Windows Vista und der eingebaute Administrator-Account

Wer sich schon längere Zeit mit Windows Vista beschäftigt, wird vielleicht eine Änderung am Verhalten des built-in Administrator-Accounts bemerkt haben. In früheren Entwicklungsversionen wurde während der Installation des Betriebsystems kein Paßwort für den Administrator-Account abgefragt. Stattdessen wurde er mit einem leeren Paßwort angelegt. Viele Diskussionen rund um Windows Vista entzündeten sich dadurch an dem Punkt, daß ein Konto ohne Kennwort mit administrativen Berechtigungen als unsicher empfunden wurde, obwohl dieser Account nur im abgesicherten Modus genutzt werden konnte.

Die Gründe für diese Vorgehensweise sind vielschichtig und die Diskussionen darum werden oftmals nur mit Totschlagargumenten geführt, ohne tiefer in die Materie einzusteigen und die verschiedenen Aspekte in unterschiedlichen Szenarien zu beleuchten.

Da wäre zum ersten das bessere Benutzererlebnis. Während der Installation muß man nicht zwei verschiedene Kennworte eingeben, was oftmals ja nur dazu führt, daß man sich später nicht mehr daran erinnert, welches Kennwort man für den Administrator vergeben hatte (Wieviele Kunden habe ich gesehen, die zum Beispiel nicht mehr wußten, wie das Kennwort für den Directory Recovery Service Modus ihrer Domäne lautete?). Oder es wird für beide Accounts das gleiche Kennwort verwendet oder gleich gar keins.

Deshalb wurde schon mit Windows XP die Absicherung von Konten mit leerem Kennwort eingeführt. Diese Konten können sich nur lokal interaktiv anmelden. Ein Zugriff über das Netzwerk oder durch Programme wie Run as ist nicht möglich. Die Verwendung des Administrator-Accounts als wellknown account mit leerem Kennwort erhöht dadurch auch die Sicherheit gegen Angriffe über das Netzwerk und das Problem des Verlustes des Kennworts. Denn Hand auf's Herz: Wer hat denn zu Hause für jeden Rechner eine Notfalldiskette erzeugt, um Kennworte sicher zurücksetzen zu können?

Nun erlaubte Windows Vista die Nutzung des built-in Administrator-Accounts mit leerem Kennwort nur im abgesicherten Modus. Was ist problematisch an diesem Verhalten? Jemand mit lokalem Zugriff auf den Computer kann diesen sehr einfach im abgesicherten Modus starten und erhält damit Zugriff auf den Administrator-Account. Jetzt kann man natürlich argumentieren, daß jeder Rechner, auf den man physikalischen Zugriff hat, kompromittierbar ist und deswegen das Problem kein richtiges Problem wäre. Das ist allerdings nur die eine Seite der Medaille. Was ist zum Beispiel mit Kindern, die mittels Parental Control unter Windows Vista vor der Nutzung von z.B. bestimmten Spielen ausgeschlossen sein sollen?

Die werden mit Sicherheit die ersten sein, die die Möglichkeit des abgesicherten Modus erkennen und damit eine Schutzfunktion umgehen. Das war früher auch nicht anders - nur ging es da nicht um Computer, sondern um heimliches Fernsehen oder Bücher lesen. Welche Eltern haben abends nicht mit der Hand die Temperatur des Fernsehers oder der Nachtischlampe geprüft, während der Nachwuchs sich schlafend stellte? Ich hatte früher deswegen eine Ersatzbirne und ein Handtuch unter dem Bett, um die Glühbirne schnell auswechseln zu können, wenn im Treppenhaus zu hören war, daß meine Mutter nachts nach Hause kommt :-)

Aber zurück zum Thema. Sollte also doch der Administrator mit einem Kennwort zwingend geschützt werden? Was ist, wenn das Kennwort nun schwach wäre? Würde man damit nicht Angriffen über das Netz Tür und Tor öffnen, da diese wissen, daß es ein Konto mit dem Namen Administrator gibt und dann mittels brute force versuchen könnten, das Kennwort zu erraten?

Im Windows Shell Team wurde das Problem sehr intensiv diskutiert. Es wurden diesbezüglich eine Unmenge an Szenarien entwickelt und verschiedene Lösungsmöglichkeiten auf Plausibilität hin überprüft. Mit Windows Vista RC1 hanen wir dann eine eine Reihe von Änderungen an dem Verhalten eingeführt. Das Ziel war der vollständige Verzicht auf die Nutzung des Administrator-Accounts für den normalen Betrieb.

Der built-in Administrator-Account ist jetzt standardmäßig deaktiviert bei einer neuen Installation. Damit kann dieses Konto nicht mehr benutzt werden, weder interaktiv, noch über das Netzwerk. Einzige Ausnahme: Wenn Windows Vista während eines Upgrades von Windows XP erkennt, daß der built-in Administrator das einzig aktive lokale Konto mit administrativen Berechtigungen ist, bleibt das Konto auch unter Vista aktiv und wird mit Admin Approval Mode belegt (also User Account Control eingeschaltet). Ansonsten wäre ja der Benutzer nach dem Aktualisieren auf Windows Vista nicht mehr in der Lage, den Computer nutzen zu können. 

Der erste Benutzeraccount, der unter Windows Vista während der Installation erzeugt wird, bekommt administrative Rechte mit Admin Approval Mode (User Account Control eingeschaltet). Jedes weitere Konto wird als Standardkonto konfiguriert, wenn der Benutzer nicht eine andere Konfiguration wünscht. In allen Fällen wird dem Benutzer das Setzen eines Kennwortes empfohlen und im gleichen Dialog angeboten. Domänenkonten, die dem Rechner lokal zugewiesen werden, werden auch standardmäßig in die Gruppe der lokalen Benutzer eingefügt.

Weiterhin werden Computer unterschieden, je nachdem ob sie Mitglied einer Domäne oder standalone in einer Arbeitsgruppe eingesetzt werden:

  1. Solange auf Computern, die keiner Domäne angehören, weitere aktive, administrative Accounts existieren, kann der built-in Administrator nicht im abgesicherten Modus genutzt werden. Stattdessen muß einer der dieser Accounts zur Anmeldung verwendet werden. Wird allerdings das letzte lokale Konto mit administrativen Berechtigungen herabgestuft, gelöscht oder deaktiviert, dann kann der built-in Administrator im abgesicherten Modus für ein Disaster Recovery genutzt werden.
  2. Computer, die Mitglied einer Domäne sind, werden anders behandelt. Hier kann der standardmäßig deaktivierte, lokale built-in Administrator-Account nicht zur Anmeldung im abgesicherten Modus benutzt werden. Dadurch kann sich kein Stabndardbenutzer über diesen Weg lokal mehr Rechte verschaffen. Ein Mitglied der Gruppe der Domänenadministratoren kann sich jedoch an jedem Domänenmitglied anmelden und dort lokale administrative Konten für die weitere Verwaltung erzeugen, falls keine existieren.
    Sollte kein Domänenadministrator sich jemals an einem Domänenmitglied angemeldet haben, dann muß der Computer im Falle eines Desasters im abgesicherten Modus mit Netzwerkzugriff gestartet werden, um darüber dann einen Domänenadministrator anmelden zu können. Dessen Anmeldung wird dann auch lokal nicht zwischengespeichert (credential cache). Sollte der Computer allerdings aus der Domäne entfernt werden, tritt das Verhalten von Punkt 1. wieder in Kraft.

Was folgt daraus? Als Benutzer von Windows Vista sollte man sich im Klaren darüber sein, daß man immer mindestens den Benutzernamen und das Kennwort von einem administrativen Konto seines Computers nicht vergessen sollte. Ansonsten kommt man möglicherweise in die Situation, daß man sich nicht mehr an dem Computer anmelden kann. Um diesem Szenario vorzubeugen, sollte man entweder die Kennwortdaten aufschreiben und an einem wirklich sicheren Ort verwahren oder den Assistenten zum Erstellen einer Kennwortrücksetzungsdiskette benutzen. Dieser unterstützt jetzt auch USB-Wechselmedien und setzt nicht mehr ein Diskettenlaufwerk voraus.

Natürlich ist das nicht das Ende der Diskussion und die Meinungen werden weiterhin zwischen "Ich brauche und will gar kein Kennwort eingeben müssen! Ich bin selbst mein Administrator!" bis hin zu "Für jedes Konto muß ein komplexes Kennwort erzwungen werden! Wer das nicht versteht oder nicht umsetzen kann, darf keinen Computer benutzen!" liegen.

Auch ein Blick über den Tellerrand auf andere Betriebsysteme wie Mac OS X, Ubuntu, Debian, etc. hilft nicht wirklich weiter. Es ist schon erschreckend einfach, sich dort lokalen Zugriff als Administrator auf das System zu verschaffen. Ich denke, daß mit dem neuen Verhalten von Windows Vista in Kombination mit Bitlocker und EFS ein guter Kompromiss zwischen Benutzbarkeit und Sicherheit gelungen ist.