Windows XP Home: unsichtbares Administrator-Konto mit Passwort schützen
Theoretisch kann jeder kann sich mit diesem Administrator-Konto auf Windows XP anmelden und hat dann Admin-Rechte. Das wäre halb so schlimm, wenn sich das Problem mal eben über die Benutzerverwaltung lösen ließe. Geht aber nicht, weil Windows XP Home das Konto ‘Administrator’ gar nicht anzeigt.
So verpassen Nutzer von Windows XP Home dem Konto ‘Administrator’ ein Kennwort:
- Öffnen Sie über die Programmgruppe Zubehör eine Eingabeaufforderung.
- Geben Sie auf der Kommandozeile ein: net user administrator Kennwort, wobei Kennwort natürlich Ihr gewünschtes Admin-Passwort ist
- Verlassen Sie die Eingabeaufforderung mit exit.
Mehr zum Thema Passwortsicherheit hier.
Konto Administrator unsichtbar
“Ist doch gar nicht nötig.”, könnte jemand sagen, der, wenn er Abmelden -> Benutzer wechseln wählt, gar kein ‘Administrator’ als Kontonamen sehen kann. Ja. Ist aber doch nötig, denn es gibt ihn wirklich, Windows zeigt ihn bloß nicht an (wahrscheinlich eine ‘Sicherheitsmaßnahme’).
So sehen Nutzer von Windows XP Home das Konto ‘Administrator’:
- Starten Sie den PC neu und…
- … halten Sie kurz vor nach der BIOS-Meldung und kurz vor dem Windows-Hochfahren die Taste [F8] gedrückt.
-
Windows zeigt nun seine Startoptionen an. Wählen Sie in den erweiterten Startoptionen die Option Abgesicherter Modus …
- … und wählen Sie gegebenenfalls die zu startende Windows-Installation (meist liegt nur ein Eintrag vor).
- Windows XP bootet nun im abgesicherten Modus.
- Der Anmeldebildschirm erscheint – und zeigt alle Benutzerkonten, die Administrator-Rechte besitzen.
Überraschung!
Hier zeigt sich das versteckte Hintertüren-Konto des Benutzers ‘Administrator’:
Dieses Konto ist in 2erlei Hinsicht problematisch:
- Zum Beispiel wissen potentielle Angreifer mit Windows-Know-how, wie der Inhabername dieses Kontos lautet, eben ‘Administrator’. Wichtige Sicherheitsregel: Der Angreifer sollte nicht nur Ihr Passwort nicht kennen können, sondern noch nicht mal Ihren Benutzernamen. Hmm… naja, das lässt sich im Alltag ohnehin eher selten durchsetzen, es sei nur als paranoide Anmerkung der Vollständigkeit halber gesagt.
- Doch außerdem, und hier liegt der Hase im Pfeffer, ist das Konto ‘Administrator’ ab Werk nicht mit einem Kennwort geschützt = ‘hereinspaziert’. Probieren Sie es aus: Klicken Sie auf Administrator, und Sie werden angemeldet, ohne nach einem Kennwort gefragt zu werden, Sie Teufelskerl von einem Hacker! (Falls eine Passwortfrage kommt, war jemand so nett, dem Konto eins zu geben.)
Das Problem existiert also wirklich. Seit Jahren. Um diese altbekannte – ich schreibe nur jetzt gerade drüber, weil sie mir heute den Zugang zu einem System erlaubte, zu dem ich das Passwort verlegt hatte, ähem… – Sicherheitslücke zu beheben, gehen Sie entweder wie oben vor, oder: Falls Sie sich gerade, dem Text folgend, via [F8] & Abgesicherter Modus angemeldet haben, klicken Sie das Admin-Konto an und melden Sie sich als ‘Administrator’ passwortlos an. Öffnen Sie Start, Systemsteuerung und doppelklicken Sie auf Benutzerkonten. Klicken Sie auf Administrator, wählen Sie Kennwort erstellen und geben Sie ein möglichst kompliziertes Kennwort an.
Paranoide Alternative: Melden Sie sich auf dieselbe Weise als Administrator an. Erzeugen Sie über die Benutzerkontenverwaltung ein Konto mit einem nicht völlig trivialen Benutzernamen, aber Administrator-Rechten, und einem starken Passwort. Entziehen Sie dem ‘normalen’ Benutzerkonto die Administrator-Rechte. Melden Sie sich ab und als ‘neuer Administrator’ an. Löschen Sie über die Benutzerkontenverwaltung das Konto “Administrator” komplett. Jetzt gibt es nur noch zwei Konten: Ihr normales Benutzerkonto, das nichts mehr darf, außer brav “benutzen”, und das Admin-Konto mit dem nicht völlig trivialen Namen und einem starken Passwort.
Das ‘neue Admin-Konto’ braucht wirklich bloß einen ‘nicht völlig trivialen’ Namen – denn es reicht ja, sich mit [F8] & Abgesicherter Modus anzumelden, um ihn herauszufinden…