[XP] NTFS Beveiliging vs. Opstarten in DOS

Klopt, maar je kan ook in je BIOS instellen dat die altijd vanaf de hardeschijf moet opstarten zodat die dus geen Ubuntu/Knoppix live-cd's of diskette pakt, al weet ik niet hoe je dit kan omzeilen? (behalve BIOS resetten zodat het BIOS wachtwoord weg is)

[ Voor 14% gewijzigd door webfreakz.nl op 05-03-2006 22:16 ]

Dat klopt. Als je daar wat tegen wilt doen moet je gebruik maken van encryptie, bijvoorbeeld van EFS.

Daarvoor heeft men encryptie uitegvonden! In windows XP zit alles ingebouwd om dit voor je te doen. Je data is dan enkele vanuit die installatie te benaderen met jouw gebruikersaccount. (of dmv de juiste sleutels natuurlijk).
Als je dit efectief wil gaan toepassen, raad ik je wel aan je ff in te lezen; het aanzetten is een vinkje plaatsen, maar als je windows dan écht crashed....

tja, als iemand je pc steelt, en vervolgens het password reset van het account dat jouw encrytie-certificaat houdt, en daar dan weer mee inlogt, komt ie er ook gewoon bij.

dus ultieme beveiliging gaat dan al meer richting je pc verankeren in de betonlaag vna je woning en je kast hermetisch dichtlassen. (wel kut als je dan hardware moet plaatsen/vervangen)

kortom, 100% beveiliging is niet mogelijk.

Ook zou je eens kunnen kijken naar Truecrypt. Hiermee kun je een gecodeerde container aanmaken en deze mounten op bijvoorbeeld je Z:\ schijf. Je stelt een sneltoets in bijvoorbeeld CTRL+SHIFT+ALT+T en hopla alle volumes zijn ge-unmount en passwords zijn uit de cache zodat als je weer wilt mounten je het password in móét vullen. Ook kan je zeggen dat wanneer je screensaver aangaat, of na x minuten inactief, dat ook alles ge-unmount wordt. Data is te versleutelen onder FAT/FAT32/NTFS en is ook compatible met Linux. Enige nadeel is dat je de containers niet kan resizen achteraf.

Verwijderd schreef op maandag 06 maart 2006 @ 09:04:
tja, als iemand je pc steelt, en vervolgens het password reset van het account dat jouw encrytie-certificaat houdt, en daar dan weer mee inlogt, komt ie er ook gewoon bij.

Da's maar de vraag. Heb je dit wel eens getest? Waarom zou je anders de opmerking krijgen bij een pw reset dat voor security redenen er best wel eens data verloren kan gaan als een admin een pw reset...

edit: natuurlijk wel met je eens dat als je fysiek bij een machine kan, je eigenlijk alles kan kraken.
gewoon de sam db kraken en het pw van de gebruiker achterhalen kan ook natuurlijk (hetzelfde geldt voor alle 3rd party encryptie tools).

[ Voor 22% gewijzigd door Verwijderd op 06-03-2006 15:38 ]

Wel het is in Windows erg eenvoudig om het administrator wachtwoord te resetten met de Offline NT Password & Registry Editor . Hiermee reset je via een bootflop het wachtwoord en log je in als admin.

Je wachtwoord staat opgeslagen in een zogenaamde SAMfile. Daar kun je niet zomaar bij, maar als je hem hebt kun je het wachtwoord er wel uit halen. Zijn tooltjes voor die bruteforce proberen. Kan dus ook wel even duren.

Kassie2 schreef op maandag 06 maart 2006 @ 15:50:
[...]
Hoe kan iemand mijn paswoord resetten? Daar moet je toch administrator voor zijn?

Wat ik me ook afvraag. Ergens moet Windows toch mijn inloggegevens hebben opgeslagen. Kan iemand via DOS niet gewoon mijn inloggegevens dan achterhalen?

ja dat is dus die SAM file waar de vorige post over gaat.
Die kan je inderdaad inladen in een pakket als L0ptcrack ofzo (heet anders tegenwoordig geloof ik) en dan kan je de wachtwoorden decrypten..
Dit kan overigens wel een paar dagen duren afhankelijk van de lengte van je wachtwoord en de snelheid van de pc die de boel gaat decrypten.. Via linux of ntfsdos kan je die sam-file zo van de harddisk kopieren..

Heb je het wachtwoord, dan log je gewoon in onder die gebruiker en daar gaat je data...

Tegen fysieke inbraak doe je gewoon niet veel ben ik bang.. Als de 'nieuwe eigenaar' genoeg verstand van die dingen heeftt dan kan hij bij je data.. punt.

[ Voor 22% gewijzigd door xzenor op 06-03-2006 16:00 ]

possamai schreef op maandag 06 maart 2006 @ 15:59:
[...]
...
Tegen fysieke inbraak doe je gewoon niet veel ben ik bang.. Als de 'nieuwe eigenaar' genoeg verstand van die dingen heeftt dan kan hij bij je data.. punt.

Tenzij je Truecrypt gebruikt, je kan zelfs ervoor kiezen om geen wachtwoord te nemen maar een keyfile. Lijkt wel of ik dit programma aan het promoten ben

Verwijderd schreef op maandag 06 maart 2006 @ 15:26:
[...]


Da's maar de vraag. Heb je dit wel eens getest? Waarom zou je anders de opmerking krijgen bij een pw reset dat voor security redenen er best wel eens data verloren kan gaan als een admin een pw reset...

edit: natuurlijk wel met je eens dat als je fysiek bij een machine kan, je eigenlijk alles kan kraken.
gewoon de sam db kraken en het pw van de gebruiker achterhalen kan ook natuurlijk (hetzelfde geldt voor alle 3rd party encryptie tools).

Daar heb je inderdaad gelijk in, op het moment dat het gebruikerswachtwoord veranderd wordt door iemand anders dan de gebruiker zelf (bijv. door een Admin) dan wordt het certificaat dat je nodig hebt om de versleutelde bestanden te gebruiken door WinXP getrashed.
Dan is het hopen dat je een DRA ingesteld hebt in je Workgroup, dit is namelijk standaard niet zo, bye-bye bestanden dus....

diekstra schreef op maandag 06 maart 2006 @ 17:16:
Daar heb je inderdaad gelijk in, op het moment dat het gebruikerswachtwoord veranderd wordt door iemand anders dan de gebruiker zelf (bijv. door een Admin) dan wordt het certificaat dat je nodig hebt om de versleutelde bestanden te gebruiken door WinXP getrashed.

Close, but no cigar.

De key om je bestanden te decrypten is gecodeerd met je wachtwoord. Als je dat zelf wijzigt, kan Windows je key decrypten en encrypten met het nieuwe wachtwoord. Als iemand anders dat doet, kan Windows dat niet en is de key kapot.

Het cruciale verschil is dat Windows de key niet hoeft te trashen. Als dat zou moeten, zou je ook met Linux oid de plain key van de schijf kunnen lezen (gewoon door niet te trashen). Dat is natuurlijk vreselijk onveilig en daarom is de key dus altijd encrypted.

Zodra je iemands wachtwoord reset, is de key dus waardeloos geworden, maar niet omdat de key veranderd is. Het gegeven waarmee de key is versleuteld is weg, de key zelf is nog in tact, maar waardeloos.

In zo'n geval is het inderdaad hopen dat je een recovery agent hebt, (default is dat de eerste admin in het domein, als je niet in een domein zit, is er geen default recovery agent).

Overigens is EFS redelijk hopeloos als het op recovery aankomt (en dus veilig). Elk bestand wordt namelijk gecodeerd met een eigen random key. Die key is gecrypt met je eigen key en nog wat file afhankelijke data. Als je dus 1 file terug hebt, zegt dat helemaal niets over de andere files op je schijf. Je moet ze allemaal afzonderlijk kraken.

[ Voor 22% gewijzigd door Gerco op 06-03-2006 18:47 ]

wat betreft het wijzigen van een admin pass hoeft geen brute force werk te zijn. er zijn mooie linuxx boot diskjes die je sam file kunnen pakken en je admin pass clearen (hij biedt ook de optie om em te wijzigen, maar dat werkt nooit).

na clearen kun je dus gewoon onder admin inloggen.

wat betreft de encryptie key, hebben jullie idd gelijk in, hak even niet aan gedacht (what was I thinking )

houdt dus wel in dat encryptie in een workgroup omgeving niet echt wenselijk is. mocht je je pass dus vergeten, kun je je data dus ook vergeten.

[ Voor 16% gewijzigd door Verwijderd op 07-03-2006 09:12 ]

Je zou in een werkgroep de local admin als DRA kunnen aanwijzen, maar dan is het hacken van dat account wel een risico. Wat je kan doen om dat risico weg te nemen is een DRA aan te maken en de certificaten niet op de pc zelf maar op floppy of op cd op te slaan.

Dan kan na het hacken van het Admin account diegene wel aanloggen als admin, welke dus DRA is, maar omdat de certificaten er niet zijn kan een bestand niet ge-decrypt/geopend worden...

Offtopic:
Hopelijk kom ik nu wel in aanmerking voor de sigaar?