Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP/Server 2003 Systemen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP/Server 2003 Systemen

Bei jeder Standardinstallation von Windows NT/2000/XP/Server 2003 wird ein lokales Administratorkonto angelegt. Dies betrifft sowohl die Client- als auch die Server-Versionen. Im Gegensatz zu selbst angelegten Konten kann dieses lokale vordefinierte Administratorkonto unter Windows NT/2000 weder gelöscht noch gesperrt werden, um zu verhindern, dass der Administrator vorsätzlich oder versehentlich ausgesperrt wird und somit die Verwaltung unmöglich wird. Problematisch in diesem Zusammenhang ist, dass das vordefinierte Administratorkonto selbst dann nicht gesperrt wird, wenn die in der Kontorichtlinie für eine Sperre eingetragene Anzahl ungültiger Kennworteingaben überschritten wird. Ohne entsprechende Gegenmaßnahmen ermöglicht dies das planmäßige Ausprobieren von Passwörtern mit Hilfe von speziellen Programmen. Erst mit Windows XP/Server 2003 ist es möglich, das lokale vordefinierte Administratorkonto zu deaktivieren. Das Konto kann aber wie auch bereits unter Windows NT/2000 nicht gelöscht werden.

Es gibt aber noch weitere Möglichkeiten, um in den Besitz eines zu einem Administratorkonto gehörenden Passwortes zu kommen, um damit Administratorrechte zu erlangen. Wird ein Rechner unter dem Betriebssystem Windows NT/2000/XP/Server 2003 fernadministriert, so besteht die Gefahr, dass beim Authentisierungsvorgang das Anmeldepasswort, je nach verwendetem Authentisierungsverfahren, im Klartext übertragen und damit von einem Angreifer aufgezeichnet werden kann. Selbst wenn durch Eingriffe in das System sichergestellt ist, dass die Anmeldepasswörter nur verschlüsselt übertragen werden, ist es möglich, dass ein Angreifer das verschlüsselte Passwort aufzeichnet und mit Hilfe entsprechender Software entschlüsselt. Dies gilt insbesondere für Windows NT, wenn hier das ältere NTLM-Verfahren eingesetzt wird. Unter Windows 2000/XP/Server 2003 wird standardmäßig das Kerberos-Verfahren eingesetzt, das robuster gegen solche Angriffe ist.

Weiterhin wird jedes Passwort in der Registrierung und in einer Datei, die sich im Verzeichnis %SystemRoot%\System32\Repair bzw. auf den Notfalldisketten und gegebenenfalls auf Bandsicherungen befindet, verschlüsselt gespeichert. Gelangt ein Angreifer in den Besitz der entsprechenden Datei, so kann er mit Hilfe entsprechender Software versuchen, das benötigte Passwort zu entschlüsseln.

Schließlich ist es mit einer speziellen Schadsoftware möglich, dass ein Angreifer auf dem Windows NT Rechner, an dem er lokal angemeldet ist, ein beliebiges Benutzerkonto der Gruppe Administratoren hinzufügt und dem Kontoinhaber damit Administratorrechte verschafft.

Andere Beispiele für Attacken zum unberechtigten Erlangen von administrativen Berechtigungen wären unter anderem: