Admin Pwd Vista x64 nicht mehr bekannt

Hallo liebe Community,

ich habe hier einen Kundenrechner mit Vista 64bit.
Dieses ist auf einer verschlüsselten Partition installiert, was ein booten mit BootCD schoneinmal unmöglich macht (PreBoot).
Das Passwort des einzigen Administrator Accounts von Vista ist dem Kunden nicht mehr bekannt.
Ich kann allerdings über das 2. System die Partition mounten, somit habe ich vollen Zugriff auf die HDD (Entschlüsselungspasswort kennt er).

Gibt es eine Möglichkeit aus den vorliegenden Daten der gemounteten Partition, das Adminpasswort auszulesen oder zurück zu setzen?
Liebe Grüsse aus Hamburg

-Fiexx

Hallo,

ich habe es bei Vista noch nie probiert, von WinNT bis XP über die Server-Versionen ging es, und die Datei ist noch vorhanden. Du kannst es ja mal ausprobieren:

Windows\System32\config -> Die Datei SAM löschen.
Danach solltest du dich als Administrator ohne PW anmelden können.

Oder noch besser, SAM umbenennen (sam.old), falls es nicht klappt, kann man es wieder rückgängig machen…

Gruss,

Moien

Gibt es eine Möglichkeit aus den vorliegenden Daten der
gemounteten Partition, das Adminpasswort auszulesen oder
zurück zu setzen?

Zurück setzen geht ( http://www.microsoft.com/windows/enterprise/products… , http://home.eunet.no/~pnordahl/ntpasswd/ ), tötet aber alles EFS verschlüsselten Dateien. Wenn der Nutzer paranoid genug war neben der Vollverschlüsselung der Partition auch noch EFS einzuschalten sind die Admin-Dateien danach weg.

cu

Hallo,
vielen Dank für die Antwort.
Ich werde mich mal durch den Mictosoft Link wühlen.
Der andere kommt nicht in Frage, da der das Botten mit CD vorraussetzt, was bei vollverschlüsselung nicht viel bringt.

Was das Paranoid angeht:
Normalerweise tendiere ich dazu, sicherheitsbewusstes denken nicht als Paranoid hin zu stellen, vorallem nicht, wenn es sich um 60000 Kundendaten handelt (wie in diesem Fall), dennoch muß ich echt über meine Meinung nachdenken, wenn ich bedenke das für dieses System ein Bootpasswort mit 55 (!!!) Stellen verwendet wurde…
Aber dieses ständg einzutippen, ist ja zum Glück nicht mein Problem

Ich melde mich zurück mit einem Ergebnis.

Gruss
-fiexx

Moien

Der andere kommt nicht in Frage, da der das Botten mit CD
vorraussetzt, was bei vollverschlüsselung nicht viel bringt.

Wer hat gesagt dass du davon booten must? Du kannst auch die CD unter windows öffnen und auf Console die Programme starten.

Normalerweise tendiere ich dazu, sicherheitsbewusstes denken
nicht als Paranoid hin zu stellen, vorallem nicht, wenn es
sich um 60000 Kundendaten handelt (wie in diesem Fall),

Das Problem habe ich nicht mit sichersbewusten Denken, sondern mit dem Einsatz von EFS auf Systemen die nicht ordentlich in einer Domaine stecken und gewartet werden. EFS in den falschen Händen ist ein klasse Weg Daten zu vernichten, hat aber nicht viel mit Sicherheit zu tun. Vorallem die Kombo EFS + autologin ist komplett sinnfrei.

dennoch muß ich echt über meine Meinung nachdenken, wenn ich
bedenke das für dieses System ein Bootpasswort mit 55 (!!!)
Stellen verwendet wurde…

54 x 0 und dann eine 1? OK, OK, ich lass die Witze.

Haben die Leute schonmal was von Rainbow Tabellen gehört? Der Hash eines solchen Monsterpassword entspricht erstaunlich oft einem anderen, wesentlich einfacher Password. Und da das System eh nur den Hash speichert …

cu

Hallo,
Mit beiden Links tue ich mich ziemlich schwer, komme da nicht wrklich voran.

Einen Tip?

Gruss
-Fiexx

So… nachdem ich mir das nun genauer angeschaut habe:

Es sind im System 2 HDD´s.
Eine mit zweimal Vista drauf.
Beide Vista auf der 1. HDD vollverschlüsselt mit Truecrypt (pre boot authentification)
Die 2. HDD hat ein unverschlüsseltes XP.
Wenn ich von der starte kann ich beide Vista Partitionen als Laufwerk mounten und einsehen.

Es ist lediglich die vollverschlüselung aktiv.
Keine weitere.

Gruss
-Fiexx

Es ist lediglich die vollverschlüselung aktiv.

Die sollte auch reichen.

Daten weg.

keine Paranoia nirgends…

Gruß

Hallo,

vielen Dank für deine Antwort.

Obgleich mir diese nicht so ganz weiter hilft, hast du natürlich Recht damit.

Allerdings vermute ich, das der Rechnerbesitzer zufriedener ist, wenn er seine Paranoia in diesem Fall ausleben kann und ich das Problem lösen kann

Und wenn meine Kunden zufrieden sind bin ich es natürlich auch.

Einen schönen Abend noch
-fiexx

Allerdings vermute ich, das der Rechnerbesitzer zufriedener
ist, wenn er seine Paranoia in diesem Fall ausleben kann und
ich das Problem lösen kann

Wenn du keinen ganz grossen Bug in Truecrypt findest, kannst du das Problem nicht lösen. Entweder dein Kunde memoriert das Passwort, oder er findet sich mit dem Verlust ab. Bei Truecrypt helfen, fürchte ich, selbst die von pumpkin angesprochenen Angriffe mittels Rainbow Tables nicht. Kein Gold am Ende des Regenbogens…

Gruß

Hallo,
da ich die Partitionen soweit mounten kann, wäre zumindest kein Datenverlust da.
Nur ärgerlich.
Die Systemumgebung mit TC und 3 OS´es her zu stellen dauert (nach seinen Angaben) 3 Tage bis es einiger massen rund läuft.
Das möchte ich schon gern vermeiden.

Da ich soweit an alles rankomme, gibt es keine Möglichkeit mit der SAM Datei ?

-fiexx

PROBLEM GELÖST
Hallo,
ich konnte das Problem lösen.

Ich habe folgendes gemacht:
XP (unverschlüsselt) gestartet.
Die betreffende Vista Partition gemountet.
Den Ordner „config“ in Sys32 in eine Virtuelle Umgebung kopiert (DOSBOX).
Dort die Bootcd (Link hier im Thread) benutzt und das (veränderte) „config“ Verzeichnis wieder auf die verschlüsselte partition zurück kopiert.
Siehe da, PWD ist nun blank.

Vielen Lieben Dank für eure Unterstützung.
Ich weiß schon warum ich hier gelandet bin

Liebe Grüsse
-Fiexx

Moien

Den Ordner „config“ in Sys32 in eine Virtuelle Umgebung
kopiert (DOSBOX).

Sorry, ich Trottel hätte gleich sagen sollen das man eine Dosbox braucht. Console ist mir ausgerutsch …

Ich weiß schon warum ich hier gelandet bin

*g* Empfehl uns weiter

cu

HiHo,
ist ja kein Problem.
Ganz unwissend bin ich ja auch nicht…
Aber trotzdem, so ein Problem muß ich nicht jeden Tag haben

Danke für alles

-Fiexx