nachdem ich den Tipp das Administratorkonto umzubenennen gelesen und umgesetzt habe, kamen mir einige Gedanken zur Sinnhaftigkeit. Letztendlich kann man ja unter „Dokumente und Einstellungen“ die vorhandenen Benutzerkonten sehen, und mit der Information einen Angriff starten, indem man „nur“ noch das PW herausfinden muss.
Gibt es eine Möglichkeit diese Ordner so umzubenennen/neu anzulegen, dass Benutzername nicht Ordnername in „Dokumente und Einstellungen“ ist?
Security by obscurity ist kein annehmbares Konzept
Das Auflisten der Users auf einem Rechner ist nicht beschränkt auf das Auflisten der directories in „Dokumente und Einstellungen“. Ich habe kein Windows am laufen, aber http://msdn2.microsoft.com/en-us/library/aa370652(VS… hat C Code gelistet, der das macht, über die Windows API.
Soweit ich weiß, ist es aber nicht notwendig, dass das „Homeverzeichnis“ dem Username gleicht. Zumindest bietet die zugehörige C-Struktur einen Eintrag für jenes Verzeichnis. Alles andere wäre peinlich für die Windowsprogrammierer.
Man kann unter windows die Benutzerprofile auch in anderen Pfaden und Ordnern unterbringen. Siehe Verwaltung / Computerverwaltung / Lokale Benutzer und Gruppen / Benutzer / xyz / Profil
Das geht sowohl unter Win XP Prof. als selbstverständlich auch unter AD, dann allerdings nicht mit lokalen Benutzern sondern mit AD Benutzern.
Das Auflisten der Users auf einem Rechner ist nicht
beschränkt auf das Auflisten der directories in „Dokumente und
Einstellungen“.
Mittlerweile habe ich gesehen, dass diverse Tools im Prinzip nur Zugriff zur SAM Datei brauchen (Boot-CD) und daran sämtliche Benutzer auslesen können. Da hilft wohl nur die Verschlüsselung der Systempartition oder gibt es da andere Ansätze?
Danke für den Tipp. Habe allerdings festgestellt, dass dieses workaround eher nur DAUs davon abhält, die Benutzernamen auf dem Rechner sehen zu können (zumindest ohne AD).
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Mittlerweile habe ich gesehen, dass diverse Tools im Prinzip
nur Zugriff zur SAM Datei brauchen (Boot-CD) und daran
sämtliche Benutzer auslesen können. Da hilft wohl nur die
Verschlüsselung der Systempartition oder gibt es da andere
Ansätze?
die SAM ist eigentlich selbst bereits standardmäßig verschlüsselt. Allerdings ist der Schlüssel auf der Festplatte gespeichert, was dies im Grunde aushebelt. Man kann Windows allerdings so konfigurieren, dass der Schlüssel beim Start eingegeben werden muss oder von Diskette gelesen wird. Ich hätte da allerdings meine Zweifel, dass das ausreicht, um die Benutzernamen zu verschleiern.
Solange du dem Angreifer uneingeschränkten physischen Zugriff auf den Rechner gestattest, gibt es ohnehin drängendere Probleme als die Verschleierung von Benutzernamen. Gegen solche Angreifer hilft meines Erachtens in der Tat nur die vollständige Verschlüsselung der Festplatte (hilfsweise genügt gegen „kleine Ganoven“ u.U. auch ein ATA-Security-Kennwort).