Windows-Hacking
Windows-Hintertüren schließen

BetriebssystemSicherheitWorkspace

Selbst jahrelange Windows-Erfahrung schützt nicht davor, immer wieder Überraschungen in Microsofts Betriebssystem zu entdecken. Der Workshop stellt die gefährlichsten Hintertüren vor und zeigt, wie Sie diese sicher abschließen.

Versteckte Admin-Freigaben

Windows-Hacking

Freigegebene Laufwerke im Netzwerk sind zum Austauschen von Dateien nicht mehr aus der Arbeitswelt wegzudenken. Doch man sollte immer wissen, welche Daten man für den Zugriff von außen freigegeben hat. Unter Windows lassen sich mit dem Shell-Befehl net view bequem freigegebene Ordner anzeigen.

Der Haken an der Sache: Es werden nicht alle Freigaben angezeigt, denn Windows XP Professional kennt im Gegensatz zu XP Home auch versteckte Freigaben. So wird etwa der Systemstammordner (%Systemroot%) unter dem Namen ADMIN$ freigegeben. Alle versteckten Freigaben enden auf das Dollar-Zeichen, mit dem sich auch normale Freigaben verstecken lassen. Die Systemsteuerung verrät über Verwaltung/Computerverwaltung/Freigegebene Ordner unter Freigaben auch die versteckten. Mit net share lässt sich dies auch über die Kommandozeile herausfinden. Administrator-Freigaben lassen sich leicht abschalten. Ein einfaches net share Freigabename /DELETE genügt, und schon sind sie verschwunden.


Admin-Freigaben abstellen

Windows-Hacking

Wer nicht gerne mit Shell-Kommandos arbeitet, kann alternativ über die Computerverwaltung (Rechtsklick auf Arbeitsplatz und Verwalten) die Freigabe über das Kontextmenü beenden. Das funktioniert allerdings nur, wenn die einfache Dateifreigabe deaktiviert ist (Windows-Explorer:Extras/Ordneroptionen/Ansicht/Einfache Dateifreigabe verwenden). Doch Vorsicht: Nach dem nächsten Neustart des Rechners sind die Freigaben wieder da, zumindest die von Windows angelegten Administratorfreigaben selbst angelegte versteckte Freigaben werden nicht wiederhergestellt. PCpro empfiehlt, alle Freigaben bis auf IPC$, das für die Prozesskommunikation auch lokal genutzt wird, abzustellen. Ist IPC$ nicht mehr vorhanden, können installierte Programme unerwartete Fehler produzieren.

Auch Admin-Freigaben können permanent abgestellt werden. Fügen Sie dazu per regedit in die Registry im Ast HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters einen neuen DWORD-Eintrag namens AutoShareWks hinzu und setzen Sie ihn auf den Wert 0. Alle administrativen Freigaben bis auf IPC$ werden damit entfernt. Zum Wiederherstellen der Freigaben löschen Sie den Registry-Eintrag und starten den Rechner neu. Wer keinerlei Datei- oder Druckerfreigaben braucht, kann auch den Dienst Server komplett abschalten. Der Vorteil ist, dass sich dann die Freigaben auch nicht mehr wie von Zauberhand bei Neustart einrichten. Das geht über Start/Ausführen/services.msc.


Versteckte Benutzerkonten

Windows-Hacking

Sicherheitsbewusste Nutzer verwenden für ihre Alltagsarbeit am PC eingeschränkte Benutzerrechte. Alles, was man dafür braucht, stellt Windows XP sowohl in der Home- als auch in der Pro-Version bereit. In Ausgabe 08/2005 ab Seite 138 erklärt PC Professionell ausführlich, wie die Benutzerkonten funktionieren und gibt Tipps zur sicheren Konfiguration.

Neben den selbst angelegten Nutzer-Accounts schummelt XP aber auch jedes Mal eigene Konten ins System. Diese versteckten Konten fallen dem Nutzer nicht auf und können eine Sicherheitslücke darstellen, wenn er sie nicht geeignet absichert. Ein Blick in die Systemsteuerung unter dem Menüpunkt Benutzerkonten liefert nicht viel mehr Informationen. Der Nutzer sieht jedoch zumindest, dass es neben den bei der Installation angelegten Konten, die alle über Administratorrechte verfügen, auch noch das Konto Administrator und einen Gast-Account gibt. Mehr Informationen liefert die Computerverwaltung unter System/Lokale Benutzer und Gruppen/Benutzer.


Konten deaktivieren

Windows-Hacking

So tauchen mit einer Windows-XP-Installation auch immer noch drei weitere Benutzer auf: ASPNET, Hilfeassistent und Support. Der Kommandozeilenbefehl net user listet übrigens auch alle lokal gespeicherten Benutzer-Accounts auf. Alle drei Konten können Sie normalerweise löschen. Falls sich öfter Nutzer ohne eigenes Konto einloggen, ist das Gast-Konto sinnvoll. Den Hilfeassistenten brauchen Sie, wenn Sie eine Remotedesktop-Sitzung starten wollen. ASPNET wird mit dem .NET-Framework eingerichtet. Wenn Sie Programme nutzen, die auf das .NET-Framework aufsetzen, dürfen Sie das Benutzerkonto nicht löschen.

Als Lösung bietet es sich an, die Konten über die Computerverwaltung und das Kontextmenü zu deaktivieren. Wählen Sie danach Eigenschaften und die Option Konto ist deaktiviert. Im Kontextmenü ist auch die Radikaloption Löschen untergebracht. Per Kommandozeile löschen Sie die Konten mit net user Benutzername /DELETE. Wichtig auch für Home-Nutzer: Setzen Sie mit dem Befehl net user Administrator ein Passwort für den vorkonfigurierten Administrator.


NTFS-Schäden beheben

Windows-Hacking

Microsoft hat NTFS als das Dateisystem der Zukunft ausgewählt. Erste Experimente mit Longhorn zeigen, dass sich Microsofts nächstes Betriebssystem nur noch unter diesem System installieren lassen wird. NTFS ist robuster als FAT. Außerdem kann es mehr Speicherplatz verwalten, bietet granulare Zugriffsrechte und ausgefeilte Zusatzoptionen wie Verschlüsselung. Nur wenige User wissen, dass alle Änderungen an Dateien in einem Journal mitprotokolliert werden. Damit kann das Dateisystem nach Abstürzen schnell wiederhergestellt werden kann.

Gefährlich wird es jedoch, wenn sich Malware auf dem Rechner einnistet und versucht das Änderungsjournal zu manipulieren. Dazu muss man wissen, dass NTFS für Informationen rund um das Dateisystem einen gesonderten Bereich auf der Festplatte einrichtet, die so genannte Master File Table (MFT). Die MFT ist eine relationale Datenbank, die in der Voreinstellung 12,5 Prozent des Platzes einer NTFS-Partition für sich reserviert. Der Befehl defrag c: -a v zeigt Informationen zur Größe, Fragmentierung und Eintragsanzahl der MFT an. Der Speicherplatz der MFT ist für normale Dateien in der Regel tabu. Erst wenn sich eine Festplatte zusehends füllt, macht Windows auch Platz in dem reservierten Bereich frei.

Der Haken an der Sache: Die MFT wird so zum Ziel von Angreifern, denn wird die Tabelle beschädigt, funktionieren keine Dateioperationen mehr und XP ist lahm gelegt. Das gilt auch, wenn Sie die MFT selbst beschädigen. Am einfachsten hilft in so einem Fall ein Backup-Image weiter, das PCpro allen Computer-Nutzern empfiehlt. Ist keine Sicherung zur Hand, kann mit dem Windows-Befehl chkdsk /f ein Reperaturvorgang gestartet werden.


Versteckte Autostarts

Windows-Hacking

Schon der Startvorgang eines XP-Rechners ist komplex. Die meisten Nutzer ärgern sich nur, dass das Hochfahren des Rechners lange dauert. Gedanken über das, was hinter dem Bootscreen passiert, machen sich die wenigsten. Wer nach Autostart-Einträgen forscht, sieht meist zuerst im Autostart-Ordner nach. Die Enttäuschung ist oft groß, denn hat man nicht vorher selbst etwas darin platziert, findet man höchstens noch die Office-Schnellstartleiste und wenige andere Tools dort vor.

Als Tipp für Fortgeschrittene gilt das Systemtool msconfig, das sich über Start/Ausführen aufrufen lässt und unter dem Tab Systemstart Objekte auflistet, die automatisch mit Windows gestartet werden. Doch das Tool zeigt lediglich einen kleinen Ausschnitt von dem an, was tatsächlich im Hintergrund geladen wird. Besser macht es Autoruns. So haben Sie schnell einen Überblick darüber, was beim XP-Start wirklich alles passiert.


Scheinbar gelöschte Dateien

Windows-Hacking

Unter Windows können Dateien und Ordner nicht komplett von der Festplatte gelöscht werden. Die Einträge werden nur dereferenziert und tauchen daher nicht mehr im Explorer oder auf der Kommandozeile auf. Das bedeutet, die vermeintlich
gelöschten Inhalte liegen immer noch auf der Festplatte, so dass Datenspione auf ausgemusterten Platten oft noch wertvolle Informationen finden. Da der Speicherplatz von Windows freigegeben wird, überschreiben früher oder später andere Dateien die zurückgebliebenen Fragmente. Sichtbar machen lassen sich die Dateileichen aber trotzdem.
Mit Windows-Bordmitteln lassen sich die Files nicht restlos entfernen.

Zusatzprogramme gibt es kostenlos, wie zum Beispiel Eraser, oder auch als Boxprodukte zum Kaufen, etwa Safe Erase. Programme wie die Freeware PC Inspector File Recovery, zeigen, welche Dateien sich aus dem scheinbaren Nirwana wieder restaurieren lassen.


Passwörter ausspähen

Windows-Hacking

Bei lokaler Anmeldung an einem XP-Rechner verwaltet ein geschütztes Subsystem Kennung und Passwort. Die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) legt dabei die Anmeldeinformationen als Hashwerte in einer Datenbank ab. Wer direkten Zugriff auf einen Rechner hat und dazu zählt auch auf einem gekaperten Rechner installierte Malware , der kann mit einem Passwort-Knacker versuchen die Geheimwörter im Klartext zu entschlüsseln. Bei Brute-Force-Attacken kann dies je nach Passwort auch einige Tage dauern. Die SAM-Datenbank ist verschlüsselt. Mit dem Windows-Tool Syskey können Sie die Passwort-Datenbank aber noch zusätzlich absichern. Tippen Sie in der Windows-Shell den Befehl syskey ein. Wichtig: Ohne Administratorrechte lässt sich das Tool nicht starten. Danach öffnet sich ein Fenster, in dem die Option Verschlüsselung aktiviert ausgewählt sein sollte. Klicken Sie jetzt auf Aktualisieren.

XP speichert den Schlüssel der SAM-Datenbank lokal auf dem System, bietet aber zwei weitere Optionen: Sie können entweder ein zusätzliches Kennwort für den Systemstart einrichten, das Sie dann beim Hochfahren eintippen müssen, oder den Schlüssel auf eine Diskette exportieren, die dann für jeden Startvorgang eingelegt sein muss. Sicherer ist die zweite Methode, wobei ausdrücklich eine Floppy-Disk notwendig ist USB-Sticks funktionieren nicht.