Discussion:
Heimnetz-Sicherheit erhöhen
(zu alt für eine Antwort)
Wendelin Uez
2022-11-03 09:45:26 UTC
Permalink
Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
können.

Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
keine weitere Sperrwirkung.

Läßt sich dieser Schutz jetzt noch um eine weitere Stufe erhöhen, indem
nicht nur das in den Verbindungsdaten hartcodierte Paßwort verwendet wird,
sondern noch ein zusätzliches, vom Anwender änderbares Paßwort?

Das wäre einfacher als immer wieder mal in den Zugangsdaten
rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim ersten
Einloggen eine Zusatzseite mit Paßworteingabe erscheint. Ich könnte mir
vorstellen, daß so eine zweite Paßwort-Schicht, die unabhängig vom Router
funktioniert, die Sicherheit merklich steigert.
Marco Moock
2022-11-03 18:53:17 UTC
Permalink
Post by Wendelin Uez
Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach
dem Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen
erreichbar, [...]
Hoffentlich mit Kennwortschutz, dann hast du deine 2. Schicht. Wenn die
PCs ohne Kennworteingabe automatisch booten sollen, entsprechend den
automatischen Login konfigurieren. Das SMB sollte man aber absichern.
Post by Wendelin Uez
Das wäre einfacher als immer wieder mal in den Zugangsdaten
rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim
ersten Einloggen eine Zusatzseite mit Paßworteingabe erscheint.
Sowas nennt sich Captive Portal und nervt tierisch.
Andreas Kohlbach
2022-11-04 05:22:26 UTC
Permalink
Post by Marco Moock
Post by Wendelin Uez
Das wäre einfacher als immer wieder mal in den Zugangsdaten
rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim
ersten Einloggen eine Zusatzseite mit Paßworteingabe erscheint.
Sowas nennt sich Captive Portal und nervt tierisch.
Oh ja!

Hier habe ich das Problem in öffentlichen WIFIs, dass die HTTPS sind und
gleich einen Error wegen Nichterreichbarkeit werfen. Ich muss dann eine
*existierende* HTTP Adresse eingeben, die dann erfolgreich auf das Portal
zum Abnicken leitet.

Noch kann man wohl froh sein, dass keine Captcha kommt. Auf einer anderen
Seite (nicht im öffentlichen WIFI) musste ich neulich zehn dieser
bestätigen. Am liebsten sind mir die, wo man die Kästchen klicken soll,
auf denen Ampeln zu sehen sind. Ich konnte bis heute nicht herausfinden,
ob nur die Ampeln selbst, oder auch die Metallrohre gemeint sind, an
denen sie aufgehängt sind.
--
Andreas
Arno Welzel
2022-11-06 14:36:28 UTC
Permalink
Post by Wendelin Uez
Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
können.
Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
keine weitere Sperrwirkung.
Das Benutzerkennwort ist weiterhin vorhanden, es wird nur auf dem
Desktop nicht benötigt, weil ein Auto-Login konfiguriert wurde. Selbst
wenn jemand in das VPN reinkommt, benötigt er für den Zugriff auf die
Windows-Kiste weiterhin dass Benutzerkennwort.

Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
--
Arno Welzel
https://arnowelzel.de
Marco Moock
2022-11-06 15:55:45 UTC
Permalink
Post by Arno Welzel
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
einzurichten.
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Stefan Kanthak
2022-11-06 17:18:18 UTC
Permalink
Post by Marco Moock
Post by Arno Welzel
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
Der merkbefreite Herr Welzel plappert regelmaessigst hanebuechensten
Schwachsinn!
Post by Marco Moock
Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
einzurichten.
Nicht noetig: das vordefinierte aber deaktivierte Konto "Administrator"
hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.

Ebenso ist es moeglich, das von den Superhelden aus Redmond waehrend
der Installation STRUNZDUMMERWEISE als verqUACksalberter Administrator
angelegte Konto aus der Gruppe "Administratoren" zu entfernen und der
Gruppe "Benutzer" zuzufuehren.
Danach startest Du die Wiederherstellungsumgebung und freust Dich ueber
das dort aktive kennwortlose Konto "Administrator".
Post by Marco Moock
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Die von den Superhelden aus Redmond mit XP ebenfalls strunzdummerweise
eingefuehrte "Einfache Dateifreigabe" nutzte das kennwortlose Konto
"Gast" fuer Netzwerkzugriffe (ausser Remote Desktop).

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Arno Welzel
2022-11-13 01:26:44 UTC
Permalink
Post by Stefan Kanthak
Post by Marco Moock
Post by Arno Welzel
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
Der merkbefreite Herr Welzel plappert regelmaessigst hanebuechensten
Schwachsinn!
Post by Marco Moock
Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
einzurichten.
Nicht noetig: das vordefinierte aber deaktivierte Konto "Administrator"
hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.
Funktioniert hier nicht.
Post by Stefan Kanthak
Post by Marco Moock
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Eben.
--
Arno Welzel
https://arnowelzel.de
Marcel Logen
2022-11-13 13:37:36 UTC
Permalink
Post by Stefan Kanthak
Post by Marco Moock
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
anmeldung mit leerem Kennwort erlauben" oder so.

Marcel pu6g (850128)
--
╭─╮ ╭───╮ ╭─────────╮ ╭──────╮ ╭───╮ ╭─╮ ╭─╮
╭───╯ ╰──╯ ╰─╮ │ ╭────╯ ╰───╮ ╰─╯ │ ╭─╮ │ │ │ ╰──╮ aec73e
╰───╮ ╭─────╯ │ ╭─╯ ╭────╮ │ ╭─────╯ │ ╰─╯ │ │ │ ╭─╮ ╭
─────╯ ╰────────╯ ╰────╯ ╰───╯ ╰────────╯ ╰─╯ ╰───╯ ╰───╯
Marco Moock
2022-11-13 14:12:01 UTC
Permalink
Post by Marcel Logen
Post by Stefan Kanthak
Post by Marco Moock
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr)
moeglich.
Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
anmeldung mit leerem Kennwort erlauben" oder so.
Zumindest früher ging ein Login ohne PW bei SMB, aus Sicherheitsgründen
ist aber unbedingt davon abzuraten.
Stefan Kanthak
2022-11-13 20:56:18 UTC
Permalink
Post by Marcel Logen
Post by Stefan Kanthak
Post by Marco Moock
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
anmeldung mit leerem Kennwort erlauben" oder so.
Umgekehrt: die Richtlinie lautet "Limit local account use of blank
passwords to console logon only" und ist ab Werk NICHT gesetzt.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
"LimitBlankPasswordUse"=dword:{0|1}

JFTR: <https://technet.microsoft.com/en-us/library/bb457125.aspx>
Die eNTe unterscheidet zwischen "Lokaler interaktiver Anmeldung",
"Service-Anmeldung", "Job-Anmeldung", "Netzwerk-Anmeldung" und
"Entfernter interaktiver Anmeldung", daher wirkte diese Richtlinie
nicht bei SMB-Zugriffen (die ausser bei "Einfacher Dateifreigabe"
nur mit nicht-leerem Kennwort moeglich sind).

<https://technet.microsoft.com/en-us/library/bb457114.aspx>

| * Blank password restriction.
|
| To protect users who do not password-protect their accounts,
| Windows XP Professional accounts without passwords can be
| used only to log on at the physical computer console and not
| remotely over the network.

Letzteres ist erst 21 Jahre alt...

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Arno Welzel
2022-11-13 01:25:28 UTC
Permalink
Post by Marco Moock
Post by Arno Welzel
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
einzurichten.
Das schon - nur kann er sich dann nicht anmelden, da er kein Kennwort hat.
--
Arno Welzel
https://arnowelzel.de
Loading...