Digitale Verhütung A – Benutzerkonten, Passwörter

Eine der leichteren Übungen digitaler Schutzmaßnahmen ist, die Verwendung und Verwaltung verschiedener Benutzerkonten unter windows. Hierbei ist zu beachten, dass windows grundsätzlich nur über ein Benutzerkonto mit beschränkten Rechten genutzt werden sollte.

Status verschiedener Benutzerkonten

Bei der Installation von windows werden automatisch drei Konten angelegt. Diese laufen unsichtbar auf jedem System. Zum einen gibt es den Administrator, den Standardnutzer und ein Gastkonto. Diese unsichtbaren Benutzerkonten sind eine durchaus gravierende Sicherheitslücke bei windows. Denn bis auf den Gast greifen die Konten alle administrativ und komplett auf alle Resourcen zu. Erst die Einrichtung eines eingeschränkten Kontos heben diese Problematik auf.

Das Administratorkonto wird leider zu oft im alltäglicher Gebrauch bedenkelos und unbewußt genutzt. Der übliche windows-Nutzer übernimmt zumeist die (unsichtbaren) Voreinstellungen. Denn Programme können problemlos installiert, Einstellungen im System verändert, Tools verwaltet und bei Bedarf können weitere Benutzerkonten und Einträge in der Registry hinzugefügt werden. Doch in diesen allumfassenden Rechten liegt auch ein enormes Sicherheitsproblem. Ein Schädling, der über das Administratorkonto in das System eindringt, nutzt so die selben Rechte, wie der Administrator. Er kann sich selbst Freigaben erteilen, weitere Schädlinge installieren und die Registry nach Belieben manipulieren.

Der Standardbenutzer wird, nach der üblichen windows-Installation und der erstmaligen Nutzung, wenn nicht anders konfiguriert, als Administrator angelegt. Der Gast hat sehr eingeschränkte Rechte. Es kann durchaus deaktiviert werden. Also, um nicht jedem freien Zugang zum System zu gewähren sollte wirklich nur zur Systemverwaltung das Administratorkonto genutzt werden. Ansonsten sollten Benutzer nur im eingeschränkten Modus arbeiten, denn dort kann nur auf bestimmte Programme und Daten zugegriffen werden.

Konfigurierung von Benutzerkonten

Die Einstellungen der Benutzerkonten können entweder in der System- oder, besser und umfassender, in der Computerverwaltung konfiguriert. Zur Systemverwaltung kommt man über Start / Einstellungen / Systemsteuerung / Benutzerkonten, zur Computerverwaltung über … Systemsteuerung / Verwaltung und dort die Computerverwaltung wählen.

Eine sehr gute Übersicht, wie man seine Benutzerkonten verwaltet, bietet die opensky knowledge base. Es wird jedoch noch einmal explizit darauf hingewiesen, dass durch die Einrichtung und Nutzung beschränkter Benutzerkonten zwar „Einbrüche“ verhindert, oder zumindest erschwert werden, jedoch Daten auch anders auspioniert werden können. Deshalb sollten diese verschlüsselt und / oder sicher gelöscht werden.

Die einzelne Schritte bei der Erstellung und Konfiguration der Benutzerkonten sind wie folgt. Zunächst sollte das Administratorkonto mit einem Kennwort geschützt werden. Als zweites werden die Benutzer eingerichtet, die den Rechner nutzen. Diese Konten haben lediglich eingeschränkte Rechte. Das Gastkonto kann aktiviert werden, wenn öfter auch andere – „Fremde“ – den Computer nutzen könnten. Wenn dies nicht vorgesehen ist, dann kann das Gastkonto deaktiviert werden. Bis auf den Gast sollten alle anderen Konten durch Passwörter geschützt werden.

Sichere Passwörter

Passwörter sind eine Wissenschaft für sich. Kryptographen suchen permanent nach Verschlüsselungsmethoden für sensible Daten. Auf der anderen Seite stehen Dechiffrierer, die immer rafiniertere Tools zum knacken der Codes schaffen. Auf diesem Feld tummeln sich verschiedene elektronische Rebellen, deren Motivation und Methoden durchaus verschieden sind. Unterschieden werden Hacker, Cracker und Script-Kiddies. Hacker werden hierbei zumeist als die Intelektuellen der Cyberverbrecher angesehen, die zumeist eine demokratische udn freie Ethik haben. Die destruktiven Hacker nennt man Cracker. Sie dringen ein und zerstören. Scriptkiddies nutzen Entschlüsselungstools um in andere Rechner einzudringen und zu kontrollieren. Ihnen geht es wohl in erster Linie um Bespassung.

Ein sicheres Passwort hat mehrere Komponenten. Zunächst sollte es möglichst lang sein. Unter windows XP zum Beispiel sind bis zu 128 Zeichen erlaubt. Das Passwort sollte Groß- und Kleinbuchstaben sowie Zahlen und Sonder- bzw. Satzzeichen enthalten. Bei der Verwendung von Sonderzeichen sollte darauf geachtet werden, dass diese auf anderen Tastaturen womöglich nicht mehr existieren. Ein gutes Passwort ist, zum Beispiel ein Satz mit Zahlen und Satzzeichen. Des Weiteren sollte darauf geachtet werden die Passwörter in regelmäßigen Abständen, spätestens alle drei bis vier Monate, zu ändern. Passwörter dürfen nicht in der jeweiligen Software und in einer leicht zu identifizierenden Datei abgelegt werden.

Ein sehr gutes Tutorial zur Erstellung von sicheren Passwörtern findet sich wiederum bei der opensky knowledge base. Aber auch der Verfassungsschutz hat sich zu Passwörtern Gedanken gemacht. Im Grunde machen sie sich ihre Arbeit damit selbst schwerer, aber wer versteht schon die Nachrichtendienste.

Verschlossen, aber nicht gesichert

Doch auch mit Benutzerkonten durch sichere Passwörter geschützt ist man vor Datenüberwachung nicht gefeit. Es gibt, neben Dechiffrier-, Crack- und Scriptingtools, Angriffe, die sich direkt auf die Passwörter richten. Aber auch Recovery- und Bundestrojaner könnten versuchen Zugang zu bekommen. Insbesondere beim Verlust des Rechners ist die Kacke am Dampfen. Also deshalb sollte man unbedingt sensible Daten verschlüsseln – wir dazu später – und
Einbruchsversuche protokollieren
.

Die Möglichkeiten zur Überwachung der Angriffe auf Passwörter ist etwas komplizierter. Der eine Weg ist die fehlgeschlagenen Versuche zu überwachen und zu beschränken. ZDNet gibt hierzu einige Hinweise.

Die Konfiguration findet sich unter Verwaltung / Lokale Sicherheitsrichtlinien / Lokale Richtlinien / Überwachungsrichtlinien.

Eine andere Möglichkeit ist die falsche Passworteingabe zu reglementieren. Hierbei bietet es sich an höchstens drei Fehlversuche zu erlauben. Dies ist deshalb wichtig, weil Angriffe zumeist über automatisierte Tools passieren, die so lange Passwörter generieren, bis sie das richtige finden. Dieser Weg ist schwierig, lohnt sich aber am meisten.

Zu den Einstellungen kommt man über Verwaltung / Lokale Sicherheitsrichtlinien / Lokale Richtlinien / Kontorichtlinien / Kontosperrungsrichtlinien.

Die Konfiguration kann als Tutorium wieder bei der opensky knowledge base nachgelesen werden.

Los jehts

Also, nochmal zusammengefasst: Wichtig ist die Erstellung von verschiedenen Benutzerkonten, wobei auf die Rechteverteilung zu achten ist. Es sollte nur einen Administratoren geben. Alle anderen Konten sind eingeschränkt. Am besten schützt man alle Konten mit sicheren Passwörtern. Diese sollten circa einmal im Quartal verändert werden. Des Weiteren empfehle ich die Kontorichtlinien genau zu konfigurieren und dort ebenfalls eine weitere schützende Barriere zu etablieren.

Abgesehen vom Thema Benutzerkonto und Passwörter sollte dafür gesorgt werden sensible Daten auf dem Rechner zu verschlüsseln und, wenn sie nicht mehr benötigt werden, sicher zu löschen.


2 Antworten auf „Digitale Verhütung A – Benutzerkonten, Passwörter“


  1. 1 Thomas 26. November 2007 um 18:07 Uhr

    Ich werd mich heute abend mal dran machen. Bisher hatte ich dadurch immer das Problem, dass ich auf dem eingeschränken Nutzerkonto nicht alle Programm verwenden konnte… vermutlich weil ich sie im Admin-Modus falsch installiert habe. Mal sehen… aber die Wichtigkeit habe ich auf jeden Fall schon erkannt!

  2. 2 Butch Jonny 27. November 2007 um 1:51 Uhr

    tach thomas,
    Du musst einfach, wenn Du im Admin-Modus ein Programm installierst Deinen eingeschränkten Benutzer kurzzeitig auch in den Admin-Mosdus heben. Dann konfigurierst Du das zu nutzende Programm. Wenn alles nach Wunsch läuft kannst Du wieder in den beschränkten Modus wechseln. (Beim installieren möglichst nich Online sein).
    gruss!

Die Kommentarfunktion wurde für diesen Beitrag deaktiviert.