Wie lässt sich Umgehung des Admin-PW verhindern?

[Flaxel]

Hallo zusammen,

es scheint möglich zu sein, sich mit Admin-Rechten auf einem W10-einzuloggen, ohne über das (nicht leicht zu erratende) Passwort zu verfügen. Ich will hier bewusst nicht nach den Möglichkeiten dafür forschen, sondern nach Mitteln und Wegen das zu verhindern. Ich habe zwar eine Vermutung, will die aber hier nicht öffentlich äußern.

Das Problem: In einem Verein, den ich unterstütze, tritt in einem Schulungsraum in letzter Zeit das Problem auf, dass es jemandem gelungen ist, auf zwei von fünf Rechnern das Adminpasswort zu ändern. Der dortige Administrator (besser Raumbetreuer) ist nicht vom Fach, hat aber nach eigener und glaubwürdiger Aussage das PW nie an Dritte weitergegeben. Es ist für Notfälle in einem verschlossenen Umschlag in der Geschäftsstelle hinterlegt.

Mir persönlich ist kein Weg bekannt, das Passwort von einem Standard-Benutzeraccount aus zu ändern. Vorweg: DVD und USB können nicht abgeschaltet werden. Ich leite diesen Verein und wüsste gerne, wie das in Zukunft verhindert werden kann.

Als Antwortweg schlage ich eine PM vor, denn ich möchte hier nicht dazu verleiten, eine Anleitung zum Umgehen der Barrieren zu publizieren.

[Tante Google]

[moinmoin]

Da offiziell antworte ich mal hier.
Wie wäre es damit https://www.tech-faq.net/zugriff-auf-us ... s-sperren/
Keine Ahnung wer bei euch Zugriff haben muss, daher nur als Denkanstoß gedacht.

[Piranha]

Ja - das ist eine der leichtesten "Uebungen".
Eventuell ist TPM bei dir die leichteste, schnellste und effizienteste Loesung.

@moinmoin
Sorry - deine vorgeschlagene Loesung kann keinen wirklich abschrecken, ....auch hier ein leichtes das zu umgehen.

[Mav]

kommst du den aktuell auf die Rechner drauf?
oder sind sie generell gesperrt?

[Flaxel]

kommst du den aktuell auf die Rechner drauf?
oder sind sie generell gesperrt?

Der zuständige Admin kommt mit seinem PW (dem hinterlegten) nicht drauf. Auf den zuerst betroffenen Rechner war das PW auf einen alten, bekanntermaßen "geleakten" Stand gesetzt.

[Flaxel]

Da offiziell antworte ich mal hier.
Wie wäre es damit https://www.tech-faq.net/zugriff-auf-us ... s-sperren/

Das liegt natürlich nahe, kommt in unserem Fall aber nicht in Frage. Der überwiegende Teil der über 50 Rechner des Vereins dient der Schulung von zu 90% unbedarften, absoluten Neulingen im Umgang mit Rechnern aller Art. Die Mehrheit kommt dem gemeinen Bild vom DAU recht nahe. Das ist nicht böse gemeint, denn unsere Mitglieder sind alle 65+ und viele hatten wahrend ihres bisherigen beruflichen Lebens keinerlei wirklichen Kontakt mit Rechnern, es sei denn in der Anwendung spezifischer Programme mit Hotline zur IT-Truppe der Firma. Laut Statistik sind das rund 50% dieser Bevölkerungsgruppe.

Keine Ahnung wer bei euch Zugriff haben muss, daher nur als Denkanstoß gedacht.

Wie gesagt, es sind überwiegend Schulungsrechner, also kommt im Grund jeder ran - aber mit eingeschränkten Rechten. Kursleiter gehen mit ebenso wenig Möglichkeiten ins Rennen und erhalten, bei Bedarf, für begrenzte Zeit Sonderrechte.
Vollen Zugriff haben die Admins, in diesem Raum genau einer. Generell werden derzeit unsere PC "zu Fuß" und einzeln gepflegt. Für jeden Raum gibt es einen Verantwortlichen. Es gibt keine "Heimnetzgruppe", lediglich einen Fileserver für Vollsicherungen spezifischer Rechnerkonfigurationen. Für die Benutzer sollen sich die Maschinen vergleichbar zu ihren heimischen Gerätschaften verhalten. Ausnahme: keine Installationen, "gehärtete Browser" und Abschalten möglichst aller Neigungen des betriebssystems, alle Vorgänge an "Mama" zu berichten, d.h. ausschließlich lokale Konten, also keine Cloud, kein Cortane (Ausnahme: die Rechner für Sehschwache und Blinde) und Abschalten (fast) aller Telemetrie.

Sensible Daten werden bei uns in diesem Netzsegment nicht verwaltet. USB-Anschlüsse dienen den Kursteilnehmern bei Bedarf Unterrichts- oder Übungsmaterialien zu überspielen und könnten bisher tatsächlich, zumindest nach meiner Einschätzung, relativ einfach umgangen werden.
In einigen Räumen, so auch in dem betroffenen, tauschen sich fortgeschrittenere User zu spezifischen Themen, wie z.B. Bildbearbeitung oder auch Videoschnitt aus. Auch hier spielen Daten zwar keine Rolle, der Grund meiner Unruhe ist hier die Neigung einiger Mitglieder dieser Nutzergemeinde, sich aus allen möglichen Quellen mit tendenziell verseuchter Freeware einzudecken und diese abseits ihrer privaten Maschinen auszuprobieren. Das könnte mit den richtigen Würmern im Gepäck bei uns zwar die Unterrichtsrechner lahmlegen, über infizierte Sticks bei Mitgliedern aber zu nachhaltigen Schäden führen.

Diejenigen, denen ich im Wesentlichen zutraue zu wissen was sie tun, sind ehrenamtlich und engagiert dabei und werden sich durch Aktionen dieser Art das Leben nicht selbst schwer machen. Natürlich mag es einen verdeckten Champion geben, der genug Wissen hat, um mal zu probieren was irgendwo geschrieben stand. An einen solchen Fall glaube ich hier. Es soll ja auch geniale Idioten geben (postuliert auch eine Ableitung von Murphy's Law) aber zwei Rechner in zwei Wochen sind kein genialer Zufall.

Eventuell ist TPM bei dir die leichteste, schnellste und effizienteste Loesung.

Wir haben derzeit noch keine Client/Server-Umgebung (die ist in den Startlöchern), haben aber als von Freiwilligkeit getragener gemeinnütziger Verein keinen Großsponsor, leben also von der Hand in den Mund. Ich fürchte daher, dein Vorschlag, ein Trusted Platform Module einzusetzen, übersteigt unsere finanziellen Möglichkeiten und wäre wohl auch übertrieben. Wenn jemand einen Rechner platt macht, bereitet das uns zwar Arbeit, tötet aber nicht den Betrieb. Es gibt auch keine Daten, die die Benutzer nicht temporär selbst aufgespielt hätten und an die sie nicht ohnehin herankommen.

Ich werde mich erst einmal mit ein paar Mitstreitern daran machen, eine von mir erkannte Lücke zu schließen, was einen unerwünschten Zugriff zumindest deutlich erschweren sollte. Es ist wie beim Einbruch in Wohnungen, was länger dauert als x Minuten wird aufgegeben. Zu holen ist bei uns ohnehin nichts.

[Student]

Wenn physikalischer Zugang besteht, ist ein Admin Passwort sowohl bei Windows als auch bei Linux umgehbar. Da reicht auch schon eine normale Windows Installations-DVD. Man kann das auch unauffällig machen, indem man sich eine beliebige neue Kennung mit vollen Adminrechten einrichtet.

Was die Sache etwas erschwert:
1) BIOS mit Passwort versehen, damit keine Änderungen z.B. der Bootreihenfolge möglich ist und auch das Aufrufen
vom Bootmenü abgeschaltet wird.
2) Bootreihenfolge so einstellen, dass *nur* von Festplatte gebootet werden kann und nicht: sollte die Platte nicht booten,
wird automatisch vom BIOS nach Bootalternativen (CD, USB, LAN) gesucht.

Damit ist das im Normalfall sicher. Der Profi wird (falls möglich) die Festplattenkabel kurz abstecken, mit einem anderen PC oder mittels
USB auf SATA Wandler an seinen PC/Notebook anstecken. Dann hat er wieder Vollzugriff, falls die Platte nicht verschlüsselt ist.