G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen

Bei jeder Standardinstallation eines Windows NT-basierten Systems wird ein lokales Administratorkonto angelegt. Dies betrifft sowohl die Client- als auch die Server-Versionen. Im Gegensatz zu selbst angelegten Konten kann dieses lokale vordefinierte Administratorkonto unter Windows NT bzw. Windows 2000 weder gelöscht noch gesperrt werden. Damit soll verhindert werden, dass der Administrator vorsätzlich oder versehentlich ausgesperrt wird und somit die Verwaltung unmöglich wird. Problematisch in diesem Zusammenhang ist, dass das vordefinierte Administratorkonto selbst dann nicht gesperrt wird, wenn die in der Kontorichtlinie für eine Sperre eingetragene Anzahl ungültiger Kennworteingaben überschritten wird. Ohne entsprechende Gegenmaßnahmen ermöglicht dies das planmäßige Ausprobieren von Passwörtern mit Hilfe von speziellen Programmen. Erst mit Windows XP bzw. Windows Server 2003 ist es möglich, das lokale vordefinierte Administratorkonto zu deaktivieren. Unter Windows Vista ist dieses Konto bei einer Standardinstallation bereits deaktiviert. Das Konto kann aber weiterhin nicht gelöscht werden.

Es gibt weitere Möglichkeiten, um in den Besitz eines zu einem Administratorkonto gehörenden Passwortes zu kommen, um damit Administratorrechte zu erlangen. Wird ein Windows NT-basiertes System fernadministriert, so besteht die Gefahr, dass beim Authentisierungsvorgang das Anmeldepasswort, je nach verwendetem Authentisierungsverfahren, im Klartext übertragen wird und damit von einem Angreifer aufgezeichnet werden kann. Windows Vista stellt bereits bei einer Standardinstallation IPSec Unterstützung zur Verfügung. Selbst wenn durch Eingriffe in das System sichergestellt ist, dass die Anmeldepasswörter nur verschlüsselt übertragen werden, ist es möglich, dass ein Angreifer das verschlüsselte Passwort aufzeichnet und mit Hilfe entsprechender Software entschlüsselt. Dies gilt insbesondere für Windows NT, wenn das ältere NTLM-Verfahren eingesetzt wird. Ab Windows 2000 wird in einer Domänenumgebung standardmäßig das Kerberos-Verfahren eingesetzt, das robuster gegen solche Angriffe ist.

Weiterhin wird bei Windows XP bzw. Windows Server 2003 jedes Passwort in der Registrierung und in einer Datei, die sich im Verzeichnis %SystemRoot%\System32\Repair bzw. %Systemroot%/Repair auf den Notfalldisketten und gegebenenfalls auf Bandsicherungen befindet, verschlüsselt gespeichert. Gelangt ein Angreifer in den Besitz der Datei, kann er mit Hilfe entsprechender Software versuchen, das benötigte Passwort zu entschlüsseln. Windows Vista hat kein Repair Verzeichnis mehr.

Mit einer speziellen Schadsoftware ist es möglich, dass ein Angreifer auf dem Windows NT Rechner, an dem er lokal angemeldet ist, ein beliebiges Benutzerkonto der Gruppe Administratoren hinzufügt und dem Kontoinhaber damit Administratorrechte verschafft.

Andere Beispiele für Attacken zum unberechtigten Erlangen von administrativen Berechtigungen sind: