Eine PWS-Diskette ersetzt Kennwort-Notizen

Einfacher lokaler Passwort-Reset für Server unter Windows XP und Server 2003

21.06.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Mal wieder das Kennwort vergessen und keinen Schimmer, in welchem Notizblock sich der richtige Schlüssel versteckt? Für die Zukunft verraten wir Ihnen zur Anhäufung von Zetteln mit Passwortnotizen eine effiziente Alternative: Unter Windows XP und Windows Server 2003 lässt sich eine Diskette erstellen, die als Ausweis zum Ändern des Passworts dient.

Das Problem kommt oft genug vor: Keiner kennt mehr das Passwort für ein Benutzerkonto auf einem wichtigen Server. Ist der Computer Teil einer Domäne, dann muss der Administrator zum Zurücksetzen des Kennworts nicht einmal seinen Schreibtisch verlassen. Doch die Angelegenheit gestaltet sich deutlich anstrengender, wenn der Server autark ist.

Im Prinzip gibt es dann nur zwei Möglichkeiten, das Passwort zurückzusetzen: Entweder meldet man sich lokal als Administrator an – sofern diese Benutzerdaten bekannt sind –, oder man verwendet die Password Reset Disk (PRD, die offizielle Microsoft-Übersetzung lautet „Kennwortrücksetzungsdiskette“).

Funktionsweise der Password Reset Disk

Die PRD muss angelegt werden, solange der Benutzer sein Passwort noch kennt – im Regelfall also sobald wie möglich. Zum Erstellen der PRD wird nichts weiter benötigt als eine leere, formatierte Diskette – und natürlich ein Diskettenlaufwerk. Die fertige PRD sollte an einer sicheren Stelle für Notfälle aufbewahrt werden.

In einem solchen Fall kann eine Person sich mit der PRD statt dem Kennwort anmelden. Mithilfe der PRD erlaubt der Computer, das Passwort des betreffenden Kontos zu ändern. Auf diese Weise erhält der User wieder Zugriff auf das System.

Ablauf von Erstellung und Einsatz

Sowohl die Erstellung als auch der Einsatz der PRD erfolgen im Anmeldebildschirm. Zur Erstellung muss man sich zunächst mit einem lokalen Konto (keinem Domänenkonto!) anmelden. Dann klickt man zunächst auf „Kennwort ändern“ und anschließend auf „Sicherung“, um den Assistenten zur Erstellung der PRD zu starten. Der Microsoft-Name lautet etwas verwirrend „Assistent für vergessene Kennwörter“.

Die so angelegte Diskette muss unbedingt sorgfältig beschriftet und umsichtig verwahrt werden. Wenn sie in falsche Hände gelangt, erhält ein Eindringling Zugriff auf den Server.

Ist das Passwort für ein Konto nicht bekannt, dann muss man sich mit dem Benutzernamen und einem (beliebigen) falschen Passwort anmelden. Das Einloggen klappt natürlich nicht, aber immerhin erscheint nun eine Schaltfläche „Zurücksetzen“, die den „Kennwortrücksetz-Assistenten“ öffnet. Er erlaubt, ein neues Passwort festzulegen, sofern die Person am Computer die PRD vorweisen kann.

Wichtige Konzepte der Password Reset Disk

Auch wenn es nicht gleich einleuchtet: Eine PRD ist wesentlich sicherer als ein notiertes Passwort. Zwar kann ein Eindringling auf beiden Wegen auf den Rechner zugreifen, bei der PRD muss er das Passwort aber erst einmal ändern. Spätestens dann, wenn sich der legitime Benutzer nicht mehr mit dem ihm bekannten Passwort anmelden kann, kommt der Einbruch ans Licht. Und ein enttarnter Einbruch ist weit weniger schlimm als ein Datenspion, der beliebig lange unerkannt aktiv bleiben kann.

Eine PRD enthält übrigens nichts anderes als eine userkey.pws-Datei. Somit ist es möglich, die PWS-Datei auf eine beliebige andere Diskette zu kopieren und diese dann als PRD einzusetzen. Damit kann man sich die Archivierung von PRDs vereinfachen: Anstatt Dutzende beschriftete Disketten im Tresor aufzubewahren genügt es, die PWS-Dateien herunterzukopieren und verschlüsselt auf Festplatte zu archivieren. Nur im Falle eines Einsatzes ist es unerlässlich, die PWS-Datei wieder auf eine Diskette zu verschieben.

PWS-Dateien sind computerabhängig. Angenommen, es gibt zwei identische Server, bei denen jeweils ein Konto mit dem Benutzernamen „AugustMeier“ existiert. In diesem Fall ist es notwendig, zwei separate PRDs anzulegen. Deswegen muss klar gekennzeichnet werden, zu welchem Rechner eine PRD gehört.

Bekanntlich hängt die Verschlüsselung des EFS am Benutzerpasswort. Verwendet man ein Hackertool, um das Passwort auf nicht-offiziellem Wege zu ändern, dann kann sich der Hacker zwar anmelden, erhält aber keinen Zugriff auf die verschlüsselten Daten. Aber: Die PRD gilt als „offizielle“ Methode zur Passwort-Änderung. Wer also damit sein Passwort ändert, hat weiterhin Zugriff auf alle EFS-geschützten Dateien.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005596 / Benutzer und Identitäten)