info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Heimnetz-Sicherheit erhöhen
1 view
Skip to first unread message
Wendelin Uez
Nov 3, 2022, 5:45:47 AM11/3/22
to
Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
können.
Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
keine weitere Sperrwirkung.
Läßt sich dieser Schutz jetzt noch um eine weitere Stufe erhöhen, indem
nicht nur das in den Verbindungsdaten hartcodierte Paßwort verwendet wird,
sondern noch ein zusätzliches, vom Anwender änderbares Paßwort?
Das wäre einfacher als immer wieder mal in den Zugangsdaten
rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim ersten
Einloggen eine Zusatzseite mit Paßworteingabe erscheint. Ich könnte mir
vorstellen, daß so eine zweite Paßwort-Schicht, die unabhängig vom Router
funktioniert, die Sicherheit merklich steigert.
betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
können.
Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
keine weitere Sperrwirkung.
Läßt sich dieser Schutz jetzt noch um eine weitere Stufe erhöhen, indem
nicht nur das in den Verbindungsdaten hartcodierte Paßwort verwendet wird,
sondern noch ein zusätzliches, vom Anwender änderbares Paßwort?
Das wäre einfacher als immer wieder mal in den Zugangsdaten
rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim ersten
Einloggen eine Zusatzseite mit Paßworteingabe erscheint. Ich könnte mir
vorstellen, daß so eine zweite Paßwort-Schicht, die unabhängig vom Router
funktioniert, die Sicherheit merklich steigert.
Marco Moock
Nov 3, 2022, 2:53:19 PM11/3/22
to
Am 03.11.2022 um 10:45:26 Uhr schrieb Wendelin Uez:
> Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
> betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach
> dem Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen
> erreichbar, [...]
> Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
> betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach
> dem Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen
Hoffentlich mit Kennwortschutz, dann hast du deine 2. Schicht. Wenn die
PCs ohne Kennworteingabe automatisch booten sollen, entsprechend den
automatischen Login konfigurieren. Das SMB sollte man aber absichern.
> Das wäre einfacher als immer wieder mal in den Zugangsdaten
> rumzukonfigurieren. Ich denke da an sowas wie in den Hotels, wo beim
> ersten Einloggen eine Zusatzseite mit Paßworteingabe erscheint.
Andreas Kohlbach
Nov 4, 2022, 1:22:27 AM11/4/22
to
Hier habe ich das Problem in öffentlichen WIFIs, dass die HTTPS sind und
gleich einen Error wegen Nichterreichbarkeit werfen. Ich muss dann eine
*existierende* HTTP Adresse eingeben, die dann erfolgreich auf das Portal
zum Abnicken leitet.
Noch kann man wohl froh sein, dass keine Captcha kommt. Auf einer anderen
Seite (nicht im öffentlichen WIFI) musste ich neulich zehn dieser
bestätigen. Am liebsten sind mir die, wo man die Kästchen klicken soll,
auf denen Ampeln zu sehen sind. Ich konnte bis heute nicht herausfinden,
ob nur die Ampeln selbst, oder auch die Metallrohre gemeint sind, an
denen sie aufgehängt sind.
--
Andreas
Arno Welzel
Nov 6, 2022, 9:36:31 AM11/6/22
to
Wendelin Uez, 2022-11-03 10:45:
> Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
> betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
> Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
> damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
> können.
>
> Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
> außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
> Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
> keine weitere Sperrwirkung.
Das Benutzerkennwort ist weiterhin vorhanden, es wird nur auf dem
Desktop nicht benötigt, weil ein Auto-Login konfiguriert wurde. Selbst
wenn jemand in das VPN reinkommt, benötigt er für den Zugriff auf die
Windows-Kiste weiterhin dass Benutzerkennwort.
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
--
Arno Welzel
https://arnowelzel.de
> Ein Windows-PC und -Laptop werden in einem Heimnetz an einer Fritzbox
> betrieben. Der Bequemlichkeit halber beide ohne Kennwortabfrage nach dem
> Booten. Ein freigegebenes PC-Verzeichnis ist auch von außen erreichbar,
> damit einzelne Dateien per Smartphone über Wireguard-VPN abgerufen werden
> können.
>
> Die ganze Sicherheit hängt also an der Fritzbox, die alleine den Zugang von
> außen kontrolliert, indem die VPN-Verbindung paßwortgeschützt ist. Ein
> Windows-Benutzerkennwort würde nur das Booten erschweren, hätte danach aber
> keine weitere Sperrwirkung.
Desktop nicht benötigt, weil ein Auto-Login konfiguriert wurde. Selbst
wenn jemand in das VPN reinkommt, benötigt er für den Zugriff auf die
Windows-Kiste weiterhin dass Benutzerkennwort.
Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
mehr möglich.
--
Arno Welzel
https://arnowelzel.de
Marco Moock
Nov 6, 2022, 10:55:47 AM11/6/22
to
Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
> mehr möglich.
Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
> mehr möglich.
einzurichten.
Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Stefan Kanthak
Nov 6, 2022, 12:21:41 PM11/6/22
to
"Marco Moock" <mo...@posteo.de> schrieb:
> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>
>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>> mehr möglich.
Der merkbefreite Herr Welzel plappert regelmaessigst hanebuechensten
Schwachsinn!
> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
> einzurichten.
Nicht noetig: das vordefinierte aber deaktivierte Konto "Administrator"
hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.
Ebenso ist es moeglich, das von den Superhelden aus Redmond waehrend
der Installation STRUNZDUMMERWEISE als verqUACksalberter Administrator
angelegte Konto aus der Gruppe "Administratoren" zu entfernen und der
Gruppe "Benutzer" zuzufuehren.
Danach startest Du die Wiederherstellungsumgebung und freust Dich ueber
das dort aktive kennwortlose Konto "Administrator".
> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Die von den Superhelden aus Redmond mit XP ebenfalls strunzdummerweise
eingefuehrte "Einfache Dateifreigabe" nutzte das kennwortlose Konto
"Gast" fuer Netzwerkzugriffe (ausser Remote Desktop).
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>
>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>> mehr möglich.
Schwachsinn!
> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
> einzurichten.
hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.
Ebenso ist es moeglich, das von den Superhelden aus Redmond waehrend
der Installation STRUNZDUMMERWEISE als verqUACksalberter Administrator
angelegte Konto aus der Gruppe "Administratoren" zu entfernen und der
Gruppe "Benutzer" zuzufuehren.
Danach startest Du die Wiederherstellungsumgebung und freust Dich ueber
das dort aktive kennwortlose Konto "Administrator".
> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
Die von den Superhelden aus Redmond mit XP ebenfalls strunzdummerweise
eingefuehrte "Einfache Dateifreigabe" nutzte das kennwortlose Konto
"Gast" fuer Netzwerkzugriffe (ausser Remote Desktop).
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Arno Welzel
Nov 12, 2022, 8:25:30 PM11/12/22
to
Marco Moock, 2022-11-06 16:55:
> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>
>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>> mehr möglich.
>
> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
> einzurichten.
Das schon - nur kann er sich dann nicht anmelden, da er kein Kennwort hat.
> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>
>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>> mehr möglich.
>
> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
> einzurichten.
Arno Welzel
Nov 12, 2022, 8:26:45 PM11/12/22
to
Stefan Kanthak, 2022-11-06 18:18:
> "Marco Moock" <mo...@posteo.de> schrieb:
>
>> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>>
>>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>>> mehr möglich.
>
> Der merkbefreite Herr Welzel plappert regelmaessigst hanebuechensten
> Schwachsinn!
>
>> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
>> einzurichten.
>
> Nicht noetig: das vordefinierte aber deaktivierte Konto "Administrator"
> hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.
Funktioniert hier nicht.
>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>
> Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Eben.
> "Marco Moock" <mo...@posteo.de> schrieb:
>
>> Am 06.11.2022 um 15:36:28 Uhr schrieb Arno Welzel:
>>
>>> Windows ohne Passwort nutzen ist schon seit Windows NT/2000/XP nicht
>>> mehr möglich.
>
> Der merkbefreite Herr Welzel plappert regelmaessigst hanebuechensten
> Schwachsinn!
>
>> Selbst bei Windows 10 war es möglich, ein lokales Konto ohne Kennwort
>> einzurichten.
>
> Nicht noetig: das vordefinierte aber deaktivierte Konto "Administrator"
> hat kein Kennwort. Nach Aktivierung ist Anmelden ohne Kennwort moeglich.
>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>
> Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Marcel Logen
Nov 13, 2022, 8:37:56 AM11/13/22
to
Stefan Kanthak in de.comp.security.misc:
>"Marco Moock" <mo...@posteo.de> schrieb:
>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>
>Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
anmeldung mit leerem Kennwort erlauben" oder so.
Marcel pu6g (850128)
--
╭─╮ ╭───╮ ╭─────────╮ ╭──────╮ ╭───╮ ╭─╮ ╭─╮
╭───╯ ╰──╯ ╰─╮ │ ╭────╯ ╰───╮ ╰─╯ │ ╭─╮ │ │ │ ╰──╮ aec73e
╰───╮ ╭─────╯ │ ╭─╯ ╭────╮ │ ╭─────╯ │ ╰─╯ │ │ │ ╭─╮ ╭
─────╯ ╰────────╯ ╰────╯ ╰───╯ ╰────────╯ ╰─╯ ╰───╯ ╰───╯
>"Marco Moock" <mo...@posteo.de> schrieb:
>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>
>Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
anmeldung mit leerem Kennwort erlauben" oder so.
Marcel pu6g (850128)
--
╭─╮ ╭───╮ ╭─────────╮ ╭──────╮ ╭───╮ ╭─╮ ╭─╮
╭───╯ ╰──╯ ╰─╮ │ ╭────╯ ╰───╮ ╰─╯ │ ╭─╮ │ │ │ ╰──╮ aec73e
╰───╮ ╭─────╯ │ ╭─╯ ╭────╮ │ ╭─────╯ │ ╰─╯ │ │ │ ╭─╮ ╭
─────╯ ╰────────╯ ╰────╯ ╰───╯ ╰────────╯ ╰─╯ ╰───╯ ╰───╯
Marco Moock
Nov 13, 2022, 9:12:03 AM11/13/22
to
Am 13.11.2022 um 14:37:36 Uhr schrieb Marcel Logen:
> Stefan Kanthak in de.comp.security.misc:
>
> >"Marco Moock" <mo...@posteo.de> schrieb:
>
> >> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht
> >> getestet.
> >
> >Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr)
> >moeglich.
>
> Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
> man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
> anmeldung mit leerem Kennwort erlauben" oder so.
Zumindest früher ging ein Login ohne PW bei SMB, aus Sicherheitsgründen
> Stefan Kanthak in de.comp.security.misc:
>
> >"Marco Moock" <mo...@posteo.de> schrieb:
>
> >> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht
> >> getestet.
> >
> >Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr)
> >moeglich.
>
> Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
> man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
> anmeldung mit leerem Kennwort erlauben" oder so.
ist aber unbedingt davon abzuraten.
Stefan Kanthak
Nov 13, 2022, 3:58:40 PM11/13/22
to
"Marcel Logen" <33320000...@ybtra.de> schrieb:
> Stefan Kanthak in de.comp.security.misc:
>
>>"Marco Moock" <mo...@posteo.de> schrieb:
>
>>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>>
>>Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
>
> Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
> man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
> anmeldung mit leerem Kennwort erlauben" oder so.
Umgekehrt: die Richtlinie lautet "Limit local account use of blank
> Stefan Kanthak in de.comp.security.misc:
>
>>"Marco Moock" <mo...@posteo.de> schrieb:
>
>>> Wie sich dann eine SMB-Freigabe verhält habe ich aber nicht getestet.
>>
>>Netzwerkanmeldung ist bei Konten ohne Kennwort NICHT (mehr) moeglich.
>
> Gab es da nicht mal unter "gpedit.msc" eine Richtlinie, mit der
> man das Verhalten umstellen konnte? IIRC irgendwas mit "Konsolen-
> anmeldung mit leerem Kennwort erlauben" oder so.
passwords to console logon only" und ist ab Werk NICHT gesetzt.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
"LimitBlankPasswordUse"=dword:{0|1}
JFTR: <https://technet.microsoft.com/en-us/library/bb457125.aspx>
Die eNTe unterscheidet zwischen "Lokaler interaktiver Anmeldung",
"Service-Anmeldung", "Job-Anmeldung", "Netzwerk-Anmeldung" und
"Entfernter interaktiver Anmeldung", daher wirkte diese Richtlinie
nicht bei SMB-Zugriffen (die ausser bei "Einfacher Dateifreigabe"
nur mit nicht-leerem Kennwort moeglich sind).
<https://technet.microsoft.com/en-us/library/bb457114.aspx>
| * Blank password restriction.
|
| To protect users who do not password-protect their accounts,
| Windows XP Professional accounts without passwords can be
| used only to log on at the physical computer console and not
| remotely over the network.
Letzteres ist erst 21 Jahre alt...
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
0 new messages