:
Windows 2000/XP Password Recovery
Übersicht
Dieser Artikel soll zeigen, wie Netzwerk-Administratoren das lokale Administratorpasswort oder das Passwort eines jeden beliebigen lokalen Accounts von Microsoft Windows 2000 und XP Rechnern neu setzen können, wenn es vergessen gegangen ist. Dabei handelt es sich nicht um eine Anleitung für künftige Cracker, sondern zeigt lediglich auf, wie mit einfachen Mitteln das Passwort neu gesetzt oder gelöscht werden kann.Es wird darauf hingewiesen, dass der Einsatz eines solchen Programmes nur zum löschen des Passwortes eines eigenen Rechners oder nur mit der ausdrücklichen Einwilligung des Eigentümers erlaubt ist - jeder andere Einsatz ist Strafbar. Am Ende dieses Artikels werden grundsätzliche Schutzmechanismen aufgezeigt, wie der Zugriff zu lokalen Benutzerkonten erschwert werden kann.
Auswahl des Programmes
Es stehen mehrere Programme zur Verfügung, welche diesen Dienst erweisen. Wir beschränken uns auf die Erklärung eines frei verfügbaren Programms, welches von Petter Nordahl-Hagen bereitgestellt wird. Dabei handelt es sich um ein Linux Betriebssystem, welches von einer Diskette gestartet werden kann. Von diesem Betriebssystem wird auf die NTFS-Formatierte-Festplatte zugegriffen und die SAM-Datei editiert.Wie auf der Webseite des Herstellers ersichtlich, sind unterschiedliche Versionen dieses Programmes vorhanden. Die Beschreibung beschränkt sich auf Version bd011022.zip, da einige Test gezeigt haben, dass bei der neuen Version (bd030426.zip) teilweise Probleme beim Zurückschreiben der SAM-Datei auftreten können (Datei wird nicht geschrieben). Prinzipiell kann diese Beschreibung auch auf die neue Version bezogen werden, welche aber zusätzlich neue Features aufweist. Zudem steht für die neue Version ein Image bereit, welches auch das Booten ab CD erlaubt.
Wann sollte das Administrator-Passwort neu gesetzt werden
Die nachfolgend aufgezeigte Methode sollte nur im äussersten Notfall von versierten Administratoren durchgeführt werden. Wie bereits der Author auf seiner Homepage schreibt, kann eigentlich alles schief gehen, d. h. das System kann nach erfolgten rücksetzen ev. nicht mehr gestartet werden. Die Astalavista Group lehnt deshalb jegliche Verantwortung bei Schäden oder Folgeschäden am System, welche durch den Einsatz des beschriebenen Programms verursacht wurden, ab. Zudem müssen weitere Abklärungen getroffen werden, wenn das Dateisystem mit EFS-Verschlüsselt wurde.
Welche Windows Versionen werden unterstützt
Gemäss beschreibung vom Hersteller und eigenen Tests* werden folgende Windows-Versionen unterstützt:
- NT 3.51, NT 4.0
- Windows 2000 bis SP4 *
- Winows XP SP1*
- Windows 2000 Server *
Download des Programmes und kopieren auf Diskette
Um das Passwort neu zu setzten, muss zuerst das Image mit dem Betriebssystem heruntergeladen werden (bd011022.zip). Falls der Rechner mit einer SCSI-Festplatte arbeitet, wird zusätzlich eine Diskette mit SCSI-Treibern benötigt (sc011022.zip). Nachdem die notwendigen Dateien heruntergeladen und entpackt wurden, kann das Bootimage (bd011022.bin) auf eine Diskette kopiert werden. Dafür muss ein spezielles Program wie Rawrite eingesetzt werden (rawwrite2.zip).
Kopieren des Images mit Rawrite2 aus Komandozeile:
rawrite2 -f bd011022.bin -d A:
Beim Einsatz von SCSI-Festplatten soll eine zweite Diskette mit dem Ordner scsi bereitgestellt werden.
Generelle Informationen zum Programm
Das Programm verwendet das amerikanische Tastaturlayout, d. h.:
- Taste [ y ] ist [ z ]
- Taste [ ! ] ist [ SHIFT + 1]
- Taste [ / ] ist [ - ]
- Taste [ - ] ist [ ' ]
- Mit ALT F1 bis F4 kann auf virtuelle Konsolen zugegriffen werden.
- Wert in [] ist Standardwert und kann mit Enter bestätigt werden.
Durchführung des Passwort-(Rück)setzens
Um von Diskette zu booten, muss die Bootreihenfolge im BIOS verändert werden .
Sofern das System ab Diskette gestartet wurde, müssen nun einige Parameter an das Programm weitergegeben werden, bevor mit dem Ändern des Passwortes begonnen werden kann. Nachfolgend werden die einzelnen Schritte kurz erläutert.
1. Press return/enter to continue_
2. Do you have your NT disks on a SCSI controller?
Y – this will autoprobe for the driver
N – no, skip SCSI, I have IDE drives
Probe for SCSI-drivers: [n] (y, falls SCSI verwendet wird. Dazu sollte zuerst die Diskette mit den SCSI-Treibern eingelegt werden)
3. What partition conains your NT installation?
[dev/hda1] : (Da es sich um ein Linux-Betriebssystem handelt, bedeuted dev/hda1 die Festplatte C)
4.Select what you want to do:
1 – Set passwords [default]
2 – Edit registry
Select: [1] (Bei 2 kann die Registry bearbeitet werden)
5. What is the full path to the registry directory?
[winnt/system32/config] (Default Pfad zu SAM-Datei (security accounts manager))
Bemerkung: Bei Erfolg wird das Verzeichnis angezeigt
6. Which hives(files) do you want to edit (leave default for password setting, separate multiple names with spaces)
[sam system security] (enthält die verschlüsselten Passwörter)
Bemerkung: Bei Erfolg werden die lokalen accounts aufgelistet, es wird geprüft, ob SYSKEY installiert ist
7. Do you really wish to disable SYSKEY? (y/n) [n] (Umbeding auf n, da sonst alle verschlüsselten Informationen verloren gehen!)
8. Username to change (! To quit, . to list users): [Administrator] (Es sollte immer nur der Administrator Account geändert werden!)
Bemerkung: Es wird das verschlüsselte Passwort angezeigt (NT, LM MD4 hash, LANMAN hash)
9. Please enter new password or nothing to leave unchanged: admin (Als Beispiel wird admin eingegeben. Es sollten nur einfache Kennwörter ohne Sonderzeichen etc. eingegeben werden! Ein besseres Kennwort sollte nach erfolgreichem überschreiben gesetzt werden!)
Bemerkung: Neue Hashwerte werden angezeigt
10. Do you really wish to change it? (y/n) [n] y (es muss y eingegeben werden! Es erscheint changed)
11. Username to change (! To quit, . to list users): [Administrator] ! (Verlassen des Menüs mit !)
12. Hives that have changed:
# Name
0 <sam>
Write hive files? (y/n) [n] y (es muss y eingegeben werden!)
13. 0 sam – OK
Calling write.rc to select write back sam file
About to write file(s) back! Do it? [n] : y (es muss y eingegeben werden!)
14. Run ntfsfix to avoid problems with NTFS? (recommended) [y]: (Prüft Filestruktur)
Check wird durchgeführt. Anschliessend die Diskette entnehmen und mit CTRL-ALT-DEL den Rechner neu starten.
Nach erfolgtem Neustart kann als lokaler Administrator mit dem neuen Passwort angemeldet werden.
Schutz vor unerlaubtem Ändern eines lokalen Passwortes
Grundsätzlich sollte bei jedem Rechner das Booten ab Diskette/CD-Rom aus Sicherheitsgründen nicht erlaubt sein. Dazu müssen die entsprechenden Einträge im BIOS vorgenommen werden. Um den Zugriff aufs BIOS zu erschweren, sollte umbedingt ein Passwort gesetzt werden. Bei Servern sollte zusätzlich der physische Zugriff durch abschliessen des Serverraumes und abschliessen des Racks minimiert werden. In Extremfällen sollte sogar das Diskettenlaufwerk und CD-Rom blockiert/entfernt werden.
Weitere Informationen:
Webseite Petter Nordahl-Hagen:
http://home.eunet.no/~pnordahl/ntpasswd/
Download des Boot-Images (Mirror):
http://ntpass.blaa.net/
Möglichkeit, um Domain-Admin-Passwort zu ändern:
http://www.petri.co.il/forgot_administrator_password.htm
BIOS-Kompendium:
http://www.bios-kompendium.de/
Einsatz von SYSKEY:
http://www.microsoft.com/germany/library/resourcesmod/W2K3_SecGuide_GER_05.doc
New Technology File System (NTFS):
http://www.wsfprojekt.de/winnt/dateisystem_ntfs.html
Encrypted File System (EFS):
http://www.microsoft.com/windows200.../de/server/help/sag_SEconceptsImpEFSintro.htm
Komerzielle Produkte:
Locksmith, welches im ERD-Commander enthalten ist ($ 199)
http://www.winternals.com/products/repairandrecovery/erdcommander2002.asp
NTAccess 1.5 EUR 75.00 ($ US 90.00)
http://www.mirider.com/ntaccess.html
26.08.2003 – Christian Wehrli, Astalavista Group
Veröffentlicht am 17:53:59 26.02.2004 unter dem Titel Windows 2000/XP Password Recovery
Wichtige Hyperlinks
http://home.eunet.no/~pnordahl/ntpasswd/
http://ntpass.blaa.net/
!!!
