{{tag>it-security windows linux blog deutsch}}
====== Privilegien-Eskalation: Windows-Admin dank Linux ======

In diesem Tutorial zeige ich euch, wie man sich Administrator-Rechte an Windows PCs mittels Live-Boot CD sichern kann. Wir werden zwei Szenarien simulieren:

  - aktivieren eines Admin Accounts
  - hochstufen eines einfachen Benutzers in die Administratoren Gruppe

Das Ganze bewerkstelligen wir, indem wir den SAM [[wpde>Security_Accounts_Manager]] mittels eines Live-Linux Systems manipulieren.

\\
\\
===== Ausgangssituation =====

{{:it-security:blog:screenshot_2024-03-14_144552.png|}}

Auf einem Windows System sind die Benutzer ''User'' und ''sysadmin'' angelegt. ''User'' besitzt keine Administratoren-Rechte, ist mit einem Passwort geschützt und aktiviert. ''sysadmin'' hingegen ist Mitglied der lokalen Administratoren, ebenfalls mit einem Passwort geschützt aber deaktiviert.
\\
\\
===== Vorbereitung =====
{{page>vorlagen:attention}}

==== Ubuntu herunterladen ====

Prinzipiell kann man jede Live-Distribution nutzen. Ich habe mich für Lubuntu entschieden:

[[https://lubuntu.me/downloads/]]

Nach dem Download müsst Ihr die Image-Datei auf einen bootbaren USB Stick oder eine DVD portiertieren. Damit der Startvorgang fehlerfrei läuft solltet ihr im Bios folgende Einstellungen anpassen:

  * SafeBoot deaktivieren
  * Boot Reihenfolge auf das entsprechende Medium ändern

Nun startet ihr Lubuntu und konfiguriert noch folgendes:

  * Keyboard Layout auf Deutsch umstellen
  * Terminal öffnen
  * Paketquellen aktualisieren
\\
\\
==== chntpw installieren ====

Jetzt können wir ''chntpw'' installieren, mittels:

<code bash>
sudo apt install chntpw
</code>
\\
\\
==== Windows Partition finden ====

Wir suchen die Windows Partition.

<code bash>
sudo sfdisk -l
</code>

{{:it-security:blog:screenshot_2024-03-14_145734.png|}}
\\
\\
In unserem Beispiel finden wir sie auf ''/dev/sda3''. Diese binden wir im nächsten Schritt ein.
\\
\\
==== Windows Partition einbinden ====

Wir brauchen einen Mountpoint für die Partition und erstellen diesen in unserem $HOME-Verzeichnis.

<code bash>
mkdir ~/win
</code>

Anschließend mounten wir die Partition.

<code bash>
sudo mount /dev/sda3 ~/win
</code>

Nun navigieren wir in das Verzeichnis, des SAM.

<code bash>
cd ~/win/Windows/System32/config
</code>
\\
\\
===== Manipulation des SAM =====

==== chntpw starten ====

Jetzt wird es Zeit unser eben installiertes Tool zu starten.

<code bash>
sudo chntpw -i SAM
</code>
\\
\\
==== SAM editieren ====

{{:it-security:blog:screenshot_2024-03-14_150443.png|}}
\\
\\
''chntpw'' präsentiert sich, wie oben zu sehen ist. Wir wählen den Punkt 1 aus und sehen eine Übersicht der Benutzer.

{{:it-security:blog:screenshot_2024-03-14_150458.png|}}
\\
\\
Wir wollen nun den Benutzer ''sysadmin'' aktivieren und das Passwort zurücksetzen.

  * sysadmin Benutzer auswählen (03ea)

Im nächsten Dialog sehen wir eine Übersicht des Benutzers und können diesen nun bearbeiten.

  * Option 1 - Clear (blank) user password
  * Option 2 - Unlock and enable user account

{{:it-security:blog:screenshot_2024-03-14_150756.png?500|}}
\\
\\
Den ersten Benutzer haben wir geschafft. Wir quittieren mit ''q'' und wählen den nächsten Benutzer ''User'' aus.

  * User Benutzer auswählen (03eb)

Und nun setzen wir folgende Optionen:

  * Option 1 - Clear (blank) user password
  * Option 3 - Promote User

Wir kehren zurück in den Hauptdialog und beenden das Programm mit ''q''. Die anschließende Abfrage, ob in den SAM geschrieben werden soll, bestätigen wir.

Lubuntu kann nun beendet und der Rechner heruntergefahren werden.
\\
\\
===== Rechner Neustarten =====

Um den Rechner nun zu starten, müssen folgende Dinge im BIOS gesetzt werden:

  * Boot Reihenfolge zurücksetzen
  * SafeBoot aktivieren
\\
\\
==== Ergebnis ====

Nach einem Neustart ist das Anmelden ohne Passwort für die Benutzer ''User'' und ''sysadmin'' möglich. Beide Konten sind Mitglieder von ''Administratoren'' und besitzen somit volle Berechtigungen.

[{{:it-security:blog:screenshot_2024-03-14_151410.png?400|sysadmin und User können sich ohne Passwort anmelden}}]
\\
\\
Ein Blick in die PowerShell zeigt uns, dass unsere Änderungen erfolgreich waren.

[{{:it-security:blog:screenshot_2024-03-14_152310.png|sysadmin ist nicht mehr deaktiviert}}]
\\
\\
[{{:it-security:blog:screenshot_2024-03-14_152416.png|User ist Mitglied der Administratoren Gruppe}}]
\\
\\
===== Wie schütze ich mich? =====

Um diese Art der Manipulation zu verhindern, kann man folgende Maßnahmen ergreifen:

  * Erschweren des physischen Zugangs zur Maschine
  * UEFI Passwort
  * Laufwerksverschlüsselung z.B. BitLocker
  * Aufklärung und Gefahrenbewusstsein schaffen

~~DISCUSSION~~