Admin Pwd Vista x64 nicht mehr bekannt.

Von: , Frage gestellt am Do, 23. Apr 2009

Hallo liebe Community,

ich habe hier einen Kundenrechner mit Vista 64bit.
Dieses ist auf einer verschlüsselten Partition installiert, was ein booten mit BootCD schoneinmal unmöglich macht (PreBoot).
Das Passwort des einzigen Administrator Accounts von Vista ist dem Kunden nicht mehr bekannt.
Ich kann allerdings über das 2. System die Partition mounten, somit habe ich vollen Zugriff auf die HDD (Entschlüsselungspasswort kennt er).

Gibt es eine Möglichkeit aus den vorliegenden Daten der gemounteten Partition, das Adminpasswort auszulesen oder zurück zu setzen?
Liebe Grüsse aus Hamburg

-Fiexx

13 Antworten zu dieser Frage

Antwort von nach 56 Minuten 0 hilfreich

Re: Admin Pwd Vista x64 nicht mehr bekannt.

Hallo,

ich habe es bei Vista noch nie probiert, von WinNT bis XP über die Server-Versionen ging es, und die Datei ist noch vorhanden. Du kannst es ja mal ausprobieren:

Windows\System32\config -> Die Datei SAM löschen.
Danach solltest du dich als Administrator ohne PW anmelden können.

Oder noch besser, SAM umbenennen (sam.old), falls es nicht klappt, kann man es wieder rückgängig machen...

Gruss,
Antwort von nach einer Stunde 1 hilfreich

Re: Admin Pwd Vista x64 nicht mehr bekannt.

Moien Gibt es eine Möglichkeit aus den vorliegenden Daten der
gemounteten Partition, das Adminpasswort auszulesen oder
zurück zu setzen?
Zurück setzen geht ( http://www.microsoft.com/windows/enterprise/products... , http://home.eunet.no/~pnordahl/ntpasswd/ ), tötet aber alles EFS verschlüsselten Dateien. Wenn der Nutzer paranoid genug war neben der Vollverschlüsselung der Partition auch noch EFS einzuschalten sind die Admin-Dateien danach weg.

cu
- Antwort von nach 5 Stunden 0 hilfreich
  
  Re^2: Admin Pwd Vista x64 nicht mehr bekannt.
  
  Hallo,
  vielen Dank für die Antwort.
  Ich werde mich mal durch den Mictosoft Link wühlen.
  Der andere kommt nicht in Frage, da der das Botten mit CD vorraussetzt, was bei vollverschlüsselung nicht viel bringt.
  
  Was das Paranoid angeht:
  Normalerweise tendiere ich dazu, sicherheitsbewusstes denken nicht als Paranoid hin zu stellen, vorallem nicht, wenn es sich um 60000 Kundendaten handelt (wie in diesem Fall), dennoch muß ich echt über meine Meinung nachdenken, wenn ich bedenke das für dieses System ein Bootpasswort mit 55 (!!!) Stellen verwendet wurde...
  Aber dieses ständg einzutippen, ist ja zum Glück nicht mein Problem :-)
  
  Ich melde mich zurück mit einem Ergebnis.
  
  Gruss
  -fiexx
  - Antwort von nach 6 Stunden 0 hilfreich
    
    Re^3: Admin Pwd Vista x64 nicht mehr bekannt.
    
    Moien Der andere kommt nicht in Frage, da der das Botten mit CD
    vorraussetzt, was bei vollverschlüsselung nicht viel bringt.
    Wer hat gesagt dass du davon booten must? Du kannst auch die CD unter windows öffnen und auf Console die Programme starten. Normalerweise tendiere ich dazu, sicherheitsbewusstes denken
    nicht als Paranoid hin zu stellen, vorallem nicht, wenn es
    sich um 60000 Kundendaten handelt (wie in diesem Fall),
    Das Problem habe ich nicht mit sichersbewusten Denken, sondern mit dem Einsatz von EFS auf Systemen die nicht ordentlich in einer Domaine stecken und gewartet werden. EFS in den falschen Händen ist ein klasse Weg Daten zu vernichten, hat aber nicht viel mit Sicherheit zu tun. Vorallem die Kombo EFS + autologin ist komplett sinnfrei. dennoch muß ich echt über meine Meinung nachdenken, wenn ich
    bedenke das für dieses System ein Bootpasswort mit 55 (!!!)
    Stellen verwendet wurde...
    54 x 0 und dann eine 1? OK, OK, ich lass die Witze.
    
    Haben die Leute schonmal was von Rainbow Tabellen gehört? Der Hash eines solchen Monsterpassword entspricht erstaunlich oft einem anderen, wesentlich einfacher Password. Und da das System eh nur den Hash speichert ...
    
    cu
- Antwort von nach 8 Stunden 0 hilfreich
  
  Re^2: Admin Pwd Vista x64 nicht mehr bekannt.
  
  Hallo,
  Mit beiden Links tue ich mich ziemlich schwer, komme da nicht wrklich voran.
  
  Einen Tip?
  
  Gruss
  -Fiexx
Antwort von nach 9 Stunden 0 hilfreich

Re: Admin Pwd Vista x64 nicht mehr bekannt.

So... nachdem ich mir das nun genauer angeschaut habe:

Es sind im System 2 HDD´s.
Eine mit zweimal Vista drauf.
Beide Vista auf der 1. HDD vollverschlüsselt mit Truecrypt (pre boot authentification)
Die 2. HDD hat ein unverschlüsseltes XP.
Wenn ich von der starte kann ich beide Vista Partitionen als Laufwerk mounten und einsehen.

Es ist lediglich die vollverschlüselung aktiv.
Keine weitere.

Gruss
-Fiexx
- Antwort von nach 10 Stunden 0 hilfreich
  
  Re^2: Admin Pwd Vista x64 nicht mehr bekannt.
  
  Es ist lediglich die vollverschlüselung aktiv.
  Die sollte auch reichen.
  
  Daten weg.
  
  keine Paranoia nirgends...
  
  Gruß
  - Antwort von nach 10 Stunden 0 hilfreich
    
    Re^3: Admin Pwd Vista x64 nicht mehr bekannt.
    
    Hallo,
    
    vielen Dank für deine Antwort.
    
    Obgleich mir diese nicht so ganz weiter hilft, hast du natürlich Recht damit.
    
    Allerdings vermute ich, das der Rechnerbesitzer zufriedener ist, wenn er seine Paranoia in diesem Fall ausleben kann und ich das Problem lösen kann :-)
    
    Und wenn meine Kunden zufrieden sind bin ich es natürlich auch.
    
    Einen schönen Abend noch
    -fiexx
    - Antwort von nach 10 Stunden 0 hilfreich
      
      Re^4: Admin Pwd Vista x64 nicht mehr bekannt.
      
      Allerdings vermute ich, das der Rechnerbesitzer zufriedener
      ist, wenn er seine Paranoia in diesem Fall ausleben kann und
      ich das Problem lösen kann :-)
      Wenn du keinen ganz grossen Bug in Truecrypt findest, kannst du das Problem nicht lösen. Entweder dein Kunde memoriert das Passwort, oder er findet sich mit dem Verlust ab. Bei Truecrypt helfen, fürchte ich, selbst die von pumpkin angesprochenen Angriffe mittels Rainbow Tables nicht. Kein Gold am Ende des Regenbogens...
      
      Gruß

« Zurück
1
2
Vorwärts »

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!