Offline NT Password & Registry Editor ist ein textorientiertes Passwortrücksetzungstool für Windows-Systeme auf Basis einer Live-CD. Das herunterladbare Image der Boot-CD kann beispielsweise über YUMI (Your Universal Multiboot Installer) mit anderen Live-CDs auf einem USB-Stick abgelegt werden. Das Passwort-Tool funktioniert am besten, wenn Sie ein Benutzerkonto auf ein leeres Passwort zurücksetzen wollen. Es werden keine Passwörter ausgelesen. Das Tool funktioniert unter Windows 7/Vista/2000/NT und den entsprechenden Serverversionen.
Nach dem Start des Tools muss als erster Schritt die Windows-Partition ausgewählt werden, in der die Passwortrücksetzung stattfinden soll. Im nächsten Schritt müssen Sie den Pfad zur Registry angeben. Da mit dem Tool das englische Tastaturlayout zum Einsatz kommt, müssen Sie statt der Backslashes Slashes (Bindestrich-Taste) verwenden. Das Tool möchte nun wissen, welcher Teil der Registry geladen werden soll. Um Passwörter zurückzusetzen, muss der Schlüssel SAM der Registry geladen werden. Standardmäßig sieht das Tool auch das Laden des SAM-Schlüssels vor (Bestätigung durch Eingabetaste). Zur Auswahl der Passwortrücksetzung ist nun die Standardauswahl „1“ einzugeben. Das Tool zeigt nun alle verfügbaren Benutzerkonten an. Sie können nun das Konto auswählen, dessen Passwort Sie zurücksetzen wollen. Am besten Sie lassen mit dem Tool das Passwort auf „Blank“ zurücksetzen, da diese Funktion stabiler funktioniert als eine Passwortänderung. Nach der Quittierungsmeldung „Password cleared“ sollten Sie nun ein Ausrufezeichen am Eingabeprompt eingegeben. Die folgende Bildschirmseite ist mit „q“ zu verlassen. Sie werden nun gefragt, ob die Änderungen übernommen werden sollen. Hier weichen Sie von der Standardvorgabe „nein“ (n) ab und geben „y“ ein. Erst jetzt findet die eigentliche Passwortrücksetzung statt. Nach einem Neustart des Rechners und einem „chkdsk“ ist das Passwort des bearbeiteten Benutzers auf ein leeres Passwort zurückgesetzt.
Die Passwortrücksetzung per Offline NT Password & Registry Editor stellt keine ernsthafte Sicherheitslücke dar. Ein (Administrator-) Kennnwort kann nur einen Schutz in einem laufenden Produktionssystem bieten. Grundsätzlich sind die Daten auf einem Rechner immer demjenigen (schutzlos) ausgeliefert, der den physischen Zugriff auf das System hat. Er braucht den Rechner einfach nur mit einer der hier im Blog vorgestellten Live-CDs zu booten und hat damit Zugriff auf alle Daten. Ein Angreifer kann mit einer Live-CD Daten/Dateien eines Produktionssystems kopieren, öffnen oder löschen. Der einzige Schutz ist die konsequente Verschlüsselung der Daten, z.B. mit Truecrypt oder Axcrypt. Bei richtiger Anwendung ist auch die Windows-Built-In EFS-Datenverschlüsselung hilfreich. Beim Einsatz der EFS-Verschlüsselung ist jedoch wichtig, dass Sie den EFS-Schlüssel auf einen externen Datenträger sichern. Ändern Sie das Kennwort Ihres Kontos, wäre ohne Schlüsselsicherung ein Zugriff auf Ihre Daten nicht mehr möglich.