[XP] Administrator wachtwoord beveiligen tegen reset - Windows clients

vrijdag 9 januari 2009 11:23

Acties:

Good news everyone!

Topicstarter

Tweakers,

Heb al even lopen zoeken maar heb nog niets kunnen vinden. Kan alleen precies het tegenovergestelde vinden wat ik zoek. Zit namelijk met het volgende. Met diverse boot cd's kun je heel makkelijk het administrator wachtwoord van XP resetten. Maar is het ook mogelijk om dit tegen te gaan?

Zelf zat ik te denken om de schijf helemaal te encrypten met bijv. TrueCrypt. Kun je dan nog steeds zo'n boot cd gebruiken voor reset? En zo ja; hoe wordt de performance dan van de computer als de hele schijf is ge-encrypt?

Iemand ervaring mee?

Bedankt

vrijdag 9 januari 2009 12:55

Acties:

alt-92

ye olde farte

Ik heb even je titel aangepast zodat ie meer overeen komt met wat je bedoelt

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 10 januari 2009 16:51

Acties:

-Niels-

bios wachtwoord instellen en de boot volgorde zo instellen dat en geen verwisselbare media gebruikt worden om van te booten. En uiteraard als nodig de kast beveiligen dat het bios geen reset kan krijgen.

zaterdag 10 januari 2009 17:53

Acties:

BGB4rn

ductape en tie-wraps FTW !

maar heb je dan niet altijd nog safemode

Signature

zaterdag 10 januari 2009 18:04

Acties:

Avvd

je wachtwoord laten opslaan op een usb stick. dit is ook in te stellen in windows. Dan ben je verplicht om een usb-stick erin te hebben als je met het administrator accoutn wilt inloggen. al die bootcd's werken dan uiteraard ook niet.

zaterdag 10 januari 2009 18:55

Acties:

Petervanakelyen

Je kan ook een heel geavanceerd paswoord gebruiken, op de site van ophcrack staan er enkele.

Somewhere in Texas there's a village missing its idiot.

zaterdag 10 januari 2009 19:16

Acties:

mickjuh

Good news everyone!

Topicstarter

Petervanakelyen schreef op zaterdag 10 januari 2009 @ 18:55:
Je kan ook een heel geavanceerd paswoord gebruiken, op de site van ophcrack staan er enkele.

Maakt niet uit. Met die boot-cd die ik ken kan je gewoon het wachtwoord resetten naar niks en later dus zelf een wachtwoord weer instellen.

-Niels- schreef op zaterdag 10 januari 2009 @ 16:51:
bios wachtwoord instellen en de boot volgorde zo instellen dat en geen verwisselbare media gebruikt worden om van te booten. En uiteraard als nodig de kast beveiligen dat het bios geen reset kan krijgen.

Maar als je het batterijtje er uit haalt is dat wachtwoord dan ook niet weg?

Blueone schreef op zaterdag 10 januari 2009 @ 18:04:
je wachtwoord laten opslaan op een usb stick. dit is ook in te stellen in windows. Dan ben je verplicht om een usb-stick erin te hebben als je met het administrator accoutn wilt inloggen. al die bootcd's werken dan uiteraard ook niet.

Deze kende ik nog niet. Ook niet bekend met het opslaan van het wachtwoord op USB-Stick. Heb je hier misschien wat meer informatie over? Ga er in ieder geval even naar google-en. Bedankt!

zondag 11 januari 2009 02:40

Acties:

Avvd

ik kan zo snel geen goede uitleg vinden maar je moet het sam bestand wat ergen in windows system32/system staat verplaatsen naar een diskette en dan zorgen dat windows om die diskette vraag (of usb stick natuurlijk). Windows vraagt dan bij het inloggen naar die diskette op usb-stick (zo heb ik toen werkend gehad.

zondag 11 januari 2009 12:23

Acties:

mickjuh

Good news everyone!

Topicstarter

Blueone schreef op zondag 11 januari 2009 @ 02:40:
ik kan zo snel geen goede uitleg vinden maar je moet het sam bestand wat ergen in windows system32/system staat verplaatsen naar een diskette en dan zorgen dat windows om die diskette vraag (of usb stick natuurlijk). Windows vraagt dan bij het inloggen naar die diskette op usb-stick (zo heb ik toen werkend gehad.

Oke, het klinkt allemaal erg logisch. Maar heb er nog niets over kunnen vinden. Mocht ik iets vinden zal ik mijn bevindingen wel posten. Mocht iemand anders al eerder iets hebben gevonden over hoe je dat wachtwoord op usb/diskette kan krijgen... ben heel benieuwd

maandag 12 januari 2009 08:52

Acties:

mickjuh

Good news everyone!

Topicstarter

Blueone schreef op zondag 11 januari 2009 @ 02:40:
ik kan zo snel geen goede uitleg vinden maar je moet het sam bestand wat ergen in windows system32/system staat verplaatsen naar een diskette en dan zorgen dat windows om die diskette vraag (of usb stick natuurlijk). Windows vraagt dan bij het inloggen naar die diskette op usb-stick (zo heb ik toen werkend gehad.

Dit dus?

Like any other file, but the windows system which uses those files to handle accounts must not be running. Get knoppix Live-CD from knoppix.net, insert the CD restart the computer if windows starts to boot restart again press delete to enter BIOS settings enter Advanced settings and set First Boot Device to CDROM save and exit BIOS wait for knoppix to boot open a root console type mount /dev/hda1 /mnt/hda1 press enter cd /mnt/hda1/windows/system32 press enter cp SAM /home press enter cp SYSTEM /home press enter setup network configuration and send them on your email or place them on a pendrive.

Wat ik me nog wel afvraag. Misschien een domme vraag. Is alleen het administrator password in deze SAM file opgeslagen of ook van de andere gebruikers? Niet dat je bij elke keer inloggen met een account (anders dan die van de administrator) eerst een USB stick moet inpluggen?

[ Voor 11% gewijzigd door mickjuh op 12-01-2009 10:06 ]

maandag 12 januari 2009 19:34

Acties:

alt-92

ye olde farte

mickjuh schreef op maandag 12 januari 2009 @ 08:52:

Wat ik me nog wel afvraag. Misschien een domme vraag. Is alleen het administrator password in deze SAM file opgeslagen of ook van de andere gebruikers?

Als je met een SAM editor als NTPasswd aan de gang gaat heb je je antwoord al

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 januari 2009 19:42

Acties:

lexited

Zolang je fysiek toegang hebt tot de machine komt je er voor zover ik weet altijd in..

Het meest veilig is imho het bios met wachtwoord beveiligen en de opstart volgorde aanpassen, met een standaard pc. (en een slotje op je kast

)

1 - 2 - 3

maandag 12 januari 2009 19:46

Acties:

alt-92

ye olde farte

lexited schreef op maandag 12 januari 2009 @ 19:42:
Zolang je fysiek toegang hebt tot de machine komt je er voor zover ik weet altijd in..

[google=syskey]

How to use the SysKey utility to secure the Windows Security Accounts Manager database

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 januari 2009 19:49

Acties:

DataGhost

iPL dev

Volgens mij kan je gewoon safe mode uitschakelen/blokkeren, combineer dit met een bios-wachtwoord en dichtgetimmerde opstartvolgorde en je bent klaar. Dit is volgens mij alles wat je kan doen, behalve de hele schijf versleutelen met Truecrypt, dan kan je er echt niet bij. Nadeel daarvan is dat iedereen dan dat wachtwoord moet weten en dan kan je alsnog de boel resetten.

Als je zo ver kan komen dat je het bios-batterijtje eruit kan halen kan je net zo goed de harde schijf eruit halen en in een andere pc stoppen, dat komt op hetzelfde neer. In beide gevallen kan je het wachtwoord resetten. Zelfs als je je sam-file op een usb-stick zet kan je volgens mij gewoon een zelfgemaakte/nieuwe sam file terugzetten. Een simpele 'Windows repair' doet dit volgens mij al, aangezien er geen sam-file is maakt hij lekker een nieuwe, gok ik.

alt-92 schreef op maandag 12 januari 2009 @ 19:46:
[...]
syskey

Volgens mij helpt dit niet tegen een compleet nieuwe sam-file, wel?

[ Voor 10% gewijzigd door DataGhost op 12-01-2009 19:51 ]

maandag 12 januari 2009 23:04

Acties:

alt-92

ye olde farte

DataGhost schreef op maandag 12 januari 2009 @ 19:49:

Volgens mij helpt dit niet tegen een compleet nieuwe sam-file, wel?

Dat was de vraag van de TS ook niet

Met diverse boot cd's kun je heel makkelijk het administrator wachtwoord van XP resetten. Maar is het ook mogelijk om dit tegen te gaan?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 januari 2009 23:08

Acties:

Krypt

syskey is ook geen optie meer. ntpasswd omzeilt syskey gewoon.

A new version of a freely available utility (ntpasswd - by Petter Nordahl-Hagen) is capable of putting new password hashes directly into the SAM, thus changing the user's password, even with SYSKEY enabled. SYSKEY is automatically applied to these new hashes when the system is rebooted.

bron

Pvouput live

maandag 12 januari 2009 23:34

Acties:

alt-92

ye olde farte

Inderdaad ja.
Ach, hebben we gelijk het nut van BitLocker-achtige oplossingen aangetoond toch?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 januari 2009 23:46

Acties:

Nijn

Mwah, het is al eerder genoemd. Volgens mij is de beste oplossing nog gewoon de boel dichttimmeren.

* Bios boot priority aanpassen zodat er niet geboot kan worden vanaf cd-rom. Wachtwoord erop natuurlijk.
* Kast afsluiten met een slotje. Vrijwel iedere kast heeft daar een keurig oogje voor.

- Boot cd/floppy/usb heeft geen zin meer
- safe mode gaat niet werken omdat Windows daar ook om je Administrator wachtwoord vraagt voordat je er in mag
- Terwijl Windows draait kun je vrijwel niets beginnen als non-administrator.

Maar, wat wil je ermee bereiken?
Data beveiligen? Daar heb je encryptie voor
Kinderen uit je systeembestanden houden? Daar heb je de roe voor
Leerlingen/studenten/medewerkers uit je systeembestanden houden? Kijk is naar een professionele omgeving met Active Directory's enzo.

Of zeg ik nu iets heel doms

[ Voor 3% gewijzigd door Nijn op 12-01-2009 23:48 ]

dinsdag 13 januari 2009 00:16

Acties:

TRON

Zolang je kan booten, kan je je BIOS-wachtwoord resetten. Voor zover ik weet, kan dat zonder admin-rechten. Vervolgens kan je de boot sequence aanpassen, et voila, je kan je trucjes weer doen.

http://www.google.nl/sear...cd=1&q=bios+crack&spell=1

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 13 januari 2009 01:43

Acties:

spone

Directe hardware-toegang zonder admin-rechten? Zou naar mijn idee niet moeten mogen

Kan iemand enig licht schijnen op wat DEBUG mag/kan als normale user?

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

dinsdag 13 januari 2009 02:15

Acties:

Glashelder

Anti Android

TRON schreef op dinsdag 13 januari 2009 @ 00:16:
Zolang je kan booten, kan je je BIOS-wachtwoord resetten. Voor zover ik weet, kan dat zonder admin-rechten. Vervolgens kan je de boot sequence aanpassen, et voila, je kan je trucjes weer doen.

http://www.google.nl/sear...cd=1&q=bios+crack&spell=1

Hehe, nog nooit een IBM Thinkpad gehad zeker

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 13 januari 2009 09:39

Acties:

mickjuh

Good news everyone!

Topicstarter

lexited schreef op maandag 12 januari 2009 @ 19:42:
Zolang je fysiek toegang hebt tot de machine komt je er voor zover ik weet altijd in..

Het meest veilig is imho het bios met wachtwoord beveiligen en de opstart volgorde aanpassen, met een standaard pc. (en een slotje op je kast )

Misschien is dat wel een oplossing ja. Als ik in de bios alleen de hdd als boot aangeef en een wachtwoord op het bios zet, kan er dan met booten via F8 het verwisselbare medium niet meer geselecteerd worden?

Nijn schreef op maandag 12 januari 2009 @ 23:46:
Mwah, het is al eerder genoemd. Volgens mij is de beste oplossing nog gewoon de boel dichttimmeren.

* Bios boot priority aanpassen zodat er niet geboot kan worden vanaf cd-rom. Wachtwoord erop natuurlijk.
* Kast afsluiten met een slotje. Vrijwel iedere kast heeft daar een keurig oogje voor.

- Boot cd/floppy/usb heeft geen zin meer
- safe mode gaat niet werken omdat Windows daar ook om je Administrator wachtwoord vraagt voordat je er in mag
- Terwijl Windows draait kun je vrijwel niets beginnen als non-administrator.

Maar, wat wil je ermee bereiken?

Zorgen dat een tweede gebruiker op een lokale computer zich niet zomaar als administrator kan prijzen d.m.v. zo'n "windows administrator password reset" boot cd. Zat dus eerst te denken aan zoiets als TrueCrypt waardoor de SAM file niet meer gelezen kon worden. Maar volgens mij gaat dat ook niet werken.

Dus een fysiek slotje met bios instellingen lijkt voor mij een goede oplossing.

[ Voor 49% gewijzigd door mickjuh op 13-01-2009 09:49 ]

dinsdag 13 januari 2009 23:24

Acties:

Nijn

mickjuh schreef op dinsdag 13 januari 2009 @ 09:39:
[...]
Misschien is dat wel een oplossing ja. Als ik in de bios alleen de hdd als boot aangeef en een wachtwoord op het bios zet, kan er dan met booten via F8 het verwisselbare medium niet meer geselecteerd worden?

Dat is natuurlijk afhankelijk van welke bios je hebt. Echter is het doorgaans normaal dat je ook voor het boot selectie scherm een wachtwoord nodig hebt.

woensdag 14 januari 2009 00:58

Acties:

dixon

Ik heb zelf een aantal jaar geleden nog gebruik gemaakt van de volgende techniek om de BIOS te resetten:

guide to reset your lost bios password(without removing battery and cmos jumper)

Als dit werkt dan heeft een slot op je kast natuurlijk niet veel zin...

Wat een onzin..

woensdag 14 januari 2009 09:21

Acties:

mickjuh

Good news everyone!

Topicstarter

Nijn schreef op dinsdag 13 januari 2009 @ 23:24:
[...]

Dat is natuurlijk afhankelijk van welke bios je hebt. Echter is het doorgaans normaal dat je ook voor het boot selectie scherm een wachtwoord nodig hebt.

Heb zelf een wachtwoord op het bios, maar als ik de boot-order probeer te selecteren d.m.v. F8 hoef ik geen wachtwoord in te voeren, maar kan me ook niet herinneren of de CD/DVD er dan nog tussen staat.

dixon schreef op woensdag 14 januari 2009 @ 00:58:
Ik heb zelf een aantal jaar geleden nog gebruik gemaakt van de volgende techniek om de BIOS te resetten:

guide to reset your lost bios password(without removing battery and cmos jumper)

Als dit werkt dan heeft een slot op je kast natuurlijk niet veel zin...

Dit las ik gister dus ook ergens. Maar dan zou je eventueel command/cmd kunnen afschermen. Maar die kun je er los ook zo weer bijzetten. Maar ik denk al wel dat als de bios is afgeschermd en de boot-order niet kan worden gewijzigd naar CD/DVD dat ik in mijn situatie al wel genoeg heb.

woensdag 14 januari 2009 14:29

Acties:

Nijn

dixon schreef op woensdag 14 januari 2009 @ 00:58:
Ik heb zelf een aantal jaar geleden nog gebruik gemaakt van de volgende techniek om de BIOS te resetten:

guide to reset your lost bios password(without removing battery and cmos jumper)

Als dit werkt dan heeft een slot op je kast natuurlijk niet veel zin...

Is al eerder in dit topic genoemd, maar dan onder een andere naam.

Om dit te kunnen doen heb je direct hardware access nodig. Hoewel het niet helemaal duidelijk lijkt te zijn zou Windows dit gewoon moeten blokkeren voor limited users. Proberen dus