Notfall-CD 2014 aus Computer Praxis Spezial 12/2013

notfall-cd_2014Mit Heft 12/2013 stellt die Redaktion der Zeitschrift Computer Praxis Spezial (Microsoft) eine spezielle Notfall-CD 2014 zur Verfügung. Die CD kann hier heruntergeladen werden. Die angepasste Lesslinux Umgebung mit isolinux 5.02 kann auch auf einem USB-Stick installiert werden. Der Einsatz des USB-Sticks bietet sich bei PCs unter 1 GB Hauptspeicher an. Das Rettungsmedium beinhaltet umfangreiche Tools zur PC-Soforthilfe:

  • Festplattenanalyse über SMART-Werte mit Self-test Option
  • Rettung gelöschter Daten und Dateien mit graph. Benutzeroberfläche (photorec)
  • Blockweises Klonen von Festplatten
  • MBR reparieren
  • Windows-Kennwort zurücksetzen
  • Internetzugang (auch über WLAN möglich) und Firefox-Browser 18.0.2 „Nightly“

Besonders einfach ist das Mounten von Laufwerken auf diesem Notfallsystem umgesetzt, da über das Icon „Laufwerke“ die vorhandenen Partitionen grafisch angezeigt werden und per Auswahl auf Lese- und Schreibzugriff mit einem Klick die verfügbaren Laufwerke gemountet werden können.

Fehlerprüfung der Festplatte:

Im Applikationsmenü, Rettungswerkzeuge, „Platte testen“ wählen. In der Festplattenübersicht wählen Sie die zu analysierende Festplatte mit einem Doppelklick aus. Im Register „Identity“ werden die wichtigsten Festplattenparameter angezeigt. Im Register „Attributes“ werden die SMART-Parameter der Festplatte ausgelesen. In der Spalte „Failed“ sollte bei einer funktionierenden Festplatte überall „never“ stehen.

Im Register „Perform Tests“ kann ein Schnelltest mit „Short Self-test“ oder ein detaillierter Test mit „Extended Self-test“ durchgeführt werden. Das Ergebnis der Tests ist in den Register „Self-test Log“ und „Error Log“ einsehbar. Im Register „Self-test Log“ steht auch der Lifetime-Wert der Festplatte in Stunden.

Gelöschte Dateien und Laufwerke retten:

Im Applikationsmenü, Rettungswerkzeuge, „Daten retten“ wählen. Es erscheint der photorec-Assistent in Form einer grafischen Benutzeroberfläche. Nach Klick auf „Vor“ kann die Partition oder die gesamte Festplatte als Suchquelle ausgewählt werden. Als nächstes kann der zu suchende Dateityp ausgewählt werden. Nun soll das Zielverzeichnis ausgewählt werden. Die Einstellungen belassen, da die gefundenen Dateien standardmäßig auf dem Desktop (also im Hauptspeicher) abgelegt werden.

Zum Schluss erscheint eine Zusammenfassung der Einstellungen. Mit Klick auf „Anwenden“ startet die Suche. Nach der Suche erscheint ein Fenster, welches Sie mit „ok“ bestätigen können. Es öffnet sich ein neues Fenster mit den gefundenen Dateien.

Windows Kennwort zurücksetzen:

Um das Windows Kennwort löschen zu können, muss die Systempartition der Windows-Umgebung mit Schreibrechten gemountet sein. Im Applikationsmenü, Rettungswerkzeuge, „Kennwort neu“ wählen. Ein Assistent startet, auf „Vor“ klicken und per autom. Suche die SAM-Datei auf der gemounteten Partition suchen lassen. Im nächsten Fenster kann das Konto ausgewählt werden, dessen Kennwort zurückgesetzt werden soll. Nach einem bestätigten Haftungsausschluss versucht das Tool das Kennwort auf ein leeres Kennwort zurückzusetzen. Beim nächsten Windows-Neustart sollte das Kennwort zu dem ausgewählten Konto leer gelassen werden.

 

Passwort-Tools: Ophcrack

Zum Auslesen von Passwörtern steht die Ophcrack Live-CD als Freeware zur Verfügung, welche als ISO-Datei von der Ophcrack-Homepage heruntergeladen werden kann. Es steht eine Live-CD für Windows XP und eine Live-CD für Windows Vista/7 als Download zur Verfügung. Das herunterladbare Image der Live-CD kann beispielsweise über YUMI (Your Universal Multiboot Installer) mit anderen Live-CDs auf einem USB-Stick abgelegt werden. Ophcrack beinhaltet eine graphische Benutzeroberfläche und kann auf einfache Weise in den Betriebssystemen Windows 7/Vista/XP/2008 (Linux/Unix, Mac OS X, etc.) Passwörter entschlüsseln und im Klartext anzeigen. Das auf SliTaz-Linux basierte Tool bedient sich sog. Regenbogentabellen (rainbow tables), die aus alphanumerischen Verzeichnissen bestehen und die Hash-Werte mit zugehörigen Textfragmenten auflisten.

Die Dateigrößen der Regenbogentabellen, die bei der manuellen Installation zur Auswahl stehen, variieren zwischen 380 MB und über 52 GB (bei alphanum Passwortlänge 8,9 Zeichen). Bei der bootfähigen Live-CD von Ophcrack XP ist die kleinste Tabelle (alphanum ohne Umlaute) vorinstalliert. Booten Sie die jeweilige Live-CD zunächst im normalen Grafikmodus. Bei Problemen im Zusammenspiel mit der Grafikkarte ihres Rechners können Sie alternativ auch den VESA- oder den Text-Modus auswählen. Im nächsten Schritt ist die zu bearbeitende Windows-Partition auszuwählen und im darauffolgenden Fenster beginnt das Tool schon mit dem Auslesen aller Passwörter der erkannten Benutzerkonten. Bleibt das Passwort eines erkannten Benutzers leer, konnte mit der vorhandenen Regenbogentabelle das Passwort nicht ausgelesen werden. Wenn der Passwortauslesevorgang keinen Erfolg hatte, können Sie einen erneuten Versuch mit einer umfangreicheren Regenbogentabelle durchführen. Für den zweiten Versuch ist vor dem Kennwortausleseprozess eine umfangreichere Regenbogentabelle von der Ophcrack-Homepage herunterzuladen und wie folgt einzubinden:

Laden Sie die passende Regenbogentabellen von der Ophcrack-Homepage herunter. Die Tabellen sind für das entsprechende Windows XP/Vista/7 einfach auf einem USB-Stick/Festplatte/CD-ROM im Unterverzeichnis „\tables“ abzulegen. Die Live-CD erkennt beim Starten, dass neuere Tabellen auf einem angeschlossenen Datenträger zur Verfügung stehen, falls unterhalb von „root“ ein Verzeichnis „tables“ exisitiert. Ophcrack verwendet automatisch die neueren Tabellen. Gehen Sie analog wie oben beschrieben vor und haben etwas Geduld mit dem Passwortauslesevorgang.

Weitere Passwort-Tools:

  • PC Login Now: ähnliche Funktion wie Offline NT Password & Registry Editor
  • Kon-Boot: ähnliche Funktion wie Offline NT Password & Registry Editor
  • Cain & Abel: zuerst Admin-Anmeldung erforderlich
  • LCP: zuerst Admin-Anmeldung erforderlich
  • John the Ripper: ähnliche Funktion wie Ophcrack

Passwort-Tools: Offline NT Password & Registry Editor

Offline NT Password & Registry Editor ist ein textorientiertes Passwortrücksetzungstool für Windows-Systeme auf Basis einer Live-CD. Das herunterladbare Image der Boot-CD kann beispielsweise über YUMI (Your Universal Multiboot Installer) mit anderen Live-CDs auf einem USB-Stick abgelegt werden. Das Passwort-Tool funktioniert am besten, wenn Sie ein Benutzerkonto auf ein leeres Passwort zurücksetzen wollen. Es werden keine Passwörter ausgelesen. Das Tool funktioniert unter Windows 7/Vista/2000/NT und den entsprechenden Serverversionen.

Nach dem Start des Tools muss als erster Schritt die Windows-Partition ausgewählt werden, in der die Passwortrücksetzung stattfinden soll. Im nächsten Schritt müssen Sie den Pfad zur Registry angeben. Da mit dem Tool das englische Tastaturlayout zum Einsatz kommt, müssen Sie statt der Backslashes Slashes (Bindestrich-Taste) verwenden. Das Tool möchte nun wissen, welcher Teil der Registry geladen werden soll. Um Passwörter zurückzusetzen, muss der Schlüssel SAM der Registry geladen werden. Standardmäßig sieht das Tool auch das Laden des SAM-Schlüssels vor (Bestätigung durch Eingabetaste). Zur Auswahl der Passwortrücksetzung ist nun die Standardauswahl „1“ einzugeben. Das Tool zeigt nun alle verfügbaren Benutzerkonten an. Sie können nun das Konto auswählen, dessen Passwort Sie zurücksetzen wollen. Am besten Sie lassen mit dem Tool das Passwort auf „Blank“ zurücksetzen, da diese Funktion stabiler funktioniert als eine Passwortänderung. Nach der Quittierungsmeldung „Password cleared“ sollten Sie nun ein Ausrufezeichen am Eingabeprompt eingegeben. Die folgende Bildschirmseite ist mit „q“ zu verlassen. Sie werden nun gefragt, ob die Änderungen übernommen werden sollen. Hier weichen Sie von der Standardvorgabe „nein“ (n) ab und geben „y“ ein. Erst jetzt findet die eigentliche Passwortrücksetzung statt. Nach einem Neustart des Rechners und einem „chkdsk“ ist das Passwort des bearbeiteten Benutzers auf ein leeres Passwort zurückgesetzt.

Die Passwortrücksetzung per Offline NT Password & Registry Editor stellt keine ernsthafte Sicherheitslücke dar. Ein (Administrator-) Kennnwort kann nur einen Schutz in einem laufenden Produktionssystem bieten. Grundsätzlich sind die Daten auf einem Rechner immer demjenigen (schutzlos) ausgeliefert, der den physischen Zugriff auf das System hat. Er braucht den Rechner einfach nur mit einer der hier im Blog vorgestellten Live-CDs zu booten und hat damit Zugriff auf alle Daten. Ein Angreifer kann mit einer Live-CD Daten/Dateien eines Produktionssystems kopieren, öffnen oder löschen. Der einzige Schutz ist die konsequente Verschlüsselung der Daten, z.B. mit Truecrypt oder Axcrypt. Bei richtiger Anwendung ist auch die Windows-Built-In EFS-Datenverschlüsselung hilfreich. Beim Einsatz der EFS-Verschlüsselung ist jedoch wichtig, dass Sie den EFS-Schlüssel auf einen externen Datenträger sichern. Ändern Sie das Kennwort Ihres Kontos, wäre ohne Schlüsselsicherung ein Zugriff auf Ihre Daten nicht mehr möglich.