwd [password]

Und bei Linux benötigt man nicht mal unbedingt eine Live-CD, falls Grub installiert ist und die Passwortabfrage deaktiviert ist.
Bitte warten ..
Mitglied: Ioan
08.04.2009 um 16:32 Uhr
hallo MrMiffy08,

such in google nach mbsa 2.1 -> download -> setup ausführen -> programm aufruff-> ergebnise lesen.
da steht alles drin was bei dir falsch ist.

gruß ioan
Bitte warten ..
Mitglied: spacyfreak
09.04.2009 um 23:02 Uhr
..was sagt er dann wenn er erstmal mitkriegt was für richtig fiese tools es so gibt.
Nichts ist wie es scheint... unter Umständen.
Mit Adminrechten ein PW zu ändern ist ja nun echt keine Kunst, nichtmal der Hauch eines "hacks".

Doch man muss auch nicht gleich in Panik verfallen.
Autofahren birgt auch Risiken, trotzdem steigen wir jeden Tag ein.
Bitte warten ..
Mitglied: MrMiffy0812
11.04.2009 um 12:44 Uhr
Hallo, danke für die weiteren Antworten, auch wenn ich meine Sorge von einigen Erstellern nicht ganz ernstgenommen fühle.
Wenn das alles so völlig trivial ist, nehme ich natürlich meinen anfänglich erbosten Begriff "Hack" zurück.

Meine Kritik an der XP-Rechtevergabe geht jedoch nach wie vor dahin, dass Programme installieren für mich als nicht soo schwerwiegend gilt ( sonst wäre ich jeden Tag mind. einmal am Rechner des einen oder anderen Kindes beschäftigt) wie das Verstellend der Systemzeit oder Abschalten des Virenscanners anderer Dienste oder eben das Ändern eines Admin-Passwortes.
Ich finde nach wie vor sinnvoll für die Belange von Eltern, Admin. bzw. Benutzerrechte stufenweise/spezifisch vergeben zu können sinnvoller als dieses alles oder nicht-Prinzip, das hinter den XP-Rechten steht. Von daher bin ich für den Beitrag von dani dankbar, der mir erklärt dass ich Sicherheitsrichtlinien spezifisch ändern kann.
Und auch klar: vertrauensbildende Maßnahmen usw. man redet sich ja so schon den Mund fusselig über Accounterstellungen bei WoW und anderem.
Ja, ich habe mir auch schon die Salfeld KiSi 2008 angesehen, das finde ich nicht schlecht, aber es funktioniert nicht fehlerfrei. Wir haben es jedenfalls wegen zahlreicher Probleme wieder runter genommen, die Richtung ist aber schon korrekt.

Und klar ist mir klar, dass es LKA-CDs gibt und man auch unter Linux, wenn man will alles mögliche ändern kann. Ich finde nur, es sollte nicht ganz so leicht sein, oder?

Grüße MrMiffy0812
Bitte warten ..
Mitglied: Schalterschorsch
13.04.2009 um 09:39 Uhr
@ mrmiffi
Ich will mal sehn wie sie gegen eine AES- 256- Bit - Verschlüsselung der Platte ne CD reinschieben :>

Das kann man auch mit truecrypt realisieren und da habe ich schon ein paar mal erfahren das nach einem guten Jahr die Platten aus einem "Labor" der Polizei wiederkamen.

Mehr als die Cracker können kann das dolle BKA auch nicht und das die sich den roadrunner aus Los alamos mal eben für ein paar Jahre für eine Platte zu cracken borgen ist auch ein wenig utopisch - allein wenn sie den Stromverbrauch von glaub 400 $/std bezahlen müssten ^^.
Man kann ne kiste so sicher machen das es erst mit nem Quantencomputer in diesem Jahrhundert noch was zu sehn gibt.
Also in meiner Firma hatten wir schon 2 Spezikunden die gesagt haben das das win- pwd hätte win selbst reingemacht und blub xD

Auch bei vista haben die Programmierer die alten ntlm- hashes verwendet, keine neuen salts oder sowas neumodisches wie md5 hinzugefügt.


Das kann man nur umgehen, indem man die Anmeldung auf eine Domäne verlagert und den server so sichert das da keiner einfach die Kiste neu booten und ne cd reinschieben kann.
So hat man dann wenigstens user, die etwas sicherer sind.
Dani - 13.04.2009 12:47 Uhr
Bitte um Beachtung der Forenrichtlinien! Ich habe den Kommentar entsprechend verändert...
Bitte warten ..
Mitglied: 16568
13.04.2009 um 12:27 Uhr
Das was Du da oben schreibst, kommt schon einer Crack-Anleitung gleich.
Brauchen wir hier nicht, Mod verständigt.

Zitat von Schalterschorsch:
Die rainbowtables die auf der cd sind sind schon recht umfangreich,
wenn das nicht reicht kann man sich die ganzen tables fix per torrent
laden.

Klaaaar, die sind ja auch SOOOO schnell gezogen *facepalm*


Lonesome Walker
Bitte warten ..
Mitglied: Dani
13.04.2009 um 12:51 Uhr
Hi @all,
ich habe mir erlaubt, den Kommentar von "Schalterschorsch" entsprechend zu verändern, so dass dieser nicht mehr gegen die Forenrichtlinien verstößt! In wie weit das stimmt oder nicht, brauchen wir nicht diskutieren! Bitte in Zukunft daran denken und vllt. doch nochmal die Regeln lesen.

Des Weiteren denke ich ist die Problematik / Frage von MrMiffy0812 beantwortet. Daher schließe ich den Beitrag und schiebe ihn ins Archiv.


Grüße,
Dani (Editor)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...