Logon mit Syskey verschlüsseln

Firmen-PCs sind in der Regel vom Administrator so konfiguriert, dass dieser entweder ein Administratorkonto besitzt oder die Kontodaten des Angestellten kennt - eventuell beides. Außerdem gibt es Passwort-Tools, die Logon-Kennwörter unter Windows 2000 und XP löschen und anschließend neu vergeben können. Wie können Sie PC oder Notebook gegen fremde Eingriffe schützen? Wir erklären es Ihnen.
Anforderung:
Fortgeschrittener
Zeitaufwand:
Mittel
Problem:

Firmen-PCs sind in der Regel vom Administrator so konfiguriert, dass dieser entweder ein Administratorkonto besitzt oder die Kontodaten des Angestellten kennt - eventuell beides. Außerdem gibt es Passwort-Tools, die Logon-Kennwörter unter Windows 2000 und XP löschen und anschließend neu vergeben können. Wie können Sie PC oder Notebook gegen fremde Eingriffe schützen?

Lösung:

Das systemeigene Standardprogramm Syskey.EXE verschlüsselt die Kontodatenbank. Passwort-Utilities haben danach keine Chance mehr, Konto-Kennwörter zurückzusetzen. Für diese Aufgabe reicht der Aufruf "syskey -L", der die Konten kommentarlos verschlüsselt und den Schlüssel lokal speichert. Beim Logon ändert sich für den Anwender danach nichts.

Wenn Sie darüber hinaus einen Administrator davon abhalten wollen, sich lokal am PC anzumelden, starten Sie Syskey, gehen auf "Aktualisieren" und vergeben im nächsten Dialog ein "Kennwort für den Systemstart". Mit dieser Aktion erzwingen Sie vor der Konto-Anmeldung ein weiteres Zugangspasswort. Noch einen Schritt weiter geht die Option, ein Kennwort vom System generieren zu lassen. Anschließend können Sie den "Schlüssel für den Systemstart auf Diskette speichern" lassen. Jedes Logon erfordert dann das Einlegen dieser Diskette mit der 16 Byte kleinen Datei Startkey.KEY.

Achtung: Dieser Eingriff schützt nur gegen das lokale Logon. Der Zugriff auf die Daten über ein Linux oder ein Bart-PE-System, ferner im Netz über administrative Freigaben ist natürlich nach wie vor möglich. Den Zugriff übers Netz können Sie mit "net user administrator <passwort>" verhindern, sofern Sie selbst zur Gruppe der Administratoren gehören und keiner NT-Domain angeschlossen sind.

Kommentieren Kommentare zu diesem Artikel (0)
690090