Windows XP Pannenhilfe
von: PC Magazin Redaktion
Franzis, 2006
ISBN: 9783772329661
Sprache: Deutsch
349 Seiten, Download: 7925 KB
Format: PDF, auch als Online-Lesen
6 Benutzerkonten verwalten (S. 206-207)
6.1 Sichern der Windows XP Kontendatenbank
Windows XP legt von jedem Benutzerkonto und dessen Passwort einen HASH-Wert an. Windows verschlüsselt Benutzerkonten mit Passwörtern in der Sicherheitsdatenbank SAM im Verzeichnis C:WindowsSystem32Config. Internet-Tools erleichtern es Hackern, diese Datenbank zu knacken und auf Benutzerpasswörter zuzugreifen. Sie schaffen hier Abhilfe, wenn Sie zusätzlich EFS (Encrypting File System) XP einbinden. Um die Dateiverschlüsselung für die Passwort-Datenbank zu verwenden, benutzen Sie ein Tool von Microsoft. Über START/Ausführen/Syskey wählen Sie die Option Verschlüsselung aktiviert. So verschlüsseln Sie die SAM-Passwort-Datenbank per EFS zusätzlich und schützen sie vor unberechtigtem Zugriff. Einmal aktiviert, lässt sich die Verschlüsselung aber nicht mehr zurücknehmen, was ja aber auch nicht notwendig ist.
6.2 Vorsicht beim Ändern des Benutzerkennworts
Wenn ein Benutzer sein Benutzerkennwort ändert, verliert XP an Sicherheit. Der zweite HASH-Wert (LMHash – Lan-Manager Hash) wird ausschließlich in Großbuchstaben gespeichert, was einem Passwort-Hacker entgegen kommt, da sich die zu knackenden Passwortkombinationen dramatisch verringern. Mit einem Eingriff in die Registry lässt sich dieses Relikt aus Windows-3x-Zeiten deaktivieren. Öffnen Sie den Registry-Editor und navigieren Sie zu dem Schlüssel: HKEY_LOCAL_MACHINESystemCurrentControlSet ControlLsa. Klicken Sie in der rechten Fensterhälfte doppelt auf den Eintrag nolmhash und vergeben Sie den Wert 1. Nach einem Neustart speichert Windows bei der Änderung eines Benutzerkontos das Passwort einfach.
6.3 Anlegen eines versteckten Administratorkontos
Unter Windows XP können Sie verschiedenste Benutzerkonten mit eigenen Profilen und Zugriffsrechten anlegen.
Wenn Sie sich als Administrator ein spezielles Systemkonto anlegen möchten und dieses in den Benutzer-Anmeldedialogen nicht sichtbar sein soll, so können Sie wie so oft über die Registry eingreifen. Mit einer undokumentierten Registry-Einstellung verstecken Sie ein ausgewähltes Benutzerkonto.